OUG nr. 13/2012 - modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice

Luand in considerare ca, in scrisoarea de punere in intarziere din data de 18 iulie 2011 (Cauza 2011/0939), Comisia Europeana atrage atentia asupra faptului ca autoritatile romane nu au transpus in legislatia nationala prevederile Directivei 2009/136/CE a Parlamentului European si a Consiliului din 25 noiembrie 2009 de modificare a Directivei 2002/22/CE privind serviciul universal si drepturile utilizatorilor cu privire la retelele si serviciile de comunicatii electronice, a Directivei 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice si a Regulamentului (CE) nr. 2.006/2004 privind cooperarea dintre autoritatile nationale insarcinate sa asigure aplicarea legislatiei in materie de prote ctie a consumatorului, tinand seama de actiunile demarate la nivelul Comisiei Europene in vederea asigurarii transpunerii pachetului de reglementari in domeniul comunicatiilor electronice, avand in vedere ca Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu modificarile si completarile ulterioare, a transpus in dreptul intern Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitati i in sectorul comunicatiilor publice, modificata prin Directiva 2009/136/CE, luand in considerare faptul ca neadoptarea unor astfel de masuri a avut ca efect trimiterea de catre Comisia Europeana a unui aviz motivat, cu posibilitatea ca ulterior sa se declanseze deschiderea procedurii contencioase in fata Curtii de Justit ie a Uniunii Europene, care s-ar putea finaliza in urmatoarele luni si ar duce la plata unei amenzi, singura modalitate de a pune ca pat procedurilor de incalcare a dreptului comunitar o reprezinta modificarea si completarea, in regim de urgenta, a Legii nr. 506/2 004, cu modificarile si completarile ulterioare. Tinand cont ca aceste elemente vizeaza interesul public si constituie situatii extraordinare si de urgenta, a caror reglementare nu poate fi amanata, in temeiul art. 115 alin. (4) din Constitutia Romaniei, republicata, Guvernul Romaniei adopta prezenta ordonanta de urgenta.

Articol unic. - Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 1.101 din 25 noiembrie 2004, cu modificarile si completarile ulterioare, se modifica si se completeaza dupa cum urmeaza:
1. La articolul 1, alineatul (2) se modifica si va avea urmatorul cuprins: „(2) Prevederile prezentei legi se aplica prelucrarii de date cu caracter personal legate de furnizarea de servicii de comunicatii electronice destinate publicului prin intermediul retelelor publice de comunicatii electronice, inclusiv al retelelor publice de comunicatii electronice care presupun dispozitive de colectare a datelor si de identificare.”
2. La articolul 2 alineatul (1), litera c) se modifica si va avea urmatorul cuprins: „c) date de localizare - orice date prelucrate intr-o retea de comunicatii electronice sau prin intermediul unui serviciu de comunicatii electronice, care indica pozitia geografica a echipamentului terminal al utilizatorului unui serviciu de comunicatii electronice destinat publicului;”.
3. La articolul 2 alineatul (1), litera e) se abroga.
4. La articolul 2 alineatul (1), dupa litera g) se introduce o noua litera, litera h), cu urmatorul cuprins: „h) incalcare a securitatii datelor cu caracter personal-incalcarea securitatii avand ca rezultat distrugerea accidentala sau ilicita, pierderea, alterarea, divulgarea neautorizata ori accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod in legatura cu furnizarea de servicii de comunicatii electronice destinate publicului.”
5. La articolul 2, alineatul (2) se modifica si va avea urmatorul cuprins: „(2) In cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 3 lit. a), b), c) si i) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, la art. 1 pct. 1 si 8 din Legea nr. 365/2002 privind comertul electronic, republicata, si la art. 4 alin. (1) pct. 3, 6, 8, 9, 10 si 36 din Ordonanta de urgenta a Guvernului nr. 111/2011 privind comunicatiile electronice.”
