Directiva asupra confidenţialităţii şi comunicaţiilor electronice – dispoziții generale și obligații impuse statelor membre

1. Care este domeniul de aplicare al Directivei?

Directiva urmărește armonizarea dispozițiilor naționale în vederea asigurării unui nivel echivalent de protecţie în special a dreptului la confidenţialitate şi la respectarea vieţii private, în domeniul prelucrării de date cu caracter personal în sectorul comunicaţiilor electronice şi a asigurării liberei circulaţii a acestor date, a serviciilor şi echipamentelor de comunicaţii electronice în interiorul Comunităţii. Trebuie precizat că aceasta urmărește, de asemenea, protecţia intereselor legitime ale abonaţilor persoane juridice.

2. Care sunt domeniile în care Directiva nu se aplică?

Directiva nu se aplică activităţilor care nu sunt cuprinse în domeniul de aplicare al Tratatului de Instituire a Comunităţii Europene, activităţilor legate de siguranţa publică, de apărare, de siguranţa statului şi activităţilor statului în domeniul legii penale.

3. Care sunt serviciile vizate de Directivă?

Directiva se aplică prelucrării datelor cu caracter personal legate de furnizarea de servicii de comunicaţii electronice destinate publicului, prin intermediul reţelelor publice de comunicaţii din cadrul Comunităţii, inclusiv al reţelelor publice de comunicaţii care presupun colectarea de date şi dispozitive de identificare.

Astfel, Directiva conține dispoziții referitoare la securitatea prelucrării datelor, confidențialitatea comunicațiilor, datele de transfer, identificarea apelurilor și a liniilor de conectare, datele de localizare, transferul automat al apelurilor, listele de abonați și comunicațiile nesolicitate.

4. Obligații ale statelor membre impuse de Directivă:
  • de a asigura confidenţialitatea comunicaţiilor şi a datelor de transfer aferente, transmise prin intermediul unei reţele de comunicaţii publice sau unor servicii publice de comunicaţii electronice, prin legislaţia internă. Acestea interzic astfel în special: ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicaţiilor şi a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză.

Prin excepție, este permisă înregistrarea autorizată prin lege a comunicaţiilor şi a datelor de transfer aferente, în cursul desfăşurării procedurilor juridice comerciale având drept scop furnizarea dovezii unei tranzacţii comerciale sau pentru alte comunicări comerciale.

  • de a se asigura că stocarea de informaţii sau dobândirea accesului la informaţiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiţia ca abonatul sau utilizatorul în cauză să îşi fi dat acordul, după ce în prealabil a primit informaţii clare şi complete.

Prin excepție, este permisă stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr-o reţea de comunicaţii electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societăţii informaţionale cerut în mod expres de către abonat sau utilizator.

