---

Legea nr. 506/2004
privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice
Publicat in Monitorul Oficial, Partea I nr. 1101 din 25/11/2004
Abroga legea 676/2001

Articolul 1 - Dispozitii generale
(1) Prezenta lege stabileste conditiile specifice de garantare a dreptului la protectia vietii private in privinta prelucrarii datelor cu caracter personal in sectorul comunicatiilor electronice.
(2) Prevederile prezentei legi se aplica furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului, precum si furnizorilor de servicii cu valoare adaugata si furnizorilor de registre ale abonatilor care, in cadrul activitatii lor comerciale, prelucreaza date cu caracter personal.
(3) Prevederile prezentei legi se completeaza cu prevederile Legii nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date.
(4) Prezenta lege nu se aplica prelucrarilor de date cu caracter personal efectuate:
a) in cadrul activitatilor in domeniul apararii nationale si securitatii nationale, desfasurate in limitele si cu restrictiile stabilite de lege;
b) in cadrul activitatilor de combatere a infractiunilor si de mentinere a ordinii publice, precum si in cadrul altor activitati in domeniul dreptului penal, desfasurate in limitele si cu restrictiile stabilite de lege.

Articolul 2 - Definitii
(1) in intelesul prezentei legi, urmatorii termeni se definesc dupa cum urmeaza:
a) utilizator - orice persoana fizica ce beneficiaza de un serviciu de comunicatii electronice destinat publicului, fara a avea in mod necesar calitatea de abonat al acestui serviciu;
b) date de trafic - orice date prelucrate in scopul transmiterii unei comunicari printr-o retea de comunicatii electronice sau in scopul facturarii contravalorii acestei operatiuni;
c) date de localizare - orice date prelucrate intr-o retea de comunicatii electronice, care indica pozitia geografica a echipamentului terminal al utilizatorului unui serviciu de comunicatii electronice destinat publicului;
d) comunicare - orice informatie schimbata sau transmisa intre un numar determinat de participanti prin intermediul unui serviciu de comunicatii electronice destinat publicului; aceasta nu include informatia transmisa publicului printr-o retea de comunicatii electronice ca parte a unui serviciu de programe audiovizuale, in masura in care nu poate fi stabilita o legatura intre informatia in cauza si abonatul sau utilizatorul identificabil care o primeste;
e) apel - conexiunea stabilita prin intermediul unui serviciu de telefonie destinat publicului, care permite comunicarea bidirectionala in timp real;
f) serviciu cu valoare adaugata - orice serviciu care necesita prelucrarea datelor de trafic sau a datelor de localizare, in alte scopuri decat transmiterea comunicarii sau facturarea contravalorii acestei operatiuni;
g) posta electronica - serviciul care consta in transmiterea printr-o retea publica de comunicatii electronice a unor mesaje in format text, voce, sunet sau imagine, care pot fi stocate in retea sau in echipamentul terminal al destinatarului pana la receptionarea de catre destinatar.
(2) in cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art.3 lit.a), b), c) si i) din Legea nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, art.2 lit.a), b), c) si h) din Ordonanta Guvernului nr.34/2002 privind accesul la retelele publice de comunicatii electronice si la infrastructura asociata, precum si interconectarea acestora, aprobata cu modificari si completari prin Legea nr.527/2002, art.2 alin.(1) lit.b) din Ordonanta de urgenta a Guvernului nr.79/2002 privind cadrul general de reglementare a comunicatiilor, aprobata cu modificari si completari prin Legea nr.591/2002, art.1 pct. 1 si pct.8 din Legea nr.365/2002 privind comertul electronic si art.2 alin.(1) lit.c) din Legea nr.304/2003 pentru serviciul universal si drepturile utilizatorilor cu privire la retelele si serviciile de comunicatii electronice.

Articolul 3 - Masuri de securitate
(1) Furnizorul unui serviciu de comunicatii electronice destinat publicului are obligatia de a lua toate masurile tehnice si organizatorice adecvate in vederea garantarii securitatii serviciului. in ceea ce priveste securitatea retelei, daca este necesar, furnizorul serviciului de comunicatii electronice va lua masurile de securitate respective impreuna cu furnizorul retelei publice de comunicatii electronice. Masurile adoptate trebuie sa garanteze un nivel de securitate proportional cu riscul existent, avand in vedere posibilitatile tehnice de ultima ora si costurile implementarii acestor masuri.
(2) Autoritatea Nationala de Reglementare in Comunicatii, denumita in continuare ANRC, stabileste conditiile in care furnizorii trebuie sa isi indeplineasca obligatia prevazuta la alin.(1).
(3) in cazul existentei unui risc determinat de incalcare a securitatii retelei, furnizorul unui serviciu de comunicatii electronice destinat publicului este obligat:
a) sa informeze abonatii asupra existentei acestui risc, precum si asupra posibilelor consecinte ce decurg;
b) sa informeze abonatii asupra posibilitatilor de remediere;
c) sa informeze abonatii asupra costurilor probabile privind inlaturarea riscului.

