LEGE Nr.

238 din 10 iunie 2009 *** Republicat

privind reglementarea prelucrrii datelor cu caracter personal de ctre
structurile/unitile Ministerului Administraiei i Internelor n activitile de
prevenire, cercetare i combatere a infraciunilor, precum i de meninere i
asigurare a ordinii publice
EMITENT: PARLAMENTUL ROMNIEI
PUBLICAT N: MONITORUL OFICIAL NR. 474 din 12 iulie 2012
*) Republicat n temeiul dispoziiilor art. II din Legea nr. 81/2012 pentru
modificarea i completarea Legii nr. 238/2009 privind reglementarea prelucrrii
datelor cu caracter personal de ctre structurile/unitile Ministerului
Administraiei i Internelor n activitile de prevenire, cercetare i combatere a
infraciunilor, precum i de meninere i asigurare a ordinii publice, publicat n
Monitorul Oficial al Romniei, Partea I, nr. 400 din 14 iunie 2012, dndu-se
textelor o nou numerotare.
Legea nr. 238/2009 privind reglementarea prelucrrii datelor cu caracter
personal de ctre structurile/unitile Ministerului Administraiei i Internelor n
activitile de prevenire, cercetare i combatere a infraciunilor, precum i de
meninere i asigurare a ordinii publice a fost publicat n Monitorul Oficial al
Romniei, Partea I, nr. 405 din 15 iunie 2009.
CAPITOLUL I
Dispoziii generale
ART. 1
(1) Prezenta lege reglementeaz prelucrarea automat i neautomat a datelor cu
caracter personal pentru realizarea activitilor de prevenire, cercetare i combatere
a infraciunilor, precum i de meninere i asigurare a ordinii publice de ctre
structurile/unitile Ministerului Administraiei i Internelor, potrivit competenelor
acestora.
(2) Structurile/Unitile Ministerului Administraiei i Internelor, denumite n
continuare structurile/unitile M.A.I., care desfoar, potrivit competenelor,
activitile prevzute la alin. (1), n calitate de operatori, dobndite n condiiile
Legii nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu
caracter personal i libera circulaie a acestor date, cu modificrile i completrile
ulterioare, prelucreaz date cu caracter personal n exercitarea atribuiilor legale.
(3) Prezenta lege nu se aplic prelucrrilor i transferului de date cu caracter
personal efectuate n ndeplinirea atribuiilor legale de structurile/unitile M.A.I.
n domeniul aprrii naionale i securitii naionale, n limitele i cu restriciile
stabilite de lege.

ART. 2
n nelesul prezentei legi, termenii i expresiile de mai jos au urmtoarea
semnificaie:
a) interconectare - operaiunea de a pune n legtur datele cu caracter personal
cuprinse ntr-un fiier, baz de date sau sistem de eviden automat cu cele
cuprinse ntr-unul sau mai multe fiiere, baze de date sau sisteme de eviden
automate care sunt gestionate de operatori diferii sau de ctre acelai operator, dar
avnd scopuri diferite, similare sau corelate, dup caz;
b) semnalare - setul de date introduse ntr-un sistem de eviden a datelor cu
caracter personal referitoare la persoane sau bunuri cu privire la care au fost
dispuse unele msuri, n condiiile legii, n vederea realizrii unui interes public, a
respectrii regimului liberei circulaii a persoanelor i bunurilor sau a asigurrii ori
meninerii ordinii i siguranei publice;
c) blocare - marcarea unor date cu caracter personal stocate, n scopul limitrii
prelucrrii pe viitor;
d) atribuirea de referine - marcarea unor date cu caracter personal stocate, fr a
avea ca scop limitarea prelucrrii lor ulterioare;
e) transformarea n date anonime - modificarea datelor cu caracter personal,
astfel nct detaliile privind circumstanele personale sau materiale s nu mai
permit atribuirea acestora unei persoane fizice identificate sau identificabile sau
atribuirea s fie posibil doar n condiiile unei investiii disproporionate de timp,
costuri i for de munc;
f) consimmntul persoanei vizate - orice manifestare de voin, liber,
specific i informat, prin care persoana vizat accept s fie prelucrate datele cu
caracter personal care o privesc;
g) eviden pasiv - fiier sau baz de date cu caracter personal constituit n
scopul accesrii limitate i ulterior tergerii datelor stocate din sistemul de
eviden.
ART. 3
(1) Pentru realizarea activitilor prevzute la art. 1 alin. (1), structurile/unitile
M.A.I. constituie, organizeaz i dein, potrivit atribuiilor legale, sisteme de
eviden i utilizeaz mijloace automate i neautomate de prelucrare a datelor cu
caracter personal, n condiiile legii.
(2) Structurile/Unitile M.A.I. utilizeaz sisteme de eviden i/sau mijloace
automate i neautomate de prelucrare a datelor cu caracter personal, cu respectarea
drepturilor omului i aplicarea principiilor legalitii, necesitii, confidenialitii,
proporionalitii i numai dac, prin utilizarea acestora, este asigurat protecia
datelor prelucrate.
(3) naintea introducerii unui sistem de eviden sau a unui mijloc
automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil

s prezinte anumite riscuri privind datele prelucrate, structurile/unitile M.A.I.