  • de a asigura aplicarea dispozițiilor de drept intern în vederea asigurării unui echilibru între dreptul abonaților de a primi facturi detaliate și dreptul acestora la confidenţialitate, prin asigurarea de metode alternative de plată şi comunicaţii care respectă mai mult dreptul la confidenţialitate al respectivilor abonaţi sau utilizatori.
  • de a se asigura că, în cazul în care există posibilitatea prezentării identificării liniei de apel şi de conectare, prestatorul de servicii publice de comunicaţii electronice informează publicul despre aceasta şi despre posibilităţile existente.
  • de a se asigura că există proceduri transparente prin care se reglementează modul în care furnizorul unei reţele publice de comunicaţii sau al unui serviciu public de comunicaţii electronice poate să nu ţină seama:
    • de eliminarea prezentării identificării liniei de apel, temporar, la cererea unui abonat care doreşte detectarea unor apeluri răuvoitoare sau de hărţuire.
    • de eliminarea prezentării identificării liniei de apel şi de refuzul sau absenţa temporară a acordului abonatului sau utilizatorului faţă de prelucrarea datelor de localizare pentru o linie, în cazul organizaţiilor care primesc apeluri de urgenţă, cum ar fi activitățile de urmărire penală, serviciile de ambulanţă sau pompierii, în scopul acţionării eficiente în urma unor astfel de apeluri.
  • de a se asigura că orice abonat sau utilizator are posibilitatea, prin mijloace simple şi în mod gratuit, să blocheze transferul automat de apeluri de la o terţă parte către terminalul abonatului.
  • de a se asigura că abonaţii sunt informaţi, în mod gratuit şi înainte de a fi incluşi în vreo listă, despre scopul sau scopurile unei liste imprimate sau electronice de abonaţi, accesibilă publicului sau care poate fi consultată prin serviciile de informaţii, în care pot fi incluse datele lor personale şi despre orice posibilă utilizare ulterioară existentă în baza funcţiilor de căutare, incluse în versiunea electronică a listei.
  • de a se asigura că abonaţii au posibilitatea să hotărască dacă datele lor personale se includ într-o listă publică de abonaţi şi, în caz afirmativ, în ce măsură aceste date sunt relevante pentru scopul listei enunţat de furnizor şi că pot să verifice, corecteze sau retragă astfel de date.
  • de a se asigura că interesele legitime ale abonaţilor, alţii decât persoane fizice, sunt eficient protejate în ceea ce privește includerea lor în liste publice de abonați și în privința comunicărilor nesolicitate.
  • de a adopta măsurile necesare pentru a se asigura că comunicările nesolicitate în scopul promovării directe, nu sunt permise fără consimţământul abonaţilor sau al utilizatorilor în cauză sau pentru abonaţii sau utilizatorii care nu doresc să primească astfel de comunicări.

Referitor la comunicările nesolicitate, Directiva prevede că folosirea sistemelor de apelare şi comunicare automate, fără intervenţie umană, a faxurilor sau a poştei electronice în scopuri de marketing direct este permisă numai în legătură cu acei abonaţi sau utilizatori care şi-au dat în prealabil consimţământul. Cu toate acestea, în cazul în care o persoană fizică sau juridică obţine de la clienţii săi datele de contact electronice pentru poştă electronică, în contextul vânzării unui produs sau a unui serviciu, aceasta poate folosi respectivele date de contact pentru promovarea directă a propriilor produse sau a serviciilor similare, cu condiţia ca respectivilor clienţi să li se ofere în mod clar şi distinct posibilitatea de a se opune, într-un mod simplu şi gratuit, folosirii datelor lor de contact electronice în momentul culegerii acestora şi cu ocazia fiecărui mesaj ulterior, în cazul în care clientul nu a refuzat iniţial utilizarea acestor date în scopurile indicate.

În orice caz, este interzisă trimiterea de mesaje electronice în scopuri de promovare directă de produse sau servicii cu ascunderea identităţii expeditorului sau cu indicarea unei identităţi false a acestuia, fără indicarea unei adrese valabile la care destinatarul să poată trimite o cerere de încetare a trimiterii unor astfel de comunicări.

Este important de menționat că se poate aduce atingere drepturilor şi obligaţiilor privind confidențialitatea comunicărilor, datele de transfer, prezentarea şi restricţionarea identificării apelurilor şi a liniilor de conectare și datelor de localizare, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare şi proporţională în cadrul unei societăţi democratice pentru a proteja securitatea naţională, apărarea, siguranţa publică sau pentru prevenirea, investigarea, descoperirea şi urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicaţii electronice, fiind permisă reținerea temporară de date pentru o perioadă limitată.

Pentru a se asigura efectivitatea drepturilor prevăzute în Directivă, se prevede că statele membre stabilesc regimul penalităţilor, inclusiv sancţiunile penale, dacă este cazul, aplicabile în cazul încălcării dispoziţiilor naţionale adoptate în baza Directivei şi adoptă toate măsurile necesare pentru a se asigura de punerea în aplicare a acestora. Penalităţile prevăzute trebuie să fie efective, proporţionale şi descurajatoare şi se pot aplica indiferent de momentul în care a intervenit încălcarea, chiar dacă aceasta a fost rectificată ulterior.

