Ordonanță de urgență nr. 13 din 24/04/2012 pentru modificarea ÅŸi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal ÅŸi protecția vieții private în sectorul comunicațiilor electronice

 

Publicat in Monitorul Oficial, Partea I nr. 277 din 26/04/2012
Intrare in vigoare: 26/04/2012

 

  Articol unic. - Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 1.101 din 25 noiembrie 2004, cu modificările și completările ulterioare, se modifică și se completează după cum urmează:
   1. La articolul 1, alineatul (2) se modifică și va avea următorul cuprins:
    "(2) Prevederile prezentei legi se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații electronice, inclusiv al rețelelor publice de comunicații electronice care presupun dispozitive de colectare a datelor și de identificare."
   2. La articolul 2 alineatul (1), litera c) se modifică și va avea următorul cuprins:
    "c) date de localizare - orice date prelucrate într-o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al utilizatorului unui serviciu de comunicații electronice destinat publicului;".
   3. La articolul 2 alineatul (1), litera e) se abrogă.
   4. La articolul 2 alineatul (1), după litera g) se introduce o nouă literă, litera h), cu următorul cuprins:
    "h) încălcare a securității datelor cu caracter personal încălcarea securității având ca rezultat distrugerea accidentală sau ilicită, pierderea, alterarea, divulgarea neautorizată ori accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod în legătură cu furnizarea de servicii de comunicații electronice destinate publicului."
   5. La articolul 2, alineatul (2) se modifică și va avea următorul cuprins:
    "(2) în cuprinsul prezentei legi sunt, de asemenea, aplicabile definițiile prevăzute la art. 3 lit. a), b), c) și i) din Legea nr. 677/2001, cu modificările și completările ulterioare, la art. 1 pct. 1 și 8 din Legea nr. 365/2002 privind comerțul electronic, republicată, și la art. 4 alin. (1) pct. 3, 6, 8, 9, 10 și 36 din Ordonanța de urgență a Guvernului nr. 111/2011 privind comunicațiile electronice."
   6. Articolul 3 se modifică și va avea următorul cuprins:
  
  "ARTICOLUL 3 Securitatea prelucrării datelor cu caracter personal

    (1) Furnizorul unui serviciu de comunicații electronice destinat publicului are obligația de a lua măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicații electronice destinate publicului va lua aceste măsuri împreună cu furnizorul rețelei publice de comunicații electronice.
    (2) Măsurile adoptate potrivit alin. (1) trebuie să asigure un nivel de securitate proporțional cu riscul existent, având în vedere posibilitățile tehnice de ultimă oră și costurile implementării acestor măsuri.
    (3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările și completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puțin următoarele condiții:
    a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
    b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale și împotriva stocării, prelucrării, accesării ori divulgării ilicite;
    c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce privește prelucrarea datelor cu caracter personal.
    (4) Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, poate audita măsurile luate de furnizori în conformitate cu alin. (1) și poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.
    (5) în cazul existenței unui risc determinat de încălcarea securității datelor cu caracter personal, furnizorii de servicii de comunicații electronice destinate publicului au obligația de a informa abonații cu privire la existența acestui risc, precum și la posibilele consecințe ce decurg. în cazul în care acest risc depășește domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceștia au obligația de a informa abonații despre remediile posibile, inclusiv prin indicarea costurilor implicate.
    (6) în cazul unei încălcări a securității datelor cu caracter personal, furnizorii de servicii de comunicații electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.
    (7) Atunci când încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieții private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva încălcare, fără întârziere, abonatului sau persoanei în cauză.
    (8) Notificarea prevăzută la alin. (7) nu este necesară dacă furnizorul a demonstrat ANSPDCP, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice de protecție adecvate și că respectivele măsuri au fost aplicate datelor afectate de încălcarea securității. Astfel de măsuri tehnologice de protecție trebuie să asigure faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.
    (9) Fără a aduce atingere obligației furnizorului de a notifica abonaților și persoanelor în cauză, în cazul în care furnizorul nu a notificat deja abonatului sau persoanei în cauză încălcarea securității datelor cu caracter personal, ANSPDCP poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.
    (10) Notificarea prevăzută la alin. (7) va cuprinde cel puțin o descriere a naturii încălcării securității datelor cu caracter personal și punctele de contact ale furnizorului unde pot fi obținute mai multe informații și va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (6) va conține și o descriere a consecințelor încălcării securității datelor cu caracter personal, precum și a măsurilor propuse sau adoptate de furnizor în vederea remedierii acestora.
    (11) Sub rezerva oricăror măsuri tehnice de punere în aplicare adoptate de Comisia Europeană, ANSPDCP poate să stabilească circumstanțele în care furnizorii sunt obligați să notifice încălcări ale securității datelor cu caracter personal, formatul unei astfel de notificări și modalitățile în care se va face notificarea.
    (12) Furnizorii au obligația de a păstra o evidență a tuturor încălcărilor securității datelor cu caracter personal, care trebuie să cuprindă o descriere a situației în care a avut loc încălcarea, a efectelor acesteia și a măsurilor de remediere întreprinse, astfel încât ANSPDCP să poată verifica dacă au fost respectate obligațiile ce incumbă furnizorilor potrivit prezentului articol. Evidența va include numai informațiile necesare în acest scop."
   7. După articolul 3 se introduce un nou articol, articolul 31, cu următorul cuprins:
  
