Include modificările din următoarele acte:
– Legea nr. 272/2006 publicată în Monitorul Oficial, Partea I nr. 576 din 04/07/2006.
– Legea nr. 298/2008 publicată în Monitorul Oficial, Partea I nr. 780 din 21/11/2008.
– Decizia nr. 1258/2009 publicată în Monitorul Oficial, Partea I nr. 798 din 23/11/2009.
– O.U.G. nr. 13/2012 publicată în Monitorul Oficial, Partea I nr. 277 din 26/04/2012.
– Legea nr. 82/2012 publicată în Monitorul Oficial, Partea I nr. 406 din 18/06/2012.
ARTICOLUL 1
Dispoziţii generale
(1) Prezenta lege stabileşte condiţiile specifice de garantare a dreptului la protecţia vieţii private în privinţa prelucrării datelor cu caracter personal în sectorul comunicaţiilor electronice.
(2) Prevederile prezentei legi se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicaţii electronice destinate publicului prin intermediul reţelelor publice de comunicaţii electronice, inclusiv al reţelelor publice de comunicaţii electronice care presupun dispozitive de colectare a datelor şi de identificare.
(3) Prevederile prezentei legi se completează cu prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
(4) Prezenta lege nu se aplică prelucrărilor de date cu caracter personal efectuate:
a) în cadrul activităţilor în domeniul apărării naţionale şi securităţii naţionale, desfăşurate în limitele şi cu restricţiile stabilite de lege;
b) în cadrul activităţilor de combatere a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi în domeniul dreptului penal, desfăşurate în limitele şi cu restricţiile stabilite de lege.
ARTICOLUL 2
Definiţii
(1) În înţelesul prezentei legi, următorii termeni se definesc după cum urmează:
a) utilizator – orice persoană fizică ce beneficiază de un serviciu de comunicaţii electronice destinat publicului, fără a avea în mod necesar calitatea de abonat al acestui serviciu;
b) date de trafic – orice date prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni;
c) date de localizare – orice date prelucrate într-o reţea de comunicaţii electronice sau prin intermediul unui serviciu de comunicaţii electronice, care indică poziţia geografică a echipamentului terminal al utilizatorului unui serviciu de comunicaţii electronice destinat publicului;
d) comunicare – orice informaţie schimbată sau transmisă între un număr determinat de participanţi prin intermediul unui serviciu de comunicaţii electronice destinat publicului; aceasta nu include informaţia transmisă publicului printr-o reţea de comunicaţii electronice ca parte a unui serviciu de programe audiovizuale, în măsura în care nu poate fi stabilită o legătură între informaţia în cauză şi abonatul sau utilizatorul identificabil care o primeşte;
e) Abrogată prin punctul 3. din Ordonanţă de urgenţă nr. 13/2012 începând cu 26.04.2012.
f) serviciu cu valoare adăugată – orice serviciu care necesită prelucrarea datelor de trafic sau a datelor de localizare, în alte scopuri decât transmiterea comunicării ori facturarea contravalorii acestei operaţiuni;
g) poştă electronică – serviciul care constă în transmiterea printr-o reţea publică de comunicaţii electronice a unor mesaje în format text, voce, sunet sau imagine, care pot fi stocate în reţea sau în echipamentul terminal al destinatarului până la recepţionarea de către destinatar.
h) încălcare a securităţii datelor cu caracter personal încălcarea securităţii având ca rezultat distrugerea accidentală sau ilicită, pierderea, alterarea, divulgarea neautorizată ori accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod în legătură cu furnizarea de servicii de comunicaţii electronice destinate publicului.
(2) În cuprinsul prezentei legi sunt, de asemenea, aplicabile definiţiile prevăzute la art. 3 lit. a), b), c) şi i) din Legea nr. 677/2001, cu modificările şi completările ulterioare, la art. 1 pct. 1 şi 8 din Legea nr. 365/2002 privind comerţul electronic, republicată, şi la art. 4 alin. (1) pct. 3, 6, 8, 9, 10 şi 36 din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice.
ARTICOLUL 3
Securitatea prelucrării datelor cu caracter personal
(1) Furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicaţii electronice destinate publicului va lua aceste măsuri împreună cu furnizorul reţelei publice de comunicaţii electronice.
