Legea 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, precum şi pentru prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale

M.Of. 1013

În vigoare
Versiune de la: 29 Noiembrie 2018
Legea 284/2018 privind utilizarea datelor din registrul cu numele pasagerilor din transportul aerian pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, precum şi pentru prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale
Dată act: 26-nov-2018
Emitent: Parlamentul
Parlamentul României adoptă prezenta lege.
CAPITOLUL I:Dispoziţii generale
Art. 1: Domeniul de aplicare
(1)Prezenta lege reglementează:
a)transmiterea datelor din registrul cu numele pasagerilor prevăzute la art. 14, denumite în continuare date PNR, aferente zborurilor extra-UE şi intra-UE, de la transportatorii aerieni la Unitatea naţională de informaţii privind pasagerii, prevăzută la art. 4 alin. (1), denumită în continuare UNIP;
b)prelucrarea datelor PNR, inclusiv colectarea, utilizarea şi păstrarea acestora de către UNIP;
c)schimbul de date PNR cu alte state;
d)condiţiile de acces al Agenţiei Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii, denumită în continuare EUROPOL, la datele PNR colectate de UNIP.
(2)Prezenta lege nu aduce atingere dreptului organelor judiciare de a solicita şi de a obţine de la transportatorii aerieni, în condiţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, date din registrele cu numele pasagerilor deţinute de aceştia.
(3)Prezenta lege nu aduce atingere dreptului organelor de stat cu atribuţii în domeniul securităţii naţionale de a solicita şi de a obţine de la transportatorii aerieni, în condiţiile Legii nr. 51/1991 privind securitatea naţională a României, republicată, cu completările ulterioare, date din registrele cu numele pasagerilor deţinute de aceştia.
Art. 2: Definirea unor termeni şi expresii
În sensul prezentei legi, termenii şi expresiile de mai jos au următoarele semnificaţii:
a)transportator aerian - orice persoană fizică sau juridică, română sau străină, deţinătoare a unui certificat de operator aerian în termen de valabilitate şi, după caz, a unei licenţe de operare, al cărei obiect de activitate îl reprezintă asigurarea transportului pasagerilor pe calea aerului;
b)zbor extra-UE - orice zbor regulat sau neregulat al unui transportator aerian, cu punctul de plecare sau tranzit într-o ţară terţă, şi planificat să aterizeze pe teritoriul României sau să decoleze de pe teritoriul României şi planificat să aterizeze într-o ţară terţă, inclusiv zboruri pentru care sunt desemnate aeroporturi sau aerodromuri de rezervă situate pe teritoriul României;
c)zbor intra-UE - orice zbor regulat sau neregulat al unui transportator aerian planificat să aterizeze pe teritoriul României, având punctul de plecare sau tranzit de pe teritoriul unui alt stat membru al Uniunii Europene, sau să decoleze de pe teritoriul României şi planificat să aterizeze pe teritoriul unui alt stat membru al Uniunii Europene, în ambele cazuri, fără escală pe teritoriul unei ţări terţe;
d)pasager - orice persoană fizică, inclusiv persoanele aflate în transfer sau în tranzit, cu excepţia membrilor echipajului, transportată sau care urmează să fie transportată într-o aeronavă cu consimţământul transportatorului aerian, acest consimţământ fiind exprimat prin înregistrarea persoanei respective pe lista pasagerilor;
e)registru cu numele pasagerilor sau PNR - registru al cerinţelor de călătorie ale fiecărui pasager, care conţine informaţiile necesare pentru a permite prelucrarea şi controlul rezervărilor de către transportatorii aerieni care efectuează rezervările şi de către transportatorii aerieni participanţi, pentru fiecare călătorie rezervată de către sau în numele oricărei persoane, indiferent că este conţinut în sistemele de rezervare, în sistemele de control al plecărilor utilizate pentru verificarea pasagerilor la îmbarcarea în avion sau în sisteme echivalente care oferă aceleaşi funcţionalităţi;
f)sistem de rezervare - sistemul intern al transportatorului aerian, în care datele PNR sunt colectate pentru gestionarea rezervărilor;
g)metoda de tip push - metoda prin care transportatorii aerieni transferă datele PNR către UNIP, care presupune realizarea unei transmisiuni active de date din sistemele transportatorilor aerieni în Sistemul de evidenţă a datelor PNR;
h)infracţiuni de terorism - infracţiunile prevăzute în Legea nr. 535/2004 privind prevenirea şi combaterea terorismului, cu modificările şi completările ulterioare;
i)infracţiuni grave - infracţiunile pentru care pedeapsa prevăzută de lege este detenţiunea pe viaţă sau închisoarea al cărei maxim special este de cel puţin 3 ani, corespunzătoare formelor de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;
j)depersonalizare prin mascarea elementelor de date - acţiunea prin care acele elemente ale datelor PNR care ar putea servi la identificarea directă a unei persoane să nu fie vizibile pentru utilizatorii Sistemului de evidenţă a datelor PNR;
k)date API - datele prevăzute la art. 3 alin. (1) din Ordonanţa Guvernului nr. 34/2006 privind obligaţia transportatorilor aerieni de a comunica date despre pasageri, aprobată cu modificări şi completări prin Legea nr. 452/2006;
l)sistem de control al plecărilor - sistemul automat de înregistrare a pasagerilor, bagajelor şi încărcăturii cargo, îmbarcate la bordul unei aeronave;
m)autorităţi competente - autorităţile prevăzute la art. 11 alin. (1);
n)profilul "client fidel" - înregistrările cu privire la persoane fizice realizate de transportatorii aerieni în cadrul programelor de fidelitate derulate de către aceştia;
o)coduri partajate - situaţia în care un zbor este efectuat în colaborare de 2 sau mai mulţi transportatori aerieni.
Art. 3: Notificarea colectării şi utilizării datelor PNR aferente zborurilor intra-UE
În termen de 30 de zile de la data intrării în vigoare a prezentei legi, prin grija Ministerului Afacerilor Interne, se transmite Comisiei Europene o notificare scrisă privind prelucrarea datelor PNR aferente zborurilor intra-UE.
CAPITOLUL II:Cadrul organizatoric
SECŢIUNEA 1:Unitatea naţională de informaţii privind pasagerii
Art. 4: Înfiinţarea şi atribuţiile principale ale UNIP
(1)În cadrul Inspectoratului General al Poliţiei de Frontieră, denumit în continuare IGPF, se înfiinţează UNIP, ca structură de specialitate, fără personalitate juridică, prin preluarea activităţii şi a personalului Unităţii naţionale de informaţii privind pasagerii, înfiinţată potrivit art. 8 alin. (1) din Ordonanţa Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor în cadrul cooperării transfrontaliere pentru prevenirea şi combaterea actelor de terorism, a infracţiunilor conexe acestora şi a infracţiunilor contra securităţii naţionale, precum şi pentru prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale, care se desfiinţează.
(2)UNIP îndeplineşte următoarele atribuţii principale:
a)colectarea datelor PNR de la transportatorii aerieni, stocarea şi prelucrarea acestor date şi transferul datelor respective sau al rezultatului prelucrării acestora către autorităţile competente, în condiţiile stabilite la art. 20-22;
b)schimbul de date PNR şi schimbul de rezultate ale prelucrării datelor PNR cu Unităţile de informaţii privind pasagerii din alte state membre ale Uniunii Europene şi cu EUROPOL, în condiţiile stabilite la art. 24, 26 şi 27;
c)schimbul de date PNR cu ţări terţe, în condiţiile stabilite la art. 28 şi 29.
Art. 5: Tratate privind desemnarea Unităţii naţionale de informaţii privind pasagerii
(1)Prin tratate încheiate cu alte state membre ale Uniunii Europene se poate stabili ca UNIP să fie desemnată Unitate naţională de informaţii privind pasagerii a respectivului stat sau a respectivelor state membre ale Uniunii Europene.
(2)Prin tratate încheiate cu alte state membre ale Uniunii Europene se poate stabili ca Unitatea naţională de informaţii privind pasagerii a unuia dintre respectivele state membre să fie desemnată Unitate naţională de informaţii privind pasagerii a României.
(3)Prin tratatele prevăzute la alin. (1) şi (2) se stabilesc norme detaliate privind funcţionarea Unităţii naţionale de informaţii privind pasagerii comună statelor membre ale Uniunii Europene între care se încheie respectivul tratat şi se respectă dreptul Uniunii Europene în materie, inclusiv cerinţele stabilite prin Directiva (UE) 2016/681 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016.
