Big Brother

Proiect de lege privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii

Parlamentul României adoptă prezenta Lege.

Capitolul I: Dispoziţii generale

Art. 1 (1) Prezenta lege stabileşte obligaţia furnizorilor de servicii şi reţele publice de comunicaţii electronice de a reţine anumite date generate sau prelucrate în cadrul activităţii lor de furnizare a serviciilor de comunicaţii electronice, pentru punerea acestora la dispoziţie autorităţilor competente în scopul utilizării în cadrul activităţilor de cercetare, descoperire şi de urmărire a infracţiunilor grave, respectiv de cunoaştere, prevenire şi înlăturare a ameninţărilor la adresa securităţii naţionale.
(2) Prezenta lege se aplică datelor de trafic şi de localizare ale persoanelor fizice şi juridice, precum şi datelor conexe necesare pentru identificarea abonatului sau utilizatorului înregistrat. Prezenta lege nu se aplică în ceea ce priveşte conţinutul comunicării sau informaţiile consultate în timpul utilizării unei reţele de comunicaţii electronice.
(3) Punerea în aplicare a prevederilor prezentului act normativ se va face cu stricta respectare a prevederilor Legii nr. 677 / 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestora, cu modificările şi completările ulterioare, precum şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu completările ulterioare.

Art. 2 (1) În înţelesul prezentei legi, următorii termeni se definesc astfel:
a) date – datele de trafic, datele de localizare şi alte date conexe necesare pentru identificarea unui abonat sau a unui utilizator;
b) utilizator – orice persoană fizică sau juridică care foloseşte un serviciu de comunicaţii electronice destinat publicului în scopuri personale sau profesionale, fără a fi în mod necesar abonat al acelui serviciu;
c) abonat – orice persoană fizică sau juridică care a încheiat un contract cu un furnizor de servicii de comunicaţii electronice destinate publicului;
d) serviciu de telefonie – apelul (voce, mesagerie vocală, teleconferinţă şi transfer de date), serviciile suplimentare (redirecţionarea convorbirii şi transferul apelului) şi serviciile de mesagerie şi multimedia (servicii de mesagerie scurtă, servicii media îmbunătăţite şi servicii multi-media);
e) infracţiunea gravă – infracţiunile prevăzute în art. 2, lit. b) din Legea nr. 39 din 21 ianuarie 2003 privind prevenirea şi combaterea criminalităţii organizate şi cele prevăzute în Capitolul IV din Legea nr. 535/2004 privind prevenirea şi combaterea terorismului;
f) ID-ul utilizatorului – codul unic de identificare alocat unei persoane care se abonează sau se înregistrează la un serviciu de acces la internet sau la un serviciu de comunicaţii prin internet;
g) ID-ul celulei  – codul de identificare a celulei în care se iniţiază sau se finalizează un apel de telefonie mobilă;
h) apel nereuşit – acea comunicare în cadrul căreia apelul telefonic a fost conectat, dar nu a primit răspuns sau a avut loc o intervenţie din partea administratorului reţelei;
i) apel neconectat – apel neconectat reprezintă acel apel iniţiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, în sensul stabilirii unei conexiuni între apelant şi apelat.

(2) În cuprinsul prezentei legi sunt, de asemenea aplicabile definiţiile prevăzute la art. 3 din cadrul Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestora, cu modificările şi completările ulterioare, la art. 2 din cadrul Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu completările ulterioare, precum şi cele prevăzute în legile privind siguranţa naţională.

Capitolul II : Reţinerea datelor

Art. 3 – Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi administrarea unei baze de date, în format electronic, în vederea reţinerii, pentru o perioadă de 12 luni de la data efectuării comunicării, a următoarelor categorii de date:
a) datele necesare pentru urmărirea şi identificarea sursei unei comunicări;
b) datele necesare pentru identificarea destinaţiei unei comunicări;
c) datele necesare pentru a determina data, ora şi durata comunicării;
d) datele necesare pentru identificarea tipului de comunicare;
e) datele necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) datele necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile;

Art.4. Prin date necesare pentru urmărirea şi identificare sursei unei comunicări se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă: numărul de telefon al apelantului şi numele şi adresa abonatului sau ale utilizatorului înregistrat;
b) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: ID-ul(-urile) de utilizator(i) alocat(e); ID-ul de utilizator şi numărul de telefon alocate pentru efectuarea unei comunicări prin reţeaua publică de telefonie;numele şi adresa abonatului sau ale utilizatorului înregistrat, căruia i s-a alocat o adresă Internet Protocol (IP), un ID de utilizator sau un număr de telefon, la momentul comunicării;

