Lege privind retinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii

CAPITOLUL I - Dispozitii generale

Lege nr. 298 din 18/11/2008 privind retinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii,
precum si pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice privind retinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii,
precum si pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice Parlamentul Romaniei adopta prezenta lege.

A fost publicata in Monitorul Oficial, Partea I nr. 780 din 21/11/2008

ARTICOLUL 1.

(1) Prezenta lege stabileste obligatia furnizorilor de servicii si retele publice de comunicatii electronice de a retine anumite date generate sau prelucrate in cadrul activitatii lor de furnizare a serviciilor de comunicatii electronice, pentru punerea acestora la dispozitia autoritatilor competente in scopul utilizarii in cadrul activitatilor de cercetare, de descoperire si de urmarire a infractiunilor grave.

(2) Prezenta lege se aplica datelor de trafic si de localizare a persoanelor fizice si juridice, precum si datelor conexe necesare pentru identificarea abonatului sau a utilizatorului inregistrat.

(3) Prezenta lege nu se aplica in ceea ce priveste continutul comunicarii sau informatiile consultate in timpul utilizarii unei retele de comunicatii electronice.

(4) Punerea in aplicare a prevederilor prezentei legi se face cu respectarea prevederilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, precum si ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu completarile ulterioare.

ARTICOLUL 2.

(1) In intelesul prezentei legi, termenii si expresiile de mai jos au urmatoarele semnificatii:
a) furnizor de servicii si retele publice de comunicatii electronice - persoana care furnizeaza in scop comercial servicii si/sau retele de comunicatii electronice catre utilizatori finali ori alti furnizori de retele sau servicii de comunicatii electronice pentru sustinerea traficului acestora;
b) date - informatiile privind traficul, localizarea si alte date legate de acestea, necesare pentru identificarea unui abonat sau a unui utilizator;
c) utilizator - persoana fizica sau juridica ce foloseste un serviciu de comunicatii electronice destinat publicului in scopuri personale sau profesionale, fara a fi in mod necesar abonat al acelui serviciu;
d) abonat - persoana fizica sau juridica ce a incheiat un contract cu un furnizor de servicii de comunicatii electronice destinate publicului, in vederea furnizarii unor asemenea servicii;
e) serviciu de telefonie - apelul (voce, mesagerie vocala, teleconferinta si transfer de date), serviciile suplimentare (redirectionarea convorbirii si transferul apelului) si serviciile de mesagerie si multimedia (servicii de mesagerie scurta, servicii media imbunatatite si servicii multimedia);
f) infractiune grava - infractiunea care face parte dintre infractiunile enumerate la art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea si combaterea criminalitatii organizate savarsite sau nu de un grup infractional organizat, dintre cele prevazute in cap. IV din Legea nr. 535/2004 privind prevenirea si combaterea terorismului, precum si dintre infractiunile contra sigurantei statului prevazute in titlul I din partea speciala a Legii nr. 15/1968 - Codul penal al Romaniei, republicata, cu modificarile si completarile ulterioare;
g) identificatorul utilizatorului - codul unic de identificare alocat unei persoane care se aboneaza sau se inregistreaza la un serviciu de acces la internet ori la un serviciu de comunicatii prin internet;
h) identificatorul celulei - codul de identificare a celulei in care se initiaza sau se finalizeaza un apel de telefonie mobila;
i) apel nereusit - comunicarea in cadrul careia apelul telefonic a fost conectat, dar nu a primit raspuns sau a facut obiectul unei interventii din partea administratorului retelei;
j) apel neconectat - apelul initiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, in sensul stabilirii unei conexiuni intre apelant si apelat.

(2) In tot cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 3 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, si la art. 2 din Legea nr. 506/2004, cu completarile ulterioare.

CAPITOLUL II - Retinerea datelor

ARTICOLUL 3.

