Prezentul act normativ transpune în legislaţia internă Directiva 2006/24/CE privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii şi de modificare a Directivei 2002/58/CE, termenul prevăzut de Directivă pentru transpunerea sa în legislaţia statelor membre ale Uniunii Europene fiind 15 septembrie 2007.
Întrucât acest termen a expirat, în data de 27 noiembrie 2007 Comisia Europeană a trimis României o scrisoare privind declanşarea primei faze a procedurii de încălcare a acquis-ului comunitar - punerea în întârziere -, în conformitate cu prevederile art. 226 din Tratatul CE, pentru ne-comunicarea măsurilor naţionale de transpunere a Directivei 2006/24/CE privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii şi de modificare a Directivei 2002/58/CE.
Transpunerea Directivei prin intermediul unei legi ar duce la mari întârzieri, măsurile naţionale de executare neputând a fi comunicate până la data de 26 ianuarie 2008, termen până la care Comisia europeană solicită transmiterea măsurilor privind transpunerea completă a acestei directive, întrucât este imposibilă adoptarea de către Parlament a proiectului de Lege până la acea dată.
Ţinând seama de faptul că neadoptarea de măsuri imediate, prin ordonanţă de urgenţă, ar putea conduce la intrarea în cea de a doua fază a procedurii de infringement (avizul motivat), situaţie extraordinară a cărei reglementare nu poate fi amânată,
În temeiul art. 115 alin. 4 din Constituţia României,
Guvernul adoptă prezenta Ordonanţă de Urgenţă .
Capitolul I: Dispoziţii generale
Art. 1 (1) Prezenta ordonanţă de urgenţă stabileşte obligaţia furnizorilor de servicii şi reţele publice de comunicaţii electronice de a reţine anumite date generate sau prelucrate în cadrul activităţii lor de furnizare a serviciilor de comunicaţii electronice, pentru punerea acestora la dispoziţie autorităţilor competente în scopul utilizării în cadrul activităţilor de cercetare, descoperire şi de urmărire a infracţiunilor grave.
(2) Prezenta ordonanţă de urgenţă se aplică datelor de trafic şi de localizare ale persoanelor fizice şi juridice, precum şi datelor conexe necesare pentru identificarea abonatului sau utilizatorului înregistrat. Prezenta ordonanţă de urgenţă nu se aplică în ceea ce priveşte conţinutul comunicării sau informaţiile consultate în timpul utilizării unei reţele de comunicaţii electronice.
(3) Punerea în aplicare a prevederilor prezentului act normativ se va face cu stricta respectare a prevederilor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, precum şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu completările ulterioare.
Art. 2 (1) În înţelesul prezentei ordonanţe de urgenţă, următorii termeni se definesc astfel:
a) furnizor de servicii şi reţele publice de comunicaţii electronice - orice persoană care furnizează în scop comercial servicii şi/sau reţele de comunicaţii electronice către utilizatori finali sau alţi furnizori de reţele sau servicii de comunicaţii electronice pentru susţinerea traficului acestora.
b) date - informaţii privind traficul, localizarea şi alte date legate de acestea necesare pentru identificarea unui abonat sau utilizator;
c) utilizator - orice persoană fizică sau juridică care foloseşte un serviciu de comunicaţii electronice destinat publicului în scopuri personale sau profesionale, fără a fi în mod necesar abonat al acelui serviciu;
d) abonat – orice persoană fizică sau juridică care a încheiat un contract cu un furnizor de servicii de comunicaţii electronice destinate publicului, în vederea furnizării unor asemenea servicii;
e) serviciu de telefonie - apelul (voce, mesagerie vocală, teleconferinţă şi transfer de date), serviciile suplimentare (redirecţionarea convorbirii şi transferul apelului) şi serviciile de mesagerie şi multimedia (servicii de mesagerie scurtă, servicii media îmbunătăţite şi servicii multi-media);
f) infracţiunea gravă – infracţiunile prevăzute în art.2 lit. b) din Legea nr.39/2003 privind prevenirea şi combaterea criminalităţii organizate, cele prevăzute în capitolul IV din Legea 535/2004 privind prevenirea şi combaterea terorismului, precum şi infracţiunile contra siguranţei statului prevăzute în titlul I din Partea specială a Codului penal;
g) identificatorul utilizatorului - codul unic de identificare alocat unei persoane care se abonează sau se înregistrează la un serviciu de acces la internet sau la un serviciu de comunicaţii prin internet;
h) identificatorul celulei - codul de identificare a celulei în care se iniţiază sau se finalizează un apel de telefonie mobilă;
i) apel nereuşit - acea comunicare în cadrul căreia apelul telefonic a fost conectat, dar nu a primit răspuns sau a avut loc o intervenţie din partea administratorului reţelei;
j) apel neconectat - acel apel iniţiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, în sensul stabilirii unei conexiuni între apelant şi apelat.