(4)În cazul prevăzut la alin. (2), aspectele privind desfiinţarea UNIP se stabilesc prin actul normativ de ratificare a tratatului în cauză.
Art. 6: Notificarea privind înfiinţarea sau desemnarea UNIP
(1)În termen de 30 de zile de la data intrării în vigoare a prezentei legi, prin grija Ministerului Afacerilor Interne, se transmite Comisiei Europene o notificare scrisă privind înfiinţarea UNIP.
(2)În cazul modificării situaţiei notificate potrivit alin. (1), în termen de 30 de zile de la intervenirea modificării, prin grija Ministerului Afacerilor Interne, se transmite Comisiei Europene o nouă notificare scrisă.
Art. 7: Personalul UNIP
(1)Şeful UNIP este numit de inspectorul general al IGPF.
(2)Personalul UNIP este format din poliţişti - funcţionari publici cu statut special.
(3)În cadrul UNIP poate fi detaşat sau delegat, în condiţiile legii, personal de la autorităţile competente, în scopul efectuării evaluărilor prevăzute la art. 20-22, cu respectarea principiului necesităţii de a cunoaşte.
SECŢIUNEA 2:Responsabilul cu protecţia datelor în cadrul UNIP
Art. 8: Responsabilul cu protecţia datelor în cadrul UNIP
(1)La nivelul IGPF se înfiinţează funcţia de responsabil cu protecţia datelor în cadrul UNIP.
(2)Responsabilul cu protecţia datelor în cadrul UNIP este numit de inspectorul general al IGPF, cu îndeplinirea condiţiilor prevăzute la alin. (3).
(3)Poate fi desemnat responsabil cu protecţia datelor în cadrul UNIP un poliţist - funcţionar public cu statut special cu studii superioare -, care are o experienţă de minimum 2 ani în domeniul protecţiei datelor cu caracter personal şi care a urmat cel puţin un curs de specializare în acest domeniu.
(4)Responsabilul cu protecţia datelor în cadrul UNIP îşi desfăşoară activitatea în subordinea nemijlocită a inspectorului general al IGPF. Inspectorul general al IGPF asigură preluarea atribuţiilor responsabilului cu protecţia datelor în cadrul UNIP, în cazul absenţei acestuia de la serviciu pentru o perioadă mai mare de 5 zile, de către o persoană calificată în domeniul protecţiei datelor cu caracter personal.
(5)În exercitarea sarcinilor de serviciu privind respectarea legislaţiei în materia protecţiei datelor cu caracter personal, responsabilul cu protecţia datelor în cadrul UNIP este independent şi nu poate primi instrucţiuni pe cale ierarhică.
(6)Pentru sprijinirea activităţii curente a responsabilului cu protecţia datelor în cadrul UNIP, la nivelul IGPF se pot înfiinţa una sau mai multe funcţii de asistent al responsabilului cu protecţia datelor în cadrul UNIP. Alin. (2) se aplică în mod corespunzător.
(7)Datele de contact ale responsabilului cu protecţia datelor în cadrul UNIP, respectiv nume, prenume, adresă poştală, adresă de poştă electronică, telefon şi fax, se comunică Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, şi se publică la avizierul şi pe pagina de internet a IGPF.
Art. 9: Principalele atribuţii ale responsabilului cu protecţia datelor în cadrul UNIP
(1)Responsabilul cu protecţia datelor în cadrul UNIP are următoarele atribuţii principale:
a)informarea şi consilierea personalului UNIP care efectuează prelucrări de date PNR, cu privire la obligaţiile care le revin în temeiul legislaţiei privind protecţia datelor cu caracter personal;
b)monitorizarea respectării de către UNIP a obligaţiilor ce îi revin în conformitate cu dispoziţiile legislaţiei privind protecţia datelor cu caracter personal şi a politicilor UNIP în materia protecţiei datelor cu caracter personal, în special a alocării responsabilităţilor, a creşterii gradului de conştientizare a acestora în rândul personalului UNIP şi a acţiunilor de formare a personalului implicat în operaţiunile de prelucrare;
c)realizarea verificărilor necesare în scopul determinării nivelului de respectare a rigorilor impuse de cadrul normativ privind protecţia datelor cu caracter personal;
d)furnizarea de consiliere în ceea ce priveşte evaluarea impactului măsurilor de protecţie a datelor cu caracter personal prelucrate în cadrul Sistemului de evidenţă a datelor PNR şi monitorizarea modului în care principiile prelucrării datelor cu caracter personal sunt implementate în cadrul operaţiunilor realizate în cadrul UNIP;
e)cooperarea cu Autoritatea naţională de supraveghere şi îndeplinirea funcţiei de punct de contact pentru această instituţie;
f)îndeplinirea funcţiei de punct unic de contact în relaţia cu persoanele vizate, cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR.
(2)Atunci când în exercitarea atribuţiilor prevăzute la alin. (1) lit. b) şi c) constată efectuarea unei operaţiuni de prelucrare a datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR care nu este conformă cu legislaţia în materia protecţiei datelor cu caracter personal, responsabilul cu protecţia datelor în cadrul UNIP informează conducerea IGPF. În cazul în care pentru remedierea situaţiei nu sunt suficiente măsurile adoptate la nivelul IGPF, responsabilul cu protecţia datelor în cadrul UNIP notifică, de îndată, Autoritatea naţională de supraveghere.
(3)Îndeplinirea funcţiei de punct unic de contact în relaţia cu persoanele vizate presupune realizarea următoarelor activităţi principale:
a)primirea şi înregistrarea într-un registru special a cererilor formulate de către persoanele vizate în exercitarea drepturilor prevăzute de legislaţia privind protecţia datelor cu caracter personal;
b)solicitarea realizării de către UNIP a verificărilor necesare pentru soluţionarea cererilor prevăzute la lit. a);
c)întocmirea răspunsurilor la cererile persoanelor vizate, pe baza rezultatului verificărilor prevăzute la lit. b), şi transmiterea acestora către solicitanţi.
(4)În îndeplinirea atribuţiilor de serviciu, responsabilul cu protecţia datelor în cadrul UNIP are drept de acces în încăperile UNIP şi la informaţiile cuprinse în Sistemul de evidenţă a datelor PNR, potrivit legii.
Art. 10: Asigurarea condiţiilor de muncă ale responsabilului cu protecţia datelor în cadrul UNIP
(1)IGPF pune la dispoziţia responsabilului cu protecţia datelor în cadrul UNIP dotările tehnice şi logistice necesare îndeplinirii atribuţiilor de serviciu, potrivit normelor de dotare aplicabile unei funcţii de şef birou.
(2)În scopul asigurării exercitării drepturilor de către persoana vizată, IGPF pune la dispoziţia responsabilului cu protecţia datelor în cadrul UNIP un spaţiu special amenajat pentru relaţii cu publicul.
(3)IGPF asigură participarea responsabilului cu protecţia datelor în cadrul UNIP la cursuri de instruire de specialitate organizate în Uniunea Europeană, cel puţin o dată la 2 ani.
(4)Măsurile dispuse la nivelul IGPF cu privire la asigurarea condiţiilor de muncă ale responsabilului cu protecţia datelor în cadrul UNIP au în vedere asigurarea exercitării în mod eficient şi independent de către acesta a atribuţiilor stabilite de prezenta lege.
SECŢIUNEA 3:Autorităţile competente
Art. 11: Autorităţile competente
(1)Autorităţile competente să solicite sau să primească de la UNIP şi să utilizeze date PNR sau rezultatul prelucrării datelor PNR în condiţiile art. 23 sunt următoarele:
a)Poliţia Română;
b)Poliţia de Frontieră Română;
c)Direcţia Generală de Protecţie Internă;
d)Direcţia Generală Anticorupţie;
e)Serviciul Român de Informaţii;
f)Serviciul de Informaţii Externe;
g)Ministerul Apărării Naţionale: Direcţia generală de informaţii a apărării;
h)Ministerul Public;
i)Agenţia Naţională de Administrare Fiscală: Direcţia Generală a Vămilor.
