INSTRUCTIUNI nr.

27 din 3 februarie 2010

privind masurile de natura organizatorica si tehnica pentru asigurarea securitatii
prelucrarilor de date cu caracter personal efectuate de catre
structurile/unitatile Ministerului Administratiei si Internelor

EMITENT: MINISTERUL ADMINISTRATIEI SI INTERNELOR

PUBLICAT N: MONITORUL OFICIAL nr. 98 din 12 februarie 2010

Data intrarii in vigoare:

13 Mai 2010

Avnd n vedere dispoziiile Legii nr. 677/2001 pentru protecia persoanelor cu

privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor
date, cu modificrile i completrile ulterioare, ale Legii nr. 238/2009 privind
reglementarea prelucrrii datelor cu caracter personal de ctre
structurile/unitile Ministerului Administraiei i Internelor n activitile de
prevenire, cercetare i combatere a infraciunilor, precum i de meninere i
asigurare a ordinii publice,
innd cont de faptul c dispoziiile Legii nr. 238/2009 i, n consecin,
dispoziiile corespunztoare cuprinse n prezentul act normativ se aplic exclusiv
n cazul prelucrrilor de date cu caracter personal efectuate n cursul activitilor
de prevenire, cercetare i combatere a infraciunilor, precum i de meninere i
asigurare a ordinii publice,
n temeiul art. 7 alin. (4) din Ordonana de urgen a Guvernului nr. 30/2007
privind organizarea i funcionarea Ministerului Administraiei i Internelor,
aprobat cu modificri prin Legea nr. 15/2008 , cu modificrile i completrile
ulterioare,

ministrul administraiei i internelor emite urmtoarele instruciuni:

TITLULUL I
Msuri organizatorice

CAP. I
Dispoziii generale
 ART. 1
Prezentele instruciuni se aplic activitilor de prelucrare a datelor cu caracter
personal efectuate de structurile i unitile Ministerului Administraiei i
Internelor, denumit n continuare MAI, n calitatea acestora de operatori sau
mputernicii ai operatorilor.
ART. 2
(1) La nivelul MAI, prelucrarea datelor cu caracter personal se realizeaz cu
respectarea regulilor generale i speciale prevzute de Legea nr. 677/2001 pentru
protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i
libera circulaie a acestor date, cu modificrile i completrile ulterioare, de Legea
nr. 238/2009 privind reglementarea prelucrrii datelor cu caracter personal de
ctre structurile/unitile Ministerului Administraiei i Internelor n activitile de
prevenire, cercetare i combatere a infraciunilor, precum i de meninere i
asigurare a ordinii publice, a prevederilor deciziilor i instruciunilor cu caracter
normativ emise de Autoritatea Naional de Supraveghere a Prelucrrii Datelor cu
Caracter Personal, denumit n continuare Autoritatea naional de supraveghere,
a prevederilor prezentelor instruciuni i a procedurilor proprii elaborate de
operatori potrivit legii.
(2) Operatorii i mputerniciii acestora utilizeaz sisteme de eviden i/sau
mijloace automate i neautomate de prelucrare a datelor cu caracter personal cu
aplicarea principiilor respectrii drepturilor omului, legalitii, necesitii,
confidenialitii i proporionalitii i numai dac, prin utilizarea acestora, este
asigurat protecia datelor prelucrate.
(3) n cadrul activitii de prelucrare a datelor cu caracter personal, operatorii i
mputerniciii acestora se supun activitilor de control prealabil sau de
investigare efectuate de Autoritatea naional de supraveghere i, la cerere,
acord acesteia sprijin deplin pentru exercitarea atribuiilor sale.
ART. 3
(1) Au calitatea de operator structurile i unitile MAI, precum i MAI, dac:
a) stabilesc scopul i mijloacele de prelucrare a datelor cu caracter personal;
sau
b) scopul i mijloacele de prelucrare a datelor cu caracter personal sunt stabilite
printr-un act normativ sau n baza unui act normativ; sau
c) sunt desemnate ca operator printr-un/n baza unui act normativ.
(2) Au calitatea de mputernicii ai operatorului structurile care prelucreaz
date cu caracter personal pe seama operatorului.
 (3) Are calitatea de utilizator al datelor cu caracter personal, denumit n
continuare utilizator, personalul operatorului sau al mputernicitului acestuia ale
crui atribuii de serviciu presupun operaiuni de prelucrare a datelor cu caracter
personal.