(2) Măsurile adoptate potrivit alin. (1) trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri.
(3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puţin următoarele condiţii:
a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.
(4) Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, poate audita măsurile luate de furnizori în conformitate cu alin. (1) şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.
(5) În cazul existenţei unui risc determinat de încălcarea securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a informa abonaţii cu privire la existenţa acestui risc, precum şi la posibilele consecinţe ce decurg. În cazul în care acest risc depăşeşte domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceştia au obligaţia de a informa abonaţii despre remediile posibile, inclusiv prin indicarea costurilor implicate.
(6) În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.
(7) Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva încălcare, fără întârziere, abonatului sau persoanei în cauză.
(8) Notificarea prevăzută la alin. (7) nu este necesară dacă furnizorul a demonstrat ANSPDCP, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice de protecţie adecvate şi că respectivele măsuri au fost aplicate datelor afectate de încălcarea securităţii. Astfel de măsuri tehnologice de protecţie trebuie să asigure faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.
(9) Fără a aduce atingere obligaţiei furnizorului de a notifica abonaţilor şi persoanelor în cauză, în cazul în care furnizorul nu a notificat deja abonatului sau persoanei în cauză încălcarea securităţii datelor cu caracter personal, ANSPDCP poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.
(10) Notificarea prevăzută la alin. (7) va cuprinde cel puţin o descriere a naturii încălcării securităţii datelor cu caracter personal şi punctele de contact ale furnizorului unde pot fi obţinute mai multe informaţii şi va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (6) va conţine şi o descriere a consecinţelor încălcării securităţii datelor cu caracter personal, precum şi a măsurilor propuse sau adoptate de furnizor în vederea remedierii acestora.
(11) Sub rezerva oricăror măsuri tehnice de punere în aplicare adoptate de Comisia Europeană, ANSPDCP poate să stabilească circumstanţele în care furnizorii sunt obligaţi să notifice încălcări ale securităţii datelor cu caracter personal, formatul unei astfel de notificări şi modalităţile în care se va face notificarea.
(12) Furnizorii au obligaţia de a păstra o evidenţă a tuturor încălcărilor securităţii datelor cu caracter personal, care trebuie să cuprindă o descriere a situaţiei în care a avut loc încălcarea, a efectelor acesteia şi a măsurilor de remediere întreprinse, astfel încât ANSPDCP să poată verifica dacă au fost respectate obligaţiile ce incumbă furnizorilor potrivit prezentului articol. Evidenţa va include numai informaţiile necesare în acest scop.
ARTICOLUL 31
Proceduri de accesare
Furnizorii au obligaţia de a stabili proceduri interne pentru a răspunde solicitărilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, aceştia oferă ANSPDCP informaţii despre procedurile respective, numărul de solicitări primite, justificarea legală invocată în solicitare şi răspunsul oferit solicitanţilor.
ARTICOLUL 4
Confidenţialitatea comunicărilor
(1) Confidenţialitatea comunicărilor transmise prin intermediul reţelelor publice de comunicaţii electronice şi a serviciilor de comunicaţii electronice destinate publicului, precum şi confidenţialitatea datelor de trafic aferente sunt garantate.
(2) Ascultarea, înregistrarea, stocarea şi orice altă formă de interceptare ori supraveghere a comunicărilor şi a datelor de trafic aferente sunt interzise, cu excepţia cazurilor următoare:
a) se realizează de utilizatorii care participă la comunicarea respectivă;
b) utilizatorii care participă la comunicarea respectivă şi-au dat, în prealabil, consimţământul scris cu privire la efectuarea acestor operaţiuni;
c) se realizează de autorităţile competente, în condiţiile legii.
(3) Prevederile alin. (1) şi (2) nu aduc atingere posibilităţii de a efectua stocarea tehnică necesară, în scopul transmiterii comunicării, în condiţiile respectării confidenţialităţii.
(4) Prevederile alin. (1) şi (2) nu aduc atingere posibilităţii de a efectua înregistrări autorizate, în condiţiile legii, ale comunicărilor şi datelor de trafic aferente, atunci când acestea se realizează în cadrul unor practici profesionale licite, în scopul de a furniza proba unui act comercial sau a unei comunicări realizate în scopuri comerciale.