6. Articolul 3 se modifica si va avea urmatorul cuprins: „ARTICOLUL 3 Securitatea prelucrarii datelor cu caracter personal (1) Furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua masuri tehnice si organizatorice adecvate in vederea asigurarii securitatii prelucrarii datelor cu caracter personal. Daca este necesar, furnizorul serviciului de comunicatii electronice destinate publicului va lua aceste masuri impreuna cu furnizorul retelei publice de comunicatii electronice
(2) Masurile adoptate potrivit alin. (1) trebuie sa asigure un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri
(3) Fara a aduce atingere prevederilor Legii nr. 677/2001, cu modificarile si completarile ulterioare, masurile adoptate potrivit alin. (1) trebuie sa respecte cel putin urmatoarele conditii:
a) sagaranteze ca datele cu caracter personal pot fi accesate numai de persoane autorizate, in scopurile autorizate de lege;
b) sa protejeze datele cu caracter personal stocate sau transmise impotriva distrugerii accidentale ori ilicite, impotriva pierderii sau deteriorarii accidentale si impotriva stocarii, prelucrarii, accesarii ori divulgarii ilicite;
c) sa asigure punerea in aplicare a politicii de securitate elaborate de furnizor in ceea ce priveste prelucrarea datelor cu caracter personal
(4) Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare ANSPDCP, poate audita masurile luate de furnizori in conformitate cu alin. (1) si poate emite recomandari cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste masuri
(5) In cazul existentei unui risc determinat de incalcarea securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a informa abonatii cu privire la existenta acestui risc, precum si la posibilele consecinte ce decurg. In cazul in care acest risc depaseste domeniul de aplicare a masurilor pe care le pot lua furnizorii, acestia au obligatia de a informa abonatii despre remediile posibile, inclusiv prin indicarea costurilor implicate
(6) In cazul unei incalcari a securitatii datelor cu caracter personal, furnizorii de servicii de comunicatii electronice destinate publicului vor notifica ANSPDCP, fara intarziere, la respectiva incalcare
(7) Atunci cand incalcarea securitatii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vietii private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva incalcare, fara intarziere, abonatului sau persoanei in cauza
(8) Notificarea prevazuta la alin. (7) nu este necesara daca furnizorul a demonstrat ANSPDCP, intr-un mod pe care aceasta il considera satisfacator, ca a aplicat masuri tehnologice de protectie adecvate si ca respectivele masuri au fost aplicate datelor afectate de incalcarea securitatii. Astfel de masuri tehnologice de protectie trebuie sa asigure faptul ca datele devin neinteligibile persoanelor care nu sunt autorizate sa le acceseze
(9) Fara a aduce atingere obligatiei furnizorului de a notifica abonatilor si persoanelor in cauza, in cazul in care furnizorul nu a notificat deja abonatului sau persoanei in cauza incalcarea securitatii datelor cu caracter personal, ANSPDCP poate, dupa analizarea posibilelor efecte negative ale incalcarii, sa ii solicite sa faca acest lucru
(10) Notificarea prevazuta la alin. (7) va cuprinde cel putin o descriere a naturii incalcarii securitatii datelor cu caracter personal si punctele de contact ale furnizorului unde pot fi obtinute mai multe informatii si va recomanda masuri de atenuare a posibilelor efecte negative ale acestei incalcari. Notificarea prevazuta la alin. (6) va contine si o descriere a consecintelor incalcarii securitatii datelor cu caracter personal, precum si a masurilor propuse sau adoptate de furnizor in vederea remedierii acestora
(11) Sub rezerva oricaror masuri tehnice de punere in aplicare adoptate de Comisia Europeana, ANSPDCP poate sa stabileasca circumstantele in care furnizorii sunt obligati sa notifice incalcari ale securitatii datelor cu caracter personal, formatul unei astfel de notificari si modalitatile in care se va face notificarea
(12) Furnizorii au obligatia de a pastra o evidenta a tuturor incalcarilor securitatii datelor cu caracter personal, care trebuie sa cuprinda o descriere a situatiei in care a avut loc incalcarea, a efectelor acesteia si a masurilor de remediere intreprinse, astfel incat ANSPDCP sa poata verifica daca au fost respectate obligatiile ce incumba furnizorilor potrivit prezentului articol. Evidenta va include numai informatiile necesare in acest scop.”