consult Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter
Personal, denumit n continuare Autoritatea naional de supraveghere, care, dac
este cazul, stabilete garanii adecvate, potrivit legii.
CAPITOLUL II
Notificarea prelucrrilor datelor cu caracter personal
ART. 4
(1) Prelucrrile de date cu caracter personal sunt notificate Autoritii naionale
de supraveghere. Notificarea se efectueaz anterior oricrei prelucrri, n condiiile
legii.
(2) Notificarea prelucrrii automate sau neautomate a datelor cu caracter
personal prin sisteme de eviden a datelor cu caracter personal, realizat potrivit
legii de ctre structurile/unitile M.A.I., cuprinde, pe lng informaiile prevzute
la art. 22 alin. (8) din Legea nr. 677/2001, cu modificrile i completrile
ulterioare, n mod corespunztor i informaii referitoare la natura fiecrui sistem
de eviden a datelor cu caracter personal care are legtur cu prelucrarea, precum
i la destinatarii crora le sunt comunicate datele.
(3) Notificarea prelucrrii datelor cu caracter personal prin sisteme de eviden
constituite n anumite cazuri numai pentru perioada necesar realizrii unor
activiti de prevenire, cercetare i combatere a infraciunilor, precum i de
meninere i asigurare a ordinii publice se face cu respectarea condiiilor prevzute
la alin. (2), numai dac prelucrarea nu a fcut obiectul unei notificri anterioare.
CAPITOLUL III
Colectarea datelor cu caracter personal
ART. 5
(1) Pentru realizarea activitilor prevzute la art. 1 alin. (1), structurile/unitile
M.A.I. colecteaz date cu caracter personal, cu sau fr consimmntul persoanei
vizate, n condiiile legii.
(2) Colectarea datelor cu caracter personal fr consimmntul persoanei vizate
pentru realizarea activitilor prevzute la art. 1 alin. (1) se face numai dac aceast
msur este necesar pentru prevenirea unui pericol iminent cel puin asupra vieii,
integritii corporale sau sntii unei persoane ori a proprietii acesteia, precum
i pentru combaterea unei anumite infraciuni.
(3) Colectarea datelor cu caracter personal pentru realizarea activitilor
prevzute la art. 1 alin. (1) se efectueaz de personalul structurilor/unitilor M.A.I.
numai n scopul ndeplinirii atribuiilor de serviciu.

(4) Colectarea datelor cu caracter personal n scopurile prevzute la art. 1 alin.

(1) trebuie s fie limitat la datele necesare pentru prevenirea unui pericol iminent
cel puin asupra vieii, integritii corporale sau sntii unei persoane ori a
proprietii acesteia, precum i pentru combaterea unei anumite infraciuni.
(5) Colectarea de date privind persoana fizic exclusiv datorit faptului c
aceasta are o anumit origine rasial, anumite convingeri religioase ori politice, un
anumit comportament sexual sau datorit apartenenei acesteia la anumite micri
ori organizaii care nu contravin legii este interzis.
(6) Prin excepie de la prevederile alin. (5), structurile/unitile M.A.I.
colecteaz i prelucreaz, cu respectarea garaniilor prevzute de Legea nr.
677/2001, cu modificrile i completrile ulterioare, date exclusiv n baza acestor
criterii numai dac, ntr-un caz determinat, sunt necesare pentru efectuarea actelor
premergtoare sau a urmririi penale, ca urmare a svririi unei infraciuni.
Prevederile art. 4 se aplic n mod corespunztor.
(7) Prevederile alin. (6) nu aduc atingere dispoziiilor legale care reglementeaz
obligaia autoritilor publice de a respecta i de a ocroti viaa intim, familial i
privat.
CAPITOLUL IV
Stocarea datelor cu caracter personal
ART. 6
(1) Pentru realizarea scopurilor activitilor prevzute la art. 1 alin. (1),
structurile/unitile M.A.I. stocheaz numai acele date cu caracter personal care
sunt exacte, complete i necesare ndeplinirii atribuiilor legale sau obligaiilor
rezultate din instrumente juridice internaionale la care Romnia este parte.
(2) Stocarea diferitelor categorii de date cu caracter personal se realizeaz prin
ordonarea acestora n funcie de gradul lor de acuratee i exactitate. Datele cu
caracter personal bazate pe opinii i interpretri personale rezultate din activitile
prevzute la art. 1 alin. (1) sunt ordonate n mod distinct.
(3) Structurile/Unitile M.A.I. au obligaia de a verifica periodic calitatea
datelor prevzute la alin. (2), conform regulilor stabilite potrivit art. 31 alin. (1) lit.
b).
(4) n situaia n care datele cu caracter personal stocate se dovedesc a fi
inexacte sau incomplete, structurile/unitile M.A.I. care le dein au obligaia s le
tearg, distrug, modifice, actualizeze sau, dup caz, s le completeze.
(5) Structurile/Unitile M.A.I. stocheaz datele cu caracter personal colectate n
scopuri administrative separat de datele cu caracter personal colectate n scopurile
prevzute la art. 1 alin. (1).
ART. 7

(1) Datele cu caracter personal se blocheaz atunci cnd exist motive

ntemeiate s se considere c tergerea lor ar putea afecta drepturile, libertile i
interesele legitime ale persoanei vizate.
(2) Datele blocate se prelucreaz doar n scopul care a mpiedicat tergerea lor.
(3) Datele blocate se terg de ndat ce nu mai sunt necesare scopului prevzut la
alin. (2).
ART. 8
Structurile/Unitile M.A.I. prelucreaz suplimentar date cu caracter personal,
ntr-un alt scop dect cel pentru care datele au fost colectate, dac sunt ndeplinite
urmtoarele condiii:
a) prelucrarea este compatibil cu scopul n care au fost colectate datele;
b) scopul n care urmeaz a fi prelucrate suplimentar datele cu caracter personal
de ctre structurile/unitile M.A.I. sau entitile crora urmeaz s le fie
comunicate datele se ncadreaz n atribuiile sau, dup caz, obligaiile ce le revin
potrivit legii;
c) prelucrarea este necesar i proporional n raport cu noul scop.
CAPITOLUL V
Comunicarea datelor cu caracter personal
ART. 9
(1) Comunicarea datelor cu caracter personal ntre structurile/unitile M.A.I. se
face numai n cazul n care este necesar pentru exercitarea competenelor i
ndeplinirea atribuiilor legale ce le revin.
(2) Comunicarea de date cu caracter personal ctre alte autoriti sau instituii
publice se poate efectua numai n urmtoarele situaii:
a) n baza unei prevederi legale exprese ori cu autorizarea Autoritii naionale
de supraveghere;
b) cnd datele sunt indispensabile ndeplinirii atribuiilor legale ale
destinatarului i numai dac scopul n care se face colectarea sau prelucrarea de
ctre destinatar nu este incompatibil cu scopul pentru care datele au fost colectate
de structurile/unitile M.A.I., iar comunicarea datelor de structurile/unitile
M.A.I. se realizeaz n conformitate cu atribuiile legale ale acestora.
(3) Prin excepie de la prevederile alin. (2), comunicarea datelor cu caracter
personal ctre alte autoriti sau instituii publice este permis n urmtoarele
situaii:
a) persoana vizat i-a exprimat consimmntul expres i neechivoc pentru
comunicarea datelor sale;