(5) Stocarea de informaţii sau obţinerea accesului la informaţia stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiţii:
a) abonatul sau utilizatorul în cauză şi-a exprimat acordul;
b) abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările şi completările ulterioare, informaţii clare şi complete care:
(i) să fie expuse într-un limbaj uşor de înţeles şi să fie uşor accesibile abonatului sau utilizatorului;
(ii) să includă menţiuni cu privire la scopul procesării informaţiilor stocate de abonat sau utilizator ori informaţiilor la care acesta are acces.
În cazul în care furnizorul permite unor terţi stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului, informarea în concordanţă cu pct. (i) şi (ii) va include scopul general al procesării acestor informaţii de către terţi şi modul în care abonatul sau utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza accesul terţilor la aceste informaţii.
(51) Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul.
(6) Prevederile alin. (5) nu aduc atingere posibilităţii de a efectua stocarea sau accesul tehnic la informaţia stocată în următoarele cazuri:
a) atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o reţea de comunicaţii electronice;
b) atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau utilizator.
ARTICOLUL 5
Datele de trafic
(1) Datele de trafic referitoare la abonaţi şi utilizatori înregistraţi, prelucrate şi reţinute de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).
(2) Prelucrarea datelor de trafic efectuată în scopul facturării abonaţilor sau al stabilirii obligaţiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenţei obligaţiei de plată corespunzătoare.
(3) Furnizorul unui serviciu de comunicaţii electronice destinat publicului poate prelucra datele prevăzute la alin. (1), în vederea comercializării serviciilor sale sau a furnizării de servicii cu valoare adăugată, numai în măsura şi pe durata necesară comercializării, respectiv furnizării acestor servicii, şi numai cu consimţământul expres prealabil al abonatului sau utilizatorului la care se referă datele respective. Abonatul sau, după caz, utilizatorul îşi poate retrage oricând consimţământul exprimat cu privire la prelucrarea datelor de trafic.
(4) În cazurile prevăzute la alin. (2) şi (3), furnizorul serviciului de comunicaţii electronice destinat publicului este obligat să informeze abonatul sau utilizatorul cu privire la categoriile de date de trafic care sunt prelucrate şi la durata prelucrării acestora. În cazul prevăzut la alin. (3), această informare trebuie să aibă loc anterior obţinerii consimţământului abonatului sau utilizatorului.
(5) Prelucrarea datelor de trafic în condiţiile alin. (1)-(4) poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, având ca atribuţii facturarea ori gestionarea traficului, relaţiile cu clienţii, detectarea fraudelor, comercializarea serviciilor de comunicaţii electronice sau furnizarea serviciilor cu valoare adăugată, şi este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuţii.
(6) Prevederile alin. (1)-(3) şi (5) nu aduc atingere posibilităţii organelor de urmărire penală, instanţelor de judecată şi organelor de stat cu atribuţii în domeniul securităţii naţionale de a avea acces la datele de trafic, în condiţiile legii.
ARTICOLUL 6
Facturarea detaliată
(1) Abonaţii primesc facturi nedetaliate.
(2) Emiterea facturilor detaliate se face la cererea abonaţilor, cu respectarea dreptului la viaţă privată al utilizatorilor apelanţi şi al abonaţilor apelaţi.
(3) Informaţiile minime prezentate în cadrul facturilor detaliate sunt stabilite de ANRC.
ARTICOLUL 7
Prezentarea şi restricţionarea identităţii liniei apelante şi a liniei conectate
(1) În cazul în care este oferită prezentarea identităţii liniei apelante, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorului apelant pentru fiecare apel, precum şi abonatului apelant pentru fiecare linie, printr-un mijloc simplu şi gratuit, posibilitatea de a ascunde identitatea liniei apelante, indiferent de ţara de destinaţie a apelului.
(11) În cazul interconectării, furnizorul are obligaţia de a transmite la interfaţa dintre cele două reţele identitatea liniei apelante fără a o altera, modifica sau şterge.
(2) În cazul în care este oferită prezentarea identităţii liniei apelante, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu şi, în limitele unei utilizări rezonabile, gratuit, posibilitatea de a ascunde identitatea liniei apelante pentru apelurile primite, indiferent de ţara de origine a acestora.