(2)Prin ordine sau dispoziţii ale conducătorilor autorităţilor competente prevăzute la alin. (1) se stabilesc:
a)departamentele/structurile din cadrul fiecărei autorităţi competente abilitate să solicite, să primească şi să prelucreze date PNR;
b)persoanele din cadrul departamentelor/structurilor abilitate potrivit lit. a) cu atribuţii de prelucrare a datelor PNR;
c)limitele concrete în exercitarea atribuţiilor de prelucrare a datelor PNR de către persoanele stabilite potrivit lit. b).
(3)Pentru stabilirea limitelor concrete în exercitarea atribuţiilor de prelucrare a datelor PNR potrivit alin. (2) lit. c), conducătorii autorităţilor competente prevăzute la alin. (1) au în vedere următoarele:
a)prelucrarea datelor PNR să fie necesară pentru îndeplinirea atribuţiilor de serviciu;
b)datele PNR să fie prelucrate potrivit procedurilor şi prin mijloacele prevăzute de dispoziţiile legale aplicabile activităţilor în cadrul cărora sunt utilizate datele respective;
c)prelucrarea datelor PNR să respecte dispoziţiile legale privind protecţia datelor cu caracter personal aplicabile activităţilor în cadrul cărora sunt utilizate datele respective.
Art. 12: Notificarea listei cu autorităţile competente
(1)În termen de 30 de zile de la data intrării în vigoare a prezentei legi, prin grija Ministerului Afacerilor Interne, se transmite Comisiei Europene o notificare scrisă privind lista autorităţilor competente.
(2)În cazul modificării situaţiei notificate potrivit alin. (1), prin grija Ministerului Afacerilor Interne, în termen de 30 de zile de la intervenirea modificării, se transmite Comisiei Europene o nouă notificare scrisă.
CAPITOLUL III:Transmiterea datelor PNR de la transportatorii aerieni la UNIP
Art. 13: Obligaţia de transmitere a datelor PNR
(1)Transportatorii aerieni transmit corect şi complet către UNIP datele PNR prevăzute la art. 14 alin. (1) pe care le colectează deja în cadrul activităţilor lor obişnuite, aferente zborurilor extra-UE şi intra-UE pe care le operează.
(2)În cazul în care codul de identificare al unui zbor extra-UE sau intra-UE este partajat de unul sau mai mulţi transportatori aerieni, obligaţia prevăzută la alin. (l) revine transportatorului aerian care operează zborul.
(3)Obligaţiile prevăzute la alin. (1) şi (2) se execută şi în cazul în care un zbor extra-UE sau intra-UE tranzitează unul sau mai multe aeroporturi din alte state membre ale Uniunii Europene.
(4)Este interzisă transmiterea datelor PNR, în condiţiile prezentei legi, către alte autorităţi sau instituţii publice române.
Art. 14: Datele PNR
(1)Transportatorii aerieni transmit către UNIP, în condiţiile prevăzute la art. 15 şi 16, următoarele date din registrul cu numele pasagerilor:
a)codul de rezervare;
b)data rezervării sau a emiterii biletului;
c)data/datele programată/programate a/ale călătoriei;
d)numele şi prenumele asociate rezervării;
e)adresa şi informaţiile de contact - număr de telefon, adresă de e-mail - asociate rezervării;
f)toate informaţiile privind forma de plată, inclusiv adresa de facturare;
g)itinerarul complet de călătorie;
h)informaţiile din profilul "client fidel";
i)agenţia sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;
j)situaţia de călătorie a pasagerului, inclusiv confirmările, situaţia înregistrării pentru zbor, informaţii privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;
k)informaţiile scindate sau divizate din registrul cu numele pasagerilor;
l)menţiunile cu caracter general, inclusiv toate informaţiile disponibile despre minorii neînsoţiţi cu vârsta sub 18 ani, precum numele şi sexul minorului, vârsta, limba/limbile vorbită/vorbite, numele şi datele de contact ale persoanei care îl însoţeşte la plecare şi relaţia sa cu minorul, numele şi datele de contact ale persoanei care îl aşteaptă la sosire şi relaţia sa cu minorul, agentul prezent la plecare şi la sosire;
m)informaţiile despre bilet, inclusiv numărul biletului, data emiterii biletului şi bilete dus simplu şi câmpurile aferente furnizării automate a preţului unui bilet de călătorie;
n)numărul locului şi alte informaţii privind locul;
o)informaţiile cu privire la codurile partajate;
p)toate informaţiile cu privire la bagaje;
q)numărul pasagerilor înregistraţi în PNR şi alte nume ale acestora;
r)orice date API colectate, inclusiv tipul, numărul, ţara de emitere şi data expirării oricărui document de identitate, cetăţenia, numele de familie, prenumele, sexul, data naşterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării şi ora sosirii;
s)un istoric al tuturor modificărilor datelor PNR prevăzute la lit. a)-r).
(2)Datele PNR prevăzute la alin. (1) lit. r) se transmit UNIP în condiţiile prezentei legi, inclusiv în cazul în care transportatorii aerieni nu le păstrează prin mijloacele tehnice utilizate pentru celelalte date PNR.
(3)În cazul în care datele transmise de transportatorii aerieni includ orice date suplimentare faţă de cele prevăzute la alin. (1), Sistemul de evidenţă a datelor PNR şterge în mod automat şi ireversibil aceste date imediat după primirea lor.
Art. 15: Momentul transmiterii datelor PNR
(1)Transportatorii aerieni transmit datele PNR către UNIP cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului.
(2)Imediat după închiderea zborului, adică imediat după îmbarcarea pasagerilor în aeronava care se pregăteşte de decolare, şi când niciun pasager nu se mai poate îmbarca sau nu mai poate debarca, transportatorii aerieni transmit către UNIP toate modificările sau completările intervenite cu privire la datele PNR aferente respectivului zbor de la momentul transmiterii realizate potrivit alin. (1).
(3)În cazul în care evaluarea datelor PNR aferente unui zbor programat este necesară pentru a răspunde unei ameninţări concrete privind comiterea unei infracţiuni de terorism sau a unei infracţiuni grave ori pentru prevenirea şi înlăturarea unei ameninţări la adresa securităţii naţionale, UNIP, exclusiv ca urmare a unei cereri din partea unei autorităţi competente, solicită transportatorilor aerieni să transmită datele PNR aferente zborului în cauză în alte momente decât cele prevăzute la alin. (1) şi (2).
(4)Transportatorii aerieni transmit datele PNR către UNIP, în termenul indicat prin solicitarea prevăzută la alin. (3).
Art. 16: Măsuri tehnice privind transmiterea datelor PNR
(1)Transportatorii aerieni transmit datele PNR către UNIP, exclusiv prin metoda de tip push, prin mijloace electronice de comunicare capabile să asigure protecţia datelor PNR prin măsurile tehnice de securitate şi prin măsurile organizatorice aplicate transmiterii datelor PNR sau, în caz de defecţiune tehnică, prin orice alte mijloace de comunicaţie care asigură acelaşi nivel de protecţie a datelor PNR, precum şi respectarea dispoziţiilor legale privind protecţia datelor cu caracter personal aplicabile.
(2)Până la aplicarea dispoziţiilor alin. (3), datele PNR se transmit către UNIP în formatul/formatele de date stabilit/stabilite prin dispoziţia inspectorului general al IGPF.
(3)După împlinirea termenului de un an de la data la care Comisia Europeană adoptă pentru prima dată lista protocoalelor comune şi a formatelor de date compatibile potrivit art. 8 alin. (3) din Directiva (UE) 2016/681, transportatorii aerieni sunt obligaţi:
a)să notifice UNIP protocolul comun şi formatul de date compatibil, dintre cele cuprinse în lista adoptată de Comisia Europeană, pe care urmează să le utilizeze pentru transmiterea datelor PNR;
b)să utilizeze metode securizate, conforme cu protocolul comun notificat potrivit lit. a), pentru transmiterea datelor PNR către UNIP prin mijloace electronice de comunicaţie;
c)să utilizeze formatul de date compatibil notificat potrivit lit. a) pentru transmiterea datelor PNR către UNIP.
(4)În termen de un an de la data la care Comisia Europeană adoptă pentru prima dată lista protocoalelor comune şi a formatelor de date compatibile, IGPF asigură implementarea măsurilor tehnice necesare pentru ca Sistemul de evidenţă a datelor PNR să utilizeze toate protocoalele comune şi formatele de date compatibile cuprinse în lista adoptată de Comisia Europeană.