Sursă fotografie: https://unsplash.com/photos/EhTcC9sYXsw

Legea Nr. 506/2004. Aspecte de noutate față de Directiva asupra confidenţialităţii şi comunicaţiilor electronice

Prevederile Legii se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicaţii electronice destinate publicului, prin intermediul reţelelor publice de comunicaţii electronice, inclusiv al reţelelor publice de comunicaţii electronice care presupun dispozitive de colectare a datelor şi de identificare.

Cu toate acestea, Legea nu se aplică prelucrărilor de date cu caracter personal efectuate în cadrul activităţilor în domeniul apărării naţionale şi securităţii naţionale și în cadrul activităţilor de combatere a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi din dreptul penal.

În ceea ce privește măsurile de securitate, se prevede că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate audita măsurile luate de furnizori şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri. Drept consecință, autoritatea competentă prevăzută de Directivă este, conform legii naționale, ANSPDCP. Se prevede, de asemenea, că măsurile adoptate trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri.

ANSPDCP poate să stabilească circumstanţele în care furnizorii sunt obligaţi să notifice încălcări ale securităţii datelor cu caracter personal, formatul unei astfel de notificări şi modalităţile în care se va face notificarea. Se prevede în plus, obligația furnizorilor de a stabili proceduri interne pentru a răspunde solicitărilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, furnizorii oferă ANSPDCP informaţii despre procedurile respective, numărul de solicitări primite, justificarea legală invocată în solicitare şi răspunsul oferit solicitanţilor.

Referitor la confidențialitatea comunicărilor și a datelor de trafic, de principiu, aceasta este garantată. Ascultarea, înregistrarea, stocarea şi orice altă formă de interceptare ori supraveghere a comunicărilor şi a datelor de trafic aferente sunt interzise, cu excepţia situațiilor în care:

  • acestea se realizează de utilizatorii care participă la comunicarea respectivă;
  • utilizatorii care participă la comunicarea respectivă şi-au dat, în prealabil, consimţământul scris cu privire la efectuarea acestor operaţiuni.

Stocarea de informaţii sau obţinerea accesului la informaţia stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiţii:

  • abonatul sau utilizatorul în cauză şi-a exprimat acordul;
  • abonatului sau utilizatorului în cauză i s-au furnizat informaţii clare şi complete, expuse într-un limbaj uşor de înţeles și care includ menţiuni cu privire la scopul procesării acestor informații.

Aceste dispoziții nu aduc atingere posibilităţii de a efectua stocarea sau accesul tehnic la informaţia stocată:

  • atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o reţea de comunicaţii electronice;
  • atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau utilizator.

În cazul în care furnizorul permite unor terţi stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului, informarea abonatului sau utilizatorului va include scopul general al procesării acestor informaţii de către terţi şi modul în care abonatul sau utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza accesul terţilor la aceste informaţii.

Datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizor trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării. Prin excepție:

  • prelucrarea efectuată în scopul facturării abonaţilor sau al stabilirii obligaţiilor de plată este permisă doar până la împlinirea unui termen de 3 ani de la data scadenţei obligaţiei de plată corespunzătoare.
  • prelucrarea efectuată în scopul stabilirii obligaţiilor contractuale ce privesc abonaţii serviciilor cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.

Emiterea facturilor detaliate se face la cererea abonaţilor, cu respectarea dreptului la viaţă privată al utilizatorilor apelanţi şi al abonaţilor apelaţi, iar informaţiile minime prezentate în cadrul facturilor detaliate sunt stabilite de ANRC.

În ceea ce privește prezentarea şi restricţionarea identităţii liniei apelante şi a liniei conectate se prevede în plus că:

  • în cazul interconectării, furnizorul are obligaţia de a transmite la interfaţa dintre cele două reţele identitatea liniei apelante fără a o altera, modifica sau şterge.
  • în cazul în care este oferită prezentarea identităţii liniei apelante, furnizorul are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu şi gratuit, posibilitatea de a ascunde identitatea liniei apelante pentru apelurile primite.
  • în cazul în care este oferită prezentarea identităţii liniei apelante sau a liniei conectate, furnizorii au obligaţia de a informa publicul în acest sens, inclusiv cu privire la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a acestor apeluri.