b) comunicarea este necesar pentru a preveni un pericol grav i iminent cel

puin asupra vieii, integritii corporale sau sntii unei persoane ori a
proprietii acesteia.
(4) Comunicarea datelor cu caracter personal ctre entiti de drept privat care
i desfoar activitatea pe teritoriul Romniei se efectueaz numai dac exist o
obligaie legal expres sau cu autorizarea Autoritii naionale de supraveghere.
(5) Prin excepie de la prevederile alin. (4), comunicarea datelor cu caracter
personal ctre entiti de drept privat care i desfoar activitatea pe teritoriul
Romniei sau n afara acestuia este permis dac persoana vizat i-a dat
consimmntul n mod expres i neechivoc pentru comunicarea datelor sale sau
dac este necesar pentru a preveni un pericol grav i iminent cel puin asupra
vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia
sau a unei alte persoane ameninate.
ART. 10
(1) Datele cu caracter personal deinute de structurile/unitile M.A.I. potrivit
scopurilor prevzute la art. 1 alin. (1) pot fi transferate urmtorilor destinatari:
a) autoritilor poliieneti, judiciare sau altor autoriti competente din statele
membre ori organismelor sau instituiilor Uniunii Europene cu atribuii n
domeniul cooperrii poliieneti ori judiciare n materie penal;
b) Organizaiei Internaionale a Poliiei Criminale - Interpol sau altor instituii
internaionale similare;
c) organismelor de poliie din state tere.
(2) Transferul datelor cu caracter personal prevzut la alin. (1) se realizeaz n
una dintre urmtoarele situaii:
a) exist o prevedere legal expres n legislaia naional sau ntr-un tratat
ratificat de Romnia;
b) exist prevederi legale care reglementeaz cooperarea poliieneasc sau
cooperarea judiciar internaional n materie penal;
c) cnd transferul este necesar pentru prevenirea unui pericol grav i iminent
asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii
acesteia, precum i pentru combaterea unei infraciuni grave prevzute de lege, cu
respectarea legii romne.
ART. 11
(1) Cererile pentru comunicarea datelor cu caracter personal adresate
structurilor/unitilor M.A.I. de ctre alte structuri/uniti ale M.A.I., alte autoriti
sau instituii publice, entiti de drept privat care i desfoar activitatea pe
teritoriul Romniei sau n afara acestuia i organisme de poliie ale altor state
trebuie s conin datele de identificare a solicitantului, precum i motivarea i
scopul cererii, conform prevederilor legale interne sau celor cuprinse n acordurile
internaionale la care Romnia este parte. Cererile care nu conin aceste date i nu

sunt conforme prevederilor legale interne sau celor cuprinse n acordurile

internaionale la care Romnia este parte se resping.
(2) nainte de comunicare, structurile/unitile M.A.I. verific dac datele
solicitate sunt exacte, complete i actualizate. n cazul n care se constat c nu
sunt corecte, complete sau actualizate, datele nu se comunic. n comunicri
trebuie indicate, dup caz, datele care rezult din hotrri ale instanelor
judectoreti ori din actele prin care s-a dispus nenceperea urmririi penale,
clasarea, scoaterea de sub urmrire penal, ncetarea urmririi penale sau trimiterea
n judecat, precum i datele bazate pe opinii i interpretri personale rezultate din
activitile prevzute la art. 1 alin. (1). Datele bazate pe opinii i interpretri
personale rezultate din activitile prevzute la art. 1 alin. (1) trebuie verificate la
surs nainte de a fi comunicate, iar gradul de acuratee i exactitate al acestor date
trebuie ntotdeauna menionat cu ocazia comunicrii.
(3) n situaia n care au fost transmise date incorecte sau neactualizate,
structurile/unitile M.A.I. au obligaia s i informeze pe destinatarii respectivelor
date asupra neconformitii acestora, cu menionarea datelor care au fost
modificate sau, dac este cazul, cu precizarea c datele transmise trebuie
rectificate, terse ori blocate.
(4) n situaia n care se constat c au fost transmise date cu caracter personal n
mod ilegal, structurile/unitile M.A.I. au obligaia de a-i informa pe destinatarii
acestor date, cu precizarea c datele transmise trebuie terse de ndat.
(5) n situaia n care se constat c structurilor/unitilor M.A.I. le-au fost
transmise date cu caracter personal incorecte sau neactualizate, datele se rectific,
se terg sau, dup caz, se blocheaz, n condiiile legii. Dac structurilor/unitilor
M.A.I. le sunt transmise n mod eronat sau ilegal astfel de date, acestea se terg
sau, dup caz, se blocheaz de ndat. Entitatea care a transmis datele este
informat cu privire la msura adoptat i motivul adoptrii acesteia.
(6) n cazul n care structurilor/unitilor M.A.I. le sunt transmise, potrivit legii,
date cu caracter personal nesolicitate, acestea au obligaia de a verifica dac datele
sunt necesare n scopul pentru care au fost transmise. Datele care nu sunt necesare
scopului se terg sau, dup caz, se blocheaz de ndat. Entitatea care a transmis
datele este informat cu privire la msura adoptat i motivul adoptrii acesteia.
ART. 12
(1) La comunicarea datelor cu caracter personal ctre alte autoriti sau instituii
publice, entiti de drept privat care i desfoar activitatea pe teritoriul Romniei
sau n afara acestuia, ori ctre destinatarii prevzui la art. 10 alin. (1),
structurile/unitile M.A.I. atenioneaz destinatarii asupra interdiciei de a prelucra
datele comunicate n alte scopuri dect cele specificate n cererea de comunicare.
(2) La comunicarea datelor cu caracter personal potrivit alin. (1) i se indic
destinatarului limitri ale prelucrrii, dac este cazul, i termene de pstrare