(3) În cazul în care este oferită prezentarea identităţii liniei apelante, când prezentarea identităţii liniei apelante se face înainte de începerea convorbirii, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu, posibilitatea de a respinge apelurile primite pentru care identitatea liniei apelante a fost ascunsă de utilizatorul sau abonatul apelant, indiferent de ţara de origine a apelurilor.
(4) În cazul în care este oferită prezentarea identităţii liniei conectate, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu şi gratuit, posibilitatea de a ascunde identitatea liniei conectate faţă de utilizatorul apelant, indiferent de ţara de origine a apelurilor.
(5) În cazul în care este oferită prezentarea identităţii liniei apelante sau a liniei conectate, furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a informa publicul în acest sens, inclusiv cu privire la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a apelurilor prevăzute la alin. (1)-(4).
(6) Abrogat prin punctul 12. din Ordonanţă de urgenţă nr. 13/2012 începând cu 26.04.2012.
ARTICOLUL 8
Datele de localizare, altele decât datele de trafic
(1) Prelucrarea datelor de localizare, altele decât datele de trafic, referitoare la utilizatorii sau abonaţii reţelelor publice de comunicaţii electronice sau ai serviciilor de comunicaţii electronice destinate publicului, atunci când este posibilă, este permisă numai în unul dintre următoarele cazuri:
a) datele în cauză sunt transformate în date anonime;
b) cu consimţământul expres prealabil al utilizatorului sau abonatului la care se referă datele respective, în măsura şi pentru durata necesare furnizării unui serviciu cu valoare adăugată;
c) atunci când serviciul cu valoare adăugată cu funcţie de localizare are ca scop transmiterea unidirecţională şi nediferenţiată a unor informaţii către utilizatori.
(2) Furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorului sau abonatului, anterior obţinerii consimţământului acestuia, în conformitate cu prevederile alin. (1) lit. b), informaţii referitoare la:
a) tipul de date de localizare, altele decât datele de trafic, care vor fi prelucrate;
b) scopurile şi durata prelucrării acestor date;
c) eventuala transmitere a datelor către un terţ, în scopul furnizării serviciului cu valoare adăugată.
(3) Utilizatorii sau abonaţii care îşi dau consimţământul în vederea prelucrării datelor în conformitate cu prevederile alin. (1) lit. b) au dreptul de a-şi retrage oricând consimţământul exprimat cu privire la prelucrarea datelor sau de a refuza temporar prelucrarea datelor în cauză pentru fiecare conectare la reţea sau pentru fiecare transmitere a unei comunicări. Furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorilor sau abonaţilor un procedeu simplu şi gratuit pentru exercitarea acestor drepturi.
(4) Prelucrarea datelor de localizare, altele decât datele de trafic, în condiţiile alin. (1)-(3), poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorului reţelei publice de comunicaţii electronice sau al serviciului de comunicaţii electronice destinat publicului ori a terţului furnizor de servicii cu valoare adăugată şi trebuie să se limiteze numai la ceea ce este necesar pentru furnizarea serviciului cu valoare adăugată.
(6) Dispoziţiile prezentului articol nu aduc atingere posibilităţii organelor de urmărire penală, instanţelor de judecată şi organelor de stat cu atribuţii în domeniul securităţii naţionale de a avea acces la datele generate sau prelucrate şi păstrate de furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile legii.
ARTICOLUL 9
Excepţii
(1) Furnizorul unei reţele publice de comunicaţii electronice sau al unui serviciu de comunicaţii electronice destinat publicului poate deroga de la prevederile art. 7 referitoare la oferirea posibilităţii de ascundere a identităţii liniei apelante, astfel:
a) temporar, în urma cererii unui abonat privind depistarea sursei unor apeluri abuzive; în acest caz datele care permit identificarea abonatului apelant vor fi păstrate şi puse la dispoziţie de către furnizorul reţelei publice de comunicaţii electronice sau al serviciului de comunicaţii electronice destinat publicului, în condiţiile legii;
b) pentru fiecare linie, în vederea soluţionării de către serviciile specializate de intervenţie recunoscute în condiţiile legii, precum poliţie, pompieri sau ambulanţă, a situaţiilor ce le sunt semnalate prin apeluri de urgenţă.