Articolul 4 - Confidentialitatea comunicarilor
(1) Confidentialitatea comunicarilor transmise prin intermediul retelelor publice de comunicatii electronice si a serviciilor de comunicatii electronice destinate publicului, precum si confidentialitatea datelor de trafic aferente sunt garantate.
(2) Ascultarea, inregistrarea, stocarea si orice alta forma de interceptare ori supraveghere a comunicarilor si a datelor de trafic aferente este interzisa, cu exceptia cazurilor urmatoare:
a) se realizeaza de utilizatorii care participa la comunicarea respectiva;
b) utilizatorii care participa la comunicarea respectiva si-au dat, in prealabil, consimtamantul scris cu privire la efectuarea acestor operatiuni;
c) se realizeaza de autoritatile competente, in conditiile legii.
(3) Prevederile alin.(1) si (2) nu aduc atingere posibilitatii de a efectua stocarea tehnica necesara, in scopul transmiterii comunicarii, in conditiile respectarii confidentialitatii.
(4) Prevederile alin.(1) si (2) nu aduc atingere posibilitatii de a efectua inregistrari autorizate in conditiile legii ale comunicarilor si datelor de trafic aferente, atunci cand acestea se realizeaza in cadrul unor practici profesionale licite, in scopul de a furniza proba unui act comercial sau a unei comunicari realizate in scopuri comerciale.
(5) Utilizarea unei retele de comunicatii electronice in scopul stocarii de informatii in echipamentul terminal al unui abonat sau utilizator sau al obtinerii accesului la informatia stocata in acest mod este permisa numai cu indeplinirea, in mod cumulativ, a urmatoarelor conditii:
a) abonatului sau utilizatorului in cauza i s-au furnizat informatii clare si complete, in conformitate cu prevederile art.12 din Legea nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, intre altele cu privire la scopul in care se efectueaza stocarea sau accesul la informatia stocata;
b) abonatului sau utilizatorului in cauza i s-a oferit posibilitatea de a refuza stocarea sau accesul la informatia stocata.
(6) Prevederile alin.(5) nu aduc atingere posibilitatii de a efectua stocarea sau accesul tehnic, in urmatoarele cazuri:
a) atunci cand aceste operatiuni sunt realizate in scopul exclusiv al efectuarii sau facilitarii transmiterii unei comunicari printr-o retea de comunicatii electronice;
b) atunci cand aceste operatiuni sunt strict necesare pentru furnizarea unui serviciu al societatii informationale, solicitat expres de abonat sau utilizator.

Articolul 5 - Datele de trafic
(1) Datele de trafic referitoare la abonati si utilizatori, prelucrate si stocate de catre furnizorul unei retele publice de comunicatii electronice sau de catre furnizorul unui serviciu de comunicatii electronice destinat publicului, trebuie sa fie sterse sau transformate in date anonime atunci cand nu mai sunt necesare la transmiterea unei comunicari, cu exceptia situatiilor prevazute la alin. (2), (3) si (5).
(2) Prelucrarea datelor de trafic efectuata in scopul facturarii abonatilor sau al stabilirii obligatiilor de plata pentru interconectare este permisa doar pana la implinirea unui termen de 3 ani de la data scadentei obligatiei de plata corespunzatoare.
(3) Furnizorul unui serviciu de comunicatii electronice destinat publicului poate prelucra datele prevazute la alin.(1), in vederea comercializarii serviciilor sale sau furnizarii de servicii cu valoare adaugata, numai in masura si pe durata necesara comercializarii, respectiv furnizarii acestor servicii si numai cu consimtamantul expres prealabil al abonatului sau utilizatorului la care se refera datele respective. Abonatul sau, dupa caz, utilizatorul isi poate retrage oricand consimtamantul exprimat cu privire la prelucrarea datelor de trafic.
(4) in cazurile prevazute la alin.(2) si (3), furnizorul serviciului de comunicatii electronice destinat publicului este obligat sa informeze abonatul sau utilizatorul cu privire la categoriile de date de trafic care sunt prelucrate si la durata prelucrarii acestora. in cazul prevazut la alin.(3), aceasta informare trebuie sa aiba loc anterior obtinerii consimtamantului abonatului sau utilizatorului.
(5) Prelucrarea datelor de trafic in conditiile alin.(1)-(4) poate fi efectuata numai de catre persoanele care actioneaza sub autoritatea furnizorilor de retele publice de comunicatii electronice sau de servicii de comunicatii electronice destinate publicului, avand ca atributii facturarea sau gestionarea traficului, relatiile cu clientii, detectarea fraudelor, comercializarea serviciilor de comunicatii electronice sau furnizarea serviciilor cu valoare adaugata si este permisa numai in masura in care este necesara pentru indeplinirea acestor atributii.
(6) Prevederile alin.(1)-(3) si (5) nu aduc atingere posibilitatii autoritatilor competente de a avea acces la datele de trafic, in conditiile legii, in scopul solutionarii litigiilor, in special a celor referitoare la interconectare sau la facturare.

Articolul 6 - Facturarea detaliata
(1) Abonatii primesc facturi nedetaliate.
(2) Emiterea facturilor detaliate se face la cererea abonatilor, cu respectarea dreptului la viata privata al utilizatorilor apelanti si al abonatilor apelati.
(3) Informatiile minime prezentate in cadrul facturilor detaliate sunt stabilite de ANRC.

Articolul 7 - Prezentarea si restrictionarea identitatii liniei apelante si a liniei conectate
(1) in cazul in care este oferita prezentarea identitatii liniei apelante, furnizorul serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia utilizatorului apelant pentru fiecare apel, precum si abonatului apelant pentru fiecare linie, printr-un mijloc simplu si gratuit, posibilitatea de a ascunde identitatea liniei apelante, indiferent de tara de destinatie a apelului.
(2) in cazul in care este oferita prezentarea identitatii liniei apelante, furnizorul serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia abonatului apelat, printr-un mijloc simplu si, in limitele unei utilizari rezonabile, gratuit, posibilitatea de a ascunde identitatea liniei apelante pentru apelurile primite, indiferent de tara de origine a acestora.
(3) in cazul in care este oferita prezentarea identitatii liniei apelante, cand prezentarea identitatii liniei apelante se face inainte de inceperea convorbirii, furnizorul serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia abonatului apelat, printr-un mijloc simplu, posibilitatea de a respinge apelurile primite pentru care identitatea liniei apelante a fost ascunsa de utilizatorul sau abonatul apelant, indiferent de tara de origine a apelurilor.
(4) in cazul in care este oferita prezentarea identitatii liniei conectate, furnizorul serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia abonatului apelat, printr-un mijloc simplu si gratuit, posibilitatea de a ascunde identitatea liniei conectate fata de utilizatorul apelant, indiferent de tara de origine a apelurilor.
(5) in cazul in care este oferita prezentarea identitatii liniei apelante sau a liniei conectate, furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a informa publicul in acest sens, inclusiv cu privire la disponibilitatea mijloacelor de ascundere a identitatii sau de respingere a apelurilor prevazute la alin.(1)-(4).
(6) Prevederile prezentului articol se aplica in cazul abonatilor conectati la comutatoare digitale si, acolo unde este tehnic posibil si nu presupune un efort economic disproportionat, in cazul abonatilor conectati la comutatoare analogice.