7. Dupa articolul 3 se introduce un nou articol, articolul 3^1, cu urmatorul cuprins: „ARTICOLUL 3^1 Proceduri de accesare Furnizorii au obligatia de a stabili proceduri interne pentru a raspunde solicitarilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, acestia ofera ANSPDCP informatii despre procedurile respective, numarul de solicitari primite, justificarea legala invocata in solicitare si raspunsul oferit solicitantilor.”
8. La articolul 4, alineatul (5) se modifica si va avea urmatorul cuprins: „(5) Stocarea de informatii sau obtinerea accesului la informatia stocata in echipamentul terminal al unui abonat ori utilizator este permisa numai cu indeplinirea in mod cumulativ a urmatoarelor conditii:
a) abonatul sau utilizatorul in cauza si-a exprimat acordul;
b) abonatului sau utilizatorului in cauza i s-au furnizat, anterior exprimarii acordului, in conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, informatii clare si complete care: (i) sa fie expuse intr-un limbaj usor de inteles si sa fie usor accesibile abonatului sau utilizatorului; (ii) sa includa mentiuni cu privire la scopul procesarii informatiilor stocate de abonat sau utilizator ori informatiilor la care acesta are acces. In cazul in care furnizorul permite unor terti stocarea sau accesul la informatii stocate in echipamentul terminal al abonatului ori utilizatorului, informarea in concordanta cu pct. (i) si (ii) va include scopul general al procesarii acestor informatii de catre terti si modul in care abonatul sau utilizatorul poate folosi setarile aplicatiei de navigare pe internet ori alte tehnologii similare pentru a sterge informatiile stocate sau pentru a refuza accesul tertilor la aceste informatii.”
9. La articolul 4, dupa alineatul (5) se introduce un nou alineat, alineatul (5^1), cu urmatorul cuprins: „(5^1) Acordul prevazut la alin. (5) lit. a) poate fi dat si prin utilizarea setarilor aplicatiei de navigare pe internet sau a altor tehnologii similare prin intermediul carora se poate considera ca abonatul ori utilizatorul si-a exprimat acordul.”
10. La articolul 4, alineatul (6) se modifica si va avea urmatorul cuprins: „(6) Prevederile alin. (5) nu aduc atingere posibilitatii de a efectua stocarea sau accesul tehnic la informatia stocata in urmatoarele cazuri:
a) atunci cand aceste operatiuni sunt realizate exclusiv in scopul efectuarii transmisiei unei comunicari printr-o retea de comunicatii electronice;
b) atunci cand aceste operatiuni sunt strict necesare in vederea furnizarii unui serviciu al societatii informationale, solicitat in mod expres de catre abonat sau utilizator.”
11. La articolul 5, alineatul (6) se modifica si va avea urmatorul cuprins: „(6) Prevederile alin. (1)-(3) si (5) nu aduc atingere posibilitatii autoritatilor competente de a avea acces la datele de trafic, in conditiile legii.”
