Prevederile Legii se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicaţii electronice destinate publicului, prin intermediul reţelelor publice de comunicaţii electronice, inclusiv al reţelelor publice de comunicaţii electronice care presupun dispozitive de colectare a datelor şi de identificare.
Cu toate acestea, Legea nu se aplică prelucrărilor de date cu caracter personal efectuate în cadrul activităţilor în domeniul apărării naţionale şi securităţii naţionale și în cadrul activităţilor de combatere a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi din dreptul penal.
În ceea ce privește măsurile de securitate, se prevede că Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate audita măsurile luate de furnizori şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri. Drept consecință, autoritatea competentă prevăzută de Directivă este, conform legii naționale, ANSPDCP. Se prevede, de asemenea, că măsurile adoptate trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri.
ANSPDCP poate să stabilească circumstanţele în care furnizorii sunt obligaţi să notifice încălcări ale securităţii datelor cu caracter personal, formatul unei astfel de notificări şi modalităţile în care se va face notificarea. Se prevede în plus, obligația furnizorilor de a stabili proceduri interne pentru a răspunde solicitărilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, furnizorii oferă ANSPDCP informaţii despre procedurile respective, numărul de solicitări primite, justificarea legală invocată în solicitare şi răspunsul oferit solicitanţilor.
Referitor la confidențialitatea comunicărilor și a datelor de trafic, de principiu, aceasta este garantată. Ascultarea, înregistrarea, stocarea şi orice altă formă de interceptare ori supraveghere a comunicărilor şi a datelor de trafic aferente sunt interzise, cu excepţia situațiilor în care:
- acestea se realizează de utilizatorii care participă la comunicarea respectivă;
- utilizatorii care participă la comunicarea respectivă şi-au dat, în prealabil, consimţământul scris cu privire la efectuarea acestor operaţiuni.
Stocarea de informaţii sau obţinerea accesului la informaţia stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiţii:
- abonatul sau utilizatorul în cauză şi-a exprimat acordul;
- abonatului sau utilizatorului în cauză i s-au furnizat informaţii clare şi complete, expuse într-un limbaj uşor de înţeles și care includ menţiuni cu privire la scopul procesării acestor informații.
Aceste dispoziții nu aduc atingere posibilităţii de a efectua stocarea sau accesul tehnic la informaţia stocată:
- atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o reţea de comunicaţii electronice;
- atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau utilizator.
În cazul în care furnizorul permite unor terţi stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului, informarea abonatului sau utilizatorului va include scopul general al procesării acestor informaţii de către terţi şi modul în care abonatul sau utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza accesul terţilor la aceste informaţii.
Datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizor trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării. Prin excepție:
- prelucrarea efectuată în scopul facturării abonaţilor sau al stabilirii obligaţiilor de plată este permisă doar până la împlinirea unui termen de 3 ani de la data scadenţei obligaţiei de plată corespunzătoare.
- prelucrarea efectuată în scopul stabilirii obligaţiilor contractuale ce privesc abonaţii serviciilor cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.
Emiterea facturilor detaliate se face la cererea abonaţilor, cu respectarea dreptului la viaţă privată al utilizatorilor apelanţi şi al abonaţilor apelaţi, iar informaţiile minime prezentate în cadrul facturilor detaliate sunt stabilite de ANRC.
În ceea ce privește prezentarea şi restricţionarea identităţii liniei apelante şi a liniei conectate se prevede în plus că:
- în cazul interconectării, furnizorul are obligaţia de a transmite la interfaţa dintre cele două reţele identitatea liniei apelante fără a o altera, modifica sau şterge.
- în cazul în care este oferită prezentarea identităţii liniei apelante, furnizorul are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu şi gratuit, posibilitatea de a ascunde identitatea liniei apelante pentru apelurile primite.
- în cazul în care este oferită prezentarea identităţii liniei apelante sau a liniei conectate, furnizorii au obligaţia de a informa publicul în acest sens, inclusiv cu privire la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a acestor apeluri.
Referitor la prelucrarea datelor de localizare, altele decât datele de trafic, dispozițiile legii naționale prevăd în plus că această prelucrare este permisă și atunci când serviciul cu valoare adăugată cu funcţie de localizare are drept scop transmiterea unidirecţională şi nediferenţiată a unor informaţii către utilizatori. În ceea ce privește noțiunea de serviciu cu valoare adăugată, aceasta este sinonimă cu aceea de serviciu suplimentar. Se prevede în plus că furnizorul are obligaţia de a pune la dispoziţia utilizatorilor sau abonaţilor un procedeu simplu şi gratuit pentru exercitarea dreptului de a-și retrage consimțământul privind prelucrarea acestor date și a dreptului de a refuza temporar prelucrarea datelor în cauză.
Legea instituie și obligația furnizorul de a pune la dispoziţia fiecărui abonat un mijloc simplu şi gratuit de a bloca redirecţionarea automată de către un terţ a apelurilor către echipamentul terminal al abonatului respectiv.
Abonaţii au dreptul de a le fi incluse datele cu caracter personal în toate registrele publice ale abonaţilor, în formă scrisă sau electronică. Persoanele care pun la dispoziţia publicului registre ale abonaţilor în formă scrisă sau electronică ori care furnizează servicii de informaţii privind abonaţii au obligaţia de a informa abonaţii, în mod gratuit și înainte de includere, cu privire la scopul întocmirii acestor registre în care pot fi incluse datele lor cu caracter personal, precum şi cu privire la orice posibilităţi ulterioare de utilizare a acestor date. Ulterior informării, furnizorii care atribuie numere de telefon abonaţilor au obligaţia de a le acorda acestora un termen de 45 de zile lucrătoare în care se pot opune includerii datelor necesare identificării lor în aceste registre. La expirarea celor 45 de zile lucrătoare, în cazul în care abonaţii nu şi-au exprimat voinţa în sens contrar, aceste date sunt incluse în registrele abonaților. De asemenea, abonaţii ale căror date cu caracter personal nu sunt disponibile furnizorilor pot solicita, în mod gratuit, includerea în toate registrele. Abonaţilor trebuie să li se asigure, în mod gratuit şi fără întârziere posibilitatea:
- de a decide dacă datele lor cu caracter personal, precum şi care dintre acestea vor fi sau nu incluse în registre;
- de a verifica, rectifica sau elimina datele cu caracter personal incluse în registre.
Este important de menționat că registrele pot fi utilizate în alt scop, în afara simplei căutări a datelor de contact, pe baza numelui şi, dacă este necesar, a unui număr limitat de alţi parametri, numai cu consimţământul expres prealabil al fiecărui abonat care figurează în aceste registre. Aceste prevederi referitoare la registrele abonaților se aplică şi abonaţilor persoane juridice cu privire la datele care permit identificarea acestora.
La solicitarea instanţelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuţii în domeniul apărării şi securităţii naţionale, cu autorizarea prealabilă a instanței competente potrivit legii, furnizorii pun la dispoziţia acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului şi datele de localizare, în conformitate cu prevederile referitoare la protecţia datelor cu caracter personal.
Solicitările se procesează în condiţii de confidenţialitate. Datele de trafic, datele de identificare a echipamentului şi datele de localizare solicitate nu fac obiectul ştergerii sau anonimizării de către furnizori, atunci când solicitarea formulată este însoţită ori urmată de o notificare cu privire la necesitatea menţinerii lor, în scopul identificării şi conservării probelor sau indiciilor temeinice, atât timp cât subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive a instanţei de judecată.
Sursă fotografie: https://unsplash.com/photos/rM7fqrIQb94
