ORDONANŢĂ nr. 13 din 8 iulie 2015 privind utilizarea unor date din registrele cu numele pasagerilor în cadrul cooperării transfrontaliere pentru prevenirea şi combaterea actelor de terorism, a infracţiunilor conexe acestora şi a infracţiunilor contra securităţii naţionale, precum şi pentru prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale
În temeiul art. 108 din Constituţia României, republicată, al art. 1 pct. VI.I din Legea nr. 182/2015 privind abilitarea Guvernului de a emite ordonanţe,
Guvernul României adoptă prezenta ordonanţă.
CAPITOLUL I: Dispoziţii generale
Art. 1: Domeniul de aplicare
(1)Prezenta ordonanţă reglementează transmiterea către autorităţile române şi utilizarea de către acestea a datelor din registrele cu numele pasagerilor prevăzute la art. 5, denumite în continuare date PNR, în cadrul cooperării transfrontaliere pentru prevenirea şi combaterea actelor de terorism, a infracţiunilor conexe acestora şi a infracţiunilor contra securităţii naţionale, precum şi pentru prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale.
(2)Prezenta ordonanţă nu aduce atingere dreptului organelor judiciare de a solicita şi de a obţine de la transportatorii aerieni, în condiţiile Codului de procedură penală, datele din registrele cu numele pasagerilor deţinute de aceştia.
(3)Prezenta ordonanţă nu aduce atingere dreptului organelor de stat cu atribuţii în domeniul securităţii naţionale de a solicita şi de a obţine de la transportatorii aerieni, în condiţiile Legii nr. 51/1991 privind securitatea naţională a României, republicată, datele din registrele cu numele pasagerilor deţinute de aceştia.
Art. 2: Definirea unor termeni şi expresii
În sensul prezentei ordonanţe, termenii şi expresiile de mai jos au următoarele semnificaţii:
a)date API - datele prevăzute la art. 3 alin. (1) din Ordonanţa Guvernului nr. 34/2006 privind obligaţia transportatorilor aerieni de a comunica date despre pasageri, aprobată cu modificări şi completări prin Legea nr. 452/2006;
b)transportator aerian - orice persoană fizică sau juridică, română sau străină, deţinătoare a unui certificat de operator aerian în termen de valabilitate şi, după caz, a unei licenţe de operare, al cărei obiect de activitate îl reprezintă asigurarea transportului pasagerilor pe calea aerului;
c)pasager - orice persoană fizică, cu excepţia membrilor echipajului, transportată sau care urmează să fie transportată într-o aeronavă cu consimţământul transportatorului, inclusiv pasagerii aflaţi în transfer sau în tranzit;
d)sistem de rezervare - sistemul utilizat de transportatorii aerieni pentru a ţine evidenţa datelor despre pasageri în vederea prelucrării rezervărilor;
e)sistem de control al plecărilor - sistemul automat de înregistrare a pasagerilor, bagajelor şi încărcăturii cargo, îmbarcate la bordul unei aeronave;
f)metoda de tip "push" - metoda prin care datele PNR ajung la dispoziţia Unităţii naţionale de informaţii privind pasagerii, prevăzută la art. 8, denumită în continuare UNIP, care presupune realizarea unei transmisiuni active de date de către transportatorul aerian din sistemele proprii către sistemul de evidenţă prevăzut la art. 7, denumit în continuare Sistemul de evidenţă a datelor PNR;
g)autorităţi competente - autorităţile prevăzute la art. 10;
h)PNRGOV - format de transmitere de date acceptat de către Asociaţia Internaţională a Transportatorilor Aerieni;
i)registru cu numele pasagerilor - registru al cerinţelor de călătorie ale fiecărui pasager, care conţine informaţiile necesare pentru a permite prelucrarea şi controlul rezervărilor de către transportatorii aerieni care efectuează rezervările şi de către transportatorii aerieni participanţi pentru fiecare călătorie rezervată de sau în numele oricărei persoane, indiferent că este conţinut în sistemele de rezervare, în sistemele de control al plecărilor, în sistemul utilizat pentru verificarea pasagerilor la îmbarcarea în avion sau în sisteme echivalente care oferă aceleaşi funcţionalităţi.
Art. 3: Principiile generale privind utilizarea datelor PNR
(1)În temeiul prezentei ordonanţe, datele PNR se transmit de către transportatorii aerieni exclusiv către UNIP.
(2)Datele PNR cuprinse în Sistemul de evidenţă a datelor PNR se utilizează doar pentru următoarele scopuri:
a)prevenirea şi combaterea actelor de terorism prevăzute la art. 32 din Legea nr. 535/2004 privind prevenirea şi combaterea terorismului, cu modificările şi completările ulterioare;