(1) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a asigura, pe cheltuiala proprie, crearea si administrarea unei baze de date in format electronic, in vederea retinerii urmatoarelor categorii de date, in masura in care sunt generate sau prelucrate de acestia:
a) date necesare pentru urmarirea si identificarea sursei unei comunicari;
b) date necesare pentru identificarea destinatiei unei comunicari;
c) date necesare pentru a determina data, ora si durata comunicarii;
d) date necesare pentru identificarea tipului de comunicare;
e) date necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) date necesare pentru identificarea locatiei echipamentului de comunicatii mobile.

(2) Datele se retin timp de 6 luni de la momentul efectuarii comunicarii.

(3) Cheltuielile legate de crearea si administrarea bazei de date sunt deductibile fiscal.

ARTICOLUL 4.

Datele necesare pentru urmarirea si identificarea sursei unei comunicari cuprind:
a) in cazul retelelor de telefonie fixa si mobila: numarul de telefon apelant, precum si numele si adresa abonatului sau ale utilizatorului inregistrat;
b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: identificatorul/identificatorii alocat/alocati utilizatorilor; identificatorul de utilizator si numarul de telefon alocate pentru efectuarea oricarei comunicari prin reteaua publica de telefonie; numele si adresa abonatului sau ale utilizatorului inregistrat, caruia i s-a alocat o adresa Internet Protocol (IP), un identificator de utilizator sau un numar de telefon, la momentul comunicarii.

ARTICOLUL 5.

Datele necesare pentru identificarea destinatiei unei comunicari cuprind:

a) in cazul retelelor de telefonie fixa si mobila: numarul format/apelat/numerele formate/apelate si, in cazurile care includ servicii suplimentare precum redirectionarea sau transferul apelului, numarul/numerele catre care este dirijat apelul; numele si adresa/adresele abonatului/abonatilor ori ale utilizatorului/utilizatorilor inregistrat/inregistrati;
b) in cazul serviciilor de posta electronica si telefonie prin internet: identificatorul utilizatorului sau numarul de telefon al destinatarului/destinatarilor unui apel telefonic prin internet; numele si adresa/adresele abonatului/abonatilor sau ale utilizatorului/utilizatorilor inregistrat/inregistrati si identificatorul utilizatorului destinatar al comunicarii.

ARTICOLUL 6.

Datele necesare pentru a determina data, ora si durata comunicarii cuprind:
a) in cazul retelelor de telefonie fixa si mobila: data si ora initierii si incheierii unei comunicari;
b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: data si ora conectarii la si ale deconectarii de la serviciul de acces la internet, adresa IP alocata dinamic sau static unei comunicari de furnizorul de servicii de acces la internet, precum si identificatorul abonatului sau al utilizatorului inregistrat; data si ora conectarii la si ale deconectarii de la serviciul de posta electronica sau de telefonie prin internet.

ARTICOLUL 7.

Datele necesare pentru identificarea tipului de comunicare cuprind: a) in cazul retelelor de telefonie fixa si mobila: informatii privind serviciul de telefonie utilizat;
b) in cazul comunicarilor prin serviciul de posta electronica si de telefonie prin internet: informatii privind serviciul de acces la internet utilizat.

ARTICOLUL 8.

Datele necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament cuprind:
a) in cazul retelelor de telefonie fixa: numarul de telefon apelant si numarul de telefon apelat;
b) in cazul retelelor de telefonie mobila: numarul de telefon al apelantului si numarul de telefon apelat; identitatea internationala de abonat mobil (IMSI) a apelantului; identitatea internationala a echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului; identitatea IMEI a apelatului; in cazul serviciilor anonime preplatite: data si ora activarii initiale a serviciului, precum si identificatorul celulei din care a fost activat serviciul;
c) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: numarul de telefon al apelantului in cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care initiaza comunicarea.

ARTICOLUL 9.

Datele necesare pentru identificarea locatiei echipamentului de comunicatii mobile cuprind:
a) identificatorul celulei la inceputul comunicarii;
b) datele care permit stabilirea localizarii geografice a celulelor, prin referire la identificatorul acestora, pe durata in care datele comunicarii sunt retinute.

ARTICOLUL 10.

(1) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului, aflati sub jurisdictie romana, au obligatia retinerii datelor referitoare la un apel nereusit numai atunci cand aceste date sunt generate sau prelucrate si stocate, in cazul serviciului de telefonie, ori inregistrate, in cazul serviciului de acces la internet, in cadrul activitatii de furnizare a serviciilor respective.