adecvate i se precizeaz obligaia de a terge datele cu caracter personal transmise

la expirarea termenului indicat sau, dac este cazul, de a proceda la blocarea
acestora. Termenele de pstrare comunicate nu pot depi termenele stabilite prin
prevederi legale ori, dup caz, cele stabilite de structurile/unitile M.A.I. prin
reguli proprii, potrivit dispoziiilor art. 31, pentru acele categorii de date cu
caracter personal pe care le dein i urmeaz s fac obiectul comunicrii.
(3) n cazul n care se comunic date cu caracter personal destinatarilor
prevzui la art. 10 alin. (1) lit. a), pot fi comunicate limitri ale prelucrrii doar
dac acestea sunt stabilite de lege, iar termenele de pstrare sunt cele stabilite prin
prevederi legale ori, dup caz, de structurile/unitile M.A.I. prin reguli proprii,
potrivit dispoziiilor art. 31.
(4) Prelucrarea datelor de ctre destinatari n alte scopuri dect cele care au
format obiectul cererii se poate realiza numai cu acordul structurilor/unitilor
M.A.I. care le-au comunicat i numai cu respectarea prevederilor art. 9 alin. (2) (5) i ale art. 10.
(5) Structurile/Unitile M.A.I. pot solicita destinatarilor prevzui la alin. (1),
crora le-au fost comunicate date cu caracter personal, informaii cu privire la
modul n care acestea au fost prelucrate.
ART. 13
(1) Pentru datele cu caracter personal comunicate de ctre alte autoriti
competente sau entiti de drept privat din afara teritoriului Romniei, n cazul n
care este precizat un termen de pstrare a datelor, structurile/unitile M.A.I. au
obligaia de a terge ori, dup caz, de a bloca datele la expirarea termenului de
pstrare a datelor indicat. n cazul n care nu este precizat un termen de pstrare a
datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal, stabilite
pentru acele categorii de date de ctre structurile/unitile M.A.I., potrivit
dispoziiilor art. 31.
(2) n cazul datelor cu caracter personal prevzute la alin. (1),
structurile/unitile M.A.I. au obligaia de a verifica periodic, o dat la 3 ani,
necesitatea stocrii acestora.
(3) Datele cu caracter personal a cror stocare nu mai este necesar se terg sau,
dup caz, se blocheaz, chiar dac nu s-a mplinit termenul precizat de entitatea
care le-a transmis ori cel prevzut de regulile stabilite potrivit dispoziiilor art. 31.
(4) Dispoziiile alin. (1) nu se aplic dac la momentul expirrii termenului de
pstrare a datelor, indicat de autoritatea competent sau entitatea de drept privat din
afara teritoriului Romniei, datele cu caracter personal sunt n continuare necesare
pentru efectuarea de acte premergtoare n vederea nceperii urmririi penale,
pentru desfurarea urmririi penale sau pentru executarea unei pedepse.
ART. 14

Datele cu caracter personal comunicate de ctre autoritile competente ale unui

stat membru al Uniunii Europene, denumit n continuare stat membru, pot fi
prelucrate suplimentar de ctre structurile/unitile M.A.I., n alt scop dect cel
pentru care au fost transmise, n una dintre urmtoarele situaii:
a) pentru prevenirea, constatarea, cercetarea sau urmrirea penal a infraciunilor
ori executarea pedepselor, altele dect cele pentru care au fost comunicate;
b) pentru derularea altor proceduri judiciare sau administrative direct legate de
prevenirea, constatarea, cercetarea ori urmrirea penal a infraciunilor ori
executarea pedepselor;
c) pentru prevenirea unui pericol iminent i grav la adresa ordinii i siguranei
publice;
d) n orice alt scop, cu consimmntul prealabil al statului membru care
transmite sau cu consimmntul persoanei vizate, potrivit legii.
ART. 15
(1) Datele cu caracter personal comunicate de ctre autoritile competente ale
unui alt stat membru pot fi transferate de structurile/unitile M.A.I. ctre autoriti
competente dintr-un stat care nu este membru al Uniunii Europene, denumit n
continuare stat ter, sau ctre organisme internaionale, numai dac sunt ndeplinite,
cumulativ, urmtoarele condiii:
a) se impune pentru prevenirea, constatarea, cercetarea sau urmrirea penal a
infraciunilor ori executarea pedepselor;
b) datele cu caracter personal sunt comunicate organismului internaional ori
autoritii statului ter competente n prevenirea, constatarea, cercetarea sau
urmrirea penal a infraciunilor sau pentru executarea pedepselor;
c) exist acordul statului membru care a comunicat datele pentru transfer;
d) statul ter sau organismul internaional n cauz asigur un nivel
corespunztor de protecie pentru prelucrarea de date urmrit.
(2) Datele cu caracter personal pot fi comunicate n condiiile prevzute la alin.
(1), fr acordul statului membru, numai dac transferul de date este strict necesar
pentru prevenirea unui pericol grav i iminent la adresa ordinii i siguranei publice
a unui stat membru ori a unui stat ter sau a intereselor fundamentale ale unui stat
membru, iar acordul prealabil nu poate fi obinut n timp util.
(3) n situaia prevzut la alin. (2), unitatea/structura M.A.I. care efectueaz
comunicarea de date cu caracter personal are obligaia de a informa de ndat
autoritatea competent din statul membru care a furnizat datele.
(4) Prin excepie de la prevederile alin. (1) lit. d), datele cu caracter personal pot
fi comunicate ctre autoritile competente dintr-un stat ter sau ctre organismele
internaionale, cu respectarea dispoziiilor art. 30 lit. d) ori e) din Legea nr.
677/2001, cu modificrile i completrile ulterioare.
ART. 16