  "ARTICOLUL 31 Proceduri de accesare

    Furnizorii au obligația de a stabili proceduri interne pentru a răspunde solicitărilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, aceștia oferă ANSPDCP informații despre procedurile respective, numărul de solicitări primite, justificarea legală invocată în solicitare și răspunsul oferit solicitanților."
   8. La articolul 4, alineatul (5) se modifică și va avea următorul cuprins:
    "(5) Stocarea de informații sau obținerea accesului la informația stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiții:
    a) abonatul sau utilizatorul în cauză și-a exprimat acordul;
    b) abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările și completările ulterioare, informații clare și complete care:
    (i) să fie expuse într-un limbaj ușor de înțeles și să fie ușor accesibile abonatului sau utilizatorului;
    (ii) să includă mențiuni cu privire la scopul procesării informațiilor stocate de abonat sau utilizator ori informațiilor la care acesta are acces.
    în cazul în care furnizorul permite unor terți stocarea sau accesul la informații stocate în echipamentul terminal al abonatului ori utilizatorului, informarea în concordanță cu pct. (i) și (ii) va include scopul general al procesării acestor informații de către terți și modul în care abonatul sau utilizatorul poate folosi setările aplicației de navigare pe internet ori alte tehnologii similare pentru a șterge informațiile stocate sau pentru a refuza accesul terților la aceste informații."
   9. La articolul 4, după alineatul (5) se introduce un nou alineat, alineatul (51), cu următorul cuprins:
    "(51) Acordul prevăzut la alin. (5) lit. a) poate fi dat și prin utilizarea setărilor aplicației de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul și-a exprimat acordul."
   10. La articolul 4, alineatul (6) se modifică și va avea următorul cuprins:
    "(6) Prevederile alin. (5) nu aduc atingere posibilității de a efectua stocarea sau accesul tehnic la informația stocată în următoarele cazuri:
    a) atunci când aceste operațiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o rețea de comunicații electronice;
    b) atunci când aceste operațiuni sunt strict necesare în vederea furnizării unui serviciu al societății informaționale, solicitat în mod expres de către abonat sau utilizator."
   11. La articolul 5, alineatul (6) se modifică și va avea următorul cuprins:
    "(6) Prevederile alin. (1)-(3) și (5) nu aduc atingere posibilității autorităților competente de a avea acces la datele de trafic, în condițiile legii."
   12. La articolul 7, alineatul (6) se abrogă.
   13. La articolul 9, alineatul (4) se abrogă.
   14. La articolul 10, alineatul (2) se abrogă.
   15. Articolul 11 se modifică și va avea următorul cuprins:
  
  "ARTICOLUL 11 Registrele abonaților

    (1) Abonații serviciilor de comunicații electronice destinate publicului au dreptul, cu respectarea prevederilor Legii nr. 677/2001, cu modificările și completările ulterioare, de a le fi incluse datele cu caracter personal în toate registrele publice ale abonaților, în formă scrisă sau electronică.
    (2) Persoanele care pun la dispoziția publicului registre ale abonaților în formă scrisă sau electronică ori care furnizează servicii de informații privind abonații au obligația de a informa abonații cu privire la scopul întocmirii acestor registre în care pot fi incluse datele lor cu caracter personal, precum și cu privire la orice posibilități ulterioare de utilizare a acestor date, bazate pe funcții de căutare integrate registrelor în formă electronică. Informarea abonaților este gratuită și se realizează înainte ca aceștia să fie incluși în registrele respective.
    (3) Ulterior realizării informării prevăzute la alin. (2), furnizorii de servicii de comunicații electronice destinate publicului care atribuie numere de telefon abonaților au obligația de a le acorda acestora un termen de 45 de zile lucrătoare în care se pot opune includerii datelor necesare identificării lor în toate registrele prevăzute la alin. (1). La expirarea celor 45 de zile lucrătoare, în cazul în care abonații nu și-au exprimat voința în sens contrar, datele necesare identificării lor sunt incluse.
    (4) Abonații ale căror date cu caracter personal nu sunt disponibile furnizorilor prevăzuți la alin. (3) pot solicita, în mod gratuit, includerea în toate registrele prevăzute la alin. (1).
    (5) Fără a aduce atingere prevederilor alin. (3) și (4), persoanele prevăzute la alin. (2), precum și persoanele care furnizează registrele și serviciile prevăzute la alin. (1) au obligația de a asigura abonaților, în mod gratuit și fără întârziere, următoarele posibilități:
    a) de a decide dacă datele lor cu caracter personal, precum și care dintre acestea vor fi sau nu incluse în aceste registre;
    b) de a verifica, rectifica sau elimina datele cu caracter personal incluse în aceste registre.
    (6) Registrele prevăzute la alin. (1) pot fi utilizate în alt scop, în afara simplei căutări a datelor de contact, pe baza numelui și, dacă este necesar, a unui număr limitat de alți parametri, numai cu consimțământul expres prealabil al fiecărui abonat care figurează în aceste registre.
    (7) Prevederile prezentului articol se aplică, în mod corespunzător, și abonaților persoane juridice cu privire la datele care permit identificarea acestora.
    (8) Fără a aduce atingere prevederilor alin. (1)-(7), persoanele care furnizează registrele și serviciile prevăzute la alin. (1) au obligația de a pune la dispoziția publicului informații clare, ușor accesibile și gratuite privind scopul întocmirii registrelor pe care le gestionează, posibilitățile de utilizare a datelor cu caracter personal pe care le dețin, bazate pe funcții de căutare integrate registrelor în formă electronică, sau exercitarea de către abonați a drepturilor prevăzute la alin. (5)."
   16. La articolul 12, alineatele (1) și (3) se modifică și vor avea următorul cuprins:
    "(1) Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare care nu necesită intervenția unui operator uman, prin fax ori prin poștă electronică sau prin orice altă metodă care folosește serviciile de comunicații electronice destinate publicului, cu excepția cazului în care abonatul sau utilizatorul vizat și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări.
    ..................................................................................................
    (3) în toate cazurile este interzisă efectuarea prin poșta electronică de comunicări comerciale în care identitatea reală a persoanei în numele și pe seama căreia sunt făcute este ascunsă, cu încălcarea art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări ori în care sunt încurajați destinatarii să viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicată."
   17. Articolul 13 se modifică și va avea următorul cuprins:
  