(2) Furnizorii nu au obligatia retinerii datelor prevazute la art. 3 alin. (1) in cazul apelurilor neconectate.

ARTICOLUL 11.

(1) In aplicarea prevederilor prezentei legi sunt interzise interceptarea si retinerea continutului comunicarii sau a informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice.

(2) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a retine numai acele categorii de date enumerate la art. 3 alin. (1), care sunt accesibile ca urmare a desfasurarii activitatilor proprii, in conditiile legii.

(3) La sfarsitul perioadei de retinere, toate datele retinute in temeiul prezentei legi, cu exceptia datelor puse la dispozitia autoritatilor competente, potrivit legii, si care au fost pastrate de catre acestea, trebuie sa fie distruse prin proceduri automatizate, ireversibil.

ARTICOLUL 12.

Activitatea de retinere a datelor se realizeaza cu respectarea urmatoarelor principii:
a) datele retinute trebuie sa fie de aceeasi calitate si supuse aceluiasi grad de securitate si protectie cu cele utilizate la nivelul retelelor furnizorilor de comunicatii electronice;
b) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea protejarii datelor impotriva distrugerilor accidentale sau ilicite, alterarii ori pierderii accidentale, stocarii, prelucrarii, accesarii sau dezvaluirii neautorizate ori ilicite;
c) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea asigurarii faptului ca numai personalul autorizat in acest sens are acces la aceste date.

ARTICOLUL 13.

(1) In situatia in care datele prevazute la art. 4-7 pot fi retinute de mai multi furnizori de servicii si retele publice de comunicatii electronice, activitatea de retinere a datelor se face doar la unul dintre furnizori.

(2) Activitatea de retinere a datelor prevazute la art. 4-7 poate fi desfasurata, acolo unde este tehnic posibil si in urma unei intelegeri contractuale, de un tert, in numele unui furnizor de servicii si retele publice de comunicatii electronice, cu respectarea prevederilor art. 19 si 20 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, si ale Legii nr. 506/2004, cu completarile ulterioare.

(3) Obligatia de retinere a datelor prevazute la art. 4-7 se aplica furnizorilor de servicii si retele publice de comunicatii electronice care aloca numerotatie, in cazul serviciilor de telefonie fixa si mobila, respectiv adrese de IP, in cazul serviciilor de date.

ARTICOLUL 14.

(1) Ministerul Internelor si Reformei Administrative, Ministerul Public, Serviciul Roman de Informatii si Serviciul de Informatii Externe, denumite in continuare autoritati competente, au obligatia de a colecta si de a transmite semestrial Ministerului Comunicatiilor si Tehnologiei Informatiei urmatoarele date statistice, in vederea urmaririi si controlului aplicarii prevederilor cuprinse in prezenta lege:
a) numarul cazurilor in care informatiile au fost furnizate autoritatilor competente, in conformitate cu prevederile prezentei legi;
b) perioada de timp scursa intre data la care datele au fost retinute si data la care autoritatea competenta a solicitat transmiterea acestor date;
c) numarul de cazuri in care solicitarile de date nu au putut fi indeplinite.

(2) Termenele pana la care trebuie transmise datele statistice se stabilesc prin normele metodologice de aplicare a prezentei legi.

(3) Ministerul Comunicatiilor si Tehnologiei Informatiei centralizeaza datele statistice primite de la autoritatile competente si transmite anual Comisiei Europene statisticile elaborate in baza acestora. Statisticile nu vor contine date cu caracter personal.

CAPITOLUL III - Procedura solicitarii datelor retinute

ARTICOLUL 15.

Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia ca, la solicitarea autoritatilor competente, in baza autorizatiei emise potrivit dispozitiilor art. 16, sa transmisa acestora de indata datele retinute potrivit prezentei legi, cu exceptia cazurilor de forta majora.

ARTICOLUL 16.