(1) Datele cu caracter personal comunicate de ctre autoritile competente ale

unui alt stat membru pot fi transferate ctre entiti de drept privat dintr-un stat
membru, altul dect cel care a furnizat datele, numai dac sunt ndeplinite,
cumulativ, urmtoarele condiii:
a) autoritatea competent din statul membru care a comunicat datele i-a dat
acordul pentru efectuarea prelucrrii;
b) niciun interes specific legitim al persoanei vizate nu mpiedic transmiterea;
c) n situaii specifice, comunicarea este esenial pentru autoritatea competent
care transmite date unei entiti private.
(2) Cazurile specifice pentru care se consider ndeplinit condiia prevzut la
alin. (1) lit. c) sunt determinate de urmtoarele situaii:
a) ndeplinirea unei obligaii prevzute de lege n sarcina entitii private;
b) prevenirea, constatarea, cercetarea sau urmrirea penal a infraciunilor ori
executarea pedepselor;
c) prevenirea unui pericol iminent i grav la adresa ordinii i siguranei publice;
d) prevenirea unei vtmri grave a drepturilor persoanei.
(3) Structurile/Unitile M.A.I. au obligaia de a informa entitile de drept
privat crora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile
pentru care, n mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.
ART. 17
La cerere, structurile/unitile M.A.I. informeaz autoritile competente ale
unui alt stat membru care au transmis date cu caracter personal cu privire la modul
n care acestea au fost prelucrate, n termen de 15 zile de la nregistrarea solicitrii.
ART. 18
(1) Pentru realizarea activitilor de cercetare i combatere a infraciunilor,
structurile/unitile M.A.I. pot interconecta sistemele de eviden a datelor cu
caracter personal sau, dup caz, mijloacele automate de prelucrare a datelor cu
caracter personal pe care le dein pentru scopuri diferite.
(2) n scopul prevzut la alin. (1), interconectarea sistemelor de eviden a
datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu
caracter personal, constituite potrivit art. 3, se poate realiza i cu sistemele de
eviden ori cu mijloacele automate de prelucrare a datelor cu caracter personal
deinute de ali operatori, autoriti i instituii publice naionale.
(3) Interconectrile prevzute la alin. (1) i (2) sunt posibile numai cu acordul
prealabil al Autoritii naionale de supraveghere. n cazul obinerii acordului
prealabil, structura/unitatea M.A.I. notific prelucrarea Autoritii naionale de
supraveghere, n condiiile prevzute la art. 4.
(4) n scopul prevzut la alin. (1), interconectarea sistemelor de eviden a
datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu
caracter personal, constituite potrivit art. 3, se poate realiza i cu sistemele de

eviden sau cu mijloacele automate de prelucrare a datelor cu caracter personal

deinute de ali operatori, entiti de drept privat.
(5) Interconectrile prevzute la alin. (4) sunt permise numai n cazul efecturii
actelor premergtoare, al urmririi penale sau al judecrii unei infraciuni n baza
unei autorizri emise de procurorul competent s efectueze ori s supravegheze,
ntr-un caz determinat, efectuarea actelor premergtoare sau urmrirea penal ori,
n cazul judecrii unei infraciuni, de judectorul anume desemnat de la instana
creia i revine competena de a judeca fondul cauzei pentru care sunt prelucrate
datele respective.
(6) Accesul direct sau printr-un serviciu de comunicaii electronice la un sistem
de eviden a datelor cu caracter personal care face obiectul interconectrii, potrivit
alin. (1), este permis numai n condiiile legii i cu respectarea prevederilor art. 1
alin. (1) i ale art. 6 - 24.
ART. 19
(1) n cazul activitilor de prevenire a infraciunilor, de meninere i de
asigurare a ordinii publice, sistemele de eviden a datelor cu caracter personal sau
mijloacele automate de prelucrare a datelor cu caracter personal, constituite potrivit
art. 3, pot fi interconectate cu:
a) Registrul naional de eviden a persoanelor;
b) Registrul naional de eviden a paapoartelor simple;
c) Registrul naional de eviden a permiselor de conducere i a vehiculelor
nmatriculate.
(2) n cazul activitilor prevzute la alin. (1), structurile/unitile M.A.I. pot
interconecta sistemele de eviden a datelor cu caracter personal sau, dup caz,
mijloacele automate de prelucrare a datelor cu caracter personal pe care le dein
pentru scopuri similare ori corelate.
(3) Interconectrile prevzute la alin. (1) i (2) se notific Autoritii naionale de
supraveghere prin modificarea/completarea notificrii sau depunerea unei noi
notificri.
(4) n cazul activitilor prevzute la alin. (1), structurile/unitile M.A.I. pot
interconecta sistemele de eviden a datelor cu caracter personal sau, dup caz,
mijloacele automate de prelucrare a datelor cu caracter personal pe care le dein
pentru scopuri diferite, numai cu acordul prealabil al Autoritii naionale de
supraveghere. n cazul obinerii acordului, structurile/unitile M.A.I. notific
prelucrarea datelor Autoritii naionale de supraveghere prin
modificarea/completarea notificrii sau depunerea unei noi notificri.
(5) Dispoziiile alin. (1) - (4) sunt aplicabile i n cazul activitilor de control la
frontier, executate, n condiiile legii, de structura specializat a M.A.I, care
impun interconectarea sistemelor de eviden a datelor cu caracter personal sau a