(5)Resursele financiare necesare pentru implementarea măsurilor tehnice prevăzute la alin. (4) se asigură de la bugetul de stat, prin bugetul Ministerului Afacerilor Interne, pentru IGPF sau din fonduri externe nerambursabile.
Art. 17: Monitorizarea respectării obligaţiilor aferente transmiterii datelor PNR
UNIP monitorizează respectarea obligaţiilor transportatorilor aerieni prevăzute la art. 13-16, fără a aduce atingere atribuţiilor Autorităţii naţionale de supraveghere.
CAPITOLUL IV:Utilizarea datelor PNR
SECŢIUNEA 1:Scopul utilizării datelor PNR
Art. 18: Scopul utilizării datelor PNR
Datele PNR cuprinse în Sistemul de evidenţă a datelor PNR se utilizează doar pentru următoarele scopuri:
a)prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism sau a infracţiunilor grave;
b)prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale prevăzute la art. 3 din Legea nr. 51/1991, republicată, cu completările ulterioare.
SECŢIUNEA 2:Sistemul de evidenţă a datelor PNR
Art. 19: Sistemul de evidenţă a datelor PNR
(1)IGPF organizează Sistemul de evidenţă a datelor PNR, prin preluarea Sistemului de evidenţă a datelor PNR organizat potrivit art. 7 alin. (1) din Ordonanţa Guvernului nr. 13/2015, inclusiv a datelor PNR cuprinse în acesta.
(2)În cadrul Sistemului de evidenţă a datelor PNR sunt prelucrate, inclusiv prin mijloace automate, datele PNR transmise de către transportatorii aerieni potrivit art. 13-16, precum şi datele PNR preluate potrivit alin. (1).
(3)Stocarea, prelucrarea şi analiza datelor PNR prin intermediul Sistemului de evidenţă a datelor PNR se realizează exclusiv într-un spaţiu care dispune de infrastructura adecvată pentru asigurarea securităţii prelucrărilor, în raport cu stadiul evoluţiei tehnologice, situat pe teritoriul României sau al altui stat membru al Uniunii Europene.
(4)IGPF asigură administrarea şi mentenanţa Sistemului de evidenţă a datelor PNR.
(5)Cheltuielile aferente funcţionării Sistemului de evidenţă a datelor PNR se asigură prin bugetul Ministerului Afacerilor Interne, pentru IGPF.
SECŢIUNEA 3:Evaluarea datelor PNR de către UNIP
Art. 20: Prelucrarea datelor PNR de către UNIP
(1)UNIP prelucrează datele cuprinse în Sistemul de evidenţă a datelor PNR, exclusiv în următoarele scopuri:
a)efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora în/din România, în vederea identificării persoanelor cu privire la care este necesară o examinare suplimentară de către autorităţile competente şi, după caz, de către EUROPOL, având în vedere faptul că respectivele persoane pot fi implicate în săvârşirea unei infracţiuni de terorism, a unei infracţiuni grave sau într-o activitate care constituie ameninţare la adresa securităţii naţionale;
b)oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităţilor competente vizând furnizarea şi prelucrarea datelor PNR, în cazuri concrete, în scopurile prevăzute la art. 18 şi comunicarea rezultatelor acestei prelucrări autorităţilor competente sau, după caz, EUROPOL;
c)analizarea datelor PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în temeiul alin. (2) lit. b) în scopul identificării oricăror persoane care pot fi implicate în săvârşirea unei infracţiuni de terorism, a unei infracţiuni grave sau într-o activitate care constituie ameninţare la adresa securităţii naţionale.
(2)În momentul efectuării evaluării prevăzute la alin. (1) lit. a), UNIP poate:
a)să compare datele PNR cu bazele de date relevante, în scopurile prevăzute la art. 18;
b)să prelucreze date PNR în conformitate cu anumite criterii prestabilite.
(3)În scopul aplicării prevederilor alin. (2) lit. a), bazele de date relevante se stabilesc prin hotărâre a Guvernului, la propunerea Ministerului Afacerilor Interne.
Art. 21: Evaluarea datelor PNR potrivit unor criterii prestabilite
(1)Criteriile utilizate pentru prelucrarea datelor PNR potrivit art. 20 alin. (2) lit. b) se stabilesc şi se revizuiesc periodic, de către UNIP în cooperare cu autorităţile competente, respectând următoarele condiţii:
a)criteriile sunt ţintite, proporţionale şi specifice, raportat la scopurile prevăzute la art. 18;
b)criteriile nu se întemeiază pe rasa sau originea etnică a unei persoane, opiniile sale politice, religia sau convingerile sale filozofice, apartenenţa la un sindicat, starea sa de sănătate, viaţa sexuală sau orientarea sexuală.
(2)Orice evaluare a pasagerilor înainte de sosirea/plecarea programată a acestora în/din România, efectuată potrivit art. 20 alin. (2) lit. b) pe baza unor criterii prestabilite, se realizează în mod nediscriminatoriu.
Art. 22: Utilizarea rezultatelor pozitive ale evaluării datelor PNR
(1)Toate rezultatele pozitive obţinute printr-o prelucrare automatizată a datelor PNR realizată potrivit art. 20 alin. (1) lit. a) sunt reexaminate individual prin mijloace neautomatizate, exclusiv de către personalul UNIP, pentru a verifica dacă este necesar transferul respectivelor date PNR către autorităţile competente pentru realizarea unei examinări suplimentare în oricare dintre scopurile prevăzute la art. 18 şi pentru a determina căror autorităţi competente să le fie transmise datele PNR, în funcţie de atribuţiile stabilite în sarcina acestora de legislaţia în vigoare.
(2)UNIP transferă către autorităţile competente ale căror atribuţii sunt vizate datele PNR sau rezultatul prelucrării datelor PNR în situaţiile în care constată că este necesară realizarea unei examinări suplimentare în oricare dintre scopurile prevăzute la art. 18. Este interzisă transmiterea către autorităţile competente de date PNR care nu au fost reexaminate individual prin mijloace neautomatizate de personalul UNIP.
(3)IGPF încheie documente de cooperare cu fiecare dintre autorităţile competente pentru stabilirea procedurii aferente transferului prevăzut la alin. (2).
(4)Rezultatele evaluării pasagerilor potrivit art. 20 alin. (1) lit. a) nu pot fi utilizate ca unic motiv pentru limitarea în orice fel a exercitării dreptului la liberă circulaţie potrivit Ordonanţei de urgenţă a Guvernului nr. 102/2005 privind libera circulaţie pe teritoriul României a cetăţenilor statelor membre ale Uniunii Europene, Spaţiului Economic European şi a cetăţenilor Confederaţiei Elveţiene, republicată, cu modificările şi completările ulterioare.
(5)De la data aplicării în totalitate de către România a dispoziţiilor acquis-ului Schengen, în temeiul deciziei Consiliului emise în acest sens, în cazul în care evaluarea pasagerilor potrivit art. 20 alin. (1) lit. a) priveşte zborurile intra-UE între România şi un alt stat membru care aplică în totalitate dispoziţiile acquis-ului Schengen, rezultatele respectivelor evaluări produc efecte cu privire la exercitarea dreptului la liberă circulaţie a persoanelor numai în condiţiile respectării Regulamentului (UE) 2016/399 al Parlamentului European şi al Consiliului din 9 martie 2016 cu privire la Codul Uniunii privind regimul de trecere a frontierelor de către persoane (Codul Frontierelor Schengen), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 77 din 23 martie 2016.
SECŢIUNEA 4:Utilizarea datelor PNR de către autorităţile competente
Art. 23: Utilizarea datelor PNR de către autorităţile competente
(1)Autorităţile competente utilizează în cadrul activităţilor proprii datele PNR şi rezultatele prelucrării datelor PNR primite de la UNIP, exclusiv în vederea analizării suplimentare a acestora pentru a stabili dacă este necesară sau nu dispunerea unor măsuri în oricare dintre scopurile prevăzute la art. 18.
(2)La nivelul autorităţilor competente, datele PNR se prelucrează exclusiv de către persoanele desemnate potrivit art. 11 alin. (2) lit. b) şi în limitele stabilite prin ordinele sau dispoziţiile conducătorilor autorităţilor competente emise în temeiul art. 11 alin. (2) lit. c).