  "ARTICOLUL 13 Regim sancționator

    (1) Constituie contravenții următoarele fapte:
    a) neîndeplinirea obligației prevăzute la art. 3 alin. (1), în condițiile stabilite potrivit art. 3 alin. (2)-(4);
    b) neîndeplinirea obligației de informare prevăzute la art. 3 alin. (5);
    c) neîndeplinirea obligației de informare prevăzute la art. 3 alin. (6);
    d) neîndeplinirea obligației de informare prevăzute la art. 3 alin. (7);
    e) nerespectarea prevederilor art. 3 alin. (10);
    f) nerespectarea măsurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
    g) nerespectarea prevederilor art. 3 alin. (12);
    h) nerespectarea prevederilor art. 4 alin. (2) referitoare la interdicția interceptării și supravegherii comunicărilor și datelor de trafic aferente;
    i) nerespectarea condițiilor prevăzute la art. 4 alin. (5);
    j) nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
    k) nerespectarea condițiilor de emitere a facturilor, stabilite potrivit art. 6;
    l) încălcarea obligațiilor referitoare la disponibilitatea mijloacelor de ascundere a identității sau de respingere a apelurilor, precum și la informarea publicului, prevăzute la art. 7;
    m) nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decât datele de trafic;
    n) nerespectarea prevederilor art. 9 referitoare la condițiile în care se poate deroga de la prevederile art. 7 sau 8;
    o) încălcarea obligațiilor referitoare la posibilitatea de a bloca redirecționarea automată a apelurilor, prevăzute la art. 10;
    p) neîndeplinirea obligațiilor referitoare la întocmirea registrelor abonaților, prevăzute la art. 11;
    q) nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate.
    (2) Contravențiile prevăzute la alin. (1) lit. a)-l), n), o) și q) se sancționează cu amendă de la 5.000 lei la 100.000 lei, iar pentru societățile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispozițiile Ordonanței Guvernului nr. 2/2001 privind regimul juridic al contravențiilor, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
    (3) Contravenția prevăzută la alin. (1) lit. p), precum și contravenția prevăzută la alin. (1) lit. m), săvârșite prin nerespectarea obligației prevăzute la art. 8 alin. (1) lit. b), se sancționează cu amendă de la 30.000 lei la 100.000 lei, iar pentru societățile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispozițiile Ordonanței Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
    (4) Contravenția prevăzută la alin. (1) lit. k) se constată de personalul de control împuternicit în acest scop al Autorității Naționale pentru Administrare și Reglementare în Comunicații, iar sancțiunea se aplică, prin rezoluție scrisă, de către președintele acestei instituții.
    (5) Constatarea contravențiilor prevăzute la alin. (1) lit. a)-j) și l)-q) și aplicarea sancțiunilor se fac de personalul împuternicit în acest scop al ANSPDCP.
    (6) în măsura în care prin prezenta lege nu se prevede altfel, contravențiilor prevăzute la alin. (1) li se aplică prevederile Ordonanței Guvernului nr. 2/2001, aprobată cu modificări și completări prin Legea nr. 180/2002, cu modificările și completările ulterioare.
    (7) ANSPDCP poate aplica amenzi cominatorii pe zi de întârziere, în cuantum de până la 5.000 lei, stabilind totodată și data de la care acestea se calculează, pentru a determina furnizorii să se supună măsurilor luate potrivit prevederilor art. 3 alin. (9).