CAP. II
Organizarea activitii de prelucrare a datelor cu caracter personal n MAI

ART. 4
(1) La nivelul fiecrei structuri/uniti a MAI, centrale sau teritoriale, care are
calitatea de operator, funcioneaz o structur specializat n domeniul proteciei
datelor cu caracter personal, denumit n continuare structur responsabil cu
protecia datelor cu caracter personal. n cadrul acestei structuri este obligatoriu
ca cel puin o persoan s aib specializare IT.
(2) Prin derogare de la prevederile alin. (1), pentru structurile/unitile MAI
care au un numr de cel mult 500 de nregistrri ori interogri pe zi sau care au un
numr de pn la 30 de utilizatori ori gestioneaz numai n mod sporadic date cu
caracter personal, se desemneaz o persoan ca responsabil cu protecia datelor
cu caracter personal, n directa subordonare a conductorului operatorului.
Personalul care urmeaz s ocupe o astfel de funcie trebuie s aib cunotine IT.
ART. 5
Structurile/unitile MAI, n calitate de operator, au n principal urmtoarele
obligaii:
a) s notifice Autoritatea naional de supraveghere potrivit art. 22 din Legea
nr. 677/2001 , cu modificrile i completrile ulterioare;
b) s asigure informarea persoanelor vizate i s respecte drepturile acestora;
c) s ia msurile necesare pentru a asigura securitatea prelucrrii datelor cu
caracter personal;
d) s elaboreze Proceduri privind msurile de protecie a persoanelor cu privire
la prelucrarea datelor cu caracter personal, denumite n continuare proceduri
proprii, conform legislaiei i normelor interne n domeniul standardizrii n
vigoare la nivelul MAI;
e) s ntocmeasc i s transmit, anual, Autoritii naionale de supraveghere
raportul de activitate privind protecia persoanelor n privina prelucrrii datelor
cu caracter personal;
f) s pun la dispoziia Oficiului Responsabilului cu Protecia Datelor Personale,
denumit n continuare Oficiu, n condiiile legii, prin intermediul structurii
responsabile/responsabilului cu protecia datelor cu caracter personal i la
solicitarea reprezentanilor acestuia, informaiile i documentele n legtur cu
prelucrarea datelor cu caracter personal pe care le dein, n vederea exercitrii
atribuiilor de coordonare, ndrumare i monitorizare a aplicrii unitare a
legislaiei n domeniul proteciei persoanelor cu privire la prelucrarea datelor cu
caracter personal.
ART. 6
(1) Conductorii operatorului au urmtoarele atribuii principale:
a) stabilesc scopul i mijloacele de prelucrare a datelor cu caracter personal
atunci cnd acestea sunt necesare pentru exercitarea unor competene legale;
b) numesc/stabilesc responsabilul/structura responsabil cu protecia datelor
personale;
c) asigur elaborarea procedurilor proprii i, dup avizarea acestora de ctre
Oficiu, le aprob;
d) asigur implementarea i vegheaz la respectarea normelor procedurale n
materia prelucrrii datelor cu caracter personal de ctre utilizatori;
e) asigur desfurarea pregtirii de specialitate i instruirea utilizatorilor n
acest domeniu;
f) dispun msuri de completare sau, dup caz, de modificare a fiei posturilor
utilizatorilor;
g) analizeaz i dispun n ceea ce privete suspendarea sau revocarea dreptului
de acces al utilizatorilor la sisteme de eviden a datelor cu caracter personal, n
condiiile legii;
h) informeaz Oficiul n legtur cu orice nclcare a normelor de protecie a
datelor cu caracter personal de natur a prejudicia drepturile persoanei vizate, cu
privire la msurile dispuse pentru identificarea persoanei responsabile i limitarea
efectelor unei diseminri neautorizate a datelor, precum i cu privire la situaiile
n care au fost emise recomandri sau aplicate sanciuni de ctre Autoritatea
naional de supraveghere sau cnd aceasta a dispus efectuarea unui control
prealabil ori a unor investigaii;
i) analizeaz periodic activitatea responsabilului/structurii responsabile cu
protecia datelor cu caracter personal.
(2) Conductorii mputerniciilor operatorului au atribuiile prevzute la alin. (1)
lit. b), d)-g) i i); n cazul n care este incident una dintre situaiile prevzute la
alin. (1) lit. h), conductorii mputerniciilor au obligaia de a informa operatorul.
ART. 7
(1) Responsabilul/Structura responsabil cu protecia datelor cu caracter
personal se subordoneaz nemijlocit conductorului operatorului sau, dup caz,
mputernicitului acestuia, i are urmtoarele atribuii principale:
a) coordoneaz elaborarea i implementarea procedurilor proprii, pe care le
supune aprobrii conducerii operatorului;
b) elaboreaz ghidul pentru exercitarea drepturilor de ctre persoana vizat;
c) consiliaz conducerea operatorului sau a mputernicitului acestuia i sprijin
instruirea personalului care prelucreaz date cu caracter personal referitoare la
normele i regulile de protecie a datelor cu caracter personal;
d) informeaz operativ conducerea operatorului sau a mputernicitului acestuia
despre vulnerabilitile i riscurile semnalate n sistemul de securitate a prelucrrii
datelor cu caracter personal al structurii i propune msuri pentru nlturarea
acestora;
e) coordoneaz i monitorizeaz activitatea personalului pe linia proteciei
datelor cu caracter personal la nivelul operatorului sau al mputernicitului
acestuia i propune conducerii operatorului sau, dup caz, a mputernicitului, n
condiiile legii, msuri privind modificarea, suspendarea ori revocarea drepturilor
de acces n situaiile prevzute la art. 10 i 11, dup caz;
f) efectueaz, prin sondaj, verificri privind modul de aplicare a msurilor legale
de protecie a datelor cu caracter personal, ntocmete rapoarte i face propuneri
pentru remedierea deficienelor constatate, pe care le nainteaz spre aprobare
conducerii operatorului sau, dup caz, a mputernicitului;
g) asigur relaionarea, solicit asisten de specialitate i particip la
convocrile i activitile organizate de Oficiu n domeniul prelucrrii datelor cu
caracter personal;
h) coordoneaz soluionarea cererilor persoanelor vizate;
i) ine evidena cererilor persoanelor vizate.
(2) Atribuiile specifice responsabilului/personalului din cadrul structurii
responsabile cu protecia datelor cu caracter personal se stabilesc prin fia
postului.
ART. 8
(1) Utilizatorii au urmtoarele obligaii specifice:
a) s cunoasc i s aplice prevederile actelor normative din domeniul
prelucrrii datelor cu caracter personal, precum i normele interne n materie
emise la nivelul MAI;
b) s informeze persoana vizat atunci cnd datele cu caracter personal sunt
colectate direct de la aceasta, n condiiile legii, cu privire la: identitatea
operatorului, scopul n care se face prelucrarea datelor, destinatarii sau
categoriile de destinatari ai datelor, obligativitatea furnizrii tuturor datelor
cerute i consecinele refuzului de a le pune la dispoziie, drepturile prevzute de
lege, n special drepturile de acces, de intervenie asupra datelor i de opoziie,
condiiile n care pot fi exercitate aceste drepturi, respectiv s ofere orice alte
informaii a cror furnizare este impus prin dispoziii ale Autoritii naionale de
supraveghere, innd seama de specificul prelucrrii;
c) s prelucreze numai datele cu caracter personal necesare ndeplinirii
atribuiilor de serviciu i s acorde sprijin responsabilului/structurii responsabile
cu protecia datelor cu caracter personal pentru realizarea activitilor specifice
ale acestuia/acesteia;
d) s pstreze confidenialitatea datelor prelucrate, a contului de utilizator, a
parolei/codului de acces la sistemele informatice/baze de date prin care sunt
gestionate date cu caracter personal;
e) s respecte msurile de securitate, precum i celelalte reguli stabilite de
operator, inclusiv cele stabilite prin proceduri proprii;
f) s informeze de ndat conducerea operatorului sau, dup caz, a
mputernicitului i responsabilul/structura responsabil cu protecia datelor cu
caracter personal despre mprejurri de natur a conduce la o diseminare
neautorizat de date cu caracter personal sau despre o situaie n care au fost
accesate/prelucrate date cu caracter personal prin nclcarea normelor legale,
despre care a luat la cunotin.
(2) Pentru fiecare utilizator, fia postului se completeaz n mod corespunztor
cu atribuiile prevzute la alin. (1).
ART. 9
(1) nainte de nceperea activitilor de prelucrare a datelor cu caracter
personal, utilizatorul trebuie s semneze o declaraie pe propria rspundere
privind respectarea normelor de protecie a acestor date, conform modelului
prevzut n anexa nr. 1.
(2) Utilizatorul poate prelucra date cu caracter personal doar pe perioada n
care ocup funcia respectiv.
(3) Operatorii pot permite, n condiiile legii, prelucrarea datelor cu caracter
personal de ctre funcionarii unui alt operator din afara ori din cadrul MAI, pe
perioada necesar ndeplinirii unor atribuii de serviciu. n acest sens, este
obligatorie ncheierea unui protocol de cooperare ntre operatori care s prevad
c prelucrarea datelor cu caracter personal se face cu respectarea drepturilor
persoanelor vizate, respectiv condiiile de securitate stabilite de ctre operatorul
care gestioneaz sau administreaz sistemul de eviden a datelor cu caracter
personal.
ART. 10
Extinderea sau restrngerea atribuiilor de prelucrare a datelor cu caracter
personal se dispune de operator atunci cnd utilizatorul se afl n una dintre
urmtoarele situaii:
a) la modificarea raporturilor de munc;
b) la modificarea atribuiilor privind prelucrarea datelor cu caracter personal,
prevzute n fia postului.
ART. 11
(1) Dreptul de acces al utilizatorului la sistemul de eviden a datelor cu
caracter personal se suspend pe perioada n care acesta se afl n una dintre
urmtoarele situaii:
a) urmeaz un curs sau o specializare cu scoatere din program, pentru o
perioad mai mare de 3 luni;
b) se afl n concediu fr plat, concediu medical, concediu pentru creterea
sau ngrijirea copilului minor, pentru o perioad mai mare de 3 luni;
c) se afl n concediu de maternitate sau concediu pentru incapacitate
temporar de munc;
d) pe perioada cercetrii administrative, n situaia n care fa de utilizator se
efectueaz cercetri referitoare la prelucrarea datelor cu caracter personal cu
nclcarea dispoziiilor legale.
e) alte cazuri prevzute de lege.
(2) La propunerea responsabilului/structurii responsabile cu protecia datelor
cu caracter personal, conductorul operatorului dispune revocarea contului unic
de ctre administratorul aplicaiei atunci cnd utilizatorul se afl n una dintre
urmtoarele situaii:
a) la ncetarea raporturilor de munc/de serviciu;
b) a intervenit o modificare a raporturilor de munc/de serviciu, iar noile
atribuii nu impun accesul la date cu caracter personal.
ART. 12
(1) La nivelul Oficiului se constituie Registrul de eviden a operatorilor din
cadrul Ministerului Administraiei i Internelor, al crui model este prevzut n
anexa nr. 2.
(2) La nivelul operatorilor se constituie Registrul de eviden a sistemelor de
eviden a datelor cu caracter personal. Sistemele informatice de la nivelul
structurilor/unitilor MAI care prelucreaz date cu caracter personal in evidena
automat a utilizatorilor.
 (3) Registrele prevzute la alin. (1) i (2) se pot constitui, dup caz, i n format
electronic.
ART. 13
(1) Planurile anuale de pregtire continu la nivelul operatorilor trebuie s
conin teme privind cunoaterea legislaiei naionale i a acquis-lui comunitar n
materia prelucrrii datelor cu caracter personal, precum i teme specifice privind
riscurile pe care le comport prelucrarea datelor i msurile minime de securitate,
n funcie de specificul activitii fiecrui operator.
(2) Pregtirea utilizatorilor se realizeaz n perioada tutelei profesionale.
(3) Periodic se realizeaz instructaje cu utilizatorii pentru cunoaterea
procedurilor specifice de lucru instituite la nivelul fiecrui operator.
(4) Instructajele se efectueaz n mod obligatoriu la modificarea cadrului legal
n materie, iar prelucrarea incidentelor se va realiza cu ntregul personal al
operatorului.
(5) Utilizatorii trebuie s fie instruii periodic cu privire la riscurile generate de
vulnerabiliti i ameninri informatice.