b)prevenirea şi combaterea infracţiunilor conexe actelor de terorism prevăzute la art. 33, 331, 35 şi 36 din Legea nr. 535/2004, cu modificările şi completările ulterioare;
c)prevenirea şi combaterea infracţiunilor contra securităţii naţionale prevăzute la titlul X al Părţii speciale a Codului penal;
d)prevenirea şi înlăturarea ameninţărilor la adresa securităţii naţionale prevăzute la art. 3 din Legea nr. 51/1991, republicată.
(3)Datele PNR cuprinse în Sistemul de evidenţă a datelor PNR sunt evaluate exclusiv de către personalul UNIP potrivit art. 9. Este interzisă transmiterea către autorităţile competente de date PNR care nu reprezintă rezultatul unei evaluări realizate de către personalul UNIP.
(4)Autorităţile competente utilizează datele PNR primite de la UNIP în cadrul activităţilor proprii realizate în scopurile prevăzute la alin. (2), cu următoarele limitări:
a)dispunerea oricărei măsuri cu caracter obligatoriu împotriva unei persoane exclusiv în baza evaluării datelor PNR este interzisă;
b)evaluarea datelor PNR pentru a preveni şi a combate alte infracţiuni sau ameninţări care nu sunt prevăzute la alin. (2) este interzisă.
CAPITOLUL II: Transmiterea datelor PNR
Art. 4: Obligaţia de transmitere a datelor PNR
(1)Transportatorii aerieni transmit către UNIP, potrivit art. 5 sau 6, datele PNR aferente zborurilor din cadrul transportului aerian internaţional pe care le operează şi care au puncte de plecare, escală sau destinaţie finală pe teritoriul României.
(2)Obligaţia prevăzută la alin. (1) revine şi transportatorilor aerieni care desemnează, pentru zborurile din cadrul transportului aerian internaţional pe care le operează, aeroporturi sau aerodromuri de rezervă situate pe teritoriul României.
(3)În cazul în care codul de identificare al unui zbor din cadrul transportului aerian internaţional având punct de plecare, escală sau destinaţie finală pe teritoriul României este partajat de unul sau mai mulţi transportatori aerieni, obligaţia prevăzută la alin. (1) revine transportatorului aerian care operează zborul.
(4)Transportatorii aerieni transmit date PNR către UNIP, exclusiv prin metoda de tip "push", prin mijloace de comunicaţie electronică utilizând protocoale comune şi formate de date compatibile, respectiv formatul PNRGOV sau un format echivalent standardizat.
(5)Transportatorii aerieni adoptă măsurile tehnice şi de securitate necesare pentru transmiterea datelor PNR către UNIP.
(6)În cadrul activităţilor necesare îndeplinirii obligaţiilor prevăzute de prezentul articol, transportatorii aerieni respectă următoarele principii:
a)informarea pasagerilor, prealabilă colectării datelor, cu privire la faptul că acestea fac obiectul comunicării către UNIP. Informarea se face în condiţiile prevăzute la art. 12 din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare;
b)datele transmise sunt exacte, complete şi actualizate şi sunt supuse măsurilor de securitate şi protecţie corespunzătoare;
c)datele transmise sunt supuse unor măsuri tehnice şi organizatorice corespunzătoare, în vederea protejării acestora împotriva distrugerilor accidentale sau intenţionate, alterării ori pierderii accidentale, stocării, prelucrării, accesării sau dezvăluirii neautorizate ori ilicite;
d)datele transmise sunt supuse unor măsuri tehnice şi organizatorice corespunzătoare, în vederea asigurării faptului că numai personalul autorizat în acest sens are acces la aceste date.
(7)Monitorizarea respectării obligaţiilor ce revin transportatorilor aerieni în temeiul prezentului articol este în sarcina Inspectoratului General al Poliţiei de Frontieră, denumit în continuare IGPF.
Art. 5: Datele PNR. Momentul transmiterii
(1)Transportatorii aerieni transmit către UNIP, cu 48 până la 24 de ore înainte de ora programată pentru plecarea zborului de pe ultimul aeroport anterior sosirii pe teritoriul României sau de pe aeroportul din România, următoarele date PNR:
a)codul de rezervare al pasagerului;
b)data la care a fost făcută rezervarea;
c)data (datele) la care este programată călătoria;
d)toate numele, prenumele, adresele, numerele de telefon şi adresele de e-mail asociate rezervării;
e)informaţiile privind plata, inclusiv adresa de facturare;
f)itinerarul complet de călătorie al pasagerului;
g)informaţiile din profilul "client fidel", dacă există;