Articolul 8 - Datele de localizare, altele decat datele de trafic
(1) Prelucrarea datelor de localizare, altele decat datele de trafic, referitoare la utilizatorii sau abonatii retelelor publice de comunicatii electronice sau ai serviciilor de comunicatii electronice destinate publicului, atunci cand este posibila, este permisa numai in unul din urmatoarele cazuri:
a) datele in cauza sunt transformate in date anonime;
b) cu consimtamantul expres prealabil al utilizatorului sau abonatului la care se refera datele respective, in masura si pentru durata necesare furnizarii unui serviciu cu valoare adaugata;
c) atunci cand serviciul cu valoare adaugata cu functie de localizare are ca scop transmiterea unidirectionala si nediferentiata a unor informatii catre utilizatori.
(2) Furnizorul serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia utilizatorului sau abonatului, anterior obtinerii consimtamantului acestuia, in conformitate cu prevederile alin.(1) lit.b), informatii referitoare la:
a) tipul de date de localizare, altele decat datele de trafic, care vor fi prelucrate;
b) scopurile si durata prelucrarii acestor date;
c) eventuala transmitere a datelor catre un tert, in scopul furnizarii serviciului cu valoare adaugata.
(3) Utilizatorii sau abonatii care isi dau consimtamantul in vederea prelucrarii datelor in conformitate cu prevederile alin. (1) lit. b) au dreptul de a-si retrage oricand consimtamantul exprimat cu privire la prelucrarea datelor sau de a refuza temporar prelucrarea datelor in cauza pentru fiecare conectare la retea sau pentru fiecare transmitere a unei comunicari. Furnizorul serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia utilizatorilor sau abonatilor un procedeu simplu si gratuit pentru exercitarea acestor drepturi.
(4) Prelucrarea datelor de localizare, altele decat datele de trafic, in conditiile alin.(1)-(3), poate fi efectuata numai de catre persoanele care actioneaza sub autoritatea furnizorului retelei publice de comunicatii electronice sau al serviciului de comunicatii electronice destinat publicului, ori a tertului furnizor de servicii cu valoare adaugata, si trebuie sa se limiteze numai la ceea ce este necesar pentru furnizarea serviciului cu valoare adaugata.

Articolul 9 - Exceptii
(1) Furnizorul unei retele publice de comunicatii electronice sau al unui serviciu de comunicatii electronice destinat publicului poate deroga de la prevederile art.7 referitoare la oferirea posibilitatii de ascundere a identitatii liniei apelante, astfel:
a) temporar, in urma cererii unui abonat privind depistarea sursei unor apeluri abuzive; in acest caz datele care permit identificarea abonatului apelant vor fi pastrate si puse la dispozitie de catre furnizorul retelei publice de comunicatii electronice sau al serviciului de comunicatii electronice destinat publicului, in conditiile legii;
b) pentru fiecare linie, in vederea solutionarii de catre serviciile specializate de interventie recunoscute in conditiile legii, precum politie, pompieri sau ambulanta, a situatiilor ce le sunt semnalate prin apeluri de urgenta.
(2) in cazul prevazut la alin.(1) lit.b), furnizorul unei retele publice de comunicatii electronice sau al unui serviciu de comunicatii electronice destinat publicului poate deroga si de la prevederile art.8, referitoare la obtinerea consimtamantului abonatului sau utilizatorului cu privire la prelucrarea datelor de localizare.
(3) Derogarile prevazute la alin.(1) si (2) sunt permise in conditiile stabilite de Avocatul Poporului, cu consultarea ANRC.
(4) Prevederile prezentului articol se aplica in cazul abonatilor conectati la comutatoare digitale si, acolo unde este tehnic posibil si nu presupune un efort economic disproportionat, in cazul abonatilor conectati la comutatoare analogice.

Articolul 10 - Redirectionarea automata a apelului
(1) Furnizorul retelei publice de comunicatii electronice sau, dupa caz, al serviciului de comunicatii electronice destinat publicului are obligatia de a pune la dispozitia fiecarui abonat un mijloc simplu si gratuit de a bloca redirectionarea automata de catre un tert a apelurilor catre echipamentul terminal al abonatului respectiv.
(2) Prevederile prezentului articol se aplica in cazul abonatilor conectati la comutatoare digitale si, acolo unde este tehnic posibil si nu presupune un efort economic disproportionat, in cazul abonatilor conectati la comutatoare analogice.

Articolul 11 - Registrele abonatilor
(1) Persoanele care pun la dispozitia publicului registre ale abonatilor in forma scrisa sau electronica sau care furnizeaza servicii de informatii privind abonatii au obligatia de a informa abonatii asupra scopului intocmirii acestor registre in care pot fi incluse datele lor cu caracter personal, precum si asupra oricaror alte posibilitati de utilizare, bazate pe functii de cautare integrate registrelor in forma electronica. Informarea este gratuita si se realizeaza inainte ca abonatii sa fie inclusi in registrele respective.
(2) Persoanele prevazute la alin.(1) au obligatia de a oferi in mod gratuit abonatilor urmatoarele posibilitati: a) de a decide daca datele lor cu caracter personal, precum si care dintre acestea, vor fi sau nu incluse intr-un registru public al abonatilor;
b) de a verifica, rectifica sau elimina datele lor cu caracter personal incluse intr-un registru al abonatilor.
(3) Persoanele prevazute la alin.(1) pot utiliza registrele publice ale abonatilor in alt scop decat pentru simpla cautare a datelor de contact, pe baza numelui si, daca este necesar, a unui numar limitat de alti parametri, numai cu consimtamantul expres prealabil al tuturor abonatilor ce figureaza in aceste registre.
(4) Prevederile alin.(1) si (2) se aplica in mod corespunzator si abonatilor persoane juridice in privinta includerii datelor care permit identificarea acestora in registrele publice ale abonatilor.