CAP. III
Notificarea

ART. 14
(1) Operatorii notific Autoritatea naional de supraveghere cu cel puin 30 de
zile calendaristice nainte de efectuarea primei prelucrri, n condiiile prevzute
de art. 22 din Legea nr. 677/2001 , cu modificrile i completrile ulterioare.
(2) n situaia n care operatorul efectueaz mai multe categorii de prelucrri,
iar acestea nu au acelai scop sau scopuri corelate, notificarea prevzut la alin.
(1) se face separat pentru fiecare dintre aceste prelucrri.
(3) Notificarea Autoritii naionale de supraveghere se realizeaz pe baza
formularului tipizat al notificrilor prevzute de Legea nr. 677/2001 , cu
modificrile i completrile ulterioare, aprobat prin Decizia preedintelui
Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu Caracter Personal
nr. 95/2008 privind stabilirea formularului tipizat al notificrilor prevzute de
Legea nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor
cu caracter personal i libera circulaie a acestor date.
(4) Notificarea prelucrrii datelor cu caracter personal prin sisteme de eviden
ntocmite n anumite cazuri numai pentru perioada necesar realizrii unor
activiti de prevenire, cercetare i combatere a infraciunilor, precum i de
meninere i asigurare a ordinii publice se face cu respectarea regulilor prevzute
la alin. (1)-(3), numai dac prelucrarea nu a fcut obiectul unei notificri
anterioare.
ART. 15
(1) Structurile i unitile MAI cu personalitate juridic care se ncadreaz n una
dintre situaiile prevzute la art. 3 alin. (1) i care prelucreaz date cu caracter
personal incluse n categoria celor pentru care notificarea este obligatorie
conform legii se notific la Autoritatea naional de supraveghere prin
eful/conductorul structurii/unitii ca reprezentant legal, pentru prelucrrile
efectuate de operator direct sau prin mputernicit.
(2) Structurile i unitile M.A.I. fr personalitate juridic care se ncadreaz n
una dintre situaiile prevzute la art. 3 alin. (1) i care prelucreaz date cu caracter
personal incluse n categoria celor pentru care notificarea este obligatorie
conform legii se notific la Autoritatea naional de supraveghere, prin
eful/conductorul structurii/unitii ca reprezentant legal, menionnd la
denumirea operatorului titulatura structurii MAI care are personalitate juridic i
creia i se subordoneaz sau titulatura MAI pentru structurile din aparatul central
al ministerului, urmat de titulatura structurii/unitii MAI interesate.
(3) Notificarea prevzut la alin. (2) se face numai cu avizul structurii MAI care
are personalitate juridic, n subordinea creia se afl structura/unitatea MAI
interesat sau, pentru structurile din aparatul central al MAI, numai cu avizul
Oficiului.
ART. 16
(1) Notificarea prelucrrii datelor cu caracter personal de ctre
structurile/unitile MAI se efectueaz n form simplificat n situaiile prevzute
de Decizia preedintelui Autoritii Naionale de Supraveghere a Prelucrrii
Datelor cu Caracter Personal nr. 91/2006 privind cazurile n care este permis
notificarea simplificat a prelucrrii datelor cu caracter personal.
(2) Notificarea prelucrrii datelor cu caracter personal de ctre
structurile/unitile MAI se poate efectua n form simplificat i n alte cazuri
stabilite prin decizii ale Autoritii naionale de supraveghere.
ART. 17
(1) Numrul de nregistrare a notificrii comunicat de Autoritatea naional de
supraveghere structurilor/unitilor MAI se menioneaz n orice document prin
care se colecteaz, stocheaz sau dezvluie date cu caracter personal.
(2) nceperea operaiunilor de prelucrare se realizeaz numai dup mplinirea
termenului de 5 zile de la data notificrii, dac Autoritatea naional de
supraveghere nu dispune efectuarea unui control prealabil sau dup comunicarea
rezultatului favorabil al controlului i emiterea deciziei.
ART. 18
(1) Notificarea nu este necesar n situaia prevzut la art. 22 alin. (2) din
Legea nr. 677/2001 , cu modificrile i completrile ulterioare, precum i n
situaiile prevzute de Decizia preedintelui Autoritii Naionale de Supraveghere
a Prelucrrii Datelor cu Caracter Personal nr. 90/2006 privind cazurile n care nu
este necesar notificarea prelucrrii unor date cu caracter personal i Decizia
preedintelui Autoritii Naionale de Supraveghere a Prelucrrii Datelor cu
Caracter Personal nr. 100/2007 privind stabilirea cazurilor n care nu este
necesar notificarea prelucrrii unor date cu caracter personal.
(2) Notificarea prelucrrii datelor cu caracter personal de ctre
structurile/unitile MAI nu este necesar n alte cazuri prevzute de lege sau
stabilite prin decizii ale Autoritii naionale de supraveghere.
ART. 19
(1) Transferul de date cu caracter personal ctre un alt stat se face, n condiiile
legii, numai dup notificarea prealabil a Autoritii naionale de supraveghere.
(2) Notificarea Autoritii naionale de supraveghere prevzut la alin. (1) nu
este necesar dac transferul datelor se face n baza prevederilor unei legi
speciale sau ale unui acord internaional ratificat de Romnia.