h)agenţia sau agentul de turism prin care a fost făcută rezervarea sau a fost cumpărat biletul;
i)informaţiile privind dosarul pasagerului scindate sau divizate;
j)următoarele informaţii despre bilet: numărul biletului, data emiterii biletului, dacă este un bilet dus simplu şi câmpurile aferente furnizării automate a preţului unui bilet de călătorie;
k)informaţiile cu privire la codurile partajate.
(2)Transportatorii aerieni transmit către UNIP, imediat după îmbarcarea pasagerilor în aeronava care se pregăteşte de decolare şi când niciun pasager nu se mai poate îmbarca sau nu mai poate debarca, următoarele date PNR:
a)informaţii cu privire la situaţia de călătorie a pasagerului, respectiv confirmările, situaţia înregistrării pentru zbor, informaţii privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă;
b)numărul locului şi alte informaţii privind locul;
c)informaţii cu privire la bagaje, respectiv numărul de bagaje pentru fiecare segment al călătoriei şi identificatorul alocat bagajelor;
d)datele API;
e)istoricul tuturor modificărilor datelor prevăzute la alin. (1), precum şi ale celor prevăzute la lit. a)-d).
Art. 6: Transmiterea datelor PNR în situaţii de excepţie
(1)Prin excepţie de la prevederile art. 5 alin. (1) referitoare la momentul transmiterii, în cazul în care evaluarea datelor PNR aferente unui zbor programat este necesară pentru a răspunde unei ameninţări iminente la adresa securităţii naţionale, UNIP, exclusiv ca urmare a unei cereri scrise din partea uneia dintre autorităţile competente, solicită transportatorilor aerieni să transmită datele PNR aferente zborului în cauză cu mai mult de 48 de ore înainte de ora programată pentru plecarea zborului de pe ultimul aeroport anterior sosirii pe teritoriul României.
(2)Transportatorii aerieni transmit datele PNR către UNIP, în termenul indicat prin solicitarea prevăzută la alin. (1).
CAPITOLUL III: Utilizarea datelor PNR
Art. 7: Sistemul de evidenţă a datelor PNR
(1)IGPF organizează Sistemul de evidenţă a datelor PNR, în care sunt prelucrate, inclusiv prin mijloace automate, datele PNR transmise de către transportatorii aerieni.
(2)IGPF asigură administrarea şi mentenanţa sistemului de evidenţă prevăzut la alin. (1) şi are calitatea de operator al acestuia.
(3)IGPF are obligaţia să aplice măsurile tehnice şi organizatorice adecvate pentru protejarea datelor cuprinse în Sistemul de evidenţă a datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum şi împotriva oricărei alte forme de prelucrare ilegală.
(4)IGPF are obligaţia să monitorizeze eficacitatea măsurilor adoptate în îndeplinirea dispoziţiilor prevăzute la alin. (3).
(5)Cheltuielile aferente funcţionării Sistemului de evidenţă a datelor PNR se asigură prin bugetul alocat IGPF.
Art. 8: Unitatea naţională de informaţii privind pasagerii
(1)În cadrul IGPF se înfiinţează UNIP, ca structură de specialitate, fără personalitate juridică, responsabilă cu prelucrarea datelor PNR.
(2)UNIP reprezintă punctul naţional de contact cu unităţile de informaţii despre pasageri din alte state şi este responsabilă pentru schimbul de date PNR cu acestea, potrivit prevederilor prezentei ordonanţe.
(3)Şeful UNIP este numit de inspectorul general al IGPF.
(4)În cadrul UNIP poate fi detaşat sau delegat, în condiţiile legii, personal de la autorităţile competente, în scopul efectuării evaluărilor prevăzute la art. 9, cu respectarea principiului necesităţii de a cunoaşte.
Art. 9: Prelucrarea datelor PNR de către UNIP
(1)Datele PNR cuprinse în Sistemul de evidenţă a datelor PNR sunt evaluate la nivelul UNIP prin mijloace automate:
a)înainte de sosirea în România a pasagerilor sau de plecarea programată a acestora din România, în scopul identificării, potrivit unor criterii predefinite, a persoanelor cu privire la care este necesară realizarea unei examinări suplimentare de către autorităţile competente în scopurile prevăzute la art. 3 alin. (2);
b)în vederea actualizării sau definirii de noi criterii pentru efectuarea evaluărilor prevăzute la lit. a).
(2)Rezultatele obţinute după realizarea evaluării prin mijloace automate, prevăzută la alin. (1) lit. a), sunt reexaminate individual prin mijloace neautomate de către personalul UNIP pentru a verifica dacă este necesară realizarea unei examinări suplimentare de către autorităţile competente în scopurile prevăzute la art. 3 alin. (2).