Articolul 12 - Comunicarile nesolicitate
(1) Este interzisa efectuarea de comunicari comerciale prin utilizarea unor sisteme automate de apelare care nu necesita interventia unui operator uman, prin fax ori prin posta electronica, sau prin orice alta metoda care foloseste serviciile de comunicatii electronice destinate publicului, cu exceptia cazului in care abonatul vizat si-a exprimat in prealabil consimtamantul expres pentru a primi asemenea comunicari.
(2) Fara a aduce atingere prevederilor alin.(1), daca o persoana fizica sau juridica obtine in mod direct adresa de posta electronica a unui client, cu ocazia vanzarii catre acesta a unui produs sau serviciu, in conformitate cu prevederile Legii nr.677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, persoana fizica sau juridica in cauza poate utiliza adresa respectiva, in scopul efectuarii de comunicari comerciale referitoare la produse sau servicii similare pe care acea persoana le comercializeaza, cu conditia de a oferi in mod clar si expres clientilor posibilitatea de a se opune printr-un mijloc simplu si gratuit unei asemenea utilizari, atat la obtinerea adresei de posta electronica, cat si cu ocazia fiecarui mesaj, in cazul in care clientul nu s-a opus initial.
(3) in toate cazurile, este interzisa efectuarea prin posta electronica de comunicari comerciale in care identitatea reala a persoanei in numele si pe seama careia sunt facute este ascunsa sau in care nu se specifica o adresa valabila la care destinatarul sa poata transmite solicitarea sa referitoare la incetarea efectuarii unor asemenea comunicari.
(4) Prevederile alin.(1) si (3) se aplica in mod corespunzator si abonatilor persoane juridice.

Articolul 13 - Regim sanctionator
(1) Constituie contraventii urmatoarele fapte:
a) neindeplinirea obligatiei prevazute la art.3 alin.(1), in conditiile stabilite potrivit art.3 alin.(2);
b) neindeplinirea obligatiei de informare prevazute la art.3 alin.(3);
c) nerespectarea prevederilor art.4 alin.(2) referitoare la interdictia interceptarii si supravegherii comunicarilor si datelor de trafic aferente;
d) nerespectarea conditiilor prevazute la art.4 alin.(5);
e) nerespectarea prevederilor art.5 referitoare la prelucrarea datelor de trafic;
f) nerespectarea conditiilor de emitere a facturilor stabilite potrivit art.6;
g) incalcarea obligatiilor referitoare la disponibilitatea mijloacelor de ascundere a identitatii sau de respingere a apelurilor, precum si la informarea publicului, prevazute la art.7;
h) nerespectarea prevederilor art.8, referitoare la prelucrarea datelor de localizare, altele decat datele de trafic;
i) nerespectarea prevederilor art.9, referitoare la conditiile in care se poate deroga de la prevederile art.7 sau art.8;
j) incalcarea obligatiilor referitoare la posibilitatea de a bloca redirectionarea automata a apelurilor, prevazute la art.10;
k) neindeplinirea obligatiilor referitoare la intocmirea registrelor abonatilor, prevazute la art.11;
l) nerespectarea prevederilor art.12, referitoare la comunicarile nesolicitate.
(2) Contraventiile prevazute la alin.(1) lit. a)-j) si l) se sanctioneaza cu amenda de la 50.000.000 lei la 1.000.000.000 lei, iar pentru societatile comerciale cu o cifra de afaceri de peste 50.000.000.000 lei, prin derogare de la dispozitiile Ordonantei Guvernului nr.2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr.180/2002, cu modificarile ulterioare, cu amenda in cuantum de pana la 2% din cifra de afaceri.
(3) Contraventia prevazuta la alin. (1) lit. k), precum si contraventia prevazuta la alin. (1) lit. h) savarsita prin nerespectarea obligatiei prevazute la art. 8 alin. (1) lit. b) se sanctioneaza cu amenda de la 300.000.000 lei la 1.000.000.000 lei iar pentru societatile comerciale cu o cifra de afaceri de peste 50.000.000.000 lei, prin derogare de la dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile ulterioare, cu amenda in cuantum de pana la 2% din cifra de afaceri.
(4) Contraventiile prevazute la alin.(1) lit a), b), f), g) si j) se constata de personalul de control imputernicit in acest scop al ANRC, iar sanctiunile se aplica, prin rezolutie scrisa, de catre presedintele ANRC.
(5) Constatarea contraventiilor prevazute la alin. (1) lit. c), d), e), h), i), k) si l) si aplicarea sanctiunilor se efectueaza de personalul de control imputernicit in acest scop al Avocatului Poporului, in conditiile Legii nr. 677/2001.
(6) in masura in care prin prezenta lege se nu prevede altfel, contraventiilor prevazute la alin.(1) li se aplica prevederile Ordonantei Guvernului nr.2/2001, aprobata cu modificari si completari prin Legea nr.180/2002, cu modificarile ulterioare.

Articolul 14 - Dispozitii tranzitorii si finale
(1) Prevederile art.11 nu se aplica in cazul registrelor abonatilor intocmite sau comercializate in forma scrisa sau in forma electronica accesibila off-line inaintea intrarii in vigoare a prezentei legi.
(2) Pe data intrarii in vigoare a prezentei legi se abroga Legea nr.676/2001 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul telecomunicatiilor, publicata in Monitorul Oficial al Romaniei, Partea I, nr.800 din 14 decembrie 2001, cu modificarile ulterioare.

Articolul 15 - Transpunerea unor acte normative comunitare
Prezenta lege transpune Directiva 2002/58/CE a Parlamentului European si a Consiliului privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, publicata in Jurnalul Oficial al Comunitatilor Europene nr.L.201/31.07.2002.


Aceasta lege a fost adoptata de Parlamentul Romaniei, cu respectarea prevederilor articolului 75 si ale articolului 76 alineatul (2) din Constitutia Romaniei, republicata.

17 noiembrie 2004
Nr. 506

---

Legea nr. 298/2008
privind retinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii, precum si pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice
Publicata in Monitorul Oficial, Partea I nr. 780 din 21.11.2008.