mijloacelor automate de prelucrare a datelor cu caracter personal, constituite

potrivit dispoziiilor art. 3.
ART. 20
(1) Structurile/Unitile M.A.I. pot configura sistemele de eviden a datelor cu
caracter personal sau, dup caz, mijloacele automate de prelucrare a datelor cu
caracter personal pe care le dein pentru scopuri corelate sau diferite, astfel nct
semnalrile cu privire la persoane sau bunuri s fie accesibile n orice sistem ori
mijloc de prelucrare.
(2) Sistemele de eviden a datelor cu caracter personal sau, dup caz, mijloacele
automate de prelucrare a datelor cu caracter personal deinute de
structurile/unitile M.A.I. se configureaz astfel nct niciun utilizator s nu aib
acces dect la datele cu caracter personal strict necesare desfurrii atribuiilor de
serviciu. Structurile/Unitile M.A.I. au obligaia de a stabili categoriile de date la
care are acces fiecare utilizator, n scopul ndeplinirii atribuiilor de serviciu.
ART. 21
(1) n cazul sistemelor de eviden constituite potrivit scopurilor prevzute la art.
1 alin. (1), structurile/unitile M.A.I. pot permite autoritilor, instituiilor sau
organizaiilor prevzute la art. 10 accesul direct la sistemele gestionate, doar n
condiii care s asigure securitatea datelor cu caracter personal, n urmtoarele
situaii:
a) n baza unui tratat ratificat de Romnia;
b) n cadrul activitii de cooperare poliieneasc i judiciar n materie penal
efectuat n cadrul Uniunii Europene.
(2) Prelucrrile efectuate potrivit alin. (1) se notific Autoritii naionale de
supraveghere n condiiile art. 4.
(3) n situaia prevzut la alin. (1), prelucrarea datelor cu caracter personal de
ctre autoritile, instituiile sau organizaiile prevzute la art. 10 se permite doar
pentru scopul stabilit prin tratat ori, dup caz, printr-un instrument juridic al
Uniunii Europene.
ART. 22
(1) n situaiile prevzute la art. 18 alin. (1), structurile/unitile M.A.I. dispun
msurile necesare pentru ca toate prelucrrile de date cu caracter personal s fie
nregistrate n sistem ntr-un fiier de acces, n scopul monitorizrii legalitii
efecturii prelucrrilor.
(2) Sistemele de eviden sau mijloacele automate de prelucrare a datelor cu
caracter personal gestionate de ctre structurile/unitile M.A.I. trebuie s fie
configurate astfel nct s genereze fiierele de acces i n situaia n care
structurilor/unitilor M.A.I. li se permite accesul direct n sistemele de eviden
gestionate de autoritile, instituiile sau organizaiile prevzute la art. 10.

(3) Fiierele de acces trebuie s cuprind cel puin data, ora exact, motivul
prelucrrii, datele de identificare a autoritii, instituiei sau, dup caz, a
organizaiei care a efectuat prelucrarea, precum i codul de identificare a
utilizatorului care a efectuat prelucrarea. Dac este cazul, fiierele de acces pot
conine i datele cu caracter personal care au fcut obiectul prelucrrii.
(4) Fiierele de acces pot fi utilizate doar n scopul verificrii legalitii
prelucrrii sau pentru asigurarea securitii datelor cu caracter personal.
ART. 23
La cerere, structurile/unitile M.A.I. comunic, n termen de 15 zile,
autoritilor competente n domeniul proteciei datelor cu caracter personal din
afara teritoriului Romniei, nregistrrile referitoare la prelucrrile efectuate n
sistemele de eviden gestionate de entitile din statul a crui autoritate a formulat
cererea.
CAPITOLUL VI
Drepturile persoanei vizate
ART. 24
(1) Structurile/Unitile M.A.I. asigur condiiile de exercitare a drepturilor
conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu
modificrile i completrile ulterioare, i a prezentei legi.
(2) Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevzute
de Legea nr. 677/2001, cu modificrile i completrile ulterioare, nu se aplic pe
perioada n care o asemenea msur este necesar pentru evitarea prejudicierii
activitilor specifice de prevenire, cercetare i combatere a infraciunilor, precum
i de meninere i asigurare a ordinii publice, ca urmare a cunoaterii de persoana
vizat a faptului c datele sale cu caracter personal sunt prelucrate, sau este
necesar pentru protejarea persoanei vizate ori a drepturilor i libertilor altor
persoane, n cazul n care exist date i informaii c aceste drepturi i liberti sunt
puse n pericol.
(3) n cazul aplicrii excepiilor de la exercitarea drepturilor persoanei vizate,
prevzute la alin. (2), acestea trebuie motivate n scris. Necomunicarea motivelor
este posibil numai n msura n care este necesar bunei desfurri a activitilor
prevzute la art. 1 alin. (1) sau pentru protejarea drepturilor i libertilor altor
persoane dect persoana vizat.
(4) n toate situaiile, persoana vizat va fi informat cu privire la dreptul de a se
adresa Autoritii naionale de supraveghere sau, dup caz, instanei de judecat,
care va decide dac msurile luate de structurile/unitile M.A.I., conform
prevederilor alin. (2), sunt ntemeiate.