(3)UNIP transmite către autorităţile competente rezultatul evaluării prevăzute la alin. (2), care cuprinde inclusiv datele PNR aferente pasagerilor cu privire la care UNIP a stabilit că este necesară realizarea unei examinări suplimentare de către autorităţile competente în scopurile prevăzute la art. 3 alin. (2).
(4)Pentru realizarea activităţilor proprii în scopurile prevăzute la art. 3 alin. (2) într-un caz concret, autorităţile competente pot solicita UNIP, temeinic motivat, să realizeze o consultare a Sistemului de evidenţă a datelor PNR pe baza unui set de date şi să le transmită rezultatul acestei consultări.
(5)Modalitatea de efectuare a evaluării prevăzute la alin. (1) lit. a) şi criteriile în baza cărora se efectuează aceasta se stabilesc, în condiţiile legii, prin ordine sau dispoziţii ale conducătorilor autorităţilor competente.
(6)IGPF încheie documente de cooperare cu fiecare dintre autorităţile competente pentru stabilirea procedurii aferente transmiterilor prevăzute la alin. (3) şi (4).
Art. 10: Autorităţile competente
(1)În scopul aplicării prevederilor prezentei ordonanţe, prin autorităţi competente se înţelege:
a)Ministerul Afacerilor Interne: Poliţia Română;
b)Ministerul Afacerilor Interne: Poliţia de Frontieră Română;
c)Ministerul Afacerilor Interne: Departamentul de Informaţii şi Protecţie Internă;
d)Serviciul Român de Informaţii;
e)Serviciul de Informaţii Externe;
f)Ministerul Apărării Naţionale: Direcţia generală de informaţii a apărării;
g)Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie.
(2)Prin ordine sau dispoziţii ale conducătorilor autorităţilor competente prevăzute la alin. (1) se stabilesc:
a)structurile abilitate să prelucreze date cu caracter personal în temeiul prezentei ordonanţe în considerarea activităţilor prevăzute la art. 3 alin. (2);
b)persoanele abilitate să prelucreze date cu caracter personal în temeiul prezentei ordonanţe;
c)pentru persoanele desemnate potrivit lit. b), limite în exercitarea funcţiilor şi atribuţiilor în ceea ce priveşte accesul, introducerea, actualizarea, ştergerea şi căutarea datelor prelucrate în condiţiile prezentei ordonanţe.
Art. 11: Prelucrarea datelor PNR de către autorităţile competente
(1)Autorităţile competente prelucrează datele PNR primite de la UNIP potrivit art. 9 alin. (3) sau (4) ori de la autorităţile altor state, potrivit art. 12 sau 13, doar în scopurile prevăzute la art. 3 alin. (2).
(2)Autorităţile competente au obligaţia să aplice măsuri tehnice şi organizatorice adecvate pentru protejarea datelor PNR împotriva distrugerii accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat, precum şi împotriva oricărei alte forme de prelucrare ilegală, pe toată durata prelucrării datelor PNR în temeiul prezentei ordonanţe.
Art. 12: Schimbul de date PNR cu autorităţile altor state membre
(1)UNIP are dreptul de a solicita, de a transmite sau de a primi din partea unei entităţi similare din alt stat membru al Uniunii Europene, al Spaţiului Economic European sau al Spaţiului Schengen, denumite în continuare state membre, rezultatul oricărei prelucrări a datelor PNR care nu au fost încă anonimizate prin mascarea lor, în cazul în care acest transfer este necesar în oricare dintre scopurile prevăzute la art. 3 alin. (2).
(2)Solicitarea, transmiterea sau primirea prevăzută la alin. (1) poate viza oricare dintre elementele datelor PNR sau o combinaţie a acestora, după cum UNIP consideră necesar într-un caz determinat circumscris oricăruia dintre scopurile prevăzute la art. 3 alin. (2).
(3)Transmiterea solicitărilor autorităţilor competente către unităţile de informaţii despre pasageri ale altor state membre se realizează prin intermediul UNIP.
(4)În cazurile urgente, autorităţile competente pot solicita direct unităţii de informaţii despre pasageri a oricărui alt stat membru să transmită datele PNR care sunt prelucrate de către aceasta, cu informarea UNIP.
(5)Schimbul de informaţii în temeiul prezentului articol se poate derula prin intermediul oricărui canal de cooperare existent între autorităţile competente şi autorităţile competente din alte state membre sau unităţile de informaţii despre pasageri ale altor state membre, de natură să asigure securitatea datelor şi finalitatea acţiunii.