(2) În cuprinsul prezentei ordonanţe de urgenţă sunt, de asemenea aplicabile definiţiile prevăzute la art. 3 din cadrul Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, la art. 2 din cadrul Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu completările ulterioare, precum şi cele prevăzute în legile privind siguranţa naţională.
Capitolul II : Reţinerea datelor
Art. 3 (1) - Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi administrarea unei baze de date, în format electronic, în vederea reţinerii următoarelor categorii de date, în măsura în care sunt generate sau prelucrate de aceştia:
a) datele necesare pentru urmărirea şi identificarea sursei unei comunicări;
b) datele necesare pentru identificarea destinaţiei unei comunicări;
c) datele necesare pentru a determina data, ora şi durata comunicării;
d) datele necesare pentru identificarea tipului de comunicare;
e) datele necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) datele necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile;
(2) Datele se reţin timp de 12 luni de la momentul efectuării comunicării.
Art.4. Prin date necesare pentru urmărirea şi identificare sursei unei comunicări se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă: numărul de telefon al apelantului şi numele şi adresa abonatului sau ale utilizatorului înregistrat;
b) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: identificatorul (identificatorii) de utilizator(i) alocat(ţi); identificatorul de utilizator şi numărul de telefon alocate pentru efectuarea oricărei comunicări prin reţeaua publică de telefonie; numele şi adresa abonatului sau ale utilizatorului înregistrat, căruia i s-a alocat o adresă Internet Protocol (IP), un identificator de utilizator sau un număr de telefon, la momentul comunicării.
Art. 5. Prin datele necesare pentru identificarea destinaţiei unei comunicări se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă:numărul sau numerele formate (numărul sau numerele apelate) şi, în cazurile care includ servicii suplimentare precum redirecţionarea sau transferul apelului, numărul sau numerele către care este dirijat apelul; numele şi adresa (sau adresele) abonatului (sau abonaţilor) ori ale utilizatorului înregistrat (sau ale utilizatorilor înregistraţi);
b) în cazul serviciilor de poştă electronică şi telefonie prin internet: identificatorul utilizatorului sau numărul de telefon al destinatarului (sau destinatarilor) unui apel telefonic prin internet; numele şi adresa (sau adresele) abonatului (sau abonaţilor) sau ale utilizatorului înregistrat (sau ale utilizatorilor înregistraţi) şi identificatorul utilizatorului destinatar al comunicării.
Art.6. Prin datele necesare pentru a determina data, ora şi durata comunicării se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă, data şi ora iniţierii şi încheierii unei comunicări;
b) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: data şi ora conectării la şi deconectării de la serviciul de acces la internet, adresa IP alocată dinamic sau static unei comunicări de către furnizorul de servicii de acces la internet, precum şi identificatorul abonatului sau utilizatorului înregistrat; data şi ora conectării la şi deconectării de la serviciul de poştă electronică sau de telefonie prin internet.
Art. 7. Prin datele necesare pentru identificarea tipului de comunicare se înţelege:
a) în cazul reţelelor de telefonie fixă şi mobilă, informaţii privind serviciul de telefonie utilizat;
b) în cazul comunicărilor prin serviciul de poştă electronică şi de telefonie prin internet, informaţii privind serviciul de acces la internet utilizat.
