Legea Nr. 81/2012 pentru modificarea si completarea Legii Nr. 238/2009 privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice (Publicat in Monitorul Oficial, Partea I nr. 400 din 14 iunie 2012)
Parlamentul Romaniei adopta prezenta lege.
Art. I. –
Legea Nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, publicată în Monitorul Oficial al României, Partea I, Nr. 405 din 15 iunie 2009, se modifică și se completează după cum urmează:
1. La articolul 1, după alineatul (2) se introduce un nou alineat, alineatul (3), cu următorul cuprins:
“(3) Prezenta lege nu se aplică prelucrărilor și transferului de date cu caracter personal efectuate în îndeplinirea atribuțiilor legale de structurile/unitățile M.A.I. în domeniul apărării naționale și securității naționale, în limitele și cu restricțiile stabilite de lege.”
2. După articolul 1 se introduce un nou articol, articolul 1.1, cu următorul cuprins:
“Art. 1.1. –
În înțelesul prezentei legi, termenii și expresiile de mai jos au următoarea semnificație:
a) interconectare .- operațiunea de a pune în legătură datele cu caracter personal cuprinse într-un fișier, bază de date sau sistem de evidență automat cu cele cuprinse într-unul sau mai multe fișiere, baze de date sau sisteme de evidență automate care sunt gestionate de operatori diferiți sau de către același operator, dar având scopuri diferite, similare sau corelate, după caz;
b) semnalare .- setul de date introduse într-un sistem de evidență a datelor cu caracter personal referitoare la persoane sau bunuri cu privire la care au fost dispuse unele măsuri, în condițiile legii, în vederea realizării unui interes public, a respectării regimului liberei circulații a persoanelor și bunurilor sau a asigurării ori menținerii ordinii și siguranței publice;
c) blocare .- marcarea unor date cu caracter personal stocate, în scopul limitării prelucrării pe viitor;
d) atribuirea de referințe .- marcarea unor date cu caracter personal stocate, fără a avea ca scop limitarea prelucrării lor ulterioare;
e) transformarea în date anonime .- modificarea datelor cu caracter personal, astfel încât detaliile privind circumstanțele personale sau materiale să nu mai permită atribuirea acestora unei persoane fizice identificate sau identificabile sau atribuirea să fie posibilă doar în condițiile unei investiții disproporționate de timp, costuri și forță de muncă;
f) consimțământul persoanei vizate .- orice manifestare de voință, liberă, specifică și informată, prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc;
g) evidență pasivă .- fișier sau bază de date cu caracter personal constituit în scopul accesării limitate și ulterior ștergerii datelor stocate din sistemul de evidență.”
3. După articolul 5 se introduc două noi articole, articolele 5.1 și 5.2, cu următorul cuprins:
“Art. 5.1. –
(1) Datele cu caracter personal se blochează atunci când există motive întemeiate să se considere că ștergerea lor ar putea afecta drepturile, libertățile și interesele legitime ale persoanei vizate.
(2) Datele blocate se prelucrează doar în scopul care a împiedicat ștergerea lor.
(3) Datele blocate se șterg de îndată ce nu mai sunt necesare scopului prevăzut la alin. (2).
Art. 5.2. –
Structurile/unitățile M.A.I. prelucrează suplimentar date cu caracter personal, într-un alt scop decât cel pentru care datele au fost colectate, dacă sunt îndeplinite următoarele condiții:
a) prelucrarea este compatibilă cu scopul în care au fost colectate datele;
b) scopul în care urmează a fi prelucrate suplimentar datele cu caracter personal de către structurile/unitățile M.A.I. sau entitățile cărora urmează să le fie comunicate datele se încadrează în atribuțiile sau, după caz, obligațiile ce le revin potrivit legii;
c) prelucrarea este necesară și proporțională în raport cu noul scop.”
4. Articolul 7 se modifică și va avea următorul cuprins:
“Art. 7. –
(1) Datele cu caracter personal deținute de structurile/unitățile M.A.I. potrivit scopurilor prevăzute la art. 1 alin. (1) pot fi transferate următorilor destinatari:
a) autorităților polițienești, judiciare sau altor autorități competente din statele membre ori organismelor sau instituțiilor Uniunii Europene cu atribuții în domeniul cooperării polițienești ori judiciare în materie penală;
b) Organizației Internaționale a Poliției Criminale – Interpol sau altor instituții internaționale similare;
c) organismelor de poliție din state terțe.