Art. 5. Prin datele necesare pentru identificarea destinaţiei unei comunicări se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă:numărul sau numerele formate (numărul sau numerele apelate) şi, în cazurile care includ servicii suplimentare precum redirecţionarea sau transferul apelului, numărul sau numerele către care este dirijat apelul; numele şi adresa (sau adresele) abonatului (sau abonaţilor) ori ale utilizatorului înregistrat (sau ale utilizatorilor înregistraţi);
b) în cazul serviciilor de poştă electronică şi telefonie prin internet: ID-ul utilizatorului sau numărul de telefon al destinatarului (sau destinatarilor) unui apel telefonic prin internet; numele şi adresa (sau adresele) abonatului (sau abonaţilor) sau ale utilizatorului înregistrat (sau ale utilizatorilor înregistraţi) şi ID-ul utilizatorului destinatar al comunicării;

Art.6. Prin datele necesare pentru a determina data, ora şi durata comunicării se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă, data şi ora iniţierii şi încheierii unei comunicări;
b) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: data şi ora conectării la şi deconectării de la serviciul de acces la internet, adresa IP alocată dinamic sau static unei comunicări de către furnizorul de servicii de acces la internet, precum şi ID-ul utilizatorului; data şi ora conectării la şi deconectării de la serviciul de poştă electronică sau de telefonie prin internet;

Art. 7. Prin datele necesare pentru identificarea tipului de comunicare se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă, informaţii privind serviciul de telefonie utilizat;
b) în cazul comunicărilor prin serviciul de poştă electronică şi de telefonie prin internet, informaţii privind serviciul de acces la internet utilizat;

Art. 8. Prin datele necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament se înţelege:
a) în cazul reţelelor de telefonie fixă, numărul de telefon al apelantului şi numărul de telefon apelat;
b) în cazul reţelelor de telefonie mobilă: numărul de telefon al apelantului şi numărul de telefon apelat; identitatea internaţională de abonat mobil (IMSI) a  apelantului; identitatea internaţională a echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului; identitatea IMEI a apelatului;
c) în cazul serviciilor anonime pre-plătite, data şi ora activării iniţiale a serviciului, precum şi ID-ul celulei din care a fost activat serviciul;
d) în cazul serviciilor de acces la internet, poştă electronică şi  telefonie prin internet: numărul de telefon al apelantului în cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care iniţiază comunicarea;

Art. 9. Prin datele necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile se înţelege:
a) ID-ul celulei la începutul comunicării;
b) datele care permit stabilirea localizării geografice a celulelor, prin referire la ID-ul acestora, pe durata în care datele comunicării sunt reţinute.

Art. 10 (1) Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului, aflaţi sub jurisdicţie română, au obligaţia reţinerii datelor referitoare la un apel nereuşit numai atunci când aceste date sunt generate sau prelucrate, respectiv stocate (în cazul serviciului de telefonie) ori înregistrate (în cazul serviciului de acces la internet) în cadrul activităţii de furnizare a serviciilor respective.
(2) Furnizorii nu au obligaţia reţinerii datelor prevăzute la art. 3 ) în cazul apelurilor neconectate.

Art. 11 (1) În aplicarea prevederilor prezentei legi este interzisă interceptarea şi reţinerea conţinutului comunicării.
(2)Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a reţine numai acele categorii de date enumerate la art.3, care sunt accesibile ca urmare a desfăşurării activităţilor proprii.
(3)La sfârşitul perioadei de reţinere, toate datele reţinute în baza prevederilor prezentei legi, cu excepţia datelor puse la dispoziţia autorităţilor competente în aplicarea prezentei legi şi care au fost păstrate de către acestea, trebuie să fie distruse prin proceduri automatizate, ireversibil.

Art. 12 – Activitatea de reţinere a datelor se realizează cu respectarea următoarelor principii:
a) datele reţinute trebuie să fie de aceeaşi calitate şi supuse aceluiaşi grad de securitate şi protecţie precum cele utilizate la nivelul reţelelor furnizorilor de comunicaţii electronice;
b) reţinerea datelor trebuie supusă unor măsuri tehnice şi organizatorice corespunzătoare în vederea protejării datelor împotriva distrugerilor accidentale sau ilicite, alterării sau pierderii accidentale, reţinerii, prelucrării, accesării sau dezvăluirii neautorizate sau ilicite.
c) reţinerea datelor trebuie supusă unor măsuri tehnice şi organizatorice corespunzătoare în vederea asigurării faptului că numai personalul autorizat în acest sens are acces la aceste date.