CAPITOLUL I
Dispozitii generale

Art. 1. - (1) Prezenta lege stabileste obligatia furnizorilor de servicii si retele publice de comunicatii electronice de a retine anumite date generate sau prelucrate in cadrul activitatii lor de furnizare a serviciilor de comunicatii electronice, pentru punerea acestora la dispozitia autoritatilor competente in scopul utilizarii in cadrul activitatilor de cercetare, de descoperire si de urmarire a infractiunilor grave.
(2) Prezenta lege se aplica datelor de trafic si de localizare a persoanelor fizice si juridice, precum si datelor conexe necesare pentru identificarea abonatului sau a utilizatorului inregistrat.
(3) Prezenta lege nu se aplica in ceea ce priveste continutul comunicarii sau informatiile consultate in timpul utilizarii unei retele de comunicatii electronice.
(4) Punerea in aplicare a prevederilor prezentei legi se face cu respectarea prevederilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, precum si ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu completarile ulterioare.
Art. 2. - (1) In intelesul prezentei legi, termenii si expresiile de mai jos au urmatoarele semnificatii:
a) furnizor de servicii si retele publice de comunicatii electronice - persoana care furnizeaza in scop comercial servicii si/sau retele de comunicatii electronice catre utilizatori finali ori alti furnizori de retele sau servicii de comunicatii electronice pentru sustinerea traficului acestora;
b) date - informatiile privind traficul, localizarea si alte date legate de acestea, necesare pentru identificarea unui abonat sau a unui utilizator;
c) utilizator - persoana fizica sau juridica ce foloseste un serviciu de comunicatii electronice destinat publicului in scopuri personale sau profesionale, fara a fi in mod necesar abonat al acelui serviciu;
d) abonat - persoana fizica sau juridica ce a incheiat un contract cu un furnizor de servicii de comunicatii electronice destinate publicului, in vederea furnizarii unor asemenea servicii;
e) serviciu de telefonie - apelul (voce, mesagerie vocala, teleconferinta si transfer de date), serviciile suplimentare (redirectionarea convorbirii si transferul apelului) si serviciile de mesagerie si multimedia (servicii de mesagerie scurta, servicii media imbunatatite si servicii multimedia);
f) infractiune grava - infractiunea care face parte dintre infractiunile enumerate la art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea si combaterea criminalitatii organizate savarsite sau nu de un grup infractional organizat, dintre cele prevazute in cap. IV din Legea nr. 535/2004 privind prevenirea si combaterea terorismului, precum si dintre infractiunile contra sigurantei statului prevazute in titlul I din partea speciala a Legii nr. 15/1968 - Codul penal al Romaniei, republicata, cu modificarile si completarile ulterioare;
g) identificatorul utilizatorului - codul unic de identificare alocat unei persoane care se aboneaza sau se inregistreaza la un serviciu de acces la internet ori la un serviciu de comunicatii prin internet;
h) identificatorul celulei - codul de identificare a celulei in care se initiaza sau se finalizeaza un apel de telefonie mobila;
i) apel nereusit - comunicarea in cadrul careia apelul telefonic a fost conectat, dar nu a primit raspuns sau a facut obiectul unei interventii din partea administratorului retelei;
j) apel neconectat - apelul initiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, in sensul stabilirii unei conexiuni intre apelant si apelat.
(2) In tot cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 3 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, si la art. 2 din Legea nr. 506/2004, cu completarile ulterioare.