CAP. IV
Prelucrarea datelor cu caracter personal

ART. 20
(1) Operatorii i mputerniciii acestora prelucreaz date cu caracter personal
care pot face ulterior obiectul unui sistem de eviden, automat sau neautomat,
ori care sunt destinate s fie incluse ntr-un asemenea sistem, n mod distinct,
pentru realizarea activitilor de prevenire, cercetare i reprimare a infraciunilor,
precum i de meninere i asigurare a ordinii publice, pentru scopuri
administrative proprii ori pentru scopuri de administraie public, dup caz,
conform specificului activitii.
(2) Structura/Unitatea MAI care, n calitate de operator, prelucreaz date cu
caracter personal prin mputernicii trebuie s ncheie un contract sau, dup caz,
un document de cooperare cu instituia ori autoritatea public sau entitatea de
drept privat care prelucreaz datele pe seama sa.
(3) Documentul prevzut la alin. (2) trebuie s conin obligaiile
mputernicitului de a aciona doar n baza instruciunilor primite de la operator,
precum i de a aplica msurile tehnice i organizatorice adecvate pentru
protejarea datelor cu caracter personal mpotriva distrugerii accidentale sau
ilegale, pierderii, modificrii, dezvluirii ori accesului neautorizat, n special dac
prelucrarea respectiv presupune transferul de date on-line, precum i mpotriva
oricrei alte forme de prelucrare ilegal.
ART. 21
Prelucrarea datelor cu caracter personal se poate realiza prin mijloace
automate sau neautomate n cadrul unor operaiuni ori seturi de operaiuni, fr
a fi limitate la acestea, dup cum urmeaz:
a) colectarea - strngerea, adunarea ori primirea datelor cu caracter personal
prin orice mijloace legale i din orice surs;
b) nregistrarea - consemnarea datelor cu caracter personal ntr-un sistem de
eviden automat ori neautomat, care poate fi registru, fiier automat, baz de
date sau orice alt form de eviden organizat, structurat ori ad-hoc sau ntr-
un text, niruire de date ori document, indiferent de modalitatea n care se
nscriu datele;
c) organizarea - ordonarea, structurarea sau sistematizarea datelor cu caracter
personal, conform unor criterii prestabilite, potrivit atribuiilor legale ale
operatorului, n scopul eficientizrii/optimizrii activitilor de prelucrare a
acestora;
d) stocarea - pstrarea pe orice fel de suport a datelor cu caracter personal
culese, inclusiv prin efectuarea copiilor de siguran;
e) adaptarea - transformarea datelor cu caracter personal colectate iniial,
conform criteriilor prestabilite i scopurilor pentru care au fost colectate;
f) modificarea - actualizarea, completarea, schimbarea, corectarea ori refacerea
datelor cu caracter personal, n scopul meninerii caracteristicilor de exactitate,
realitate, actualitate;
g) extragerea - scoaterea unei pri din categoria specific de date cu caracter
personal, n scopul utilizrii acesteia, separat i distinct de prelucrarea iniial;
h) consultarea - examinarea, vizualizarea, interogarea ori cercetarea datelor cu
caracter personal, fr a fi limitate la acestea, n scopul efecturii unei operaiuni
sau set de operaiuni de prelucrare ulterioar;
i) utilizarea - folosirea datelor cu caracter personal, n tot sau n parte, de ctre
i n interiorul operatorului, mputerniciilor operatorului ori destinatarului, dup
caz, inclusiv prin tiprire, copiere, multiplicare, scanare sau orice alte procedee
similare;
 j) dezvluirea - a face disponibile date cu caracter personal ctre teri prin
comunicare, transmitere, diseminare sau n orice alt mod;
k) alturarea - adugarea, alipirea sau anexarea unor date cu caracter personal
la cele deja existente, pe care nu le modific;
l) combinarea - mbinarea, unirea sau asamblarea unor date cu caracter
personal separate iniial, ntr-o form nou, pe baza unor criterii prestabilite,
pentru scopuri anume determinate;
m) blocarea - ntreruperea prelucrrii datelor cu caracter personal;
n) tergerea - eliminarea sau nlturarea, n tot sau n parte, a datelor cu
caracter personal din evidene sau nregistrri, prin mplinirea termenului de
pstrare, la atingerea scopului pentru care au fost introduse, caducitatea,
inexistena, inexactitatea;
o) transformarea - operaiunea efectuat asupra datelor cu caracter personal
avnd ca scop anonimizarea ori utilizarea acestora n scopuri exclusiv statistice;
p) distrugerea - aducerea la stare de nentrebuinare, n condiiile legii,
definitiv i irecuperabil, prin mijloace mecanice sau termice, a suportului fizic
pe care au fost prelucrate date cu caracter personal.
ART. 22
(1) Prelucrarea datelor cu caracter personal se realizeaz de ctre operatori i
mputernicii ai acestora n exercitarea atribuiilor expres stabilite printr-un act
normativ sau atunci cnd acesta prevede constituirea unor sisteme de eviden la
nivel naional/teritorial, n scopul realizrii unor activiti/servicii de interes
public.
(2) Colectarea datelor cu caracter personal se poate face direct de la persoana
vizat sau prin surse specifice, care pot fi, dar fr a se limita la: activitatea
proprie a operatorului sau a mputerniciilor acestuia, consultarea direct a unor
sisteme de eviden a datelor cu caracter personal constituite de ali operatori ori
schimbul de date i informaii cu ali operatori, naionali sau internaionali, cu
respectarea drepturilor persoanelor vizate i instituirea unor msuri adecvate de
securitate a prelucrrilor.
(3) Informarea persoanei vizate se realizeaz n condiiile i cu excepiile
prevzute de lege, cu privire la cel puin urmtoarele informaii:
a) identitatea operatorului, a mputernicitului acestuia i, dac este cazul,
numrul atribuit de Autoritatea naional de supraveghere;
b) scopul n care se face prelucrarea datelor cu caracter personal;
c) destinatarii sau categoriile de destinatari ai datelor;
d) dac furnizarea tuturor datelor cerute este obligatorie i consecinele
refuzului de a le furniza;
e) existena drepturilor persoanei vizate, n special a drepturilor de acces, de
intervenie asupra datelor i de opoziie, precum i condiiile de exercitare a
acestor drepturi;
f) orice alte informaii a cror furnizare este impus prin decizii/instruciuni ale
Autoritii naionale de supraveghere, innd seama de specificul prelucrrii.
(4) Stocarea datelor cu caracter personal se realizeaz n condiiile stabilite prin
actul normativ care reglementeaz scopul prelucrrii i potrivit regulilor generale
de arhivare a documentelor.
ART. 23
(1) Operatorii i mputerniciii acestora prelucreaz date cu caracter personal n
scopuri de organizare, gestiune economico-financiar i administrativ privind
proprii angajai i membrii de familie ai acestora, n cadrul activitii de
management resurse umane, asigurarea asistenei medicale sau pentru
desfurarea unor activiti cultural-artistice, jurnalistice ori sportive.
(2) Operatorii i mputerniciii acestora care prelucreaz date cu caracter
personal cu ocazia organizrii unor concursuri sau examene stabilesc condiiile
concrete de asigurare a securitii prelucrrilor, precum i de informare a
persoanelor vizate privind drepturile acestora. Datele cu caracter personal astfel
prelucrate se terg sau se distrug dup realizarea scopului n care au fost
prelucrate. Stocarea acestor date pentru o perioad mai mare dect cea necesar
realizrii scopului se poate efectua numai pentru interes statistic, dup ce au fost
transformate n date anonime.
(3) Supravegherea prin mijloace audio i/sau video, fixe sau mobile, a unor
spaii publice perimetrale ori adiacente propriilor sedii, precum i a spaiilor
interioare ale acestora constituie o prelucrare a datelor cu caracter personal doar
dac aceasta este nsoit de un sistem de stocare a datelor care permite
identificarea ulterioar, prin orice mijloace, a persoanei vizate. n acest caz este
obligatorie avertizarea personalului propriu i a publicului privind existena
sistemului de supraveghere, precum i informarea acestuia privind identitatea
operatorului, scopul prelucrrii, categoriile de date prelucrate, destinatarii datelor
sau alte date suplimentare, dup caz, conform legii. Instalarea acestor mijloace se
realizeaz astfel nct, pe ct posibil, s nu fie vizualizat interiorul altor imobile
sau cile de acces la acestea, aflate n zona adiacent echipamentelor de
supraveghere.