(3)Dispoziţiile alin. (1) nu aduc atingere exercitării atribuţiilor autorităţilor competente în situaţiile în care alte infracţiuni sau indicii privind alte infracţiuni sunt descoperite în cursul aplicării măsurilor dispuse ca urmare a analizării datelor PNR şi a rezultatelor prelucrării datelor PNR primite de la UNIP.
(4)Dispunerea de către autorităţile competente a oricărei măsuri cu caracter obligatoriu împotriva unei persoane exclusiv în baza prelucrării automatizate a datelor PNR ori pe baza rasei sau originii etnice a unei persoane, a opiniilor sale politice, a religiei sau a convingerilor sale filozofice, a apartenenţei la un sindicat, a stării sale de sănătate, a vieţii sexuale sau orientării sexuale este interzisă.
SECŢIUNEA 5:Schimbul de date PNR cu alte state membre ale Uniunii Europene
Art. 24: Schimbul de date PNR cu alte state membre ale Uniunii Europene prin intermediul UNIP
(1)UNIP reprezintă punctul naţional de contact cu unităţile de informaţii privind pasagerii, denumite în continuare UIP, ale altor state membre ale Uniunii Europene şi este responsabilă pentru schimbul de date PNR cu acestea, potrivit prevederilor prezentei legi.
(2)În cazul în care prelucrarea datelor PNR potrivit art. 20 alin. (1) conduce la identificarea unor persoane, UNIP transmite toate datele PNR relevante şi necesare sau rezultatul prelucrării respectivelor date PNR către UIP ale celorlalte state membre, cu excepţia situaţiilor care privesc securitatea naţională.
(3)În cazul în care primeşte de la UIP ale altor state membre ale Uniunii Europene date PNR sau rezultatul prelucrării datelor PNR, UNIP le transmite către autorităţile competente respectând dispoziţiile art. 22 alin. (2).
(4)UNIP poate solicita, în condiţiile alin. (5), din proprie iniţiativă sau la cererea motivată a unei autorităţi competente, UIP a altui stat membru al Uniunii Europene să îi comunice datele PNR care nu au fost depersonalizate prin mascarea elementelor de date, precum şi, dacă este necesar, rezultatele prelucrării respectivelor date PNR.
(5)Solicitarea prevăzută la alin. (4) trebuie să fie motivată corespunzător şi să indice elementele de date sau o combinaţie a elementelor de date necesare într-un caz concret de prevenire, depistare, investigare şi urmărire penală a infracţiunilor de terorism sau a infracţiunilor grave.
(6)În cazul în care primeşte, din partea UIP a altui stat membru al Uniunii Europene, o solicitare motivată corespunzător şi care indică elementele de date sau o combinaţie a elementelor de date necesare într-un caz concret de prevenire, depistare, investigare şi urmărire penală a infracţiunilor de terorism sau a infracţiunilor grave, UNIP transmite datele PNR şi rezultatul prelucrării datelor PNR, dacă acest rezultat există şi a fost solicitat, necesare în respectivul caz concret.
(7)UNIP transmite răspunsul la solicitările prevăzute la alin. (6) în cel mai scurt timp posibil. În cazul în care datele solicitate au fost depersonalizate prin mascarea elementelor de date, UNIP comunică datele PNR complete numai dacă sunt prezentate indicii rezonabile că acest lucru este necesar în scopul realizării prelucrării prevăzute la art. 20 alin. (1) lit. b) şi numai dacă utilizarea respectivelor date PNR este aprobată potrivit art. 31 alin. (1) lit. b).
(8)Prevederile alin. (6) şi (7) se aplică şi în cazul în care UNIP primeşte o solicitare direct din partea unei autorităţi competente a altui stat membru, dacă solicitarea cuprinde menţiuni din care să rezulte că datele PNR sunt necesare într-un caz urgent.
(9)Cu titlu excepţional, în cazul în care accesul la datele PNR este necesar pentru a răspunde unei ameninţări concrete privind comiterea unei infracţiuni de terorism sau a unei infracţiuni grave, UNIP poate solicita UIP a unui alt stat membru al Uniunii Europene să obţină datele PNR aferente unui zbor într-un anumit moment expres indicat şi să le comunice UNIP.
(10)În cazul în care primeşte, de la UIP a altui stat membru al Uniunii Europene, o solicitare din care rezultă, cu titlu excepţional, că este necesar accesul la datele PNR aferente unui anumit zbor în alte momente decât cele prevăzute la art. 15 alin. (1) şi (2), UNIP aplică în mod corespunzător dispoziţiile art. 15 alin. (3) şi transmite UIP solicitante datele PNR imediat după obţinerea acestora de la transportatorul aerian.
Art. 25: Solicitarea de date PNR de la UIP ale altor state membre ale Uniunii Europene direct de către autorităţile competente
(1)Dacă datele PNR sunt necesare într-un caz urgent, autorităţile competente pot transmite direct UIP a altui stat membru o solicitare motivată corespunzător, care să indice elementele de date sau o combinaţie a elementelor de date necesare într-un caz concret de prevenire, depistare, investigare şi urmărire penală a infracţiunilor de terorism sau a infracţiunilor grave.
(2)Atunci când transmit o solicitare potrivit alin. (1), autorităţile competente transmit o copie a acesteia către UNIP.
Art. 26: Canale de cooperare pentru schimbul de date PNR cu alte state membre ale Uniunii Europene
(1)Schimbul de date PNR cu alte state membre ale Uniunii Europene se poate realiza prin intermediul oricărui canal de cooperare existent între autorităţile competente ale statelor membre ale Uniunii Europene. Limba folosită în solicitare şi în schimbul de informaţii este cea aplicabilă canalului utilizat.
(2)Atunci când se transmit notificări potrivit art. 6, acestea conţin şi informaţii cu privire la coordonatele punctelor de contact cărora le pot fi adresate solicitări în caz de urgenţă.
SECŢIUNEA 6:Accesul EUROPOL la datele PNR
Art. 27: Accesul EUROPOL la datele PNR
(1)EUROPOL are dreptul de a solicita şi de a primi date PNR sau rezultatul prelucrării respectivelor date de la UNIP, în limitele competenţelor sale şi în vederea îndeplinirii atribuţiilor sale.
(2)De la caz la caz, EUROPOL poate adresa UNIP, prin intermediul Unităţii Naţionale Europol, o cerere în format electronic, justificată corespunzător, de transmitere a unor anumite date PNR sau a rezultatului prelucrării respectivelor date.
(3)EUROPOL poate adresa o cerere potrivit alin. (2) atunci când acest lucru este strict necesar pentru sprijinirea şi consolidarea acţiunii statelor membre ale Uniunii Europene în vederea prevenirii, depistării sau investigării unei anumite infracţiuni de terorism sau a unei anumite infracţiuni grave, în măsura în care infracţiunea respectivă intră în sfera de competenţă a EUROPOL, în temeiul legislaţiei Uniunii Europene care stabileşte organizarea şi atribuţiile EUROPOL.
(4)Cererea prevăzută la alin. (2) trebuie să conţină motive rezonabile pe baza cărora EUROPOL consideră că transmiterea datelor PNR sau a rezultatului prelucrării datelor PNR va contribui în mod substanţial la prevenirea, depistarea sau investigarea infracţiunii în cauză.
(5)Schimbul de informaţii în temeiul prezentului articol are loc prin intermediul SIENA şi în conformitate cu legislaţia Uniunii Europene care stabileşte organizarea şi atribuţiile EUROPOL. Limba folosită în cerere şi în schimbul de informaţii este cea aplicabilă SIENA.
SECŢIUNEA 7:Schimbul de date PNR cu ţări terţe
Art. 28: Transferul datelor PNR către ţări terţe
(1)UNIP poate transfera date PNR sau rezultatul prelucrării datelor PNR către autorităţile unei ţări terţe doar de la caz la caz şi dacă sunt îndeplinite în mod cumulativ următoarele condiţii:
a)sunt respectate dispoziţiile art. 15 din Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Afacerilor Interne în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, republicată;
b)transferul este necesar în scopul prevenirii, depistării sau investigării unei fapte care este considerată de legea ţării terţe solicitante drept infracţiune de terorism sau care este sancţionată ca infracţiune de legea ţării terţe solicitante cu o pedeapsă sau cu o măsură de siguranţă privativă de libertate a cărei durată maximă este de cel puţin 3 ani şi care este corespunzătoare uneia dintre formele de criminalitate prevăzute în anexa care face parte integrantă din prezenta lege;
c)autoritatea din ţara terţă comunică în scris că este de acord să transfere datele PNR unei alte ţări terţe doar în cazul în care acest lucru este strict necesar în scopul prevăzut la lit. b) şi doar cu autorizarea expresă a UNIP;
d)sunt îndeplinite condiţiile prevăzute la art. 24 alin. (5)-(7), care se aplică în mod corespunzător;
e)nu este afectată securitatea naţională.