CAPITOLUL II
Retinerea datelor

Art. 3. - (1) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a asigura, pe cheltuiala proprie, crearea si administrarea unei baze de date in format electronic, in vederea retinerii urmatoarelor categorii de date, in masura in care sunt generate sau prelucrate de acestia:
a) date necesare pentru urmarirea si identificarea sursei unei comunicari;
b) date necesare pentru identificarea destinatiei unei comunicari;
c) date necesare pentru a determina data, ora si durata comunicarii;
d) date necesare pentru identificarea tipului de comunicare;
e) date necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) date necesare pentru identificarea locatiei echipamentului de comunicatii mobile.
(2) Datele se retin timp de 6 luni de la momentul efectuarii comunicarii.
(3) Cheltuielile legate de crearea si administrarea bazei de date sunt deductibile fiscal.
Art. 4. - Datele necesare pentru urmarirea si identificarea sursei unei comunicari cuprind:
a) in cazul retelelor de telefonie fixa si mobila: numarul de telefon apelant, precum si numele si adresa abonatului sau ale utilizatorului inregistrat;
b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: identificatorul/identificatorii alocat/alocati utilizatorilor; identificatorul de utilizator si numarul de telefon alocate pentru efectuarea oricarei comunicari prin reteaua publica de telefonie; numele si adresa abonatului sau ale utilizatorului inregistrat, caruia i s-a alocat o adresa Internet Protocol (IP), un identificator de utilizator sau un numar de telefon, la momentul comunicarii.
Art. 5. - Datele necesare pentru identificarea destinatiei unei comunicari cuprind:
a) in cazul retelelor de telefonie fixa si mobila: numarul format/apelat/numerele formate/apelate si, in cazurile care includ servicii suplimentare precum redirectionarea sau transferul apelului, numarul/numerele catre care este dirijat apelul; numele si adresa/adresele abonatului/abonatilor ori ale utilizatorului/utilizatorilor inregistrat/inregistrati;
b) in cazul serviciilor de posta electronica si telefonie prin internet: identificatorul utilizatorului sau numarul de telefon al destinatarului/destinatarilor unui apel telefonic prin internet; numele si adresa/adresele abonatului/abonatilor sau ale utilizatorului/utilizatorilor inregistrat/inregistrati si identificatorul utilizatorului destinatar al comunicarii.
Art. 6. - Datele necesare pentru a determina data, ora si durata comunicarii cuprind:
a) in cazul retelelor de telefonie fixa si mobila: data si ora initierii si incheierii unei comunicari;
b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: data si ora conectarii la si ale deconectarii de la serviciul de acces la internet, adresa IP alocata dinamic sau static unei comunicari de furnizorul de servicii de acces la internet, precum si identificatorul abonatului sau al utilizatorului inregistrat; data si ora conectarii la si ale deconectarii de la serviciul de posta electronica sau de telefonie prin internet.
Art. 7. - Datele necesare pentru identificarea tipului de comunicare cuprind:
a) in cazul retelelor de telefonie fixa si mobila: informatii privind serviciul de telefonie utilizat;
b) in cazul comunicarilor prin serviciul de posta electronica si de telefonie prin internet: informatii privind serviciul de acces la internet utilizat.
Art. 8. - Datele necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament cuprind:
a) in cazul retelelor de telefonie fixa: numarul de telefon apelant si numarul de telefon apelat;
b) in cazul retelelor de telefonie mobila: numarul de telefon al apelantului si numarul de telefon apelat; identitatea internationala de abonat mobil (IMSI) a apelantului; identitatea internationala a echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului; identitatea IMEI a apelatului; in cazul serviciilor anonime preplatite: data si ora activarii initiale a serviciului, precum si identificatorul celulei din care a fost activat serviciul;
c) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: numarul de telefon al apelantului in cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care initiaza comunicarea.
Art. 9. - Datele necesare pentru identificarea locatiei echipamentului de comunicatii mobile cuprind:
a) identificatorul celulei la inceputul comunicarii;
b) datele care permit stabilirea localizarii geografice a celulelor, prin referire la identificatorul acestora, pe durata in care datele comunicarii sunt retinute.
Art. 10. - (1) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului, aflati sub jurisdictie romana, au obligatia retinerii datelor referitoare la un apel nereusit numai atunci cand aceste date sunt generate sau prelucrate si stocate, in cazul serviciului de telefonie, ori inregistrate, in cazul serviciului de acces la internet, in cadrul activitatii de furnizare a serviciilor respective.
(2) Furnizorii nu au obligatia retinerii datelor prevazute la art. 3 alin. (1) in cazul apelurilor neconectate.
Art. 11. - (1) In aplicarea prevederilor prezentei legi sunt interzise interceptarea si retinerea continutului comunicarii sau a informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice.
(2) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a retine numai acele categorii de date enumerate la art. 3 alin. (1), care sunt accesibile ca urmare a desfasurarii activitatilor proprii, in conditiile legii.
(3) La sfarsitul perioadei de retinere, toate datele retinute in temeiul prezentei legi, cu exceptia datelor puse la dispozitia autoritatilor competente, potrivit legii, si care au fost pastrate de catre acestea, trebuie sa fie distruse prin proceduri automatizate, ireversibil.
Art. 12. - Activitatea de retinere a datelor se realizeaza cu respectarea urmatoarelor principii:
a) datele retinute trebuie sa fie de aceeasi calitate si supuse aceluiasi grad de securitate si protectie cu cele utilizate la nivelul retelelor furnizorilor de comunicatii electronice;
b) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea protejarii datelor impotriva distrugerilor accidentale sau ilicite, alterarii ori pierderii accidentale, stocarii, prelucrarii, accesarii sau dezvaluirii neautorizate ori ilicite;
c) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea asigurarii faptului ca numai personalul autorizat in acest sens are acces la aceste date.
Art. 13. - (1) In situatia in care datele prevazute la art. 4-7 pot fi retinute de mai multi furnizori de servicii si retele publice de comunicatii electronice, activitatea de retinere a datelor se face doar la unul dintre furnizori.
(2) Activitatea de retinere a datelor prevazute la art. 4-7 poate fi desfasurata, acolo unde este tehnic posibil si in urma unei intelegeri contractuale, de un tert, in numele unui furnizor de servicii si retele publice de comunicatii electronice, cu respectarea prevederilor art. 19 si 20 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, si ale Legii nr. 506/2004, cu completarile ulterioare.
(3) Obligatia de retinere a datelor prevazute la art. 4-7 se aplica furnizorilor de servicii si retele publice de comunicatii electronice care aloca numerotatie, in cazul serviciilor de telefonie fixa si mobila, respectiv adrese de IP, in cazul serviciilor de date.
Art. 14. - (1) Ministerul Internelor si Reformei Administrative, Ministerul Public, Serviciul Roman de Informatii si Serviciul de Informatii Externe, denumite in continuare autoritati competente, au obligatia de a colecta si de a transmite semestrial Ministerului Comunicatiilor si Tehnologiei Informatiei urmatoarele date statistice, in vederea urmaririi si controlului aplicarii prevederilor cuprinse in prezenta lege:
a) numarul cazurilor in care informatiile au fost furnizate autoritatilor competente, in conformitate cu prevederile prezentei legi;
b) perioada de timp scursa intre data la care datele au fost retinute si data la care autoritatea competenta a solicitat transmiterea acestor date;
c) numarul de cazuri in care solicitarile de date nu au putut fi indeplinite.
(2) Termenele pana la care trebuie transmise datele statistice se stabilesc prin normele metodologice de aplicare a prezentei legi.
(3) Ministerul Comunicatiilor si Tehnologiei Informatiei centralizeaza datele statistice primite de la autoritatile competente si transmite anual Comisiei Europene statisticile elaborate in baza acestora. Statisticile nu vor contine date cu caracter personal.