CAP. V
 Dezvluirea datelor cu caracter personal

ART. 24
(1) Datele cu caracter personal se pot comunica ntre operatori i mputerniciii
acestora sau ntre operatori sau mputernicii ai acestora i alte instituii ori
organisme publice sau entiti de drept public sau privat n una dintre
urmtoarele situaii:
a) dac persoana vizat i-a dat consimmntul expres i neechivoc pentru
comunicarea datelor sale;
b) fr consimmntul persoanei vizate n cazurile prevzute de art. 5 alin. (2)
din Legea nr. 677/2001 , cu modificrile i completrile ulterioare;
c) n cazul prelucrrii datelor cu caracter personal n activitile de prevenire,
cercetare i combatere a infraciunilor, precum i de meninere i asigurare a
ordinii publice, n condiiile prevzute de art. 6 din Legea nr. 238/2009 .
(2) Comunicarea datelor cu caracter personal n situaiile prevzute la alin. (1)
se poate face dac este ndeplinit una dintre urmtoarele condiii:
a) comunicarea se efectueaz pe baza unui contract sau, dup caz, a unui
document de cooperare care trebuie s cuprind cel puin: numrul de
nregistrare a notificrii, temeiul legal al prelucrrii i scopul acesteia, termenul
maxim de prelucrare, drepturile i obligaiile prilor, modalitile de asigurare a
securitii prelucrrilor i de respectare a drepturilor persoanei vizate, precum i
meniunea c datele pot fi utilizate doar de structura beneficiar i numai n
scopul pentru care au fost solicitate;
b) comunicarea se efectueaz n baza unei solicitri scrise, care trebuie s
cuprind temeiul legal, scopul prelucrrii i datele solicitate, precum i, dac este
cazul, numrul atribuit beneficiarului de Autoritatea naional de supraveghere.
(3) Comunicarea datelor cu caracter personal de ctre operatori i mputerniciii
acestora se poate face i on-line, cu respectarea dispoziiilor alin. (1) i (2) i
asigurarea securitii sistemelor de comunicaii a datelor cu caracter personal.
(4) Datele cu caracter personal asupra crora persoanele vizate au exercitat i li
s-a recunoscut dreptul de opoziie nu pot face obiectul prelucrrii.
(5) Comunicarea de date cu caracter personal se poate efectua i din oficiu, n
condiiile legii.
ART. 25
(1) Cererile pentru comunicarea datelor cu caracter personal adresate
operatorilor i mputerniciilor acestora trebuie s conin datele de identificare a
solicitantului, precum i motivarea i scopul cererii, conform prevederilor legale
sau obligaiilor cuprinse n tratate la care Romnia este parte.
(2) Cererile care nu conin elementele prevzute la alin. (1) se restituie pentru
completare, iar cele care nu se ncadreaz n condiiile prevzute de lege sau de
tratatele la care Romnia este parte se resping, menionndu-se motivele pentru
care comunicarea datelor cu caracter personal nu este posibil.
(3) nainte de comunicarea datelor cu caracter personal, operatorii i
mputerniciii acestora verific dac acestea sunt exacte i, dac este cazul,
actualizate.
(4) n situaia n care se constat c au fost transmise date incorecte sau
neactualizate, operatorii au obligaia de a informa destinatarii respectivelor date
asupra neconformitii acestora, cu menionarea datelor care au fost modificate.
(5) La comunicarea datelor cu caracter personal operatorii i mputerniciii
acestora atenioneaz destinatarii asupra interdiciei de a prelucra datele pentru
alte scopuri dect cele specificate n cererea de comunicare.

CAP. VI
Transferul de date cu caracter personal

ART. 26
(1) Datele cu caracter personal gestionate de operatori pot fi transferate ctre
instituiile competente ale altor state sau organisme de cooperare poliieneasc i
judiciar internaional, n condiiile legii, fr autorizarea Autoritii naionale de
supraveghere, numai dac exist o prevedere legal expres n legislaia naional
sau comunitar ori ntr-un tratat ratificat de Romnia.
(2) Operatorii pot transmite date cu caracter personal ctre instituiile
competente ale altor state sau organisme de cooperare poliieneasc i judiciar
din state non-UE numai dac legislaia statului n cauz prevede un nivel de
protecie cel puin egal cu cel oferit de legea romn sau organizaia asigur un
nivel adecvat de protecie pentru prelucrarea datelor, cu respectarea condiiei
prevzute la art. 29 alin. (3) din Legea nr. 677/2001 , cu modificrile i
completrile ulterioare.
(3) Transmiterea de date cu caracter personal ctre instituiile competente ale
altor state sau ctre organisme de cooperare poliieneasc i judiciar din state
non-UE a cror legislaie nu prevede un nivel de protecie cel puin egal cu cel
oferit de legea romn poate fi efectuat numai cu autorizarea Autoritii
naionale de supraveghere, n condiiile prevzute la art. 29 alin. (4) din Legea nr.
677/2001 , cu modificrile i completrile ulterioare.
 (4) n cazul prelucrrilor efectuate n activitile de prevenire, cercetare i
combatere a infraciunilor, precum i de meninere i asigurare a ordinii publice,
transmiterea de date cu caracter personal ctre instituiile prevzute la alin. (1)-
(3) este ntotdeauna permis dac transferul este necesar pentru prevenirea unui
pericol grav i iminent asupra vieii, integritii corporale sau sntii unei
persoane ori a proprietii acesteia, precum i pentru combaterea unei infraciuni
grave prevzute de lege, cu respectarea legii romne.
ART. 27
(1) Transferul de date cu caracter personal ctre entiti de drept public sau
privat, altele dect cele prevzute la art. 26, se face n condiiile legii romne i
numai cu autorizarea Autoritii naionale de supraveghere.
(2) Autorizarea Autoritii naionale de supraveghere prevzut la alin. (1) nu
este necesar n situaiile n care datele urmeaz s fie folosite exclusiv n scopuri
jurnalistice, literare sau artistice, au fost fcute publice n mod manifest de ctre
persoana vizat sau sunt strns legate de calitatea de persoan public a
persoanei vizate ori de caracterul public al faptelor n care este implicat.
(3) n cadrul documentului pe baza cruia se realizeaz transferul datelor cu
caracter personal, se menioneaz drepturile recunoscute persoanelor vizate,
precum i condiiile necesare asigurrii confidenialitii datelor. n acest sens,
operatorii avertizeaz beneficiarii datelor cu caracter personal privind
obligativitatea utilizrii acestora conform scopurilor specificate n documentele
care stau la baza transferului.
(4) Datele cu caracter personal asupra crora persoanele vizate au exercitat i li
s-a recunoscut dreptul de opoziie nu pot face obiectul transferului.
(5) Datele cu caracter personal transferate altor organisme publice, entiti de
drept privat sau autoriti strine nu pot fi folosite pentru alte scopuri dect cele
specificate n cererea de comunicare a datelor cu caracter personal.
ART. 28
Transferul datelor cu caracter personal ctre un alt stat este ntotdeauna
permis n condiiile art. 30 din Legea nr. 677/2001 , cu modificrile i completrile
ulterioare, cu notificarea prealabil a Autoritii naionale de supraveghere.