(2) Transferul datelor cu caracter personal prevăzut la alin. (1) se realizează în una dintre următoarele situații:
a) există o prevedere legală expresă în legislația națională sau într-un tratat ratificat de România;
b) există prevederi legale care reglementează cooperarea polițienească sau cooperarea judiciară internațională în materie penală;
c) când transferul este necesar pentru prevenirea unui pericol grav și iminent asupra vieții, integrității corporale sau sănătății unei persoane ori a proprietății acesteia, precum și pentru combaterea unei infracțiuni grave prevăzute de lege, cu respectarea legii române.”
5. La articolul 8, alineatul (3) se modifică și va avea următorul cuprins:
“(3) În situația în care au fost transmise date incorecte sau neactualizate, structurile/unitățile M.A.I. au obligația să îi informeze pe destinatarii respectivelor date asupra neconformității acestora, cu menționarea datelor care au fost modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie rectificate, șterse ori blocate.”
6. La articolul 8, după alineatul (3) se introduc trei noi alineate, alineatele (4)-(6), cu următorul cuprins:
“(4) În situația în care se constată că au fost transmise date cu caracter personal în mod ilegal, structurile/unitățile M.A.I. au obligația de a-i informa pe destinatarii acestor date, cu precizarea că datele transmise trebuie șterse de îndată.
(5) În situația în care se constată că structurilor/unităților M.A.I. le-au fost transmise date cu caracter personal incorecte sau neactualizate, datele se rectifică, se șterg sau, după caz, se blochează, în condițiile legii. Dacă structurilor/unităților M.A.I. le sunt transmise în mod eronat sau ilegal astfel de date, acestea se șterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată și motivul adoptării acesteia.
(6) În cazul în care structurilor/unităților M.A.I. le sunt transmise, potrivit legii, date cu caracter personal nesolicitate, acestea au obligația de a verifica dacă datele sunt necesare în scopul pentru care au fost transmise. Datele care nu sunt necesare scopului se șterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată și motivul adoptării acesteia.”
7. La articolul 9, alineatul (1) se modifică și va avea următorul cuprins:
“Art. 9. –
(1) La comunicarea datelor cu caracter personal către alte autorități sau instituții publice, entități de drept privat care își desfășoară activitatea pe teritoriul României sau în afara acestuia, ori către destinatarii prevăzuți la art. 7 alin. (1), structurile/unitățile M.A.I. atenționează destinatarii asupra interdicției de a prelucra datele comunicate în alte scopuri decât cele specificate în cererea de comunicare.”
8. La articolul 9, după alineatul (1) se introduc două noi alineate, alineatele (1.1) și (1.2), cu următorul cuprins:
“(1.1) La comunicarea datelor cu caracter personal potrivit alin. (1) i se indică destinatarului limitări ale prelucrării, dacă este cazul, și termene de păstrare adecvate și se precizează obligația de a șterge datele cu caracter personal transmise la expirarea termenului indicat sau, dacă este cazul, de a proceda la blocarea acestora. Termenele de păstrare comunicate nu pot depăși termenele stabilite prin prevederi legale ori, după caz, cele stabilite de structurile/unitățile M.A.I. prin reguli proprii, potrivit dispozițiilor art. 14 pentru acele categorii de date cu caracter personal pe care le dețin și urmează să facă obiectul comunicării.
(1.2) În cazul în care se comunică date cu caracter personal destinatarilor prevăzuți la art. 7 alin. (1) lit. a), pot fi comunicate limitări ale prelucrării doar dacă acestea sunt stabilite de lege, iar termenele de păstrare sunt cele stabilite prin prevederi legale ori, după caz, de structurile/unitățile M.A.I. prin reguli proprii, potrivit dispozițiilor art. 14.”