Art. 13 (1) Furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii au obligaţia de a transmite anual Autorităţii Naţionale pentru Reglementare în Comunicaţii şi Tehnologia Informaţiei următoarele date statistice, în vederea urmăririi şi controlului aplicării prevederilor cuprinse în prezenta lege:
 a) cazurile în care informaţiile au fost furnizate autorităţilor competente în conformitate cu prevederile prezentei Legi;
 b) perioada de timp scursă între data la care datele au fost reţinute şi data la care autoritatea competentă a solicitat transmiterea acestor date;
 c) cazurile în care solicitările de date nu au putut fi îndeplinite.
(2) Autoritatea Naţională pentru Reglementare în Comunicaţii şi Tehnologia Informaţiei va trebui să centralizeze datele statistice primite de la operatori şi să transmită anual Comisiei Europene statisticile elaborate în baza acestora. Statisticile nu vor conţine date cu caracter personal.

Capitolul III: Procedura solicitării datelor reţinute

Art. 14 – Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a furniza de îndată autorităţilor competente datele reţinute ca urmare a aplicării prezentei legi.

Art. 15 –  (1) Solicitarea de date reţinute ca urmare a aplicării prezentei legi se realizează cu autorizarea motivată a judecătorului, la cererea procurorului care efectuează sau supraveghează urmărirea penală, în condiţiile prevăzute de lege, dacă sunt date ori indicii temeinice privind pregătirea sau săvârşirea unei infracţiuni grave.
(2) Autorizaţia de acces trebuie să cuprindă:
a) denumirea instanţei;
b) data, ora şi locul emiterii;
c) numele, prenumele şi calitatea persoanei care a emis autorizaţia de acces;
d) perioada de valabilitate a autorizaţiei de acces;
e) denumirea, sediul social al persoanei juridice unde urmează a se efectua accesul la datele reţinute;
f) indicarea persoanei referitor la care se va face verificarea datelor reţinute sau indicarea codului de identificare a utilizatorului sau a codului de identificare a celulei pentru care se va face verificarea datelor reţinute;
g) temeiurile concrete care determină autorizarea de acces;
h) perioada de timp în care datele reţinute urmează a fi verificate;
i) semnătura judecătorului;
(3) Durata de valabilitate a autorizaţiei nu poate depăşi 30 de zile. În cazurile întemeiate, durata de valabilitate a autorizaţiei poate fi prelungită de judecător la cererea procurorului, fără a se putea depăşi, de fiecare dată, 30 de zile.
(4) În caz de urgenţă, când întârzierea obţinerii autorizării ar aduce grave prejudicii activităţii de urmărire penală, procurorul care efectuează sau supraveghează urmărirea penală poate dispune, cu titlu provizoriu, prin ordonanţă motivată, înscrisă în registrul special prevăzut în art. 228 alin. (11) din Codul de procedură penală, solicitarea datelor reţinute ca urmare a aplicării prezentei legi, necesare în desfăşurarea urmăririi penale, pe o durată de cel mult 48 de ore.
(5) În termen de 48 de ore de la expirarea termenului prevăzut în alin. 4, procurorul prezintă ordonanţa, împreună cu datele obţinute, judecătorului de la instanţa căreia i-ar reveni competenţa să judece cauza în primă instanţă sau de la instanţa corespunzătoare în grad acesteia în a cărei circumscripţie se află sediul parchetului din care face parte procurorul care efectuează sau supraveghează urmărirea penală, în vederea confirmării. Judecătorul se pronunţă asupra legalităţii şi temeiniciei ordonanţei în cel mult 24 de ore, prin încheiere motivată dată în camera de consiliu. În cazul în care ordonanţa este confirmată, iar procurorul a solicitat prelungirea autorizării, judecătorul va dispune autorizarea pe mai departe a solicitării de date reţinute ca urmare a aplicării prezentei legi. Dacă judecătorul nu confirmă ordonanţa procurorului, va dispune distrugerea datelor solicitate ca urmare a aplicării prezentei legi.
(6) Datele obţinute în condiţiile prevăzute la alin. (1)-(4) care nu privesc fapta ce formează obiectul cercetării sau nu contribuie la identificarea ori localizarea participanţilor se arhivează la sediul parchetului, în locuri speciale, în plic sigilat, cu asigurarea confidenţialităţii.
(7) Datele obţinute în condiţiile prevăzute la alin. (1)-(4) pot fi folosite şi în altă cauză penală dacă din cuprinsul acestora rezultă informaţii concludente şi utile privitoare la pregătirea sau săvârşirea unei alte infracţiuni grave.
(8) Dispoziţiile prezentului articol se completează cu dispoziţiile Secţiunii V1: Interceptările şi înregistrările audio sau video, din Codul de procedură penală.