CAPITOLUL III
Procedura solicitarii datelor retinute

Art. 15. - Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia ca, la solicitarea autoritatilor competente, in baza autorizatiei emise potrivit dispozitiilor art. 16, sa transmisa acestora de indata datele retinute potrivit prezentei legi, cu exceptia cazurilor de forta majora.
Art. 16.
(1) Solicitarea transmiterii de date retinute potrivit prezentei legi se realizeaza numai dupa ce a fost inceputa urmarirea penala, cu autorizarea motivata a presedintelui instantei careia i-ar reveni competenta sa judece cauza in prima instanta sau de la instanta corespunzatoare in grad acesteia, in a carei circumscriptie se afla sediul parchetului din care face parte procurorul care efectueaza sau supravegheaza urmarirea penala ori a judecatorului desemnat de acesta, la cererea procurorului care efectueaza sau supravegheaza urmarirea penala, potrivit legii, daca sunt date ori indicii temeinice privind pregatirea sau savarsirea unei infractiuni grave.
(2) In caz de urgenta, cand intarzierea obtinerii autorizarii prevazute la alin. (1) ar aduce grave prejudicii activitatii de urmarire penala ori indeplinirii obligatiilor asumate de Romania prin documente juridice de cooperare internationala sau ca stat membru al Uniunii Europene, procurorul care efectueaza sau supravegheaza urmarirea penala sau caruia i-ar reveni aceasta competenta poate sa autorizeze, prin ordonanta motivata, solicitarea transmiterii de date retinute, potrivit prezentei legi. In termen de 48 de ore de la emiterea autorizarii, procurorul prezinta instantei de judecata competente, potrivit alin. (1), motivele care au stat la baza emiterii autorizarii. Instanta de judecata se pronunta cu privire la legalitatea si temeinicia ordonantei prin care s-a autorizat solicitarea transmiterii de date retinute, in cel mult 48 de ore.
(3) Autorizatia de solicitare a datelor retinute trebuie sa cuprinda:
a) denumirea instantei/parchetului;
b) data, ora si locul emiterii;
c) numele si prenumele judecatorului/procurorului;
d) durata de valabilitate a autorizatiei;
e) denumirea si sediul social ale persoanei juridice care urmeaza sa puna la dispozitie datele retinute;
f) indicarea persoanei cu privire la care se va face verificarea datelor retinute sau indicarea codului de identificare a abonatului ori a utilizatorului inregistrat pentru serviciile de internet sau a numarului de telefon al abonatului ori al utilizatorului inregistrat pentru serviciile de telefonie fixa sau mobila;
g) temeiurile concrete care determina autorizarea de solicitare a datelor retinute;
h) perioada de timp pentru care datele retinute urmeaza a fi furnizate;
i) semnatura judecatorului/procurorului.
(4) Lipsa oricareia dintre mentiunile prevazute la alin. (3) se sanctioneaza cu nulitatea absoluta a autorizatiei.
(5) Durata de valabilitate a autorizatiei nu poate depasi 15 zile.
(6) Datele retinute care nu privesc fapta ce formeaza obiectul cercetarii se arhiveaza la sediul parchetului, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii, si pot fi transmise judecatorului sau completului investit cu solutionarea cauzei, la solicitarea acestuia. La solutionarea definitiva a cauzei, acestea vor fi sterse sau, dupa caz, distruse de catre procuror, incheindu-se in acest sens un proces-verbal.
(7) Daca in cauza s-a dispus solutia de netrimitere in judecata, datele retinute se arhiveaza la sediul parchetului, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii, si se pastreaza pana la implinirea termenului de prescriptie a raspunderii penale pentru fapta ce a format obiectul cauzei, iar cand se distrug, se incheie un proces-verbal in acest sens.
(8) Daca in cauza instanta a pronuntat o hotarare de condamnare, achitare sau incetare a procesului penal, ramasa definitiva, datele retinute se arhiveaza odata cu dosarul cauzei la sediul instantei, in locuri speciale, in plic sigilat, cu asigurarea confidentialitatii.

CAPITOLUL IV
Autoritatea de supraveghere
Art. 17. - Autoritatea competenta sa monitorizeze aplicarea prevederilor prezentei legi este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare A.N.S.P.D.C.P.

CAPITOLUL V
Regimul sanctionator

Art. 18. - (1) Constituie contraventii urmatoarele fapte:
a) neindeplinirea obligatiilor prevazute la art. 3 alin. (2);
b) neindeplinirea obligatiilor prevazute la art. 11 alin. (2) si (3);
c) neindeplinirea obligatiei prevazute la art. 12.
(2) Contraventiile prevazute la alin. (1) se sanctioneaza, prin derogare de la dispozitiile Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor, aprobata cu modificari si completari prin Legea nr. 180/2002, cu modificarile si completarile ulterioare, cu amenda de la 2.500 lei la 500.000 lei.
(3) Constatarea contraventiilor prevazute la alin. (1) si aplicarea sanctiunilor se efectueaza de catre personalul de control imputernicit in acest scop al A.N.S.P.D.C.P., in conformitate cu prevederile art. 35 din Legea nr. 677/2001, cu modificarile si completarile ulterioare.
Art. 19. - (1) Orice accesare intentionata sau transfer al datelor pastrate in conformitate cu prezenta lege, fara autorizare, constituie infractiune si se pedepseste cu inchisoare de la un an la 5 ani.
(2) Impiedicarea cu intentie a punerii la dispozitia autoritatilor competente a datelor retinute ca urmare a aplicarii prezentei legi constituie infractiune si se pedepseste cu inchisoare de la 6 luni la un an.
(3) Tentativa la infractiunea prevazuta la alin. (1) se pedepseste.

CAPITOLUL VI
Dispozitii finale
Art. 20. - In scopul prevenirii si contracararii amenintarilor la adresa securitatii nationale, organele de stat cu atributii in acest domeniu pot avea acces, in conditiile stabilite prin actele normative ce reglementeaza activitatea de realizare a securitatii nationale, la datele retinute de furnizorii de servicii si retele publice de comunicatii electronice.
Art. 21. - Pe data intrarii in vigoare a prezentei legi, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 1.101 din 25 noiembrie 2004, cu completarile ulterioare, se modifica si se completeaza dupa cum urmeaza:
1. La articolul 5, alineatele (1) si (6) se modifica si vor avea urmatorul cuprins:
"Art. 5. - (1) Datele de trafic referitoare la abonati si utilizatori inregistrati, prelucrate si retinute de furnizorul unei retele publice de comunicatii electronice sau de furnizorul unui serviciu de comunicatii electronice destinat publicului, trebuie sa fie sterse sau transformate in date anonime atunci cand nu mai sunt necesare la transmiterea unei comunicari, cu exceptia situatiilor prevazute la alin. (2), (3), (5) si (5¹).
...............................................................................................................................
(6) Prevederile alin. (1)-(3) si (5) nu aduc atingere posibilitatii autoritatilor competente de a avea acces la datele de trafic, in conditiile legii."
2. La articolul 8, dupa alineatul (4) se introduce un nou alineat, alineatul (5), cu urmatorul cuprins:
"(5) Dispozitiile prezentului articol nu aduc atingere posibilitatii autoritatilor competente de a avea acces la datele pastrate de furnizorii de retele publice de comunicatii si de furnizorii de servicii de comunicatii electronice destinate publicului, in conditiile legii."
Art. 22. - In termen de 30 de zile de la data intrarii in vigoare a prezentei legi, Ministerul Comunicatiilor si Tehnologiei Informatiei va elabora normele metodologice de aplicare a acesteia, pe care le va supune spre aprobare Guvernului.
Art. 23.
(1) Prezenta lege intra in vigoare la 60 de zile de la publicarea in Monitorul Oficial al Romaniei, Partea I.
(2) Dispozitiile referitoare la retinerea datelor de trafic si localizare corespunzatoare serviciilor de acces la internet, posta electronica si telefonie prin internet se vor aplica incepand cu data de 15 martie 2009.