(2)Prin derogare de la dispoziţiile art. 15 alin. (2) din Legea nr. 238/2009, republicată, transferurile de date PNR fără consimţământul prealabil al UIP a statului membru al Uniunii Europene de la care au fost obţinute datele sunt permise în circumstanţe excepţionale şi numai dacă sunt îndeplinite cumulativ următoarele condiţii:
a)transferul este esenţial pentru a răspunde unei ameninţări concrete, având legătură cu infracţiuni de terorism sau cu infracţiuni grave, la adresa unui stat membru al Uniunii Europene sau a unei ţări terţe;
b)consimţământul prealabil nu poate fi obţinut în timp util.
(3)În situaţia în care aplică dispoziţiile alin. (2), UNIP informează fără întârziere UIP a statului membru al Uniunii Europene de la care provin datele PNR, iar transferul este înregistrat în mod corespunzător şi face obiectul unei verificări ulterioare.
(4)UNIP transferă date PNR autorităţilor competente din ţările terţe numai în condiţiile prezentei legi şi numai după ce destinatarii notifică în scris faptul că intenţionează să utilizeze datele PNR în conformitate cu condiţiile şi garanţiile prevăzute de prezenta lege.
(5)Responsabilul cu protecţia datelor în cadrul UNIP este informat de fiecare dată când UNIP transferă date PNR în temeiul prezentului articol.
Art. 29: Solicitarea de date PNR din ţări terţe
(1)UNIP are dreptul de a solicita şi de a primi din partea unei entităţi similare dintr-o ţară terţă date PNR sau rezultatul oricărei prelucrări a datelor PNR, în cazul în care acest transfer este necesar pentru oricare dintre scopurile prevăzute la art. 18, în baza tratatelor încheiate în acest sens de către România sau Uniunea Europeană cu respectiva ţară terţă.
(2)UNIP utilizează datele primite de la entităţi similare din ţări terţe potrivit art. 20-22.
SECŢIUNEA 8:Păstrarea datelor PNR
Art. 30: Perioada de păstrare a datelor PNR şi depersonalizarea
(1)Datele PNR furnizate de transportatorii aerieni se păstrează în cadrul Sistemului de evidenţă a datelor PNR pentru o perioadă de 5 ani de la momentul finalizării transmisiunii active a respectivelor date PNR din sistemele transportatorilor aerieni în Sistemul de evidenţă a datelor PNR, denumit în continuare momentul furnizării.
(2)La împlinea unui termen de 6 luni de la momentul furnizării datelor PNR de către transportatorii aerieni, acestea sunt depersonalizate prin mascarea următoarelor elemente de date:
a)numele, inclusiv numele altor pasageri, precum şi numărul pasagerilor care călătoresc împreună;
b)adresa şi informaţiile de contact asociate rezervării;
c)toate informaţiile privind forma de plată, inclusiv adresa de facturare;
d)informaţiile din profilul "client fidel";
e)menţiunile cu caracter general prevăzute la art. 14 alin. (1) lit. l);
f)orice date API care au fost colectate.
(3)La împlinirea termenului prevăzut la alin. (1), datele PNR din sistemul de evidenţă a datelor PNR se şterg în mod automat, printr-o procedură ireversibilă.
(4)Dispoziţiile alin. (3) nu afectează stocarea, de către autorităţile competente, a datelor PNR transferate la acestea de către UNIP şi prelucrate în cazuri concrete în scopurile prevăzute la art. 18. Păstrarea datelor PNR de către autorităţile competente respectă regimul juridic aplicabil cazului concret în care au fost prelucrate.
(5)Rezultatele prelucrării efectuate potrivit art. 20 alin. (1) lit. a) se păstrează de către UNIP numai pentru perioada necesară transferului acestora către autorităţile competente potrivit art. 22 alin. (2) sau către UIP ale celorlalte state membre potrivit art. 24 alin. (2).
(6)În cazul în care, ca urmare a reexaminării individuale prin mijloace neautomatizate potrivit art. 22 alin. (1), se stabileşte că rezultatul prelucrării efectuate potrivit art. 20 alin. (1) lit. a) nu este necesar a fi transferat autorităţilor competente pentru efectuarea unei examinări suplimentare, acesta poate fi stocat până la împlinirea termenului prevăzut la alin. (1) pentru datele PNR în cauză, pentru a fi folosit la identificarea facilă a viitoarelor rezultate care nu necesită o examinare suplimentară din partea autorităţilor competente.
Art. 31: Utilizarea datelor PNR după depersonalizarea prin mascarea unor elemente de date
(1)După împlinirea termenului prevăzut la art. 30 alin. (2), dezvăluirea datelor PNR complete este permisă numai dacă:
a)există indicii că dezvăluirea datelor PNR complete este necesară în scopul prevăzut la art. 20 alin. (1) lit. b);
b)dezvăluirea este aprobată de către inspectorul general al IGPF.
(2)Inspectorul general al IGPF aprobă dezvăluirea datelor PNR complete în condiţiile alin. (1) lit. a) şi dacă responsabilul cu protecţia datelor în cadrul UNIP a fost informat în prealabil cu privire la solicitarea dezvăluirii datelor PNR complete.
(3)Aprobarea inspectorului general al IGPF este revizuită ulterior de către responsabilul cu protecţia datelor în cadrul UNIP.
CAPITOLUL V:Protecţia datelor cu caracter personal
Art. 32: Desemnarea operatorului
În sensul Regulamentului general privind protecţia datelor şi a legislaţiei de punere în aplicare a acestuia se desemnează IGPF în calitate de operator pentru prelucrările efectuate în cadrul Sistemului de evidenţă a datelor PNR.
Art. 33: Exercitarea drepturilor persoanei vizate în contextul prelucrării datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR
(1)Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR se exercită potrivit Regulamentului general privind protecţia datelor şi a legislaţiei de punere în aplicare a acestuia, cu aplicarea prevederilor alin. (2)-(6), precum şi ale art. 24-28 din Legea nr. 238/2009, republicată.
(2)Cererile formulate în exercitarea drepturilor persoanelor vizate se adresează numai UNIP. O cerere este validă numai în situaţia în care persoana vizată face dovada identităţii în condiţiile legii.
(3)Pentru a comunica solicitantului informaţii cu privire la datele cu caracter personal prelucrate în cadrul Sistemului de evidenţă a datelor PNR, în situaţia prelucrărilor prevăzute la art. 24-29, UNIP solicită, după caz, acordul autorităţilor competente către care au fost transferate datele, acordul EUROPOL sau acordul entităţii similare din străinătate care a furnizat datele.
(4)Autorităţile competente comunică opţiunea în termen de 20 de zile de la data primirii solicitării din partea UNIP.
(5)În situaţia în care entitatea similară din străinătate consultată potrivit alin. (3) nu comunică un răspuns în considerarea termenelor de răspuns la cererile persoanelor vizate, UNIP răspunde solicitantului fără a indica provenienţa datelor.
(6)În situaţia în care o entitate similară din străinătate solicită UNIP, în urma transmiterii unor date PNR, acordul pentru comunicarea unor informaţii solicitate de persoana vizată, UNIP comunică acordul în termen de 30 de zile de la primirea solicitării sau, după caz, în termenul indicat de entitatea solicitantă. Dacă datele au fost transferate unei autorităţi competente, înainte de a transmite răspunsul către entitatea similară din străinătate, UNIP consultă respectiva autoritate competentă indicând şi eventualul termen precizat de entitatea solicitantă.
Art. 34: Confidenţialitatea şi securitatea prelucrărilor
(1)Asigurarea confidenţialităţii şi securităţii prelucrării datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR se realizează potrivit Regulamentului general privind protecţia datelor şi legislaţiei de punere în aplicare a acestuia.
(2)Este interzisă prelucrarea datelor PNR prin intermediul persoanelor împuternicite de către operator, în sensul Regulamentului general privind protecţia datelor şi a legislaţiei de punere în aplicare a acestuia.