Art. 8. Prin datele necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament se înţelege:
a) în cazul reţelelor de telefonie fixă, numărul de telefon al apelantului şi numărul de telefon apelat;
b) în cazul reţelelor de telefonie mobilă: numărul de telefon al apelantului şi numărul de telefon apelat; identitatea internaţională de abonat mobil (IMSI) a apelantului; identitatea internaţională a echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului; identitatea IMEI a apelatului; în cazul serviciilor anonime pre-plătite, data şi ora activării iniţiale a serviciului, precum şi identificatorul celulei din care a fost activat serviciul;
c) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: numărul de telefon al apelantului în cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care iniţiază comunicarea;
Art. 9. Prin datele necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile se înţelege:
a) identificatorul celulei la începutul comunicării;
b) datele care permit stabilirea localizării geografice a celulelor, prin referire la identificatorul acestora, pe durata în care datele comunicării sunt reţinute.
Art. 10 (1) Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului, aflaţi sub jurisdicţie română, au obligaţia reţinerii datelor referitoare la un apel nereuşit numai atunci când aceste date sunt generate sau prelucrate, şi stocate (în cazul serviciului de telefonie) ori înregistrate (în cazul serviciului de acces la internet) în cadrul activităţii de furnizare a serviciilor respective.
(2) Furnizorii nu au obligaţia reţinerii datelor prevăzute la art. 3 ) în cazul apelurilor neconectate.
Art. 11 (1) În aplicarea prevederilor prezentei ordonanţe de urgenţă este interzisă interceptarea şi reţinerea conţinutului comunicării.
(2)Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a reţine numai acele categorii de date enumerate la art.3, care sunt accesibile ca urmare a desfăşurării activităţilor proprii, în condiţiile legii.
(3)La sfârşitul perioadei de reţinere, toate datele reţinute în baza prevederilor prezentei ordonanţe de urgenţă , cu excepţia datelor puse la dispoziţia autorităţilor competente în aplicarea prezentei ordonanţe de urgenţă şi care au fost păstrate de către acestea, trebuie să fie distruse prin proceduri automatizate, ireversibil.
Art. 12 - Activitatea de reţinere a datelor se realizează cu respectarea următoarelor principii:
a) datele reţinute trebuie să fie de aceeaşi calitate şi supuse aceluiaşi grad de securitate şi protecţie precum cele utilizate la nivelul reţelelor furnizorilor de comunicaţii electronice;
b) datele reţinute trebuie supuse unor măsuri tehnice şi organizatorice corespunzătoare în vederea protejării datelor împotriva distrugerilor accidentale sau ilicite, alterării sau pierderii accidentale, stocării, prelucrării, accesării sau dezvăluirii neautorizate sau ilicite.
c) datele reţinute trebuie supuse unor măsuri tehnice şi organizatorice corespunzătoare în vederea asigurării faptului că numai personalul autorizat în acest sens are acces la aceste date.
Art. 13 (1) În situaţia în care datele menţionate la Art. 4-7 pot fi reţinute de mai mulţi furnizori de servicii şi reţele publice de comunicaţii electronice, activitatea de reţinere a datelor se va face de cel puţin unul dintre furnizori.
(2) Activitatea de reţinere a datelor menţionate la Art. 4-7 poate fi desfăşurată, acolo unde este tehnic posibil şi în urma unei înţelegeri contractuale, de un terţ în numele unui furnizor de servicii şi reţele publice de comunicaţii electronice, cu respectarea prevederilor art.19 şi 20 din Legea 677/2001, modificată şi completată, şi ale Legii nr. 506/2004, cu completările ulterioare.
(3) Obligaţia de reţinere a datelor menţionate la Art. 4-7 se aplică furnizorilor de servicii şi reţele publice de comunicaţii electronice care alocă numerotaţie, în cazul serviciilor de telefonie fixă şi mobilă, respectiv adrese de IP, în cazul serviciilor de date.