(6)În situaţia în care schimbul de informaţii este necesar pentru a preveni un pericol grav şi iminent cel puţin asupra vieţii, integrităţii corporale sau sănătăţii unei persoane, UNIP ori, după caz, autorităţile competente pot transmite date către entităţi din alte state membre şi în lipsa unei solicitări.
(7)În cazul transferului de date PNR, UNIP sau, după caz, autorităţile competente, atenţionează destinatarii asupra interdicţiei de a prelucra datele comunicate în alte scopuri decât cele specificate în solicitare sau cu ocazia transmiterii.
(8)În cazul transferului de date PNR, se indică destinatarului limitări ale prelucrării, dacă este cazul, şi termene de stocare în concordanţă cu dispoziţiile prezentei ordonanţe şi se precizează obligaţia de a şterge datele transmise la expirarea termenului indicat sau, dacă este cazul, de a proceda la blocarea acestora.
(9)UNIP sau, după caz, autorităţile competente, pot solicita informaţii cu privire la modul în care datele furnizate au fost prelucrate la nivelul destinatarului.
Art. 13: Schimbul de date PNR cu statele terţe şi cu organismele internaţionale
(1)UNIP are dreptul de a solicita, de a transmite sau de a primi din partea unei entităţi similare dintr-un stat care nu face parte din categoriile prevăzute la art. 12 alin. (1), denumit în continuare stat terţ, rezultatul oricărei prelucrări a datelor PNR care nu au fost încă anonimizate prin mascarea lor, în cazul în care acest transfer este necesar în oricare dintre scopurile prevăzute la art. 3 alin. (2), în baza acordurilor încheiate în acest sens de către România sau Uniunea Europeană cu fiecare stat terţ în parte.
(2)Datele PNR primite de la autorităţi similare din statele membre, în condiţiile art. 12, pot fi transmise de către UNIP sau, după caz, de către autorităţile competente către autorităţile unui stat terţ ori către organisme internaţionale, numai dacă sunt îndeplinite, cumulativ, următoarele condiţii:
a)transmiterea este necesară pentru îndeplinirea unor activităţi de prevenire sau combatere a infracţiunilor de terorism ori a infracţiunilor contra securităţii naţionale a unui stat membru sau a unui stat terţ;
b)datele PNR sunt comunicate organismului internaţional ori autorităţii statului terţ ce are competenţe în realizarea activităţilor de prevenire sau combatere a infracţiunilor de terorism ori a infracţiunilor contra securităţii naţionale a unui stat membru sau a unui stat terţ;
c)există acordul autorităţii similare care a furnizat datele;
d)statul terţ sau organismul internaţional în cauză asigură un nivel adecvat de protecţie pentru prelucrarea de date urmărită.
(3)Acordul prevăzut la alin. (2) lit. c) este solicitat de UNIP în măsura în care, iniţial, datele au fost primite prin intermediul acesteia.
(4)Datele PNR pot fi comunicate în condiţiile prevăzute la alin. (2), fără acordul UNIP, numai dacă transferul de date este strict necesar pentru prevenirea unui pericol grav şi iminent la adresa securităţii naţionale a unui stat membru ori a unui stat terţ sau a intereselor fundamentale ale unui stat membru, iar acordul prealabil nu poate fi obţinut în timp util.
(5)În situaţia prevăzută la alin. (4), autoritatea competentă care efectuează transferul de date cu caracter personal are obligaţia de a informa de îndată UNIP. Autoritatea similară din statul membru care a furnizat datele este informată de către UNIP.
(6)Prin excepţie de la prevederile alin. (2) lit. d), datele PNR pot fi comunicate către autorităţile competente dintr-un stat terţ sau către organismele internaţionale în cazurile prevăzute la art. 30 lit. d) ori e) din Legea nr. 677/2001, cu modificările şi completările ulterioare.
Art. 14: Informarea autorităţilor din alte state
La cerere, UNIP sau, după caz, autorităţile competente informează autorităţile competente ale unui alt stat care au transmis date PNR cu privire la modul în care acestea au fost prelucrate, în termen de 30 de zile de la înregistrarea solicitării.
CAPITOLUL IV: Protecţia persoanelor cu privire la prelucrarea datelor PNR
Art. 15: Perioada de stocare a datelor PNR
(1)Datele PNR sunt stocate strict pe durata necesară atingerii scopului prezentei ordonanţe şi sunt distruse în condiţiile prevăzute de prezentul articol.
(2)Datele PNR transmise de către transportatorii aerieni se stochează în Sistemul de evidenţă a datelor PNR pentru o perioadă de maximum 5 ani din momentul transmiterii.