CAP. VII
Msuri de asigurare a exercitrii drepturilor persoanelor vizate

ART. 29
(1) Informarea persoanei vizate se face n condiiile art. 12 din Legea nr.
677/2001 , cu modificrile i completrile ulterioare.
(2) Operatorii i mputerniciii acestora dispun msuri pentru existena, n
spaiile accesibile publicului, a mijloacelor de informare a persoanelor vizate care
s cuprind drepturile conferite de lege, precum i a ghidului pentru exercitarea
drepturilor de ctre persoana vizat; ghidul trebuie s conin detalierea
drepturilor persoanei vizate, dar i modalitatea practic pentru depunerea
cererilor de ctre persoana vizat, structurile responsabile cu analizarea acestora,
datele de contact ale acestor structuri i modalitatea de transmitere a
rspunsurilor; ghidul se afieaz, dup caz, i pe pagina de internet a operatorului.
(3) Operatorii afieaz, dup caz, pe pagina de internet formulare-tip de cereri
pentru exercitarea drepturilor de ctre persoana vizat.
(4) Exercitarea drepturilor persoanei vizate poate fi limitat doar n condiiile
prevzute la art. 16 alin. (1) din Legea nr. 677/2001 , cu modificrile i
completrile ulterioare, sau, respectiv, la art. 11 din Legea nr. 238/2009 .
(5) n orice situaie, persoana vizat trebuie s fie informat cu privire la dreptul
de a se adresa Autoritii naionale de supraveghere sau instanei de judecat.
(6) Operatorii in evidena cazurilor n care, n aplicarea dispoziiilor art. 16 din
Legea nr. 677/2001 , cu modificrile i completrile ulterioare, a fost limitat
exercitarea drepturilor persoanei vizate. Operatorii informeaz anual Autoritatea
naional de supraveghere cu privire la cazurile aprute i modul de soluionare a
acestora.
ART. 30
n cadrul procedurilor proprii operatorii stabilesc modalitile prin care, n
exercitarea dreptului de acces la date, la cererea persoanei vizate, comunic
informaiile prevzute de lege, atunci cnd prelucreaz date cu caracter personal
care o privesc pe aceasta. Comunicarea se efectueaz n termen de cel mult 15
zile de la data primirii cererii, cu excepiile prevzute de lege.
ART. 31
(1) Exercitarea dreptului de acces se face gratuit o singur dat pe an.
(2) Pentru toate celelalte situaii cnd drepturile prevzute de lege nu pot fi
exercitate n mod gratuit, structurile/unitile MAI stabilesc, potrivit art. 5 lit. b),
msuri adecvate pentru asigurarea unui nivel rezonabil al cheltuielilor, n sarcina
persoanei vizate.
(3) Cuantumul cheltuielilor se rezum la acoperirea costurilor suportate de
operator.
ART. 32
(1) Dreptul de intervenie al persoanei vizate se exercit n condiiile art. 14 din
Legea nr. 677/2001 , cu modificrile i completrile ulterioare.
(2) Persoana vizat se poate adresa operatorului printr-o cerere scris, datat i
semnat.
(3) n termen de 15 zile de la primirea cererii, operatorul comunic persoanei
vizate msurile luate, dup caz.
ART. 33
(1) n exercitarea dreptului de opoziie, persoana vizat se poate adresa
operatorului, prin cerere motivat, cu respectarea condiiilor prevzute de art. 15
alin. (3) din Legea nr. 677/2001 , cu modificrile i completrile ulterioare.
(2) n termen de 15 zile de la primirea cererii, operatorul comunic persoanei
vizate msurile luate, precum i terul cruia i-au fost dezvluite anterior datele
cu caracter personal, dup caz, cu respectarea eventualei opiuni a solicitantului
privind comunicarea la o anumit adres, care poate fi i de pot electronic, sau
printr-un serviciu de coresponden care s asigure c predarea i se va face numai
personal.
(3) Dreptul de opoziie nu poate fi exercitat pentru prelucrrile prevzute de
lege.
ART. 34
Orice persoan are dreptul de a nu fi supus unei decizii individuale de ctre
structurile/unitile MAI i de a se adresa Autoritii naionale de supraveghere
sau justiiei, potrivit legii.
ART. 35
(1) Operatorul informeaz persoana vizat asupra procedurii de primire a
cererilor, prin afiare la sediu, publicare pe pagina WEB sau prin alte mijloace.
(2) n cazul cererilor transmise fr a fi ndeplinite condiiile prevzute de lege,
solicitantul va fi informat n scris cu privire la condiiile de exercitare a drepturilor
prevzute de Legea nr. 677/2001 , cu modificrile i completrile ulterioare.
(3) Odat cu soluionarea cererii, se aduce la cunotina persoanelor vizate c
au dreptul de a se adresa Autoritii naionale de supraveghere sau justiiei
pentru aprarea drepturilor garantate de lege.