Art. 16. În cazul existenţei unei ameninţări la adresa securităţii naţionale solicitarea datelor prevăzute la art.3 se va face în condiţiile şi de către organele abilitate prin legile care reglementează activitatea de realizare a securităţii naţionale.

Capitolul IV:  Supravegherea şi evaluarea accesului la datele reţinute

Art. 17 – (1) Autoritatea competentă să monitorizeze aplicarea prevederilor prezentei legi este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP.
(2) Autoritatea îşi desfăşoară activitatea în condiţii de completă independenţă şi imparţialitate.
 
Capitolul V: Regimul sancţionator

Art. 18.  (1) Constituie contravenţii următoarele fapte:
a) neîndeplinirea obligaţiei prevăzute la art. 11 alin.(2);
b) neîndeplinirea obligaţiei prevăzute la art. 11 alin.(3);
c) neîndeplinirea obligaţiei prevăzute la art. 12;
d) neîndeplinirea obligaţiei prevăzute la art. 13 (1);
 (2) Contravenţiile prevăzute la alin.(1), lit. a)-c), se sancţionează, prin derogare de la dispoziţiile Ordonanţei Guvernului nr.2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr.180/2002, cu modificările şi completările ulterioare, cu amendă de la 2.500 lei la 200.000 lei.
(3) Contravenţia prevăzută la alin. (1), lit. d) se sancţionează cu amendă administrativă, în condiţiile prevăzute de art. 56 din Ordonanţa de urgenţă a Guvernului nr.79/2002 privind cadrul general de reglementare a comunicaţiilor, aprobată cu modificări şi completări prin Legea nr.591/2002, cu modificările şi completările ulterioare.
(4) Contravenţiile prevăzute la alin.(1) d) se constată de către de personalul de control împuternicit în acest scop al ANRCTI, iar sancţiunile se aplică, prin rezoluţie scrisă, de către preşedintele ANRCTI.
(5) Constatarea contravenţiilor prevăzute la alin.(1) lit. a), b) şi c) şi aplicarea sancţiunilor se efectuează de către personalul de control împuternicit în acest scop al ANSPDCP.

Art. 19. Constituie infracţiuni următoarele fapte:
a. neîndeplinirea obligaţiei prevăzute la art. 11 alin. (1);
b. orice accesare intenţionată sau transfer al datelor păstrate în conformitate cu prezenta lege, fără autorizare;
c. împiedicarea punerii la dispoziţie către autorităţile competente a datelor reţinute ca urmare a aplicării prezentei legi.

Capitolul VI: Dispoziţii finale

Art. 20. Pe data intrării în vigoare a prezentei Legi, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr.1101 din 25 noiembrie 2004, cu modificările ulteriore, se modifică şi se completează după cum urmează:

a) Alineatele 1 şi 6 ale articolului 5 se modifică şi vor avea următorul cuprins:

„(1) Datele de trafic referitoare la abonaţi şi utilizatori, prelucrate şi reţinute de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepţia situaţiilor prevăzute la alin. (2), (3), (5) şi (51).
(6) Prevederile alin. (1) – (3), (5) şi (51) nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele de trafic, în condiţiile legii. Dispoziţiile Legii privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii se aplică în mod corespunzător.”

b) La articolul 5, după alineatul 5 se introduce un alineat nou, alin. (51), cu următorul cuprins:
(51) Dispoziţiile Legii privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, referitoare la obligaţia păstrării datelor de trafic se aplică în mod corespunzător.

c) La articolul 8, după alineatul 4 se introduce un alineat nou, alin. (5), cu următorul cuprins:
„(5) Dispoziţiile prezentului articol nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele păstrate de furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile prevăzute în Legea  privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii”.

Art. 21 (1) Prezentul act normativ intră în vigoare în termen de 10 zile de la publicarea în Monitorul Oficial al României, Partea I-a.
(2) Dispoziţiile referitoare la reţinerea datelor de trafic şi localizare corespunzătoare comunicaţiilor electronice de tip e-mail şi internet se vor aplica începând cu data de 1 ianuarie 2009.
Art. 22 În termen de 60 de zile de la publicarea în Monitorul Oficial a prezentei Legi, Ministerul Comunicaţiilor şi Tehnologiei Informaţiei va elabora Normele Metodologice de Aplicare.

Prezenta lege transpune Directiva 2006/24/CE privind reţinerea datelor generate sau prelucrate de către furnizorii de reţele şi servicii de comunicaţii electronice destinate publicului, publicată în Jurnalul Oficial al Uniunii Europene nr. L 105/ 13.04.2006. 

MCTI va comunica Comisiei Europene dispoziţiile naţionale adoptate în domeniul aflat sub incidenţa prezentei legi care transpune Directiva 2006/24/CE privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii.