LEGE nr.

238 din 10 iunie 2009 privind reglementarea prelucrrii datelor cu caracter personal de ctre structurile / unitile Ministerului Administraiei i Internelor n activitile de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice
Forma sintetic la data 21-Jul-2009. Acest act a fost creat utilizand tehnologia SintAct-Acte Sintetice. SintAct i tehnologia Acte Sintetice sunt mrci inregistrate ale Wolters Kluwer.

Parlamentul Romniei adopt prezenta lege.

(la data 15-Jun-2009 actul a fost promulgata de Decretul 936/2009 )

CAPITOLUL I: Dispoziii generale

(1)Prezenta lege reglementeaz prelucrarea automat i neautomat a datelor cu caracter personal pentru realizarea activitilor de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice de ctre structurile / unitile Ministerului Administraiei i Internelor, potrivit competenelor acestora. (2)Structurile / unitile Ministerului Administraiei i Internelor, denumite n continuare structurile / unitile M.A.I., care desfoar, potrivit competenelor, activitile prevzute la alin. (1), n calitate de operatori, dobndite n condiiile Legii nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, cu modificrile i completrile ulterioare, prelucreaz date cu caracter personal n exercitarea atribuiilor legale. (1)Pentru realizarea activitilor prevzute la art. 1 alin. (1), structurile / unitile M.A.I. constituie, organizeaz i dein, potrivit atribuiilor legale, sisteme de eviden i utilizeaz mijloace automate i neautomate de prelucrare a datelor cu caracter personal, n condiiile legii. (2)Structurile / unitile M.A.I. utilizeaz sisteme de eviden i/sau mijloace automate i neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului i aplicarea principiilor legalitii, necesitii, confidenialitii, proporionalitii i numai dac, prin utilizarea acestora, este asigurat protecia datelor prelucrate. (3)naintea introducerii unui sistem de eviden sau a unui mijloc automat / neautomat de prelucrare a datelor cu caracter personal care este susceptibil s prezinte anumite riscuri privind datele prelucrate, structurile / unitile M.A.I. consult Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu Caracter Personal, denumit n continuare Autoritatea naional de supraveghere, care, dac este cazul, stabilete garanii adecvate, potrivit legii.

Art. 1

Art. 2

CAPITOLUL II: Notificarea prelucrrilor datelor cu caracter personal

(1)Prelucrrile de date cu caracter personal sunt notificate Autoritii naionale de supraveghere. Notificarea se efectueaz anterior oricrei prelucrri, n condiiile legii. (2)Notificarea prelucrrii automate sau neautomate a datelor cu caracter personal prin sisteme de eviden a datelor cu caracter personal, realizat potrivit legii de ctre structurile / unitile M.A.I., cuprinde, pe lng informaiile prevzute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificrile i completrile ulterioare, n mod corespunztor i informaii referitoare la natura fiecrui sistem de eviden a datelor cu caracter personal care are legtur cu prelucrarea, precum i la destinatarii crora le sunt comunicate datele.

Art. 3

(3)Notificarea prelucrrii datelor cu caracter personal prin sisteme de eviden constituite n anumite cazuri numai pentru perioada necesar realizrii unor activiti de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice se face cu respectarea condiiilor prevzute la alin. (2), numai dac prelucrarea nu a fcut obiectul unei notificri anterioare.