(2) În cazul prevăzut la alin. (1) lit. b), furnizorul unei reţele publice de comunicaţii electronice sau al unui serviciu de comunicaţii electronice destinat publicului poate deroga şi de la prevederile art. 8, referitoare la obţinerea consimţământului abonatului sau utilizatorului cu privire la prelucrarea datelor de localizare.
(3) Derogările prevăzute la alin. (1) şi (2) sunt permise în condiţiile stabilite de Avocatul Poporului, cu consultarea ANRC.
(4) Abrogat prin punctul 13. din Ordonanţă de urgenţă nr. 13/2012 începând cu 26.04.2012.
ARTICOLUL 10
Redirecţionarea automată a apelului
(1) Furnizorul reţelei publice de comunicaţii electronice sau, după caz, al serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie fiecărui abonat un mijloc simplu şi gratuit de a bloca redirecţionarea automată de către un terţ a apelurilor către echipamentul terminal al abonatului respectiv.
(2) Abrogat prin punctul 14. din Ordonanţă de urgenţă nr. 13/2012 începând cu 26.04.2012.
ARTICOLUL 11
Registrele abonaţilor
(1) Abonaţii serviciilor de comunicaţii electronice destinate publicului au dreptul, cu respectarea prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, de a le fi incluse datele cu caracter personal în toate registrele publice ale abonaţilor, în formă scrisă sau electronică.
(2) Persoanele care pun la dispoziţia publicului registre ale abonaţilor în formă scrisă sau electronică ori care furnizează servicii de informaţii privind abonaţii au obligaţia de a informa abonaţii cu privire la scopul întocmirii acestor registre în care pot fi incluse datele lor cu caracter personal, precum şi cu privire la orice posibilităţi ulterioare de utilizare a acestor date, bazate pe funcţii de căutare integrate registrelor în formă electronică. Informarea abonaţilor este gratuită şi se realizează înainte ca aceştia să fie incluşi în registrele respective.
(3) Ulterior realizării informării prevăzute la alin. (2), furnizorii de servicii de comunicaţii electronice destinate publicului care atribuie numere de telefon abonaţilor au obligaţia de a le acorda acestora un termen de 45 de zile lucrătoare în care se pot opune includerii datelor necesare identificării lor în toate registrele prevăzute la alin. (1). La expirarea celor 45 de zile lucrătoare, în cazul în care abonaţii nu şi-au exprimat voinţa în sens contrar, datele necesare identificării lor sunt incluse.
(4) Abonaţii ale căror date cu caracter personal nu sunt disponibile furnizorilor prevăzuţi la alin. (3) pot solicita, în mod gratuit, includerea în toate registrele prevăzute la alin. (1).
(5) Fără a aduce atingere prevederilor alin. (3) şi (4), persoanele prevăzute la alin. (2), precum şi persoanele care furnizează registrele şi serviciile prevăzute la alin. (1) au obligaţia de a asigura abonaţilor, în mod gratuit şi fără întârziere, următoarele posibilităţi:
a) de a decide dacă datele lor cu caracter personal, precum şi care dintre acestea vor fi sau nu incluse în aceste registre;
b) de a verifica, rectifica sau elimina datele cu caracter personal incluse în aceste registre.
(6) Registrele prevăzute la alin. (1) pot fi utilizate în alt scop, în afara simplei căutări a datelor de contact, pe baza numelui şi, dacă este necesar, a unui număr limitat de alţi parametri, numai cu consimţământul expres prealabil al fiecărui abonat care figurează în aceste registre.
(7) Prevederile prezentului articol se aplică, în mod corespunzător, şi abonaţilor persoane juridice cu privire la datele care permit identificarea acestora.
(8) Fără a aduce atingere prevederilor alin. (1)-(7), persoanele care furnizează registrele şi serviciile prevăzute la alin. (1) au obligaţia de a pune la dispoziţia publicului informaţii clare, uşor accesibile şi gratuite privind scopul întocmirii registrelor pe care le gestionează, posibilităţile de utilizare a datelor cu caracter personal pe care le deţin, bazate pe funcţii de căutare integrate registrelor în formă electronică, sau exercitarea de către abonaţi a drepturilor prevăzute la alin. (5).
ARTICOLUL 12
Comunicările nesolicitate
(1) Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare şi comunicare care nu necesită intervenţia unui operator uman, prin fax ori prin poştă electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul sau utilizatorul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.