12. La articolul 7, alineatul (6) se abroga.
13. La articolul 9, alineatul (4) se abroga.
14. La articolul 10, alineatul (2) se abroga.
15. Articolul 11 se modifica si va avea urmatorul cuprins: „ARTICOLUL 11 Registrele abonatilor (1) Abonatii serviciilor de comunicatii electronice destinate publicului au dreptul, cu respectarea prevederilor Legii nr. 677/2001, cu modificarile si completarile ulterioare, de a le fi incluse datele cu caracter personal in toate registrele publice ale abonatilor, in forma scrisa sau electronica
(2) Persoanele care pun la dispozitia publicului registre ale abonatilor in forma scrisa sau electronica ori care furnizeaza servicii de informatii privind abonatii au obligatia de a informa abonatii cu privire la scopul intocmirii acestor registre in care pot fi incluse datele lor cu caracter personal, precum si cu privire la orice posibilitati ulterioare de utilizare a acestor date, bazate pe functii de cautare integrate registrelor in forma electronica. Informarea abonatilor este gratuita si se realizeaza inainte ca acestia sa fie inclusi in registrele respective
(3) Ulterior realizarii informarii prevazute la alin. (2), furnizorii de servicii de comunicatii electronice destinate publicului care atribuie numere de telefon abonatilor au obligatia de a le acorda acestora un termen de 45 de zile lucratoare in care se pot opune includerii datelor necesare identificarii lor in toate registrele prevazute la alin. (1). La expirarea celor 45 de zile lucratoare, in cazul in care abonatii nu si-au exprimat vointa in sens contrar, datele necesare identificarii lor sunt incluse
(4) Abonatii ale caror date cu caracter personal nu sunt disponibile furnizorilor prevazuti la alin. (3) pot solicita, in mod gratuit, includerea in toate registrele prevazute la alin. (1)
(5) Fara a aduce atingere prevederilor alin. (3) si (4), persoanele prevazute la alin. (2), precum si persoanele care furnizeaza registrele si serviciile prevazute la alin. (1) au obligatia de a asigura abonatilor, in mod gratuit si fara intarziere, urmatoarele posibilitati:
a) de a decide daca datele lor cu caracter personal, precum si care dintre acestea vor fi sau nu incluse in aceste registre;
b) de a verifica, rectifica sau elimina datele cu caracter personal incluse in aceste registre
(6) Registrele prevazute la alin. (1) pot fi utilizate in alt scop, in afara simplei cautari a datelor de contact, pe baza numelui si, daca este necesar, a unui numar limitat de alti parametri, numai cu consimtamantul expres prealabil al fiecarui abonat care figureaza in aceste registre
(7) Prevederile prezentului articol se aplica, in mod corespunzator, si abonatilor persoane juridice cu privire la datele care permit identificarea acestora
(8) Fara a aduce atingere prevederilor alin. (1)-(7), persoanele care furnizeaza registrele si serviciile prevazute la alin. (1) au obligatia de a pune la dispozitia publicului informatii clare, usor accesibile si gratuite privind scopul intocmirii registrelor pe care le gestioneaza, posibilitatile de utilizare a datelor cu caracter personal pe care le detin, bazate pe functii de cautare integrate registrelor in forma electronica, sau exercitarea de catre abonati a drepturilor prevazute la alin. (5).”
16. La articolul 12, alineatele (1) si (3) se modifica si vor avea urmatorul cuprins: „(1) Este interzisa efectuarea de comunicari comerciale prin utilizarea unor sisteme automate de apelare si comunicare care nu necesita interventia unui operator uman, prin fax ori prin posta electronica sau prin orice alta metoda care foloseste serviciile de comunicatii electronice destinate publicului, cu exceptia cazului in care abonatul sau utilizatorul vizat si-a exprimat in prealabil consimtamantul expres pentru a primi asemenea comunicari...................................................................................................
(3) In toate cazurile este interzisa efectuarea prin posta electronica de comunicari comerciale in care identitatea reala a persoanei in numele si pe seama careia sunt facute este ascunsa, cu incalcarea art. 5 din Legea nr. 365/2002, republicata, sau in care nu se specifica o adresa valabila la care destinatarul sa poata transmite solicitarea sa referitoare la incetarea efectuarii unor asemenea comunicari ori in care sunt incurajati destinatarii sa viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicata.”