TITLUL II
Msuri tehnice

CAP. I
Utilizatorii datelor cu caracter personal
 ART. 36
(1) Pentru fiecare utilizator, administratorul aplicaiei stabilete un cont unic
care s permit att identificarea, ct i configurarea categoriilor de prelucrri la
care are dreptul, asigurnd totodat i jurnalizarea operaiunilor efectuate.
(2) Identificarea n sistem a utilizatorului se poate realiza prin:
a) introducerea unui cod de identificare de la tastatur - user name -, nsoit
de introducerea unei parole;
b) folosirea unei cartele inteligente - smart card - sau a unei cartele magnetice;
c) mijloace biometrice: amprenta dactiloscopic, amprenta vocal, angiografia
retinian sau prin alte mijloace;
d) certificat digital pe suport extern de memorie, token.
(3) Operatorii stabilesc modalitatea concret de identificare i autentificare
folosit, n funcie de importana datelor cu caracter personal deinute, volumul
acestora, numrul de utilizatori, frecvena interogrilor i operaiunile de
prelucrare, precum i msurile de protecie fizic a locaiei.
(4) Codurile de identificare, parolele sau cartelele sunt unice, personale i
netransmisibile. Se interzice folosirea lor n comun de ctre mai muli utilizatori.
(5) Parolele trebuie s aib minimum 6 caractere alfanumerice - cifre i litere -,
iar introducerea acestora nu trebuie s fie afiat n clar pe ecran.
(6) Parolele se schimb ori de cte ori este nevoie, dar cel puin o dat la 3 luni
pentru utilizatori i la 6 luni pentru administratorii aplicaiei.
(7) La generarea contului unic utilizatorul primete n scris parola i codul de
identificare. Utilizatorul are obligaia s schimbe parola n urmtoarele situaii:
a) la prima accesare a contului unic;
b) n cazurile prevzute de alin. (6);
c) ori de cte ori apreciaz ca fiind necesar pentru asigurarea securitii
prelucrrii datelor cu caracter personal.
(8) Administratorul sistemului de eviden a datelor cu caracter personal ia
msurile necesare pentru activarea unui mesaj de avertizare dup a treia
introducere greit a parolei i blocarea contului la a cincea introducere greit.
Mesajul pentru utilizator va cuprinde urmtorul text: "Atenie, ai introdus greit
parola de 3 ori. La a 5-a introducere greit, contul va fi blocat. V rugm s
reverificai codul i parola." Dup cea de-a cincea introducere greit a parolei, pe
ecran va fi afiat urmtorul mesaj: "Atenie! Contul este blocat. V rugm s
contactai administratorul aplicaiei."
ART. 37
(1) Cartela de acces sau tokenul n timpul programului de lucru se pstreaz
permanent asupra utilizatorului. n afara programului de lucru, cartela de acces
sau tokenul se pstreaz n fiet/caset metalic/metalic ncuiat/ncuiat i
sigilat/sigilat la care are acces numai utilizatorul acesteia.
(2) Se interzice transcrierea/pstrarea parolei, respectiv a cartelei sau
tokenului, la vedere sau n alt mod dect cel prevzut mai sus ori
diseminarea/transmiterea acestora ctre alte persoane.
(3) Documentele care conin coduri de identificare i parole de acces vor fi
arhivate numai dac acestea nu se mai afl n uz.
(4) Conductorul operatorului dispune msuri astfel nct conturile de utilizator
s fie suspendate sau revocate imediat pentru personalul aflat n situaiile
prevzute la art. 11.
(5) Utilizatorul aflat n una dintre situaiile prevzute la art. 11 are obligaia de a
preda cartela de acces responsabilului/structurii responsabile cu protecia datelor
cu caracter personal.
(6) Dup ncetarea situaiilor prevzute la art. 10, operatorul dispune
reactivarea contului de utilizator.
(7) Aplicaia de gestiune a bazelor de date trebuie configurat astfel nct s
asigure dezactivarea automat a codurilor de identificare i a cartelelor care nu au
fost folosite o perioad de pn la 6 luni; acestea sunt meninute n istoricul de
utilizatori, dup caz, de ctre administratorul aplicaiei.
(8) La apariia unei situaii de modificare a competenelor sau raporturilor de
serviciu, operatorii stabilesc modaliti concrete de revocare/suspendare a
conturilor de acces, astfel nct prelucrarea datelor cu caracter personal s se fac
numai de ctre personalul autorizat i numai n exercitarea atribuiilor de serviciu
ale acestora.
(9) Revocarea/Suspendarea conturilor de acces se va face numai de ctre
administratorul aplicaiei.
(10) Fiecare operator permite accesul utilizatorilor la sisteme de eviden a
datelor cu caracter personal neautomate numai pe baza unei liste nominale
aprobate de conductorul/eful acestuia.
(11) Elaborarea i actualizarea listei se asigur de ctre responsabilul/structura
responsabil cu protecia datelor cu caracter personal, n baza comunicrilor
fcute pe linie de resurse umane.
(12) Pentru accesul personalului la sistemele de eviden a datelor cu caracter
personal deinute de ali operatori, conturile de utilizator se vor obine n baza
solicitrii scrise i motivate a structurii/unitii interesate sau pe baza unor
protocoale ncheiate n acest sens.
 ART. 38
(1) Conductorul operatorului stabilete fiecrui utilizator tipurile de acces i
operaiunile permise acestuia, strict necesare pentru ndeplinirea atribuiilor de
serviciu.
(2) Cu ocazia proiectrii, ntreinerii, actualizrii aplicaiilor de gestiune a
bazelor de date, se interzice accesul programatorilor/personalului de ntreinere a
sistemelor informatice la orice fel de date cu caracter personal
deinute/create/accesate de personalul din structura/unitatea respectiv. n
aceste situaii, se pun la dispoziia programatorilor/personalului de ntreinere
numai date anonime.
(3) Pentru cazuri excepionale, numai pe durata interveniei i circumstaniat
limitativ la datele strict necesare, persoanele care asigur suportul tehnic pot
avea acces la datele cu caracter personal numai n prezena unui utilizator
desemnat de operator. n aceast situaie, rspunderea pentru pstrarea
confidenialitii datelor aparine persoanelor n cauz, sens n care trebuie s
semneze un angajament de confidenialitate.
(4) Conductorii operatorului desemneaz utilizatorii care au ca atribuii de
serviciu tergerea sau distrugerea datelor cu caracter personal.
ART. 39
(1) n cadrul operatorului sau al mputerniciilor acestuia, operaiunile de
colectare, introducere, modificare i actualizare a datelor cu caracter personal se
fac numai de personalul anume desemnat de ctre conductorii acestora.
(2) Conductorii operatorilor sau ai mputerniciilor acestora dispun msurile
necesare care s permit identificarea utilizatorului care a introdus, modificat sau
actualizat datele, precum i a datei i orei efecturii operaiunilor. Datele terse
sau modificate vor fi pstrate separat o perioad de timp stabilit de operator,
dup care se distrug sau se terg.
ART. 40
(1) Bazele de date cu caracter personal deinute/create i programele folosite
de operatori sau de mputerniciii acestora sunt salvate, prin copii de siguran, la
un interval de timp stabilit de conductorii operatorului sau ai mputerniciilor
acestuia, n funcie de mrimea, volumul i importana acestor baze de date, care
nu poate depi 6 luni. Operatorii i mputerniciii acestora in evidena copiilor
de siguran.
(2) Conductorii operatorului sau ai mputerniciilor acestuia desemneaz
utilizatori care trebuie s aib ca atribuie de serviciu i executarea copiilor de
siguran ale bazelor de date deinute/create i ale programelor folosite.
 (3) Conductorii operatorului sau ai mputerniciilor acestuia dispun msurile
necesare pentru stocarea copiilor de siguran n camere special amenajate sau n
fiete metalice, sigilate. Accesul n ncperea special amenajat se acord numai
personalului anume desemnat i se consemneaz ntr-un registru special. n
exercitarea atribuiilor legale, Autoritatea naional de supraveghere are acces la
copiile de siguran.
(4) Conductorii operatorilor sau ai mputerniciilor acestuia pot institui msuri
suplimentare de siguran, precum sisteme de monitorizare video, att pentru
accesul n ncpere, ct i pentru operaiunile derulate cu aceast ocazie, dup
caz.
ART. 41
(1) Accesul n ncperile n care se afl echipamente care prelucreaz date cu
caracter personal este strict limitat la utilizatorii desemnai de conductorii
operatorului sau ai mputerniciilor acestuia i numai pentru ndeplinirea
atribuiilor de serviciu.
(2) n cazul n care nu se poate restriciona accesul n aceste ncperi,
echipamentele se securizeaz cu chei sau cartele magnetice.
(3) Aplicaiile informatice care gestioneaz date cu caracter personal trebuie
prevzute cu facilitatea nchiderii automate a sesiunii de lucru dac utilizatorul nu
acioneaz asupra datelor afiate pe ecran o perioad de timp de pn la 5
minute, stabilit n funcie de operaiile care trebuie executate.
(4) Terminalele de acces folosite n relaia cu publicul se poziioneaz astfel
nct datele afiate s fie vizualizate numai de utilizatori. Aceste terminale de
acces trebuie s aib setat funcia "screen saver" la o temporizare de maximum
5 minute, iar dac acest lucru nu este posibil din punct de vedere tehnic, dup
trecerea intervalului de timp menionat, datele afiate trebuie ascunse.
ART. 42
(1) Pentru prelucrrile efectuate n sistemele de eviden automate, aplicaia
trebuie s nregistreze orice accesare ntr-un fiier de acces, denumit n
continuare log. Stocarea acestor informaii se face ntr-un fiier de acces general
sau n fiiere separate pentru fiecare utilizator, dup caz.
(2) Informaiile nregistrate n log vor fi:
a) codul de identificare a utilizatorului i a staiei de lucru folosite;
b) numele fiierului accesat;
c) numrul nregistrrilor efectuate;
d) tipul de acces;
e) motivul prelucrrii datelor cu caracter personal care trebuie s permit
identificarea documentului/situaiei concrete care a stat la baza i a justificat
prelucrarea datelor;
f) codul operaiei executate sau programul folosit;
g) data accesului - an, lun, zi;
h) timpul - ora, minutul, secunda.
(3) Aplicaia nregistreaz orice ncercare de acces neautorizat, iar
responsabilul/structura responsabil cu protecia datelor cu caracter personal are
obligaia de a verifica mprejurrile producerii acesteia, lund msurile ce se
impun.
(4) Logurile se pstreaz cel puin 2 ani, n funcie de necesitatea asigurrii
disponibilitii datelor pentru operator, corelat cu importana i volumul de date
stocate. La acoperirea capacitii de stocare, logurile vor fi transferate i pstrate
pe suport amovibil n condiiile prevzute pentru copiile de siguran.
(5) Pentru inerea evidenei operaiunilor de consultare a datelor cu caracter
personal coninute n sisteme de eviden neautomate-manuale, operatorul sau
mputerniciii acestuia instituie Registrul de consultare/multiplicare a
documentelor din sistemul de eviden, conform modelului prevzut n anexa nr.
3.
(6) Declanarea unei investigaii a crei finalizare depete termenul stabilit de
operator, conform alin. (5), atrage prelungirea perioadei de pstrare.
(7) Logurile pot fi accesate, respectiv consultate.
(8) Se interzice orice prelucrare de date cu caracter personal care nu este
motivat strict de ndeplinirea unei atribuii de serviciu a utilizatorului.
ART. 43
(1) Conductorii operatorului sau ai mputerniciilor acestuia care prelucreaz
date cu caracter personal dispun luarea msurilor tehnice adecvate pentru
identificarea eventualelor disfuncionaliti n ceea ce privete funcionarea
sistemelor de comunicaii.
(2) Responsabilul/Structura responsabil cu protecia datelor cu caracter
personal efectueaz periodic, prin sondaj, controlul autentificrilor i tipurilor de
acces, precum i respectarea msurilor de securitate specifice sistemelor de
comunicaii folosite pentru transmiterea acestor date.
(3) Rezultatul controlului, eventualele disfuncionaliti identificate, precum i
msurile de remediere a acestora se consemneaz ntr-un raport care se supune
aprobrii conductorului/efului structurii/unitii respective.
(4) Conductorii operatorului sau ai mputerniciilor acestuia dispun msurile
necesare de securitate a sistemului de comunicaii pentru nlturarea posibilitii
de diseminare neautorizat sau interceptare a transmisiilor de date. n acest scop
se poate folosi inclusiv transmisia criptat a datelor cu caracter personal.
(5) Folosirea sistemelor de comunicaii pentru transmiterea datelor cu caracter
personal se realizeaz numai dac prin aceast metod se asigur gradul de
operativitate impus de specificul activitii desfurate de structurile implicate.
ART. 44
(1) Conductorii operatorului sau ai mputerniciilor acestuia dispun msurile
necesare n vederea instituirii i meninerii unui nivel suficient de securitate a
prelucrrii datelor cu caracter personal, care vor consta cel puin n:
a) interzicerea instalrii de ctre personalul MAI a altor programe software n
afara celor configurate de personalul autorizat, pentru ndeplinirea atribuiilor de
serviciu;
b) configurarea porturilor de acces la mediile de stocare pentru fiecare staie de
lucru i a comenzilor care permit salvarea sau listarea documentelor, n mod
adecvat, pentru categoriile de operaiuni efectuate de fiecare utilizator, n strict
legtur cu ndeplinirea atribuiilor de serviciu ale acestuia;
c) implementarea unor aplicaii automate de contracarare a vulnerabilitilor i
ameninrilor informatice i de securitate a sistemelor informatice.
(2) n timpul activitii, monitoarele de lucru trebuie s afieze mesaje de
avertizare privind obligativitatea pstrrii confidenialitii datelor cu caracter
personal prelucrate.
ART. 45
(1) Conductorii operatorului sau ai mputerniciilor acestuia desemneaz
utilizatorii cu drept de imprimare a extraselor din sistemele de eviden a datelor
cu caracter personal sau a altor documente care includ astfel de date, inclusiv de
multiplicare, n strict corelare cu ndeplinirea atribuiilor de serviciu ale acestora.
(2) Toate documentele care conin date cu caracter personal se nregistreaz i
urmeaz regulile de pstrare, procesare, multiplicare, transport, transmitere,
distrugere i arhivare stabilite prin acte normative interne.
(3) Documentele elaborate de structurile/unitile MAI, care conin date cu
caracter personal, se marcheaz dup cum urmeaz:
a) n cadrul documentului se menioneaz numrul atribuit notificrii de ctre
Autoritatea naional de supraveghere;
b) n subsolul fiecrei pagini, cu excepia documentelor clasificate, se insereaz
urmtorul text: "Document care conine date cu caracter personal protejate de
prevederile Legii nr. 677/2001 !".
(4) Marcajul prevzut la alin. (3) lit. b) este obligatoriu inclusiv n cazul
prelucrrilor de date cu caracter personal n situaii pentru care, potrivit legii,
notificarea nu este necesar.
ART. 46
Procedurile proprii elaborate de operatori trebuie s cuprind:
a) modaliti de administrare a conturilor de utilizator;
b) modaliti de control al accesului n zonele n care se prelucreaz date cu
caracter personal;
c) modaliti de asigurare a confidenialitii, integritii i disponibilitii
datelor cu caracter personal;
d) modaliti privind securitatea transmisiilor de date i accesul securizat la
aceste mijloace de transmitere a datelor.