9. La articolul 9, după alineatul (2) se introduce un nou alineat, alineatul (3), cu următorul cuprins:
“(3) Structurile/Unitățile M.A.I. pot solicita destinatarilor prevăzuți la alin. (1), cărora le-au fost comunicate date cu caracter personal, informații cu privire la modul în care acestea au fost prelucrate.”
10. După articolul 9 se introduc cinci noi articole, articolele 9.1-9.5, cu următorul cuprins:
“Art. 9.1. –
(1) Pentru datele cu caracter personal comunicate de către alte autorități competente sau entități de drept privat din afara teritoriului României, în cazul în care este precizat un termen de păstrare a datelor, structurile/unitățile M.A.I. au obligația de a șterge ori, după caz, de a bloca datele la expirarea termenului de păstrare a datelor indicat. În cazul în care nu este precizat un termen de păstrare a datelor, sunt aplicabile termenele de stocare a datelor cu caracter personal, stabilite pentru acele categorii de date, de către structurile/unitățile M.A.I., potrivit dispozițiilor art. 14.
(2) În cazul datelor cu caracter personal prevăzute la alin. (1), structurile/unitățile M.A.I. au obligația de a verifica periodic, o dată la 3 ani, necesitatea stocării acestora.
(3) Datele cu caracter personal a căror stocare nu mai este necesară se șterg sau, după caz, se blochează, chiar dacă nu s-a împlinit termenul precizat de entitatea care le-a transmis ori cel prevăzut de regulile stabilite potrivit dispozițiilor art. 14.
(4) Dispozițiile alin. (1) nu se aplică dacă la momentul expirării termenului de păstrare a datelor, indicat de autoritatea competentă sau entitatea de drept privat din afara teritoriului României, datele cu caracter personal sunt în continuare necesare pentru efectuarea de acte premergătoare în vederea începerii urmăririi penale, pentru desfășurarea urmăririi penale sau pentru executarea unei pedepse.
Art. 9.2. –
Datele cu caracter personal comunicate de către autoritățile competente ale unui stat membru al Uniunii Europene, denumit în continuare stat membru, pot fi prelucrate suplimentar de către structurile/unitățile M.A.I., în alt scop decât cel pentru care au fost transmise, în una dintre următoarele situații:
a) pentru prevenirea, constatarea, cercetarea sau urmărirea penală a infracțiunilor ori executarea pedepselor, altele decât cele pentru care au fost comunicate;
b) pentru derularea altor proceduri judiciare sau administrative direct legate de prevenirea, constatarea, cercetarea ori urmărirea penală a infracțiunilor ori executarea pedepselor;
c) pentru prevenirea unui pericol iminent și grav la adresa ordinii și siguranței publice;
d) în orice alt scop, cu consimțământul prealabil al statului membru care transmite sau cu consimțământul persoanei vizate, potrivit legii.
Art. 9.3. –
(1) Datele cu caracter personal comunicate de către autoritățile competente ale unui alt stat membru pot fi transferate de structurile/unitățile M.A.I. către autorități competente dintr-un stat care nu este membru al Uniunii Europene, denumit în continuare stat terț, sau către organisme internaționale, numai dacă sunt îndeplinite, cumulativ, următoarele condiții:
a) se impune pentru prevenirea, constatarea, cercetarea sau urmărirea penală a infracțiunilor ori executarea pedepselor;
b) datele cu caracter personal sunt comunicate organismului internațional ori autorității statului terț competente în prevenirea, constatarea, cercetarea sau urmărirea penală a infracțiunilor sau pentru executarea pedepselor;
c) există acordul statului membru care a comunicat datele pentru transfer;
d) statul terț sau organismul internațional în cauză asigură un nivel corespunzător de protecție pentru prelucrarea de date urmărită.
(2) Datele cu caracter personal pot fi comunicate în condițiile prevăzute la alin. (1), fără acordul statului membru, numai dacă transferul de date este strict necesar pentru prevenirea unui pericol grav și iminent la adresa ordinii și siguranței publice a unui stat membru ori a unui stat terț sau a intereselor fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obținut în timp util.
(3) În situația prevăzută la alin. (2), unitatea/structura M.A.I. care efectuează comunicarea de date cu caracter personal are obligația de a informa de îndată autoritatea competentă din statul membru care a furnizat datele.