Referitor la prelucrarea datelor de localizare, altele decât datele de trafic, dispozițiile legii naționale prevăd în plus că această prelucrare este permisă și atunci când serviciul cu valoare adăugată cu funcţie de localizare are drept scop transmiterea unidirecţională şi nediferenţiată a unor informaţii către utilizatori. În ceea ce privește noțiunea de serviciu cu valoare adăugată, aceasta este sinonimă cu aceea de serviciu suplimentar. Se prevede în plus că furnizorul are obligaţia de a pune la dispoziţia utilizatorilor sau abonaţilor un procedeu simplu şi gratuit pentru exercitarea dreptului de a-și retrage consimțământul privind prelucrarea acestor date și a dreptului de a refuza temporar prelucrarea datelor în cauză.

Legea instituie și obligația furnizorul de a pune la dispoziţia fiecărui abonat un mijloc simplu şi gratuit de a bloca redirecţionarea automată de către un terţ a apelurilor către echipamentul terminal al abonatului respectiv.

Abonaţii au dreptul de a le fi incluse datele cu caracter personal în toate registrele publice ale abonaţilor, în formă scrisă sau electronică. Persoanele care pun la dispoziţia publicului registre ale abonaţilor în formă scrisă sau electronică ori care furnizează servicii de informaţii privind abonaţii au obligaţia de a informa abonaţii, în mod gratuit și înainte de includere, cu privire la scopul întocmirii acestor registre în care pot fi incluse datele lor cu caracter personal, precum şi cu privire la orice posibilităţi ulterioare de utilizare a acestor date. Ulterior informării, furnizorii care atribuie numere de telefon abonaţilor au obligaţia de a le acorda acestora un termen de 45 de zile lucrătoare în care se pot opune includerii datelor necesare identificării lor în aceste registre. La expirarea celor 45 de zile lucrătoare, în cazul în care abonaţii nu şi-au exprimat voinţa în sens contrar, aceste date sunt incluse în registrele abonaților. De asemenea, abonaţii ale căror date cu caracter personal nu sunt disponibile furnizorilor pot solicita, în mod gratuit, includerea în toate registrele. Abonaţilor trebuie să li se asigure, în mod gratuit şi fără întârziere posibilitatea:

  • de a decide dacă datele lor cu caracter personal, precum şi care dintre acestea vor fi sau nu incluse în registre;
  • de a verifica, rectifica sau elimina datele cu caracter personal incluse în registre.

Este important de menționat că registrele pot fi utilizate în alt scop, în afara simplei căutări a datelor de contact, pe baza numelui şi, dacă este necesar, a unui număr limitat de alţi parametri, numai cu consimţământul expres prealabil al fiecărui abonat care figurează în aceste registre. Aceste prevederi referitoare la registrele abonaților se aplică şi abonaţilor persoane juridice cu privire la datele care permit identificarea acestora.

La solicitarea instanţelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuţii în domeniul apărării şi securităţii naţionale, cu autorizarea prealabilă a instanței competente potrivit legii, furnizorii pun la dispoziţia acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului şi datele de localizare, în conformitate cu prevederile referitoare la protecţia datelor cu caracter personal.

Solicitările se procesează în condiţii de confidenţialitate. Datele de trafic, datele de identificare a echipamentului şi datele de localizare solicitate nu fac obiectul ştergerii sau anonimizării de către furnizori, atunci când solicitarea formulată este însoţită ori urmată de o notificare cu privire la necesitatea menţinerii lor, în scopul identificării şi conservării probelor sau indiciilor temeinice, atât timp cât subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive a instanţei de judecată.

Sursă fotografie: https://unsplash.com/photos/rM7fqrIQb94