(1) Solicitarea transmiterii de date retinute potrivit prezentei legi se realizeaza numai dupa ce a fost inceputa urmarirea penala, cu autorizarea motivata a presedintelui instantei careia i-ar reveni competenta sa judece cauza in prima instanta sau de la instanta corespunzatoare in grad acesteia, in a carei circumscriptie se afla sediul parchetului din care face parte procurorul care efectueaza sau supravegheaza urmarirea penala ori a judecatorului desemnat de acesta, la cererea procurorului care efectueaza sau supravegheaza urmarirea penala, potrivit legii, daca sunt date ori indicii temeinice privind pregatirea sau savarsirea unei infractiuni grave.

(2) In caz de urgenta, cand intarzierea obtinerii autorizarii prevazute la alin. (1) ar aduce grave prejudicii activitatii de urmarire penala ori indeplinirii obligatiilor asumate de Romania prin documente juridice de cooperare internationala sau ca stat membru al Uniunii Europene, procurorul care efectueaza sau supravegheaza urmarirea penala sau caruia i-ar reveni aceasta competenta poate sa autorizeze, prin ordonanta motivata, solicitarea transmiterii de date retinute, potrivit prezentei legi. In termen de 48 de ore de la emiterea autorizarii, procurorul prezinta instantei de judecata competente, potrivit alin. (1), motivele care au stat la baza emiterii autorizarii. Instanta de judecata se pronunta cu privire la legalitatea si temeinicia ordonantei prin care s-a autorizat solicitarea transmiterii de date retinute, in cel mult 48 de ore.

(3) Autorizatia de solicitare a datelor retinute trebuie sa cuprinda:
a) denumirea instantei/parchetului;
b) data, ora si locul emiterii;
c) numele si prenumele judecatorului/procurorului;
d) durata de valabilitate a autorizatiei;
e) denumirea si sediul social ale persoanei juridice care urmeaza sa puna la dispozitie datele retinute;
f) indicarea persoanei cu privire la care se va face verificarea datelor retinute sau indicarea codului de identificare a abonatului ori a utilizatorului inregistrat pentru serviciile de internet sau a numarului de telefon al abonatului ori al utilizatorului inregistrat pentru serviciile de telefonie fixa sau mobila;
g) temeiurile concrete care determina autorizarea de solicitare a datelor retinute;
h) perioada de timp pentru care datele retinute urmeaza a fi furnizate;
i) semnatura judecatorului/procurorului.

(4) Lipsa oricareia dintre mentiunile prevazute la alin. (3) se sanctioneaza cu nulitatea absoluta a autorizatiei.

(5) Durata de valabilitate a autorizatiei nu poate depasi 15 zile.

(6) Datele retinute care nu privesc fapta ce formeaza obiectul cercetarii se arhiveaza la sediul parchetului, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii, si pot fi transmise judecatorului sau completului investit cu solutionarea cauzei, la solicitarea acestuia. La solutionarea definitiva a cauzei, acestea vor fi sterse sau, dupa caz, distruse de catre procuror, incheindu-se in acest sens un proces-verbal.

(7) Daca in cauza s-a dispus solutia de netrimitere in judecata, datele retinute se arhiveaza la sediul parchetului, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii, si se pastreaza pana la implinirea termenului de prescriptie a raspunderii penale pentru fapta ce a format obiectul cauzei, iar cand se distrug, se incheie un proces-verbal in acest sens.

(8) Daca in cauza instanta a pronuntat o hotarare de condamnare, achitare sau incetare a procesului penal, ramasa definitiva, datele retinute se arhiveaza odata cu dosarul cauzei la sediul instantei, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii.

CAPITOLUL IV - Autoritatea de supraveghere

ARTICOLUL 17.

Autoritatea competenta sa monitorizeze aplicarea prevederilor prezentei legi este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare A.N.S.P.D.C.P.

CAPITOLUL V - Regimul sanctionator

ARTICOLUL 18.

(1) Constituie contraventii urmatoarele fapte:
a) neindeplinirea obligatiilor prevazute la art. 3 alin. (2);
b) neindeplinirea obligatiilor prevazute la art. 11 alin. (2) si (3);
c) neindeplinirea obligatiei prevazute la art. 12.