(4) Prin excepție de la prevederile alin. (1) lit. d), datele cu caracter personal pot fi comunicate către autoritățile competente dintr-un stat terț sau către organismele internaționale, cu respectarea dispozițiilor art. 30 lit. d) ori e) din Legea nr. 677/2001, cu modificările și completările ulterioare.
Art. 9.4. –
(1) Datele cu caracter personal comunicate de către autoritățile competente ale unui alt stat membru pot fi transferate către entități de drept privat dintr-un stat membru, altul decât cel care a furnizat datele, numai dacă sunt îndeplinite, cumulativ, următoarele condiții:
a) autoritatea competentă din statul membru care a comunicat datele și-a dat acordul pentru efectuarea prelucrării;
b) niciun interes specific legitim al persoanei vizate nu împiedică transmiterea;
c) în situații specifice, comunicarea este esențială pentru autoritatea competentă care transmite date unei entități private.
(2) Cazurile specifice pentru care se consideră îndeplinită condiția prevăzută la alin. (1) lit. c) sunt determinate de următoarele situații:
a) îndeplinirea unei obligații prevăzute de lege în sarcina entității private;
b) prevenirea, constatarea, cercetarea sau urmărirea penală a infracțiunilor ori executarea pedepselor;
c) prevenirea unui pericol iminent și grav la adresa ordinii și siguranței publice;
d) prevenirea unei vătămări grave a drepturilor persoanei.
(3) Structurile/Unitățile M.A.I. au obligația de a informa entitățile de drept privat cărora le sunt comunicate datele potrivit alin. (1) cu privire la scopurile pentru care, în mod exclusiv, pot fi utilizate datele cu caracter personal comunicate.
Art. 9.5. –
La cerere, structurile/unitățile M.A.I. informează autoritățile competente ale unui alt stat membru care au transmis date cu caracter personal cu privire la modul în care acestea au fost prelucrate, în termen de 15 zile de la înregistrarea solicitării.”
11. La articolul 10, alineatul (2) se modifică și va avea următorul cuprins:
“(2) În scopul prevăzut la alin. (1), interconectarea sistemelor de evidență a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 2, se poate realiza și cu sistemele de evidență ori cu mijloacele automate de prelucrare a datelor cu caracter personal deținute de alți operatori, autorități și instituții publice naționale.”
12. La articolul 10, după alineatul (2) se introduc două noi alineate, alineatele (2.1) și (2.2), cu următorul cuprins:
“(2.1) Interconectările prevăzute la alin. (1) și (2) sunt posibile numai cu acordul prealabil al Autorității naționale de supraveghere. În cazul obținerii acordului prealabil, structura/unitatea M.A.I. notifică prelucrarea Autorității naționale de supraveghere, în condițiile prevăzute la art. 3.
(2.2) În scopul prevăzut la alin. (1), interconectarea sistemelor de evidență a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 2, se poate realiza și cu sistemele de evidență sau cu mijloacele automate de prelucrare a datelor cu caracter personal deținute de alți operatori, entități de drept privat.”
13. La articolul 10, alineatul (3) se modifică și va avea următorul cuprins:
“(3) Interconectările prevăzute la alin. (2.2) sunt permise numai în cazul efectuării actelor premergătoare, al urmăririi penale sau al judecării unei infracțiuni în baza unei autorizări emise de procurorul competent să efectueze ori să supravegheze, într-un caz determinat, efectuarea actelor premergătoare sau urmărirea penală ori, în cazul judecării unei infracțiuni, de judecătorul anume desemnat de la instanța căreia îi revine competența de a judeca fondul cauzei pentru care sunt prelucrate datele respective.”
14. La articolul 10, alineatul (5) se abrogă.
15. După articolul 10 se introduc cinci noi articole, articolele 10.1-10.5, cu următorul cuprins:
“Art. 10.1. –
(1) În cazul activităților de prevenire a infracțiunilor, de menținere și de asigurare a ordinii publice, sistemele de evidență a datelor cu caracter personal sau mijloacele automate de prelucrare a datelor cu caracter personal, constituite potrivit art. 2, pot fi interconectate cu:
a) Registrul național de evidență a persoanelor;
b) Registrul național de evidență a pașapoartelor simple;
c) Registrul național de evidență a permiselor de conducere și a vehiculelor înmatriculate.