(2) Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiţia de a oferi în mod clar şi expres clienţilor posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus iniţial.
(3) În toate cazurile este interzisă efectuarea prin poşta electronică de comunicări comerciale în care identitatea reală a persoanei în numele şi pe seama căreia sunt făcute este ascunsă, cu încălcarea art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări ori în care sunt încurajaţi destinatarii să viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicată.
(4) Prevederile alin. (1) şi (3) se aplică în mod corespunzător şi abonaţilor persoane juridice.
ARTICOLUL 13
Regim sancţionator
(1) Constituie contravenţii următoarele fapte:
a) neîndeplinirea obligaţiei prevăzute la art. 3 alin. (1), în condiţiile stabilite potrivit art. 3 alin. (2)-(4);
b) neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (5);
c) neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (6);
d) neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (7);
e) nerespectarea prevederilor art. 3 alin. (10);
f) nerespectarea măsurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
g) nerespectarea prevederilor art. 3 alin. (12);
h) nerespectarea prevederilor art. 4 alin. (2) referitoare la interdicţia interceptării şi supravegherii comunicărilor şi datelor de trafic aferente;
i) nerespectarea condiţiilor prevăzute la art. 4 alin. (5);
j) nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
k) nerespectarea condiţiilor de emitere a facturilor, stabilite potrivit art. 6;
l) încălcarea obligaţiilor referitoare la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a apelurilor, precum şi la informarea publicului, prevăzute la art. 7;
m) nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decât datele de trafic;
n) nerespectarea prevederilor art. 9 referitoare la condiţiile în care se poate deroga de la prevederile art. 7 sau 8;
o) încălcarea obligaţiilor referitoare la posibilitatea de a bloca redirecţionarea automată a apelurilor, prevăzute la art. 10;
p) neîndeplinirea obligaţiilor referitoare la întocmirea registrelor abonaţilor, prevăzute la art. 11;
q) nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate.
(2) Contravenţiile prevăzute la alin. (1) lit. a)-l), n), o) şi q) se sancţionează cu amendă de la 5.000 lei la 100.000 lei, iar pentru societăţile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
(3) Contravenţia prevăzută la alin. (1) lit. p), precum şi contravenţia prevăzută la alin. (1) lit. m), săvârşite prin nerespectarea obligaţiei prevăzute la art. 8 alin. (1) lit. b), se sancţionează cu amendă de la 30.000 lei la 100.000 lei, iar pentru societăţile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
(4) Contravenţia prevăzută la alin. (1) lit. k) se constată de personalul de control împuternicit în acest scop al Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii, iar sancţiunea se aplică, prin rezoluţie scrisă, de către preşedintele acestei instituţii.
(5) Constatarea contravenţiilor prevăzute la alin. (1) lit. a)-j) şi l)-q) şi aplicarea sancţiunilor se fac de personalul împuternicit în acest scop al ANSPDCP.
(6) În măsura în care prin prezenta lege nu se prevede altfel, contravenţiilor prevăzute la alin. (1) li se aplică prevederile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
(7) ANSPDCP poate aplica amenzi cominatorii pe zi de întârziere, în cuantum de până la 5.000 lei, stabilind totodată şi data de la care acestea se calculează, pentru a determina furnizorii să se supună măsurilor luate potrivit prevederilor art. 3 alin. (9).
ARTICOLUL 14
Dispoziţii tranzitorii şi finale
(1) Prevederile art. 11 nu se aplică în cazul registrelor abonaţilor întocmite sau comercializate în formă scrisă ori în formă electronică accesibilă off-line înaintea intrării în vigoare a prezentei legi.
(2) Pe data intrării în vigoare a prezentei legi se abrogă Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, publicată în Monitorul Oficial al României, Partea I, nr. 800 din 14 decembrie 2001, cu modificările ulterioare.
ARTICOLUL 15
Transpunerea unor acte normative comunitare
Prezenta lege transpune Directiva 2002/58/CE a Parlamentului European şi a Consiliului privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Jurnalul Oficial al Comunităţilor Europene nr. L 201 din 31 iulie 2002.
Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.
Bucureşti, 17 noiembrie 2004.
Nr. 506.