17. Articolul 13 se modifica si va avea urmatorul cuprins: „ARTICOLUL 13 Regim sanctionator (1) Constituie contraventii urmatoarele fapte:
a) neindeplinirea obligatiei prevazute la art. 3 alin. (1), in conditiile stabilite potrivit art. 3 alin. (2)-(4);
b) neindeplinirea obligatiei de informare prevazute la art. 3 alin. (5);
c) neindeplinirea obligatiei de informare prevazute la art. 3 alin. (6);
d) neindeplinirea obligatiei de informare prevazute la art. 3 alin. (7);
e) nerespectarea prevederilor art. 3 alin. (10);
f) nerespectarea masurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
g) nerespectarea prevederilor art. 3 alin. (12);
h) nerespectarea prevederilor art. 4 alin. (2) referitoare la interdictia interceptarii si supravegherii comunicarilor si datelor de trafic aferente;
i) nerespectarea conditiilor prevazute la art. 4 alin. (5);
j) nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
k) nerespectarea conditiilor de emitere a facturilor, stabilite potrivit art. 6;
l) incalcarea obligatiilor referitoare la disponibilitatea mijloacelor de ascundere a identitatii sau de respingere a apelurilor, precum si la informarea publicului, prevazute la art. 7;
m) nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decat datele de trafic;
n) nerespectarea prevederilor art. 9 referitoare la conditiile in care se poate deroga de la prevederile art. 7 sau 8;
o) incalcarea obligatiilor referitoare la posibilitatea de a bloca redirectionarea automata a apelurilor, prevazute la art. 10;
p) neindeplinirea obligatiilor referitoare la intocmirea registrelor abonatilor, prevazute la art. 11;
q) nerespectarea prevederilor art. 12 referitoare la comunicarile nesolicitate
(2) Contraventiile prevazute la alin. (1) lit. a)-l), n), o) si q) se sanctioneaza cu amenda de la 5.000 lei la 100.000 lei, iar pentru societatile comerciale cu o cifra de afaceri de peste 5.000.000 lei, prin derogare de la dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare, cu amenda in cuantum de pana la 2% din cifra de afaceri
(3) Contraventia prevazuta la alin. (1) lit. p), precum si contraventia prevazuta la alin. (1) lit. m), savarsite prin nerespectarea obligatiei prevazute la art. 8 alin. (1) lit. b), se sanctioneaza cu amenda de la 30.000 lei la 100.000 lei, iar pentru societatile comerciale cu o cifra de afaceri de peste 5.000.000 lei, prin derogare de la dispozitiile Ordonantei Guvernului nr. 2/2001, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile ulterioare, cu amenda in cuantum de pana la 2% din cifra de afaceri
(4) Contraventia prevazuta la alin. (1) lit. k) se constata de personalul de control imputernicit in acest scop al Autoritatii Nationale pentru Administrare si Reglementare in Comunicatii, iar sanctiunea se aplica, prin rezolutie scrisa, de catre
presedintele acestei institutii
(5) Constatarea contraventiilor prevazute la alin. (1) lit. a)-j) si l)-q) si aplicarea sanctiunilor se fac de personalul imputernicit in acest scop al ANSPDCP
(6) In masura in care prin prezenta lege nu se prevede altfel, contraventiilor prevazute la alin. (1) li se aplica prevederile Ordonantei Guvernului nr. 2/2001, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare
(7) ANSPDCP poate aplica amenzi cominatorii pe zi de intarziere, in cuantum de pana la 5.000 lei, stabilind totodata si data de la care acestea se calculeaza, pentru a determina furnizorii sa se supuna masurilor luate potrivit prevederilor art. 3 alin. (9)
(8) Aplicarea amenzilor cominatorii pe zi de intarziere in conditiile alin. (7) se face prin proces-verbal incheiat de personalul imputernicit in acest scop al ANSPDCP. Procesul-verbal va cuprinde mentiunea cu privire la obligativitatea achitarii amenzii la institutiile abilitate sa o incaseze, potrivit legislatiei in vigoare, precum si termenul de plata si constituie titlu executoriu, fara vreo alta formalitate.”

PRIM-MINISTRU MIHAI-RAZVAN UNGUREANU
Contrasemneaza:
Ministrul comunicatiilor si societatii informationale, Razvan Mustea-Serban
Presedintele Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal, Georgeta Basarabescu
Ministrul afacerilor europene, Leonard Orban
Bucuresti, 24 aprilie 2012.
Nr. 13