(2) În cazul activităților prevăzute la alin. (1), structurile/unitățile M.A.I. pot interconecta sistemele de evidență a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le dețin pentru scopuri similare ori corelate.
(3) Interconectările prevăzute la alin. (1) și (2) se notifică Autorității naționale de supraveghere prin modificarea/ completarea notificării sau depunerea unei noi notificări.
(4) În cazul activităților prevăzute la alin. (1), structurile/unitățile M.A.I. pot interconecta sistemele de evidență a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le dețin pentru scopuri diferite, numai cu acordul prealabil al Autorității naționale de supraveghere. În cazul obținerii acordului, structurile/unitățile M.A.I. notifică prelucrarea datelor Autorității naționale de supraveghere prin modificarea/ completarea notificării sau depunerea unei noi notificări.
(5) Dispozițiile alin. (1)-(4) sunt aplicabile și în cazul activităților de control la frontieră, executate, în condițiile legii, de structura specializată a M.A.I, care impun interconectarea sistemelor de evidență a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal, constituite potrivit dispozițiilor art. 2.
Art. 10.2. –
(1) Structurile/Unitățile M.A.I. pot configura sistemele de evidență a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le dețin pentru scopuri corelate sau diferite, astfel încât semnalările cu privire la persoane sau bunuri să fie accesibile în orice sistem ori mijloc de prelucrare.
(2) Sistemele de evidență a datelor cu caracter personal sau, după caz, mijloacele automate de prelucrare a datelor cu caracter personal deținute de structurile/unitățile M.A.I. se configurează astfel încât niciun utilizator să nu aibă acces decât la datele cu caracter personal strict necesare desfășurării atribuțiilor de serviciu. Structurile/Unitățile M.A.I. au obligația de a stabili categoriile de date la care are acces fiecare utilizator, în scopul îndeplinirii atribuțiilor de serviciu.
Art. 10.3. –
(1) În cazul sistemelor de evidență constituite potrivit scopurilor prevăzute la art. 1 alin. (1), structurile/unitățile M.A.I. pot permite autorităților, instituțiilor sau organizațiilor prevăzute la art. 7 accesul direct la sistemele gestionate, doar în condiții care să asigure securitatea datelor cu caracter personal, în următoarele situații:
a) în baza unui tratat ratificat de România;
b) în cadrul activității de cooperare polițienească și judiciară în materie penală efectuată în cadrul Uniunii Europene.
(2) Prelucrările efectuate potrivit alin. (1) se notifică Autorității naționale de supraveghere în condițiile art. 3.
(3) În situația prevăzută la alin. (1), prelucrarea datelor cu caracter personal de către autoritățile, instituțiile sau organizațiile prevăzute la art. 7 se permite doar pentru scopul stabilit prin tratat ori, după caz, printr-un instrument juridic al Uniunii Europene.
Art. 10.4. –
(1) În situațiile prevăzute la art. 10 alin. (1), structurile/unitățile M.A.I. dispun măsurile necesare pentru ca toate prelucrările de date cu caracter personal să fie înregistrate în sistem într-un fișier de acces, în scopul monitorizării legalității efectuării prelucrărilor.
(2) Sistemele de evidență sau mijloacele automate de prelucrare a datelor cu caracter personal gestionate de către structurile/unitățile M.A.I. trebuie să fie configurate astfel încât să genereze fișierele de acces și în situația în care structurilor/unităților M.A.I. li se permite accesul direct în sistemele de evidență gestionate de autoritățile, instituțiile sau organizațiile prevăzute la art. 7.
(3) Fișierele de acces trebuie să cuprindă cel puțin data, ora exactă, motivul prelucrării, datele de identificare a autorității, instituției sau, după caz, a organizației care a efectuat prelucrarea, precum și codul de identificare a utilizatorului care a efectuat prelucrarea. Dacă este cazul, fișierele de acces pot conține și datele cu caracter personal care au făcut obiectul prelucrării.
