Legea nr. 235/2015 - modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

Parlamentul României adoptă prezenta lege.

Articol unic. — Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 1.101 din 25 noiembrie 2004, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează:

1. La articolul 2 alineatul (1), după litera b) se introduce o nouă literă, litera b¹), cu următorul cuprins:

„b¹) date de identificare a echipamentului — date tehnice ale furnizorilor de servicii de comunicaţii destinate publicului şi ale furnizorului de reţele publice de comunicaţii electronice, care permit identificarea amplasamentului echipamentelor de comunicaţii ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni;”.

2. La articolul 5, alineatul (1) se modifică şi va avea următorul cuprins:

„(1) Datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).”

3. La articolul 5, după alineatul (2) se introduce un nou alineat, alineatul (2¹), cu următorul cuprins:

„(2¹) Prelucrarea datelor de trafic efectuată în scopul stabilirii obligaţiilor contractuale ce privesc abonaţii serviciilor de comunicaţii cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.”

4. După articolul 12 se introduce un nou articol, articolul 12¹, cu următorul cuprins:

„ARTICOLUL 121 

Accesul la date al autorităţilor

(1) La solicitarea instanţelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuţii

(2) Solicitările privind datele prevăzute la alin. (1), formulate de către organele de stat cu atribuţii în domeniul apărării şi securităţii naţionale, sunt supuse dispoziţiilor art. 14, 15 şi art. 17—23 din Legea nr. 51/1991 privind securitatea naţională a României, republicată.

(3) Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea şi securitatea acestor date.

(4) Solicitările prevăzute la alin. (1) se procesează în condiţii de confidenţialitate.

(5) Datele de trafic, datele de identificare a echipamentului şi datele de localizare solicitate conform alin. (1) nu fac obiectul ştergerii sau anonimizării de către furnizori, atunci când solicitarea formulată în temeiul alin. (1) este însoţită ori urmată de o notificare cu privire la necesitatea menţinerii lor, în scopul identificării şi conservării probelor sau indiciilor temeinice, în cadrul investigaţiilor pentru combaterea infracţiunilor ori în domeniul apărării şi securităţii naţionale, atât timp cât subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive a instanţei de judecată.

(6) Instanţele de judecată, organele de urmărire penală sau organele de stat cu atribuţii în domeniul apărării şi securităţii naţionale notifică furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunţarea unei hotărâri judecătoreşti definitive.”

Comentarii despre Legea nr. 235/2015 - modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

Expunere de motive initiator 15.10.2015

La data de 8 aprilie 2014, Curtea de Justiţie a Uniunii Europene (CJUE) a pronunţat hotărârea preliminară în cauzele conexate C-293/12 (Digital Rights Ireland) şi C-594/12 (Seilinger şi alţii), referitoare la întrebările preliminare privind validitatea Directivei 2006/24/CE privind reţinerea datelor generate sau prelucrate de către furnizorii de reţele şi servicii de comunicaţii electronice destinate publicului şi de modificare a Directivei 2002/58/CE („Directiva privind reţinerea datelor”). în urma analizei efectuate, Curtea de Justiţie a invalidat Directiva 2006/24/CE reţinând, printre

Citește mai mult

altele, că reglementarea în cauză trebuie să prevadă o serie de cerinţe minime astfel încât persoanele ale căror date au fost păstrate să dispună de garanţii suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz, precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. De asemenea, în ceea ce priveşte accesul autorităţilor naţionale competente la date şi utilizarea lor ulterioară, Curtea a subliniat că Directiva 2006/24/CE nu conţine garanţii materiale şi procedurale suficiente. O altă critică a vizat faptul că accesul la datele păstrate de autorităţile naţionale competente nu este condiţionat de un control prealabil efectuat fie de o instanţă, fie de o entitate administrativă independentă prin a căror decizie să se garanteze limitarea accesului la date şi a utilizării lor la ceea ce este strict necesar în vederea atingerii obiectivului urmărit.

Ulterior Hotărârii Curţii de Justiţie a Uniunii Europene, prin Decizia nr. 440/2014 Curtea Constituţională a României a constatat neconstituţionalitatea dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Prin Decizia nr. 440/2014, Curtea Constituţională a reţinut că Legea nr. 82/2012 nu oferea suficiente garanţii care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite a datelor cu caracter personal, constatând că legea nu prevedea criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate. De asemenea, Curtea a arătat că solicitările de acces la datele reţinute de furnizorii de servicii de comunicaţii electronice în vederea utilizării lor în scopul prevăzut de lege, formulate de către autorităţile competente altele decât organele de urmărire penală, nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel datele păstrate de garanţia unei protecţii eficiente împotriva riscurilor de abuz, precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. Prin aceeaşi decizie, Curtea a reţinut că legea nu prevedea un mecanism autentic de control, care să asigure o verificare permanentă şi efectivă a respectării dispoziţiilor legale de către instituţiile competente.

Prin urmare, de la data publicării Deciziei Curţii Constituţionale nr. 440/2014, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi ale celor cu atribuţii în domeniul siguranţei naţionale. Prin excepţie, pot fi reţinute de către aceşti furnizori doar datele necesare pentru facturare sau plăţi pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimţământul prealabil al persoanei ale cărei date sunt prelucrate, aşa cum prevede Directiva 2002/58/CE, în vigoare.

Având în vedere cele expuse şi totodată pentru reglementarea procedurii de accesare a datelor deţinute de furnizorii de servicii şi reţele de comunicaţii electronice s-a considerat necesară modificarea şi completarea Legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Prezenta propunere legislativă de modificare şi completare a Legii nr. 506/2004 are ca obiect reglementarea accesului la datele deţinute de furnizorii de servicii de comunicaţii electronice, răspunzând totodată şi criticilor formulate de Curtea Constituţională. Actul normativ aduce clarificări privind categoriile de date care sunt deţinute şi prelucrate de către furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, în scopul derulării activităţilor comerciale proprii, precum şi în cadrul activităţilor de asigurare a serviciilor de comunicaţii electronice, fără să impună obligaţii suplimentare de reţinere.