(3)Operatorul prevăzut la art. 32 are obligaţia de a implementa măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel ridicat de securitate a datelor cu caracter personal prelucrate în cadrul Sistemului de evidenţă a datelor PNR, ţinând seama de riscurile asociate prelucrării datelor PNR şi de natura respectivelor date.
Art. 35: Interzicerea prelucrării categoriilor speciale de date cu caracter personal
(1)Prelucrarea datelor PNR care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenenţa la un sindicat, sănătatea, viaţa sexuală sau orientarea sexuală este interzisă.
(2)În cazul în care datele PNR transmise de transportatorii aerieni cuprind informaţii din categoriile prevăzute la alin. (1), personalul UNIP şterge în mod ireversibil respectivele informaţii imediat după identificarea acestora în Sistemul de evidenţă a datelor PNR.
(3)Prelucrarea datelor PNR după criterii legate de categoriile de informaţii prevăzute la alin. (1) este interzisă.
Art. 36: Evidenţa activităţilor de prelucrare
(1)UNIP păstrează o evidenţă a tuturor categoriilor de activităţi de prelucrare a datelor PNR aflate în responsabilitatea sa. Această evidenţă cuprinde următoarele informaţii:
a)numele şi datele de contact ale instituţiei şi ale personalului care are sarcina de a prelucra datele PNR şi diferitele niveluri de autorizare a accesului;
b)cererile depuse de autorităţile competente şi UIP ale altor state membre;
c)cererile de date PNR şi transferurile de asemenea date către o ţară terţă.
(2)Evidenţa prevăzută la alin. (1) se pune la dispoziţia Autorităţii naţionale de supraveghere, la cererea acesteia.
Art. 37: Trasabilitatea prelucrărilor
(1)Sistemul de evidenţă a datelor PNR asigură trasabilitatea prelucrărilor efectuate la nivelul UNIP, astfel încât să fie posibilă identificarea personalului care a realizat activităţile de prelucrare şi identificarea autorităţii competente care a avut acces la datele PNR şi la rezultatele prelucrărilor realizate de către UNIP.
(2)Sistemul de evidenţă a datelor PNR asigură cel puţin trasabilitatea operaţiunilor de colectare, consultare, dezvăluire şi ştergere.
(3)Fişierul de trasabilitate generat de Sistemul de evidenţă a datelor PNR trebuie să conţină cel puţin următoarele informaţii:
a)scopul prelucrării;
b)data şi ora operaţiunilor de prelucrare;
c)utilizatorul;
d)destinatarul datelor PNR, atunci când este cazul;
e)datele accesate şi categoria de operaţiune efectuată asupra datelor, potrivit Regulamentului general privind protecţia datelor şi legislaţiei de punere în aplicare a acestuia.
(4)Fişierele de trasabilitate generate de Sistemul de evidenţă a datelor PNR pot fi accesate doar pentru următoarele scopuri:
a)verificarea şi monitorizarea legalităţii efectuării prelucrărilor;
b)asigurarea funcţionării tehnice corespunzătoare a Sistemului de evidenţă a datelor PNR;
c)asigurarea integrităţii şi securităţii datelor PNR.
(5)Utilizarea fişierelor de trasabilitate generate de către Sistemul de evidenţă a datelor PNR în alte scopuri decât cele prevăzute la alin. (4) este interzisă.
(6)Fişierele de trasabilitate generate de către Sistemul de evidenţă a datelor PNR se păstrează pentru o perioadă de 5 ani şi se pun la dispoziţia Autorităţii naţionale de supraveghere, la cererea acesteia.
Art. 38: Verificarea calităţii datelor PNR transferate
(1)În situaţia în care au fost transferate în condiţiile prezentei legi date incorecte sau neactualizate, UNIP are obligaţia de a informa destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie rectificate, şterse ori restricţionate la prelucrare.
(2)În situaţia în care se constată că au fost transferate date PNR cu nerespectarea condiţiilor impuse de prezenta lege, UNIP are obligaţia de a-i informa pe destinatarii acestor date, cu precizarea că datele transmise trebuie şterse de îndată.
(3)În situaţia în care se constată că UNIP a primit date PNR incorecte ori neactualizate, datele se rectifică, se şterg sau, după caz, se blochează. Dacă transferul a fost realizat în mod eronat ori cu nerespectarea condiţiilor impuse de prezenta lege, datele se şterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată şi la motivul adoptării acesteia.
Art. 39: Notificarea Autorităţii naţionale de supraveghere în cazul încălcării securităţii datelor
(1)UNIP notifică Autoritatea naţională de supraveghere de îndată, dar nu mai târziu de 24 de ore de la constatare, încălcarea securităţii datelor cu caracter personal din cadrul Sistemului de evidenţă a datelor PNR, cu excepţia cazului în care încălcarea securităţii datelor nu este susceptibilă să genereze un risc la adresa drepturilor şi libertăţilor persoanelor fizice.
(2)În situaţia în care nu este posibilă notificarea în termenul prevăzut la alin. (1), notificarea se transmite în termen de 72 de ore de la constatarea încălcării securităţii datelor, însoţită de o justificare a întârzierii.
(3)Notificarea prevăzută la alin. (1) trebuie să conţină cel puţin următoarele informaţii:
a)o descriere a caracterului încălcării securităţii datelor cu caracter personal prelucrate în cadrul Sistemului de evidenţă a datelor PNR, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ de persoane vizate în cauză, precum şi categoriile şi numărul aproximativ de înregistrări de date cu caracter personal în cauză;
b)numele şi datele de contact ale responsabilului cu protecţia datelor în cadrul UNIP sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c)consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
d)măsurile luate sau propuse de operator pentru a remedia încălcarea securităţii datelor cu caracter personal, inclusiv, dacă este cazul, măsuri pentru a atenua eventualele efecte adverse ale acesteia.
(4)UNIP ţine evidenţa tuturor cazurilor de încălcare a securităţii datelor cu caracter personal, inclusiv o descriere a situaţiei în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse.
(5)În cazul în care încălcarea securităţii datelor implică date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau către un astfel de operator, informaţiile prevăzute la alin. (3) se comunică de îndată operatorului respectiv.
(6)În cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru protecţia datelor cu caracter personal sau la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează, de îndată, persoana vizată cu privire la încălcarea securităţii datelor cu caracter personal.
(7)Informarea persoanei vizate, prevăzută la alin. (6), nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:
a)operatorul a pus în aplicare măsuri tehnologice şi organizatorice adecvate de protecţie, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor şi libertăţilor persoanelor vizate nu mai este susceptibil să se materializeze;
c)notificarea ar necesita un efort disproporţionat;
d)contactarea persoanei vizate nu este posibilă.
(8)În cazul prevăzut la alin. (7) lit. c) informarea persoanei vizate se înlocuieşte cu o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
Art. 40: Obligaţiile transportatorilor aerieni privind protecţia datelor cu caracter personal
(1)Prezenta lege nu poate fi interpretată în sensul modificării în orice fel a obligaţiilor ce revin transportatorilor aerieni potrivit dispoziţiilor legale din domeniul protecţiei datelor cu caracter personal aplicabile acestora.
(2)În cadrul activităţilor necesare pentru transmiterea datelor PNR către UNIP, transportatorii aerieni rămân responsabili, în temeiul dispoziţiilor legale din domeniul protecţiei datelor cu caracter personal aplicabile acestora, în ceea ce priveşte:
a)adoptarea măsurilor tehnice şi organizatorice necesare pentru asigurarea protejării datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum şi împotriva oricărei altei forme de prelucrare ilegală;
b)prelucrarea datelor PNR în mod legal, echitabil şi transparent faţă de persoana vizată, inclusiv informarea pasagerilor, prealabilă colectării datelor PNR, cu privire la faptul că acestea sunt transmise către UNIP;
c)colectarea datelor PNR în scopuri determinate, explicite şi legitime şi abţinerea de la prelucrarea ulterioară într-un mod incompatibil cu aceste scopuri;
d)colectarea de date PNR adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
e)prelucrarea de date PNR exacte şi actualizate;
f)păstrarea datelor PNR într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate.
Art. 41: Monitorizarea aplicării actului normativ
(1)Prelucrarea datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR, inclusiv transferul acestor date în străinătate, este monitorizată şi se supune controlului Autorităţii naţionale de supraveghere.