(5) n situaia n care, n urma exercitrii dreptului de acces sau a dreptului de

intervenie, rezult c datele cu caracter personal sunt inexacte, irelevante sau
nregistrate n mod abuziv, acestea vor fi terse sau rectificate prin anexarea unui
document, ncheiat n acest sens, la sistemul de eviden ale crui date cu caracter
personal au suferit modificri, deinut de structurile/unitile M.A.I.
(6) Msurile prevzute la alin. (5) se aplic tuturor documentelor care au
legtur cu sistemul de eviden a datelor cu caracter personal. n cazul n care
acestea nu sunt efectuate imediat, se va avea n vedere realizarea lor cel mai trziu
la data prelucrrii ulterioare a datelor cu caracter personal sau la o urmtoare
comunicare a acestora.
(7) n situaia n care structurile/unitile M.A.I. nu pot da curs cererilor
formulate n exercitarea dreptului de intervenie n scopul rectificrii, tergerii ori,
dup caz, blocrii datelor cu caracter personal, transmit persoanei vizate un rspuns
scris n care sunt menionate motivele care stau la baza imposibilitii soluionrii
solicitrii, precum i faptul c aceasta are dreptul de a se adresa Autoritii
naionale de supraveghere sau, dup caz, instanei de judecat.
ART. 25
(1) n cazul n care structurile/unitile M.A.I. formuleaz cereri pentru
comunicarea datelor cu caracter personal adresate unor autoriti competente ori
entiti de drept privat din afara teritoriului Romniei, pot solicita ca persoana
vizat s nu fie informat cu privire la prelucrare numai dac sunt aplicabile
dispoziiile art. 24 alin. (2). La ncetarea motivelor pentru care s-a formulat o astfel
de solicitare, structurile/unitile M.A.I. informeaz n scris autoritatea competent
ori entitatea de drept privat din afara teritoriului Romniei cu privire la faptul c
persoana vizat, ale crei date cu caracter personal au fost comunicate, poate fi
informat cu privire la aceast prelucrare.
(2) n cazul n care autoritile competente ale unui stat membru solicit, cu
ocazia comunicrilor de date cu caracter personal de ctre structurile/unitile
M.A.I., ca persoana vizat s nu fie informat, structurile/unitile M.A.I. dispun
informarea persoanei vizate doar cu consimmntul autoritii competente
solicitante.
ART. 26
n situaia n care cererea persoanei vizate n contextul prelucrrii datelor cu
caracter personal se refer la o prelucrare efectuat de ctre o autoritate competent
ori entitate de drept privat din afara teritoriului Romniei n sistemele de eviden
gestionate de structurile/unitile M.A.I., prin derogare de la prevederile art. 13
alin. (3), ale art. 14 alin. (3) i ale art. 15 alin. (4) din Legea nr. 677/2001, cu
modificrile i completrile ulterioare, i se rspunde solicitantului ct mai curnd
posibil, dar nu mai trziu de 60 de zile de la data primirii cererii. n acest termen,

structurile/unitile M.A.I. solicit informaii autoritii competente ori entitii de

drept privat din afara teritoriului Romniei care a efectuat prelucrarea.
ART. 27
(1) n cazul n care exactitatea unor date cu caracter personal este contestat de
persoana vizat, iar exactitatea sau inexactitatea datelor respective nu se poate
stabili cu certitudine, acestora li se pot atribui referine. La cererea persoanei
vizate, atribuirea de referine este obligatorie.
(2) Datele cu caracter personal crora le-au fost atribuite referine nu pot fi
comunicate dect n scopul stabilirii corectitudinii acestora.
(3) Referinele atribuite potrivit alin. (1) pot fi nlturate n unul dintre
urmtoarele cazuri:
a) la solicitarea ori cu acordul persoanei vizate, atunci cnd exactitatea sau, dup
caz, inexactitatea datelor cu caracter personal a fost stabilit;
b) atunci cnd exist o hotrre a instanei de judecat sau autorizarea Autoritii
naionale de supraveghere.
ART. 28
(1) Structurile/Unitile M.A.I., n calitate de operatori, rspund pentru
prejudiciul cauzat persoanei vizate n urma unei prelucrri de date cu caracter
personal, chiar i n situaia n care prejudiciul a fost cauzat prin prelucrarea, n
condiiile legii, a unor date cu caracter personal inexacte furnizate de o autoritate
competent a unui stat membru.
(2) n situaia n care structurile/unitile M.A.I. sunt obligate, n condiiile legii,
la plata unor despgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a
prelucrrii unor date cu caracter personal inexacte furnizate de o autoritate
competent a unui stat membru, acestea sunt obligate s dispun msurile necesare
pentru recuperarea sumelor pltite ca despgubire de la autoritatea care a furnizat
datele respective.
(3) Pentru a se asigura ndeplinirea obligaiei prevzute la alin. (2),
structurile/unitile M.A.I., care au pltit despgubiri pentru prejudiciile cauzate
persoanei vizate ca urmare a prelucrrii unor date cu caracter personal inexacte,
informeaz autoritatea competent din statul membru care a furnizat aceste date i
solicit rambursarea sumei pltite ca despgubire. Cu aceast ocazie,
structurile/unitile M.A.I. comunic faptul c prejudiciul a fost cauzat exclusiv ca
urmare a prelucrrii, n condiiile legii, a datelor inexacte furnizate de autoritatea
competent din statul membru, i nu din culpa structurii/unitii M.A.I. care a
primit datele cu caracter personal i anexeaz documente din care s rezulte:
a) c structura/unitatea M.A.I. a fost obligat la plata despgubirii pentru
prejudiciile cauzate persoanei vizate i c a pltit o sum de bani;
b) c datele cu caracter personal ale persoanei vizate provin de la aceast
autoritate competent din statul membru;

c) datele de identificare a contului n care urmeaz a fi virate sumele de bani.