CAPITOLUL III: Colectarea datelor cu caracter personal

Art. 4

(1)Pentru realizarea activitilor prevzute la art. 1 alin. (1), structurile / unitile M.A.I. colecteaz date cu caracter personal, cu sau fr consimmntul persoanei vizate, n condiiile legii. (2)Colectarea datelor cu caracter personal fr consimmntul persoanei vizate pentru realizarea activitilor prevzute la art. 1 alin. (1) se face numai dac aceast msur este necesar pentru prevenirea unui pericol iminent cel puin asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia, precum i pentru combaterea unei anumite infraciuni. (3)Colectarea datelor cu caracter personal pentru realizarea activitilor prevzute la art. 1 alin. (1) se efectueaz de personalul structurilor / unitilor M.A.I. numai n scopul ndeplinirii atribuiilor de serviciu. (4)Colectarea datelor cu caracter personal n scopurile prevzute la art. 1 alin. (1) trebuie s fie limitat la datele necesare pentru prevenirea unui pericol iminent cel puin asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia, precum i pentru combaterea unei anumite infraciuni. (5)Colectarea de date privind persoana fizic exclusiv datorit faptului c aceasta are o anumit origine rasial, anumite convingeri religioase ori politice, un anumit comportament sexual sau datorit apartenenei acesteia la anumite micri ori organizaii care nu contravin legii este interzis. (6)Prin excepie de la prevederile alin. (5), structurile / unitile M.A.I. colecteaz i prelucreaz, cu respectarea garaniilor prevzute de Legea nr. 677/2001, cu modificrile i completrile ulterioare, date exclusiv n baza acestor criterii numai dac, ntr-un caz determinat, sunt necesare pentru efectuarea actelor premergtoare sau a urmririi penale, ca urmare a svririi unei infraciuni. Prevederile art. 3 se aplic n mod corespunztor. (7)Prevederile alin. (6) nu aduc atingere dispoziiilor legale care reglementeaz obligaia autoritilor publice de a respecta i de a ocroti viaa intim, familial i privat.

CAPITOLUL IV: Stocarea datelor cu caracter personal

(1)Pentru realizarea scopurilor activitilor prevzute la art. 1 alin. (1), structurile / unitile M.A.I. stocheaz numai acele date cu caracter personal care sunt exacte, complete i necesare ndeplinirii atribuiilor legale sau obligaiilor rezultate din instrumente juridice internaionale la care Romnia este parte. (2)Stocarea diferitelor categorii de date cu caracter personal se realizeaz prin ordonarea acestora n funcie de gradul lor de acuratee i exactitate. Datele cu caracter personal bazate pe opinii i interpretri personale rezultate din activitile prevzute la art. 1 alin. (1) sunt ordonate n mod distinct. (3)Structurile / unitile M.A.I. au obligaia de a verifica periodic calitatea datelor prevzute la alin. (2), conform regulilor stabilite potrivit art. 14 alin. (1) lit. b). (4)n situaia n care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile / unitile M.A.I. care le dein au obligaia s le tearg, distrug, modifice, actualizeze sau, dup caz, s le completeze.

Art. 5

(5)Structurile / unitile M.A.I. stocheaz datele cu caracter personal colectate n scopuri administrative separat de datele cu caracter personal colectate n scopurile prevzute la art. 1 alin. (1).