CAP. II
Dispoziii finale

ART. 47
(1) Structurile/Unitile MAI care proceseaz date cu caracter personal au
obligaia s transmit Oficiului, anual, pn la 31 decembrie, o analiz cu privire la
activitatea desfurat n domeniul prelucrrii datelor cu caracter personal.
(2) Structurile/Unitile MAI care proceseaz date cu caracter personal trebuie
s pun la dispoziia Oficiului, n condiiile legii, informaiile, documentele sau
actele pe care le dein pentru ndeplinirea atribuiilor ce i revin n domeniul
proteciei datelor cu caracter personal.
ART. 48
Prezentele instruciuni sunt aplicabile unitilor aparatului central al MAI i
unitilor, instituiilor i structurilor aflate n subordinea ministerului, n
conformitate cu statutul i relaia acestora cu ministerul, stabilite prin dispoziii
legale i n msura n care nu contravin acestora.
ART. 49
Nerespectarea dispoziiilor prezentelor instruciuni atrage, potrivit legii,
rspunderea disciplinar, civil, material sau penal, dup caz.
ART. 50
(1) Prezentele instruciuni intr n vigoare n termen de 90 de zile de la data
publicrii n Monitorul Oficial al Romniei, Partea I.
(2) Procedurile proprii prevzute la art. 5 lit. d) i ghidul pentru exercitarea
drepturilor de ctre persoana vizat prevzut la art. 29 alin. (2) se elaboreaz n
termen de 90 de zile de la intrarea n vigoare a prezentelor instruciuni.
 (3) Anexele nr. 1-3 fac parte integrant din prezentele instruciuni.

Ministrul administraiei
i internelor,
Vasile Blaga

Bucureti, 3 februarie 2010.

Nr. 27.

ANEXA 1

DECLARAIE
Subsemnatul/Subsemnata, ................................., nscut() n localitatea
..................................., la data de ..................., fiul (fiica) lui ............ i al(a)
............., angajat/angajat al(a) .............., n funcia de ..............., cu domiciliul n
..........................., declar pe propria rspundere c am luat cunotin de
prevederile legale referitoare la protecia datelor cu caracter personal i consimt
s pstrez confidenialitatea datelor cu caracter personal a cror prelucrare o
efectuez n condiiile legii, n virtutea atribuiilor de serviciu, inclusiv dup
ncetarea activitilor de prelucrare a acestor date.
Cunosc faptul c nclcarea normelor legale privind protecia datelor cu
caracter personal atrage rspunderea administrativ, disciplinar, material, civil
ori penal, n raport cu gravitatea faptei, potrivit legii.

Data ...........

Semntura ..............

Dat n prezena
.....................................................................
(numele i prenumele responsabilului/persoanei din structura
responsabil cu protecia datelor personale)

....................
 ANEXA 2

REGISTRUL DE EVIDEN
a operatorilor din cadrul Ministerului Administraiei i Internelor
*T*

Nr. Denumi- Respon- Denumirea Data i Scopul Sursa Opera- Tipul

de Nr. i
crt.rea sabilul/ sistemuluinumrul prelu- de iunileeviden
data Obs
struc- eful de de nre-crrii/colec-de pre-utilizat proce-

turii/ comparti-eviden gistrareBaza tare lucrare(automat/
durii
unitiimentului a noti- legal care
seneautomat)proprii
MAI (date de ficrii efectu-
contact) eaz

*ST*

ANEXA 3

REGISTRUL DE CONSULTARE/MULTIPLICARE
a documentelor din ...................., deinut de ....................
(denumirea sistemului (serviciu/birou etc.)
de eviden)
*T*

Nr. Emitentul Dataeful/Con- Gradul, Denumi- Semn-Semn-

Denumirea Nr.
crt.i numruli ductorul numele rea tura tura dedocumentu-
adresei
de nre- ora structurii/i pre- documen-de resti- lui multi-prin
Obs.
gistrare acon-unitii numele tului primi-tuire plicat/nr.care a

cererii desul-care a persoa- consul- re a file fost
consul- t- aprobat nei caretat/nr. docu- expediat

tare/multirii consul- consultfile mentu- documen-

plicare tarea/mul- lui tul mul-
tiplicarea consul tiplicat
tat

*ST*

___________