(2) Contraventiile prevazute la alin. (1) se sanctioneaza, prin derogare de la dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare, cu amenda de la 2.500 lei la 500.000 lei.

(3) Constatarea contraventiilor prevazute la alin. (1) si aplicarea sanctiunilor se efectueaza de catre personalul de control imputernicit in acest scop al A.N.S.P.D.C.P., in conformitate cu prevederile art. 35 din Legea nr. 677/2001, cu modificarile si completarile ulterioare.

ARTICOLUL 19.

(1) Orice accesare intentionata sau transfer al datelor pastrate in conformitate cu prezenta lege, fara autorizare, constituie infractiune si se pedepseste cu inchisoare de la un an la 5 ani.

(2) Impiedicarea cu intentie a punerii la dispozitia autoritatilor competente a datelor retinute ca urmare a aplicarii prezentei legi constituie infractiune si se pedepseste cu inchisoare de la 6 luni la un an.

(3) Tentativa la infractiunea prevazuta la alin. (1) se pedepseste.

CAPITOLUL VI - Dispozitii finale

ARTICOLUL 20.

In scopul prevenirii si contracararii amenintarilor la adresa securitatii nationale, organele de stat cu atributii in acest domeniu pot avea acces, in conditiile stabilite prin actele normative ce reglementeaza activitatea de realizare a securitatii nationale, la datele retinute de furnizorii de servicii si retele publice de comunicatii electronice.

ARTICOLUL 21.

Pe data intrarii in vigoare a prezentei legi, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 1.101 din 25 noiembrie 2004, cu completarile ulterioare, se modifica si se completeaza dupa cum urmeaza:

1. La articolul 5, alineatele (1) si (6) se modifica si vor avea urmatorul cuprins:
"Art. 5. - (1) Datele de trafic referitoare la abonati si utilizatori inregistrati, prelucrate si retinute de furnizorul unei retele publice de comunicatii electronice sau de furnizorul unui serviciu de comunicatii electronice destinat publicului, trebuie sa fie sterse sau transformate in date anonime atunci cand nu mai sunt necesare la transmiterea unei comunicari, cu exceptia situatiilor prevazute la alin. (2), (3), (5) si (51).
...............................................................................................................................
(6) Prevederile alin. (1)-(3) si (5) nu aduc atingere posibilitatii autoritatilor competente de a avea acces la datele de trafic, in conditiile legii."

2. La articolul 8, dupa alineatul (4) se introduce un nou alineat, alineatul (5), cu urmatorul cuprins:
"(5) Dispozitiile prezentului articol nu aduc atingere posibilitatii autoritatilor competente de a avea acces la datele pastrate de furnizorii de retele publice de comunicatii si de furnizorii de servicii de comunicatii electronice destinate publicului, in conditiile legii."

ARTICOLUL 22.

In termen de 30 de zile de la data intrarii in vigoare a prezentei legi, Ministerul Comunicatiilor si Tehnologiei Informatiei va elabora normele metodologice de aplicare a acesteia, pe care le va supune spre aprobare Guvernului.

ARTICOLUL 23.

(1) Prezenta lege intra in vigoare la 60 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I.

(2) Dispozitiile referitoare la retinerea datelor de trafic si localizare corespunzatoare serviciilor de acces la internet, posta electronica si telefonie prin internet se vor aplica incepand cu data de 15 martie 2009.
*
Prezenta lege transpune Directiva 2006/24/CE privind retinerea datelor generate sau prelucrate de catre furnizorii de retele si servicii de comunicatii electronice destinate publicului si de modificare a Directivei 2002/58/CE, publicata in Jurnalul Oficial al Uniunii Europene (JOUE) nr. L105 din 13 aprilie 2006.

Aceasta lege a fost adoptata de Parlamentul Romaniei, cu respectarea prevederilor art. 75 si ale art. 76 alin. (1) din Constitutia Romaniei, republicata.

PRESEDINTELE CAMEREI DEPUTATILOR
BOGDAN OLTEANU
PRESEDINTELE SENATULUI
ILIE SARBU

Bucuresti, 18 noiembrie 2008.