CAPITOLUL V: Comunicarea datelor cu caracter personal

Art. 6

(1)Comunicarea datelor cu caracter personal ntre structurile / unitile M.A.I. se face numai n cazul n care este necesar pentru exercitarea competenelor i ndeplinirea atribuiilor legale ce le revin. (2)Comunicarea de date cu caracter personal ctre alte autoriti sau instituii publice se poate efectua numai n urmtoarele situaii: a)n baza unei prevederi legale exprese ori cu autorizarea Autoritii naionale de supraveghere; b)cnd datele sunt indispensabile ndeplinirii atribuiilor legale ale destinatarului i numai dac scopul n care se face colectarea sau prelucrarea de ctre destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile / unitile M.A.I., iar comunicarea datelor de structurile / unitile M.A.I. se realizeaz n conformitate cu atribuiile legale ale acestora. (3)Prin excepie de la prevederile alin. (2), comunicarea datelor cu caracter personal ctre alte autoriti sau instituii publice este permis n urmtoarele situaii: a)persoana vizat i-a exprimat consimmntul expres i neechivoc pentru comunicarea datelor sale; b)comunicarea este necesar pentru a preveni un pericol grav i iminent cel puin asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia. (4)Comunicarea datelor cu caracter personal ctre entiti de drept privat care i desfoar activitatea pe teritoriul Romniei se efectueaz numai dac exist o obligaie legal expres sau cu autorizarea Autoritii naionale de supraveghere. (5)Prin excepie de la prevederile alin. (4), comunicarea datelor cu caracter personal ctre entiti de drept privat care i desfoar activitatea pe teritoriul Romniei sau n afara acestuia este permis dac persoana vizat i-a dat consimmntul n mod expres i neechivoc pentru comunicarea datelor sale sau dac este necesar pentru a preveni un pericol grav i iminent cel puin asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia sau a unei alte persoane ameninate. Datele cu caracter personal deinute de structurile / unitile M.A.I. potrivit scopurilor prevzute la art. 1 alin. (1) pot fi transferate ctre Organizaia Internaional a Poliiei Criminale - Interpol, Oficiul European de Poliie - Europol sau alte instituii internaionale similare, precum i ctre organismele de poliie ale altor state, dac exist o prevedere legal expres n legislaia naional sau ntr-un acord internaional ratificat de Romnia ori prevederi care reglementeaz cooperarea judiciar internaional n materie penal sau, n lipsa unei astfel de prevederi, cnd transferul este necesar pentru prevenirea unui pericol grav i iminent asupra vieii, integritii corporale sau sntii unei persoane ori a proprietii acesteia, precum i pentru combaterea unei infraciuni grave prevzute de lege, cu respectarea legii romne. (1)Cererile pentru comunicarea datelor cu caracter personal adresate structurilor / unitilor M.A.I. de ctre alte structuri / uniti ale M.A.I., alte autoriti sau instituii publice, entiti de drept privat care i desfoar activitatea pe teritoriul Romniei sau n afara acestuia i organisme de poliie ale altor state trebuie s conin datele

Art. 7

Art. 8

de identificare a solicitantului, precum i motivarea i scopul cererii, conform prevederilor legale interne sau celor cuprinse n acordurile internaionale la care Romnia este parte. Cererile care nu conin aceste date i nu sunt conforme prevederilor legale interne sau celor cuprinse n acordurile internaionale la care Romnia este parte se resping. (2)nainte de comunicare, structurile / unitile MAI. verific dac datele solicitate sunt exacte, complete i actualizate. n cazul n care se constat c nu sunt corecte, complete sau actualizate, datele nu se comunic. n comunicri trebuie indicate, dup caz, datele care rezult din hotrri ale instanelor judectoreti ori din actele prin care s-a dispus nenceperea urmririi penale, clasarea, scoaterea de sub urmrire penal, ncetarea urmririi penale sau trimiterea n judecat, precum i datele bazate pe opinii i interpretri personale rezultate din activitile prevzute la art. 1 alin. (1). Datele bazate pe opinii i interpretri personale rezultate din activitile prevzute la art. 1 alin. (1) trebuie verificate la surs nainte de a fi comunicate, iar gradul de acuratee i exactitate al acestor date trebuie ntotdeauna menionat cu ocazia comunicrii. (3)n situaia n care au fost transmise date incorecte sau neactualizate, structurile / unitile M.A.I. au obligaia s i informeze pe destinatarii respectivelor date asupra neconformitii acestora, cu menionarea datelor care au fost modificate.