(3)La expirarea unui termen de 1 an de la momentul recepţionării în Sistemul de evidenţă a datelor PNR, UNIP asigură anonimizarea datelor PNR prin mascarea următoarelor elemente de date care ar putea servi la identificarea directă a pasagerului la care se referă datele PNR:
a)toate numele, prenumele, adresele, numerele de telefon şi adresele de e-mail, inclusiv cele ale altor pasageri menţionaţi în datele despre pasageri care călătoresc împreună;
b)toate informaţiile privind forma de plată, inclusiv adresa de facturare, în măsura în care acestea conţin informaţii care ar putea servi la identificarea directă a pasagerului la care se referă datele PNR sau a oricărei alte persoane;
c)informaţiile din profilul "client fidel";
d)datele API.
(4)Anonimizarea datelor PNR prin mascare face ca elementele de date prevăzute la alin. (3) să nu fie vizibile pentru utilizatorii Sistemului de evidenţă a datelor PNR, fără a şterge elementele respective.
(5)Ulterior anonimizării datelor PNR, dezvăluirea acestora autorităţilor competente, în forma completă, este permisă, cu caracter de excepţie, în temeiul unei cereri temeinic motivate, numai dacă, într-un caz determinat, sunt necesare în oricare dintre scopurile prevăzute la art. 3 alin. (2), în limitele atribuţiilor acestora prevăzute de legislaţia în vigoare.
(6)UNIP asigură ştergerea datelor despre pasageri, prin proceduri ireversibile, la expirarea perioadei prevăzute la alin. (2). Această obligaţie nu afectează stocarea, de către autorităţile competente, a datelor despre pasageri transferate şi prelucrate în cazuri determinate pentru atingerea oricăruia dintre scopurile prevăzute la art. 3 alin. (2).
(7)Prin ordine sau dispoziţii ale conducătorilor autorităţilor competente se stabilesc, în condiţiile legii, reguli cu privire la:
a)termene de stocare a datelor PNR pe care le prelucrează în scopurile prevăzute la art. 3 alin. (2), fără a se depăşi termenul de 5 ani de la data transmiterii acestora către UNIP;
b)verificări periodice asupra datelor PNR pentru ca acestea să fie adecvate şi actuale prin raportare la scopurile prevăzute la art. 3 alin. (2);
c)ştergerea datelor PNR.
Art. 16: Prelucrarea datelor cu caracter personal speciale
Prelucrarea datelor PNR după criterii legate de originea rasială sau etnică, de convingerile politice, religioase, filozofice ori de natură similară, de apartenenţă sindicală, precum şi a datelor cu caracter personal privind starea de sănătate sau viaţa sexuală este interzisă.
Art. 17: Reguli speciale privind prelucrarea datelor cu caracter personal
(1)Sistemul de evidenţă a datelor PNR asigură trasabilitatea prelucrărilor efectuate la nivelul UNIP astfel încât să fie posibilă identificarea personalului din cadrul UNIP care a realizat activităţile de prelucrare şi identificarea autorităţii care a avut acces la rezultatele prelucrărilor realizare de către UNIP.
(2)În cazul în care datele PNR transmise de transportatorii aerieni includ orice date suplimentare faţă de cele prevăzute la art. 5, Sistemul de evidenţă a datelor PNR şterge în mod automat şi ireversibil aceste date imediat după primirea lor.
(3)În situaţia în care au fost transmise, în condiţiile art. 9 alin. (3) sau (4) ori în condiţiile art. 12 ori 13, date incorecte sau neactualizate, UNIP ori, după caz, autorităţile competente au obligaţia de a informa pe destinatarii respectivelor date asupra neconformităţii acestora, cu menţionarea datelor care au fost modificate sau, dacă este cazul, cu precizarea că datele transmise trebuie rectificate, şterse ori blocate.
(4)În situaţia în care se constată că au fost transmise date PNR în mod neconform prezentei ordonanţe, UNIP sau, după caz, autorităţile competente au obligaţia de a-i informa pe destinatarii acestor date, cu precizarea că datele transmise trebuie şterse de îndată.
(5)În situaţia în care se constată că UNIP sau, după caz, autorităţilor competente le-au fost transmise date PNR incorecte ori neactualizate, datele se rectifică, se şterg sau, după caz, se blochează, în condiţiile legii. Dacă transferul a fost realizat în mod eronat ori neconform prezentei ordonanţe, datele se şterg sau, după caz, se blochează de îndată. Entitatea care a transmis datele este informată cu privire la măsura adoptată şi motivul adoptării acesteia.
Art. 18: Exercitarea drepturilor de către persoana vizată
(1)Drepturile persoanei vizate în contextul prelucrării datelor cu caracter personal în condiţiile prezentei ordonanţe se exercită potrivit prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, cu derogările prevăzute de prezenta ordonanţă.