(2)Pentru realizarea monitorizării şi controlului prevăzut la alin. (1), Autoritatea naţională de supraveghere îndeplineşte următoarele atribuţii:
a)primeşte plângerile depuse de orice persoană vizată, investighează aspectele semnalate şi informează persoanele vizate cu privire la evoluţia şi la soluţionarea plângerilor lor;
b)verifică legalitatea prelucrării datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR şi desfăşoară investigaţii în conformitate cu Regulamentul general privind protecţia datelor şi legislaţia de punere în aplicare a acestuia, fie din oficiu, fie pe baza unei plângeri;
c)verifică respectarea modului de punere în aplicare a prevederilor art. 8 alin. (5).
(3)Autoritatea naţională de supraveghere auditează sistematic operaţiunile de prelucrare a datelor cu caracter personal efectuate la nivelul UNIP.
(4)Autoritatea naţională de supraveghere oferă consiliere oricărei persoane vizate, la cererea acesteia, cu privire la exercitarea drepturilor sale în contextul prelucrării datelor cu caracter personal în cadrul Sistemului de evidenţă a datelor PNR.
CAPITOLUL VI:Regimul sancţionator
Art. 42: Contravenţii şi sancţiuni
(1)Constituie contravenţii, dacă nu sunt săvârşite în astfel de condiţii încât să constituie infracţiuni, următoarele fapte:
a)neîndeplinirea de către transportatorii aerieni a obligaţiilor ce le revin potrivit art. 13;
b)nerespectarea de către transportatorii aerieni a termenelor prevăzute la art. 15;
c)neîndeplinirea de către transportatorii aerieni a obligaţiilor ce le revin potrivit art. 16 alin. (1)-(3).
(2)Contravenţiile prevăzute la alin. (1) se sancţionează după cum urmează:
a)cu amendă de la 25.000 lei la 50.000 lei, contravenţiile prevăzute la lit. a) şi c);
b)cu amendă de la 10.000 lei la 25.000 lei, contravenţia prevăzută la lit. b).
(3)Dacă, în decurs de un an de la data constatării şi aplicării sancţiunii pentru una dintre faptele prevăzute la alin. (1), transportatorul aerian săvârşeşte o nouă contravenţie prevăzută de prezenta lege, limitele amenzilor prevăzute la alin. (2) se dublează.
(4)Constatarea contravenţiilor şi aplicarea sancţiunilor se realizează după cum urmează:
a)de către personalul din cadrul UNIP cu atribuţii în acest scop, pentru contravenţiile prevăzute la alin. (1) lit. a) şi b);
b)de către personalul Autorităţii naţionale de supraveghere cu atribuţii în acest scop, pentru contravenţia prevăzută la alin. (1) lit. c).
(5)Contravenţiilor prevăzute de prezenta lege le sunt aplicabile prevederile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
CAPITOLUL VII:Evaluarea eficienţei utilizării datelor PNR
Art. 43: Date statistice
(1)UNIP transmite anual Comisiei Europene un set de informaţii statistice privind utilizarea datelor PNR. Este interzis ca datele transmise Comisiei Europene să conţină date cu caracter personal.
(2)Informaţiile statistice includ cel puţin:
a)numărul total de pasageri ale căror date din PNR au fost colectate şi transferate;
b)numărul de pasageri identificaţi pentru examinări suplimentare.
CAPITOLUL VIII:Dispoziţii tranzitorii şi finale
Art. 44: Dispoziţii tranzitorii
(1)Prezenta lege nu aduce atingere obligaţiilor asumate, până la intrarea sa în vigoare, prin tratate încheiate cu ţări terţe.
(2)Tratatele încheiate cu alte state membre ale Uniunii Europene privind schimbul de informaţii dintre autorităţile competente, aflate în vigoare la data de 24 mai 2016, se aplică după intrarea în vigoare a prezentei legi, numai în măsura în care sunt compatibile cu dispoziţiile acesteia.
(3)Prezenta lege nu aduce atingere dispoziţiilor care stabilesc obligaţiile transportatorilor aerieni cu privire la protecţia datelor cu caracter personal.
(4)Documentele de cooperare încheiate în temeiul art. 9 alin. (6) din Ordonanţa Guvernului nr. 13/2015 se aplică şi după intrarea în vigoare a prezentei legi, numai în măsura în care sunt compatibile cu dispoziţiile acesteia.
(5)De la data intrării în vigoare a prezentei legi, datelor PNR preluate potrivit art. 19 alin. (1) li se aplică, în mod corespunzător, dispoziţiile art. 30 şi 31. Momentul furnizării este considerat momentul transmiterii datelor PNR la UNIP de către transportatorii aerieni.
(6)Datelor PNR preluate potrivit art. 19 alin. (1), care au fost transmise la UNIP de către transportatorii aerieni în temeiul Ordonanţei Guvernului nr. 13/2015 în urmă cu mai mult de 6 luni, li se aplică în mod corespunzător dispoziţiile art. 30 alin. (2), la data intrării în vigoare a prezentei legi.
Art. 45: Dispoziţii finale
(1)Hotărârea Guvernului prevăzută la art. 20 alin. (3) se adoptă în termen de 60 de zile de la data intrării în vigoare a prezentei legi.
(2)La data intrării în vigoare a prezentei legi se abrogă Ordonanţa Guvernului nr. 13/2015 privind utilizarea unor date din registrele cu numele pasagerilor în cadrul cooperării transfrontaliere pentru prevenirea şi combaterea actelor de terorism, a infracţiunilor conexe acestora şi a infracţiunilor contra securităţii naţionale, precum şi pentru prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale, publicată în Monitorul Oficial al României, Partea I, nr. 520 din 13 iulie 2015.
*
Prezenta lege transpune Directiva (UE) 2016/681 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016.
-****-
Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.

p. PREŞEDINTELE CAMEREI DEPUTAŢILOR,

FLORIN IORDACHE

PREŞEDINTELE SENATULUI

CĂLIN-CONSTANTIN-ANTON POPESCU-TĂRICEANU

ANEXĂ:Formele de criminalitate la care se referă art. 2 lit. i)
1.Infracţiunile contra securităţii naţionale;
2.Participarea la un grup infracţional organizat;
3.Traficul de fiinţe umane;
4.Exploatarea sexuală a copiilor şi pornografia infantilă;
5.Traficul ilicit de stupefiante şi substanţe psihotrope;
6.Traficul ilegal de arme, muniţii şi materiale explozibile;
7.Infracţiunile de corupţie prevăzute la titlul V capitolul I: Infracţiuni de corupţie din Legea nr. 286/2009 privind Codul penal, cu modificările şi completările ulterioare, precum şi cele din Legea nr. 78/2000 pentru prevenirea, descoperirea şi sancţionarea faptelor de corupţie, cu modificările şi completările ulterioare;
8.Frauda, inclusiv frauda care aduce atingere intereselor financiare ale Uniunii Europene;
9.Spălarea banilor sau a produselor infracţiunii şi falsificarea de monedă, inclusiv falsificarea monedei euro;
10.Infracţiunile informatice şi criminalitatea cibernetică;
11.Infracţiunile împotriva mediului, inclusiv traficul ilicit de specii de animale pe cale de dispariţie şi traficul ilicit de specii şi soiuri de plante pe cale de dispariţie;
12.Facilitarea intrării şi şederii neautorizate;
13.Omorul şi vătămarea corporală gravă;
14.Traficul ilicit de organe şi ţesuturi umane;
15.Răpirea, lipsirea de libertate în mod ilegal şi luarea de ostateci;
16.Furtul organizat şi tâlhăria prin folosirea unei arme;
17.Traficul ilicit de bunuri culturale, inclusiv antichităţi şi opere de artă;
18.Contrafacerea şi pirateria produselor;
19.Falsificarea de documente administrative şi uzul de fals;
20.Traficul ilicit de substanţe hormonale şi alţi factori de creştere;
21.Traficul ilicit de materiale nucleare sau radioactive;
22.Violul şi agresiunea sexuală;
23.Infracţiunile de competenţa Curţii Penale Internaţionale;
24.Sechestrarea ilicită a aeronavelor/navelor;
25.Sabotajul;
26.Traficul de autovehicule furate;
27.Spionajul industrial.
Publicat în Monitorul Oficial cu numărul 1013 din data de 29 noiembrie 2018