Art. 14 - (1) Ministerul Internelor şi Reformei Administrative, Ministerul Public, Serviciul Român de Informaţii şi Serviciul de Informaţii Externe, denumite în continuare autorităţi competente, au obligaţia de a colecta şi de a transmite semestrial Ministerului Comunicaţiilor şi Tehnologiei Informaţiei următoarele date statistice, în vederea urmăririi şi controlului aplicării prevederilor cuprinse în prezenta ordonanţă de urgenţă:
a) numărul cazurilor în care informaţiile au fost furnizate autorităţilor competente în conformitate cu prevederile prezentei ordonanţe de urgenţă;
b) perioada de timp scursă între data la care datele au fost reţinute şi data la care autoritatea competentă a solicitat transmiterea acestor date;
c) numărul de cazuri în care solicitările de date nu au putut fi îndeplinite.
(2) Termenele până la care trebuie transmise datele statistice se stabilesc prin normele metodologice de aplicare a prezentei ordonanţe de urgenţă.
(3) Ministerul Comunicaţiilor şi Tehnologiei Informaţiei centralizează datele statistice primite de la autorităţile competente şi transmite anual Comisiei Europene statisticile elaborate în baza acestora. Statisticile nu vor conţine date cu caracter personal.
Capitolul III: Procedura solicitării datelor reţinute
Art. 15 - Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia, în baza autorizaţiei emise potrivit dispoziţiilor prevăzute la art. 16, de a transmite de îndată autorităţilor competente datele reţinute ca urmare a aplicării prezentei ordonanţe de urgenţă, cu excepţia cazurilor de forţă majoră.
Art. 16 – (1) Solicitarea transmiterii de date reţinute ca urmare a aplicării prezentei ordonanţe de urgenţă se realizează cu autorizarea motivată a preşedintelui instanţei căreia i-ar reveni competenţa să judece cauza în primă instanţă sau de la instanţa corespunzătoare în grad acesteia, în a cărei circumscripţie se află sediul parchetului din care face parte procurorul care efectuează sau supraveghează urmărirea penală, sau a judecătorului desemnat de acesta, la cererea procurorului care efectuează sau supraveghează urmărirea penală, în condiţiile prevăzute de lege, dacă sunt date ori indicii temeinice privind pregătirea sau săvârşirea unei infracţiuni grave.
(2) Autorizaţia de solicitare a datelor reţinute trebuie să cuprindă:
a) denumirea instanţei;
b) data, ora şi locul emiterii;
c) numele şi prenumele judecătorului;
d) perioada de valabilitate a autorizaţiei;
e) denumirea, sediul social al persoanei juridice care urmează să pună la dispoziţie datele reţinute;
f) indicarea persoanei referitor la care se va face verificarea datelor reţinute sau indicarea codului de identificare a abonatului sau utilizatorului înregistrat pentru serviciile de internet sau a numărului de telefon al abonatului sau utilizatorului înregistrat pentru serviciile de telefonie fixă sau mobilă;
g) temeiurile concrete care determină autorizarea de solicitare a datelor reţinute;
h) perioada de timp pentru care datele reţinute urmează a fi /furnizate;
i) semnătura judecătorului;
(3) Lipsa oricărei dintre menţiunile prevăzute la alin. (2) se sancţionează cu nulitatea absolută a autorizaţiei.
(4) Durata de valabilitate a autorizaţiei nu poate depăşi 15 zile.
Capitolul IV: Autoritatea de supraveghere
Art. 17 - Autoritatea competentă să monitorizeze aplicarea prevederilor prezentei ordonanţe de urgenţă este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP.
Capitolul V: Regimul sancţionator
Art. 18. (1) Constituie contravenţii următoarele fapte:
a) neîndeplinirea obligaţiei prevăzute la art. 3 alin.(2);
b) neîndeplinirea obligaţiei prevăzute la art. 11 alin.(2);
c) neîndeplinirea obligaţiei prevăzute la art. 11 alin.(3);
d) neîndeplinirea obligaţiei prevăzute la art. 12;
(2) Contravenţiile prevăzute la alin.(1) se sancţionează, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr.180/2002, cu modificările şi completările ulterioare, cu amendă de la 2.500 lei la 200.000 lei.