(4) Fișierele de acces pot fi utilizate doar în scopul verificării legalității prelucrării sau pentru asigurarea securității datelor cu caracter personal.
Art. 10.5. –
La cerere, structurile/unitățile M.A.I. comunică, în termen de 15 zile, autorităților competente în domeniul protecției datelor cu caracter personal din afara teritoriului României, înregistrările referitoare la prelucrările efectuate în sistemele de evidență gestionate de entitățile din statul a cărui autoritate a formulat cererea.”
16. La articolul 11, după alineatul (6) se introduce un nou alineat, alineatul (7), cu următorul cuprins:
“(7) În situația în care structurile/unitățile M.A.I. nu pot da curs cererilor formulate în exercitarea dreptului de intervenție în scopul rectificării, ștergerii ori, după caz, blocării datelor cu caracter personal, transmit persoanei vizate un răspuns scris în care sunt menționate motivele care stau la baza imposibilității soluționării solicitării, precum și faptul că aceasta are dreptul de a se adresa Autorității naționale de supraveghere sau, după caz, instanței de judecată.”
17. După articolul 11 se introduc patru noi articole, articolele 11.1-11.4, cu următorul cuprins:
“Art. 11.1. –
(1) În cazul în care structurile/unitățile M.A.I. formulează cereri pentru comunicarea datelor cu caracter personal adresate unor autorități competente ori entități de drept privat din afara teritoriului României, pot solicita ca persoana vizată să nu fie informată cu privire la prelucrare numai dacă sunt aplicabile dispozițiile art. 11 alin. (2). La încetarea motivelor pentru care s-a formulat o astfel de solicitare, structurile/unitățile M.A.I. informează în scris autoritatea competentă ori entitatea de drept privat din afara teritoriului României cu privire la faptul că persoana vizată, ale cărei date cu caracter personal au fost comunicate, poate fi informată cu privire la această prelucrare.
(2) În cazul în care autoritățile competente ale unui stat membru solicită, cu ocazia comunicărilor de date cu caracter personal de către structurile/unitățile M.A.I., ca persoana vizată să nu fie informată, structurile/unitățile M.A.I. dispun informarea persoanei vizate doar cu consimțământul autorității competente solicitante.
Art. 11.2. –
În situația în care cererea persoanei vizate în contextul prelucrării datelor cu caracter personal se referă la o prelucrare efectuată de către o autoritate competentă ori entitate de drept privat din afara teritoriului României în sistemele de evidență gestionate de structurile/unitățile M.A.I., prin derogare de la prevederile art. 13 alin. (3), ale art. 14 alin. (3) și ale art. 15 alin. (4) din Legea nr. 677/2001, cu modificările și completările ulterioare, i se răspunde solicitantului cât mai curând posibil, dar nu mai târziu de 60 de zile de la data primirii cererii. În acest termen, structurile/unitățile M.A.I. solicită informații autorității competente ori entității de drept privat din afara teritoriului României care a efectuat prelucrarea.
Art. 11.3. –
(1) În cazul în care exactitatea unor date cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu se poate stabili cu certitudine, acestora li se pot atribui referințe. La cererea persoanei vizate, atribuirea de referințe este obligatorie.
(2) Datele cu caracter personal cărora le-au fost atribuite referințe nu pot fi comunicate decât în scopul stabilirii corectitudinii acestora.
(3) Referințele atribuite potrivit alin. (1) pot fi înlăturate în unul dintre următoarele cazuri:
a) la solicitarea ori cu acordul persoanei vizate, atunci când exactitatea sau, după caz, inexactitatea datelor cu caracter personal a fost stabilită;
b) atunci când există o hotărâre a instanței de judecată sau autorizarea Autorității naționale de supraveghere.
Art. 11.4. –
(1) Structurile/Unitățile M.A.I., în calitate de operatori, răspund pentru prejudiciul cauzat persoanei vizate în urma unei prelucrări de date cu caracter personal, chiar și în situația în care prejudiciul a fost cauzat prin prelucrarea, în condițiile legii, a unor date cu caracter personal inexacte furnizate de o autoritate competentă a unui stat membru.