Art. 9

(1)La comunicarea datelor cu caracter personal ctre alte autoriti sau instituii publice, entiti de drept privat care i desfoar activitatea pe teritoriul Romniei sau n afara acestuia, Organizaia Internaional a Poliiei Criminale - Interpol, Oficiul European de Poliie - Europol sau alte instituii internaionale similare ori ctre organisme de poliie ale altor state, structurile / unitile M.A.I. atenioneaz destinatarii asupra interdiciei de a prelucra datele comunicate n alte scopuri dect cele specificate n cererea de comunicare. (2)Prelucrarea datelor de ctre destinatari n alte scopuri dect cele care au format obiectul cererii se poate realiza numai cu acordul structurilor / unitilor M.A.I. care le-au comunicat i numai cu respectarea prevederilor art. 6 alin. (2)-(5) i ale art. 7. (1)Pentru realizarea activitilor de cercetare i combatere a infraciunilor, structurile / unitile M.A.I. pot interconecta sistemele de eviden a datelor cu caracter personal sau, dup caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le dein pentru scopuri diferite. (2)n scopul prevzut la alin. (1), interconectarea se poate realiza i cu sistemele de eviden sau cu mijloacele automate de prelucrare a datelor cu caracter personal deinute de ali operatori. (3)Interconectrile prevzute la alin. (1) i (2) sunt permise numai n cazul efecturii actelor premergtoare, al urmririi penale sau al judecrii unei infraciuni n baza unei autorizri emise de procurorul competent s efectueze sau s supravegheze, ntr-un caz determinat, efectuarea actelor premergtoare sau urmrirea penal ori, n cazul judecrii unei infraciuni, de judectorul anume desemnat de la instana creia i revine competena de a judeca fondul cauzei pentru care sunt prelucrate datele respective. (4)Accesul direct sau printr-un serviciu de comunicaii electronice la un sistem de eviden a datelor cu caracter personal care face obiectul interconectrii, potrivit alin. (1), este permis numai n condiiile legii i cu respectarea prevederilor art. 1 alin. (1) i ale art. 5-11. (5)Interconectarea sistemelor de eviden a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal nu se realizeaz n cazul activitilor de prevenire a infraciunilor, de meninere i de asigurare a ordinii publice.

Art. 10

CAPITOLUL VI: Drepturile persoanei vizate

(1)Structurile / unitile M.A.I. asigur condiiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu modificrile i completrile ulterioare, i a prezentei legi. (2)Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevzute de Legea nr. 677/2001, cu modificrile i completrile ulterioare, nu se aplic pe perioada n care b asemenea msur este necesar pentru evitarea prejudicierii activitilor specifice de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice, ca urmare a cunoaterii de persoana vizat a faptului c datele sale cu caracter personal sunt prelucrate, sau este necesar pentru protejarea persoanei vizate ori a drepturilor i libertilor altor persoane, n cazul n care exist date i informaii c aceste drepturi i liberti sunt puse n pericol. (3)n cazul aplicrii excepiilor de la exercitarea drepturilor persoanei vizate, prevzute la alin. (2), acestea trebuie motivate n scris. Necomunicarea motivelor este posibil numai n msura n care este necesar bunei desfurri a activitilor prevzute la art. 1 alin. (1) sau pentru protejarea drepturilor i libertilor altor persoane dect persoana vizat. (4)n toate situaiile, persoana vizat va fi informat cu privire la dreptul de a se adresa Autoritii naionale de supraveghere sau, dup caz, instanei de judecat, care va decide dac msurile luate de structurile / unitile M.A.I., conform prevederilor alin. (2), sunt ntemeiate. (5)n situaia n care, n urma exercitrii dreptului de acces sau a dreptului de intervenie, rezult c datele cu caracter personal sunt inexacte, irelevante sau nregistrate n mod abuziv, acestea vor fi terse sau rectificate prin anexarea unui document, ncheiat n acest sens, la sistemul de eviden ale crui date cu caracter personal au suferit modificri, deinut de structurile / unitile M.A.I. (6)Msurile prevzute la alin. (5) se aplic tuturor documentelor care au legtur cu sistemul de eviden a datelor cu caracter personal. n cazul n care acestea nu sunt efectuate imediat, se va avea n vedere realizarea lor cel mai trziu la data prelucrrii ulterioare a datelor cu caracter personal sau la o urmtoare comunicare a acestora.