(3) Constatarea contravenţiilor prevăzute la alin.(1) şi aplicarea sancţiunilor se efectuează de către personalul de control împuternicit în acest scop al ANSPDCP, în conformitate cu prevederile art. 35 din Legea 677/2001, cu modificările ulterioare.
Art. 19. (1) Orice accesare intenţionată sau transfer al datelor păstrate în conformitate cu prezenta ordonanţă de urgenţă, fără autorizare, constituie infracţiune şi se pedepseşte cu închisoare de la 6 luni la 2 ani.
(2) Împiedicarea cu intenţie a punerii la dispoziţie către autorităţile competente a datelor reţinute ca urmare a aplicării prezentei ordonanţe de urgenţă constituie infracţiune şi se pedepseşte cu închisoare de la 6 luni la 1 an.
(3) Tentativa la infracţiunea prevăzută la alin. (1) se pedepseşte.
Capitolul VI: Dispoziţii finale
Art. 20. În scopul prevenirii şi contracarării ameninţărilor la adresa securităţii naţionale, organele de stat cu atribuţii în acest domeniu pot avea acces, în condiţiile stabilite prin actele normative ce reglementează activitatea de realizare a securităţii naţionale, la datele reţinute de furnizorii de servicii şi reţele publice de comunicaţii electronice.
Art. 21. Pe data intrării în vigoare a prezentei Ordonanţe de Urgenţă, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr.1101 din 25 noiembrie 2004, cu modificările ulteriore, se modifică şi se completează după cum urmează:
a) Alineatele 1 şi 6 ale articolului 5 se modifică şi vor avea următorul cuprins:
„(1) Datele de trafic referitoare la abonaţi şi utilizatori înregistraţi, prelucrate şi reţinute de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepţia situaţiilor prevăzute la alin. (2), (3), (5) şi (51).
(6) Prevederile alin. (1) - (3), (5) şi (51) nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele de trafic, în condiţiile legii. Dispoziţiile Ordonanţei de urgenţă privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii se aplică în mod corespunzător.”
b) La articolul 5, după alineatul 5 se introduce un alineat nou, alin. (51), cu următorul cuprins:
(51) Dispoziţiile Ordonanţei de urgenţă privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, referitoare la obligaţia păstrării datelor de trafic se aplică în mod corespunzător.
c) La articolul 8, după alineatul 4 se introduce un alineat nou, alin. (5), cu următorul cuprins:
„(5) Dispoziţiile prezentului articol nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele păstrate de furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile prevăzute în Ordonanţa de urgenţă privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii”.
Art. 22 -(1) Prezentul act normativ intră în vigoare în termen de 60 de zile de la publicarea în Monitorul Oficial al României, Partea I-a.
(2) Dispoziţiile referitoare la reţinerea datelor de trafic şi localizare corespunzătoare comunicaţiilor electronice de tip e-mail şi internet se vor aplica începând cu data de 15 martie 2009.
Art. 23. În termen de 60 de zile de la publicarea în Monitorul Oficial a prezentei ordonanţe de urgenţă, Ministerul Comunicaţiilor şi Tehnologiei Informaţiei va elabora Normele Metodologice de Aplicare.
Prezenta ordonanţă de urgenţă transpune Directiva 2006/24/CE privind reţinerea datelor generate sau prelucrate de către furnizorii de reţele şi servicii de comunicaţii electronice destinate publicului şi de modificare a Directivei 2002/58/CE, publicată în Jurnalul Oficial al Uniunii Europene nr. L 105/ 13.04.2006.
MCTI va comunica Comisiei Europene dispoziţiile naţionale adoptate în domeniul aflat sub incidenţa prezentei ordonanţe de urgenţă .