(2)Cererile persoanelor vizate formulate în exercitarea drepturilor prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare, se adresează numai UNIP. Cererea este validă numai în situaţia în care persoana vizată face dovada identităţii în condiţiile legii.
(3)UNIP răspunde solicitantului în cazul exercitării dreptului persoanei de acces la datele personale şi în cazul exercitării dreptului de rectificare şi ştergere a datelor personale în termenele prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare.
(4)Pentru a comunica solicitantului informaţii cu privire la datele cu caracter personal prelucrate în condiţiile prezentei ordonanţe, în situaţia prelucrărilor prevăzute la art. 9 alin. (4) sau la art. 11-13, UNIP solicită acordul autorităţilor competente către care au fost transferate datele sau, după caz, entităţii similare din străinătate care a furnizat datele.
(5)Autorităţile competente comunică acordul în termen de 20 de zile de la data primirii solicitării din partea UNIP.
(6)În situaţia în care entitatea similară din străinătate consultată potrivit alin. (4) nu comunică un răspuns în considerarea termenelor prevăzute la alin. (3), UNIP răspunde solicitantului fără a indica provenienţa datelor.
(7)În situaţia în care o entitate similară din străinătate solicită UNIP, în urma transmiterii unor date, acordul pentru comunicarea unor informaţii solicitate de persoana vizată, UNIP comunică acordul în termen de 30 de zile de la primirea solicitării. Dacă datele au fost furnizate unei autorităţi competente, înainte de a transmite răspunsul către entitatea similară din străinătate, UNIP consultă respectiva autoritate competentă.
(8)Persoanei vizate nu îi sunt comunicate informaţiile privind prelucrarea datelor cu caracter personal de către UNIP sau autorităţile competente, atât timp cât acest lucru este indispensabil pentru realizarea acţiunilor prevăzute la art. 3 alin. (2) ori pentru apărarea drepturilor şi libertăţilor altor persoane.
(9)În toate situaţiile, persoana vizată este informată cu privire la dreptul de a se adresa Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare Autoritatea naţională de supraveghere, sau, după caz, instanţei de judecată, în condiţiile Legii nr. 677/2001, cu modificările şi completările ulterioare.
(10)În situaţia în care, în urma exercitării dreptului de acces sau a dreptului de intervenţie, rezultă că datele cu caracter personal sunt inexacte, irelevante ori prelucrarea nu este conformă dispoziţiilor prezentei ordonanţe, acestea se şterg sau se rectifică.
(11)În situaţia în care UNIP nu poate da curs cererilor formulate în exercitarea dreptului de intervenţie în scopul rectificării, ştergerii ori, după caz, blocării datelor cu caracter personal, se transmite persoanei vizate un răspuns scris în care sunt menţionate motivele care stau la baza imposibilităţii soluţionării solicitării, precum şi faptul că aceasta are dreptul de a se adresa Autorităţii naţionale de supraveghere sau, după caz, instanţei de judecată.
Art. 19: Răspunderea pentru prejudicii
(1)IGPF sau, după caz, autorităţile competente, în calitate de operatori, răspund pentru prejudiciul cauzat persoanei vizate în urma unei prelucrări de date cu caracter personal, chiar şi în situaţia în care prejudiciul a fost cauzat prin prelucrarea, în condiţiile legii, a unor date cu caracter personal inexacte furnizate de o autoritate similară din străinătate.
(2)În situaţia în care IGPF sau, după caz, autorităţile competente, sunt obligate, în condiţiile legii, la plata unor despăgubiri pentru prejudiciile cauzate persoanei vizate ca urmare a prelucrării unor date cu caracter personal inexacte furnizate de o autoritate similară a unui stat membru, acestea sunt obligate să dispună măsurile necesare pentru recuperarea sumelor plătite ca despăgubire de la autoritatea care a furnizat datele respective.
Art. 20: Monitorizarea aplicării actului normativ
(1)Prelucrarea datelor cu caracter personal în temeiul prezentei ordonanţe, transmiterea acestor date în străinătate, precum şi prelucrarea de către autorităţile competente sunt monitorizate şi se supun controlului Autorităţii naţionale de supraveghere, în limitele şi condiţiile legislaţiei care stabilesc competenţele acestei instituţii.