Art. 11

CAPITOLUL VII: ncheierea operaiunilor de datelor cu caracter personal

Art. 12

prelucrare a

(1)Datele cu caracter personal stocate n ndeplinirea activitilor prevzute la art. 1 alin. (1) se terg atunci cnd nu mai sunt necesare scopurilor pentru care au fost colectate. (2)nainte de tergerea datelor cu caracter personal, potrivit alin. (1), i dac activitile prevzute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoaterea faptului c datele cu caracter personal au fost colectate i stocate, persoana vizat trebuie informat atunci cnd colectarea i stocarea datelor s-au efectuat fr consimmntul su. (3)n condiiile prevzute la alin. (2), informarea persoanei vizate se realizeaz de structurile / unitile M.A.I. care au colectat i stocat datele cu caracter personal ale acesteia, n termen de 15 zile de la momentul n care activitile prevzute la art. 1 alin. (1) nu mai pot fi prejudiciate sau, dup caz, de la momentul comunicrii ctre aceste structuri / uniti ale M.A.I. a unei soluii de nencepere a urmririi penale, clasare, scoatere de sub urmrire penal sau ncetare a urmririi penale. (4)Prin excepie de la prevederile alin. (1), datele cu caracter personal pot fi stocate i dup ndeplinirea scopurilor pentru care au fost colectate, dac este

necesar pstrarea acestora. Evaluarea necesitii stocrii datelor dup ndeplinirea scopurilor pentru care au fost colectate se realizeaz, n special, n urmtoarele situaii: a)datele sunt necesare n vederea terminrii urmririi penale ntr-un caz determinat; b)nu exist o hotrre judectoreasc definitiv; c)nu a intervenit reabilitarea; d)nu a intervenit prescripia executrii pedepsei; e)nu a intervenit amnistia; f)datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu modificrile i completrile ulterioare.

CAPITOLUL VIII: Securitatea datelor cu caracter personal

Structurile / unitile M.A.I. sunt obligate s ia toate msurile necesare pentru a asigura securitatea tehnic i organizatoric adecvat a prelucrrii datelor cu caracter personal, astfel nct s previn accesul, comunicarea sau distrugerea neautorizat ori alterarea datelor. n acest scop, se au n vedere diferitele caracteristici ale sistemelor de eviden a datelor cu caracter personal i coninutul acestora.

Art. 13

CAPITOLUL IX: Dispoziii finale

Art. 14

(1)Structurile / unitile M.A.I. care desfoar activitile prevzute la art. 1 alin. (1) au obligaia de a elabora reguli, dac acestea nu sunt stabilite prin prevederi legale exprese, cu privire la: a)termenele de stocare a datelor cu caracter personal pe care le prelucreaz; b)verificrile periodice asupra datelor cu caracter personal pentru ca acestea s fie exacte, actuale i complete; c)tergerea datelor cu caracter personal. (2)n lipsa unor prevederi legale exprese care s stabileasc regulile prevzute la alin. (1), structurile / unitile M.A.I. care desfoar activitile prevzute la art. 1 alin. (1) au obligaia ca, n termen de 30 de zile de la data intrrii n vigoare a prezentei legi, s stabileasc aceste reguli, cu avizul Autoritii naionale de supraveghere acordat n condiiile legii. Prevederile prezentei legi se completeaz cu dispoziiile Legii nr. 677/2001, cu modificrile i completrile ulterioare. -****Aceast lege a fost adoptat de Parlamentul Romniei, cu respectarea prevederilor art. 75 i ale art. 76 alin. (2) din Constituia Romniei, republicat.
PREEDINTELE CAMEREI DEPUTAILOR ROBERTA ALMA ANASTASE PREEDINTELE SENATULUI MIRCEA - DAN GEOAN

Art. 15

Publicat n Monitorul Oficial cu numrul 405 din data de 15 iunie 2009

Forma sintetic la data 21-Jul-2009. Acest act a fost creat utilizand tehnologia SintAct-Acte Sintetice. SintAct i tehnologia Acte Sintetice sunt mrci inregistrate ale Wolters Kluwer.