(4) n situaia n care structurilor/unitilor M.A.I. li se solicit de ctre autoriti
competente din statele membre rambursarea unor sume pltite de acestea ca
despgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrrii
unor date cu caracter personal inexacte furnizate de structurile/unitile M.A.I.,
nainte de plata sumelor solicitate, structurile/unitile M.A.I. trebuie s verifice
dac:
a) prejudiciul a fost cauzat exclusiv ca urmare a prelucrrii datelor inexacte
furnizate n condiiile indicate de structura/unitatea M.A.I., i nu din culpa
autoritii competente solicitante;
b) solicitarea este nsoit de documente din care s rezulte c autoritatea
competent din statul membru a fost obligat la plata despgubirii pentru
prejudiciile cauzate persoanei vizate ca urmare a furnizrii de ctre
structurile/unitile M.A.I. a unor informaii inexacte i c a pltit o sum de bani.
CAPITOLUL VII
ncheierea operaiunilor de prelucrare a datelor cu caracter personal
ART. 29
(1) Datele cu caracter personal stocate n ndeplinirea activitilor prevzute la
art. 1 alin. (1) se terg sau se transform n date anonime atunci cnd nu mai sunt
necesare scopurilor pentru care au fost colectate ori, dup caz, se blocheaz, n
condiiile legii. n situaii justificate, datele pot fi trecute n eviden pasiv i
stocate, pentru o perioad care nu poate fi mai mare dect termenul de stocare
stabilit iniial potrivit scopului n care au fost colectate.
(2) nainte de tergerea datelor cu caracter personal, potrivit alin. (1), i dac
activitile prevzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaterea
faptului c datele cu caracter personal au fost colectate i stocate, persoana vizat
trebuie informat atunci cnd colectarea i stocarea datelor s-au efectuat fr
consimmntul su.
(3) n condiiile prevzute la alin. (2), informarea persoanei vizate se realizeaz
de structurile/unitile M.A.I. care au colectat i stocat datele cu caracter personal
ale acesteia, n termen de 15 zile de la momentul n care activitile prevzute la
art. 1 alin. (1) nu mai pot fi prejudiciate sau, dup caz, de la momentul comunicrii
ctre aceste structuri/uniti ale M.A.I. a unei soluii de nencepere a urmririi
penale, clasare, scoatere de sub urmrire penal sau ncetare a urmririi penale.
(4) Prin excepie de la prevederile alin. (1), datele cu caracter personal pot fi
stocate i dup ndeplinirea scopurilor pentru care au fost colectate, dac este
necesar pstrarea acestora. Evaluarea necesitii stocrii datelor dup ndeplinirea

scopurilor pentru care au fost colectate se realizeaz, n special, n urmtoarele

situaii:
a) datele sunt necesare n vederea terminrii urmririi penale ntr-un caz
determinat;
b) nu exist o hotrre judectoreasc definitiv;
c) nu a intervenit reabilitarea;
d) nu a intervenit prescripia executrii pedepsei;
e) nu a intervenit amnistia;
f) datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu
modificrile i completrile ulterioare.
CAPITOLUL VIII
Securitatea datelor cu caracter personal
ART. 30
Structurile/Unitile M.A.I. sunt obligate s ia toate msurile necesare pentru a
asigura securitatea tehnic i organizatoric adecvat a prelucrrii datelor cu
caracter personal, astfel nct s previn accesul, comunicarea sau distrugerea
neautorizat ori alterarea datelor. n acest scop, se au n vedere diferitele
caracteristici ale sistemelor de eviden a datelor cu caracter personal i coninutul
acestora.
CAPITOLUL IX
Dispoziii finale
ART. 31
(1) Structurile/Unitile M.A.I. care desfoar activitile prevzute la art. 1
alin. (1) au obligaia de a elabora reguli, dac acestea nu sunt stabilite prin
prevederi legale exprese, cu privire la:
a) termenele de stocare a datelor cu caracter personal pe care le prelucreaz;
b) verificrile periodice asupra datelor cu caracter personal pentru ca acestea s
fie exacte, actuale i complete;
c) tergerea datelor cu caracter personal.
(2) n lipsa unor prevederi legale exprese care s stabileasc regulile prevzute
la alin. (1), structurile/unitile M.A.I. care desfoar activitile prevzute la art.
1 alin. (1) au obligaia ca, n termen de 30 de zile de la data intrrii n vigoare a
prezentei legi, s stabileasc aceste reguli, cu avizul Autoritii naionale de
supraveghere acordat n condiiile legii.
ART. 32

Prevederile prezentei legi se completeaz cu dispoziiile Legii nr. 677/2001, cu

modificrile i completrile ulterioare.
*
Prezenta lege transpune n legislaia naional Decizia-cadru 2008/977/JAI a
Consiliului din 27 noiembrie 2008 privind protecia datelor cu caracter personal
prelucrate n cadrul cooperrii poliieneti i judiciare n materie penal, publicat
n Jurnalul Oficial al Uniunii Europene, seria L, nr. 350 din 30 decembrie 2008 i
creeaz cadrul juridic necesar aplicrii art. 24 - 32 din Decizia 2008/615/JAI a
Consiliului din 23 iunie 2008 privind intensificarea cooperrii transfrontaliere, n
special n domeniul combaterii terorismului i a criminalitii transfrontaliere,
publicat n Jurnalul Oficial al Uniunii Europene, seria L, nr. 210 din 6 august
2008.
---------------