(2)Auditarea operaţiunilor de prelucrare a datelor cu caracter personal de către UNIP se efectuează în mod sistematic de către Autoritatea naţională de supraveghere, cel puţin o dată la 4 ani.
CAPITOLUL V: Regimul sancţionator
Art. 21: Contravenţii şi sancţiuni
(1)Constituie contravenţii, dacă nu sunt săvârşite în astfel de condiţii încât să constituie infracţiuni, următoarele fapte:
a)neîndeplinirea de către transportatorii aerieni a obligaţiilor de a transmite către UNIP, corect şi complet, datele PNR prevăzute la art. 5, prin metoda de tip "push", în format PNRGOV sau în format echivalent standardizat, ori de a adopta măsurile tehnice şi de securitate necesare pentru transmiterea datelor PNR către UNIP prevăzute la art. 4 alin. (5);
b)neîndeplinirea de către transportatorii aerieni a obligaţiei de a transmite corect şi complet datele despre pasageri în momentele prevăzute la art. 5 sau în termenul prevăzut la art. 6.
(2)Contravenţiile prevăzute la alin. (1) se sancţionează după cum urmează:
a)cu amendă de la 10.000 la 25.000 lei, contravenţia prevăzută la lit. b);
b)cu amendă de la 25.000 la 50.000 lei, contravenţia prevăzută la lit. a).
(3)Contravenţiile prevăzute la alin. (1) nu se sancţionează dacă neîndeplinirea obligaţiilor de către transportatorii aerieni se datorează unui caz de defecţiune tehnică de scurtă durată, asimilat cazului de forţă majoră.
(4)Dacă, în decurs de un an de la data constatării şi aplicării sancţiunii pentru una dintre faptele prevăzute la alin. (1), transportatorul aerian săvârşeşte o nouă contravenţie prevăzută de prezenta ordonanţă, limitele amenzilor prevăzute la alin. (2) se dublează.
(5)Constatarea contravenţiilor şi aplicarea sancţiunilor se realizează de către personalul din cadrul UNIP cu atribuţii în acest scop.
(6)Contravenţiilor prevăzute de prezenta ordonanţă le sunt aplicabile prevederile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
CAPITOLUL VI: Evaluarea eficienţei aplicării ordonanţei
Art. 22: Evaluarea eficienţei aplicării ordonanţei
(1)Prezenta ordonanţă se aplică pentru o perioadă iniţială de 5 ani de la data intrării în vigoare.
(2)Perioada de aplicare a prezentei ordonanţe poate fi extinsă numai prin lege, ca urmare a evaluării eficienţei aplicării acesteia.
(3)În scopul evaluării eficienţei aplicării prezentei ordonanţe, UNIP întocmeşte rapoarte anuale cu privire la prelucrarea datelor PNR, care cuprind cel puţin următoarele date statistice:
a)numărul total de date PNR prelucrare, cu indicarea transportatorilor şi a destinaţiilor;
b)numărul de rezultate transmise autorităţilor competente, cu indicarea fiecăruia dintre scopurile prevăzute la art. 3 alin. (2);
c)numărul cazurilor în care datele PNR au fost utilizate cu succes în cadrul activităţilor realizate de către autorităţile competente, în raport cu fiecare dintre infracţiunile sau ameninţările la adresa securităţii naţionale prevăzute la art. 3 alin. (2);
d)numărul transferurilor de date PNR realizate cu alte state sau organisme internaţionale, cu indicarea statelor ori a organismelor internaţionale şi a infracţiunilor sau ameninţărilor la adresa securităţii naţionale în contextul cărora au fost realizate transferurile.
(4)Pentru întocmirea rapoartelor prevăzute la alin. (3), autorităţile competente transmit UNIP datele prevăzute la alin. (3) lit. c).
(5)Rapoartele întocmite de UNIP se prezintă Guvernului de către ministrul afacerilor interne. După prezentare, rapoartele se publică pe pagina de internet a Ministerului Afacerilor Interne, unde se păstrează pentru toată perioada de aplicare a prezentei ordonanţe.
CAPITOLUL VII: Dispoziţii finale
Art. 23: Intrarea în vigoare
(1)Prezenta ordonanţă intră în vigoare la 30 zile de la data publicării în Monitorul Oficial al României, Partea I.
(2)În termen de 90 de zile de la data intrării în vigoare, conducătorii autorităţilor competente emit ordinele sau dispoziţiile prevăzute de prezenta ordonanţă.
-****-

PRIM-MINISTRU INTERIMAR

GABRIEL OPREA

Contrasemnează:

p. Viceprim-ministru, ministrul afacerilor interne,

Ilie Botoş,

secretar de stat

Ministrul finanţelor publice,

Eugen Orlando Teodorovici

Ministrul apărării naţionale,

Mircea Duşa

p. Ministrul transporturilor,

Iulian-Ghiocel Matache,

secretar de stat

p. Ministrul afacerilor externe,

Daniel Ioniţă,

secretar de stat

Publicat în Monitorul Oficial cu numărul 520 din data de 13 iulie 2015