S-a avut în vedere introducerea unei noi noţiuni, respectiv cea de „date de identificare a echipamentului”, precum şi definirea acesteia; prin această nouă sintagmă s-a urmărit un plus de claritate în ceea ce priveşte diferenţa dintre datele de trafic imperios necesare bunei desfăşurări a activităţii specifice a furnizorilor de servicii de comunicaţii electronice (aceea de identificare a echipamentului care deserveşte o comunicaţie la un moment dat) şi acele echipamente tehnice corespunzătoare terminalului utilizatorului (care permit localizarea utilizatorului serviciului de comunicaţii - coordonate GPS). Aceste date există şi sunt prezente în sistemele de comunicaţii, fiind folosite de operatori inclusiv în rezolvarea litigiilor referitoare la buna funcţionare a serviciilor oferite şi corecta facturare a acestora (de ex. serviciile de comunicaţii "fix to mobile" care se bazează pe amplasarea echipamentelor de comunicaţii într-o zonă geografică prestabilită).

Modificările şi completările aduse Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice au fost elaborate avându-se în vedere cerinţele prevăzute de Convenţia europeană pentru apărarea drepturilor omului, Directivele europene referitoare la protecţia datelor personale şi la protecţia vieţii private în sectorul comunicaţiilor electronice, precum şi proiectul de Regulament al Uniunii Europene aflat în dezbatere, Constituţia României şi celelalte acte normative naţionale privind protecţia datelor cu caracter personal.

Prin urmare, au fost introduse garanţii noi în cuprinsul Legii nr. 506/2004 pentru a proteja areptul la viaţa intimă, familială şi privată, având în vedere că această lege stabileşte condiţiile în care furnizorii prelucrează anumite categorii de date cu caracter personal din domeniul comunicaţiilor electronice, după cum urmează:

- accesarea datelor poate fi realizată într-un cadru precis delimitat, de către instanţa de judecată sau cu autorizarea prealabilă a judecătorului;

- atunci când sunt transmise în format electronic, solicitările, respectiv răspunsurile, se semnează cu semnătură electronică extinsă, bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat, pentru asigurarea integrităţii datelor şi pentru stabilirea trasabilităţii acestora.

Pentru a evita confuziile în ceea ce priveşte momentul ştergerii datelor deţinute de furnizori în cadrul activităţii lor a fost reglementat un termen în sensul că datele de trafic, datele de identificare a echipamentului şi datele de localizare nu fac obiectul ştergerii sau anonimizării de către furnizori, atâta timp cât subzistă motivele care au stat la baza solicitării dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive de către instanţa de judecată.

Subliniem faptul că prezenta propunere legislativă de modificare a Legii nr. 506/2004 nu urmăreşte înlocuirea Legii nr. 82/2012, declarată neconstituţională prin Decizia Curţii Constituţionale nr. 440/2014. Legea nr. 506/2004 transpune Directiva 2002/58/CE a Parlamentului European şi a Consiliului privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, în vreme ce Legea nr. 82/2012 transpune Directiva 2006/24/CE a Parlamentului European şi a Consiliului privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE, aceasta din urmă fiind invalidată de CJUE. Prin urmare, de vreme ce prezenta reglementare nu instituie o veritabilă obligaţie de reţinere a datelor în afara scopului facturării şi asigurării serviciului de comunicaţii, nu mai subzistă necesitatea asigurării unor garanţii suplimentare privind prelucrarea şi stocarea acestor date şi nici a instituirii unui alt mecanism de control, garanţii solicitate prin Decizia Curţii Constituţionale nr.440/2014.

Practic, completările şi modificările aduse Legii nr.506/2004 prin prezenta iniţiativă legislativă constau în definirea datelor tehnice ce permit individualizarea echipamentelor utilizate de furnizorii de servicii şi reţele publice de comunicaţii electronice şi statuează garanţiile şi condiţiile de legalitate prin instituirea obligaţiei de obţinere a aprobării judecătorului competent anterior accesării respectivelor date de orice autorităţi şi instituţii publice. Totodată, trebuie precizat că respectivele date sunt deţinute de furnizorii sus-menţionaţi în scopul facturării şi prevenirii unor litigii comerciale, iar acestor furnizori nu le sunt create obligaţii suplimentare.

De menţionat că, în conformitate cu legislaţia privind protecţia datelor cu caracter personal, prin art. 3 (în vigoare) al Legii nr. 506/ 2004, furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicaţii electronice destinate publicului va lua aceste măsuri împreună cu furnizorul reţelei publice de comunicaţii electronice.

De asemenea, furnizorii trebuie să respecte cel puţin următoarele condiţii:

a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;

b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;

c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.

Faţă de măsurile luate de furnizori, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), poate audita aceste măsuri şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.

Având în vedere considerentele de mai sus, am elaborat prezenta propunere legislativă pentru modificarea şi completarea legii nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările şi completările ulterioare, pe care o supunem Parlamentului, spre dezbatere şi adoptare, în conformitate cu prevederile art. 75 şi ale art. 76 din Constituţie, republicată.

Initiatori:
7 deputati+senatori, din care:
deputati - PSD: Ponta Victor-Viorel
deputati - PNL: Gorghiu Alina-Ştefania
deputati - UDMR: Kelemen Hunor
deputati - Minoritati: Pambuccian Varujan
deputati - ALDE: Constantin Daniel
senatori - PSD: Oprea Gabriel
senatori - PNL: Blaga Vasile

Răspunde