(2) În situația în care structurile/unitățile M.A.I. sunt obligate, în condițiile legii, la plata unor despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte furnizate de o autoritate competentă a unui stat membru, acestea sunt obligate să dispună măsurile necesare pentru recuperarea sumelor plătite ca despăgubire de la autoritatea care a furnizat datele respective.
(3) Pentru a se asigura îndeplinirea obligației prevăzute la alin. (2), structurile/unitățile M.A.I., care au plătit despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte, informează autoritatea competentă din statul membru care a furnizat aceste date și solicită rambursarea sumei plătite ca despăgubire. Cu această ocazie, structurile/unitățile M.A.I. comunică faptul că prejudiciul a fost cauzat exclusiv ca urmare a prelucrării, în condițiile legii, a datelor inexacte furnizate de autoritatea competentă din statul membru, și nu din culpa structurii/unității M.A.I. care a primit datele cu caracter personal, și anexează documente din care să rezulte:
a) că structura/unitatea M.A.I. a fost obligată la plata despăgubirii pentru prejudiciile cauzate persoanei vizate și că a plătit o sumă de bani;
b) că datele cu caracter personal ale persoanei vizate provin de la această autoritate competentă din statul membru;
c) datele de identificare a contului în care urmează a fi virate sumele de bani.
(4) În situația în care structurilor/unităților M.A.I. li se solicită, de către autorități competente din statele membre, rambursarea unor sume plătite de acestea ca despăgubiri pentru prejudicii cauzate persoanelor vizate ca urmare a prelucrării unor date cu caracter personal inexacte furnizate de structurile/unitățile M.A.I., înainte de plata sumelor solicitate, structurile/unitățile M.A.I. trebuie să verifice dacă:
a) prejudiciul a fost cauzat exclusiv ca urmare a prelucrării datelor inexacte furnizate în condițiile indicate de structura/unitatea M.A.I., și nu din culpa autorității competente solicitante;
b) solicitarea este însoțită de documente din care să rezulte că autoritatea competentă din statul membru a fost obligată la plata despăgubirii pentru prejudiciile cauzate persoanei vizate ca urmare a furnizării de către structurile/unitățile M.A.I. a unor informații inexacte și a că plătit o sumă de bani.”
18. La articolul 12, alineatul (1) se modifică și va avea următorul cuprins:
“Art. 12. –
(1) Datele cu caracter personal stocate în îndeplinirea activităților prevăzute la art. 1 alin. (1) se șterg sau se transformă în date anonime atunci când nu mai sunt necesare scopurilor pentru care au fost colectate ori, după caz, se blochează, în condițiile legii. În situații justificate, datele pot fi trecute în evidență pasivă și stocate, pentru o perioadă care nu poate fi mai mare decât termenul de stocare stabilit inițial potrivit scopului în care au fost colectate.”
19. După articolul 15 se introduce următoarea mențiune:
“Prezenta lege transpune în legislația națională Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală, publicată în Jurnalul Oficial al Uniunii Europene seria L nr. 350 din 30 decembrie 2008 și creează cadrul juridic necesar aplicării art. 24-32 din Decizia 2008/615/JAI a Consiliului din 23 iunie 2008 privind intensificarea cooperării transfrontaliere, în special în domeniul combaterii terorismului și a criminalității transfrontaliere, publicată în Jurnalul Oficial al Uniunii Europene seria L nr. 210 din 6 august 2008.”
Art. II. –
Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unitățile Ministerului Administrației și Internelor în activitățile de prevenire, cercetare și combatere a infracțiunilor, precum și de menținere și asigurare a ordinii publice, publicată în Monitorul Oficial al României, Partea I, nr. 405 din 15 iunie 2009, cu modificările și completările aduse prin prezenta lege, va fi republicată în Monitorul Oficial al României, Partea I, dându-se textelor o nouă numerotare.
Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 și ale art. 76 alin. (2) din Constituția României, republicată.
PREȘEDINTELE CAMEREI DEPUTAȚILOR
ROBERTA ALMA ANASTASE
PREȘEDINTELE SENATULUI
VASILE BLAGA
București, 13 iunie 2012.