Prezenta lege transpune Directiva 2006/24/CE privind retinerea datelor generate sau prelucrate de catre furnizorii de retele si servicii de comunicatii electronice destinate publicului si de modificare a Directivei 2002/58/CE, publicata in Jurnalul Oficial al Uniunii Europene (JOUE) nr. L105 din 13 aprilie 2006.


Aceasta lege a fost adoptata de Parlamentul Romaniei, cu respectarea prevederilor art. 75 si ale art. 76 alin. (1) din Constitutia Romaniei, republicata.


PRESEDINTELE CAMEREI DEPUTATILOR        PRESEDINTELE SENATULUI
BOGDAN OLTEANU                                                 ILIE SARBU


Bucuresti, 18 noiembrie 2008.

---

Legea nr. 238 din 10/06/2009
privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice
Publicat in Monitorul Oficial nr. 405 din 15/06/2009
Parlamentul Romaniei adopta prezenta lege

CAPITOLUL I
Dispozitii generale

Art. 1. -
(1) Prezenta lege reglementeaza prelucrarea automata si neautomata a datelor cu caracter personal pentru realizarea activitatilor de prevenire, cercetare si combatere a infractiunilor, cat si de mentinere si asigurare a ordinii publice de catre structurile/unitatile Ministerului Administratiei si Internelor, potrivit competentelor acestora.
(2) Structurile/unitatile Ministerului Administratiei si Internelor, denumite in continuare structurile/unitatile M.A.I., care desfasoara, potrivit competentelor, activitatile prevazute la alin. (1), in calitate de operatori, dobandite in conditiile Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, prelucreaza date cu caracter personal in exercitarea atributiilor legale.
Art. 2. -
(1) Pentru realizarea activitatilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. constituie, organizeaza si detin, potrivit atributiilor legale, sisteme de evidenta si utilizeaza mijloace automate si neautomate de prelucrare a datelor cu caracter personal, in conditiile legii.
(2) Structurile/unitatile M.A.I. utilizeaza sisteme de evidenta si/sau mijloace automate si neautomate de prelucrare a datelor cu caracter personal, cu respectarea drepturilor omului si aplicarea principiilor legalitatii, necesitatii, confidentialitatii, proportionalitatii si numai daca, prin utilizarea acestora, este asigurata protectia datelor prelucrate.
(3) Inaintea introducerii unui sistem de evidenta sau a unui mijloc automat/neautomat de prelucrare a datelor cu caracter personal care este susceptibil sa prezinte anumite riscuri privind datele prelucrate, structurile/unitatile M.A.I. consulta Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, denumita in continuare Autoritatea nationala de supraveghere, care, daca este cazul, stabileste garantii adecvate, potrivit legii.

CAPITOLUL II
Notificarea prelucrarilor datelor cu caracter personal

Art. 3. -
(1) Prelucrarile de date cu caracter personal sunt notificate Autoritatii nationale de supraveghere. Notificarea se efectueaza anterior oricarei prelucrari, in conditiile legii.
(2) Notificarea prelucrarii automate sau neautomate a datelor cu caracter personal prin sisteme de evidenta a datelor cu caracter personal, realizata potrivit legii de catre structurile/unitatile M.A.I., cuprinde, pe langa informatiile prevazute la art. 22 alin. (8) din Legea nr. 677/2001, cu modificarile si completarile ulterioare, in mod corespunzator si informatii referitoare la natura fiecarui sistem de evidenta a datelor cu caracter personal care are legatura cu prelucrarea, precum si la destinatarii carora le sunt comunicate datele.
(3) Notificarea prelucrarii datelor cu caracter personal prin sisteme de evidenta constituite in anumite cazuri numai pentru perioada necesara realizarii unor activitati de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice se face cu respectarea conditiilor prevazute la alin. (2), numai daca prelucrarea nu a facut obiectul unei notificari anterioare.

CAPITOLUL III
Colectarea datelor cu caracter personal

Art. 4. -
(1) Pentru realizarea activitatilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. colecteaza date cu caracter personal, cu sau fara consimtamantul persoanei vizate, in conditiile legii.
(2) Colectarea datelor cu caracter personal fara consimtamantul persoanei vizate pentru realizarea activitatilor prevazute la art. 1 alin. (1) se face numai daca aceasta masura este necesara pentru prevenirea unui pericol iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea unei anumite infractiuni.
(3) Colectarea datelor cu caracter personal pentru realizarea activitatilor prevazute la art. 1 alin. (1) se efectueaza de personalul structurilor/unitatilor M.A.I. numai in scopul indeplinirii atributiilor de serviciu.
(4) Colectarea datelor cu caracter personal in scopurile prevazute la art. 1 alin. (1) trebuie sa fie limitata la datele necesare pentru prevenirea unui pericol iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea unei anumite infractiuni.
(5) Colectarea de date privind persoana fizica exclusiv datorita faptului ca aceasta are o anumita origine rasiala, anumite convingeri religioase ori politice, un anumit comportament sexual sau datorita apartenentei acesteia la anumite miscari ori organizatii care nu contravin legii este interzisa.
(6) Prin exceptie de la prevederile alin. (5), structurile/unitatile M.A.I. colecteaza si prelucreaza, cu respectarea garantiilor prevazute de Legea nr. 677/2001, cu modificarile si completarile ulterioare, date exclusiv in baza acestor criterii numai daca, intr-un caz determinat, sunt necesare pentru efectuarea actelor premergatoare sau a urmaririi penale, ca urmare a savarsirii unei infractiuni. Prevederile art. 3 se aplica in mod corespunzator.
(7) Prevederile alin. (6) nu aduc atingere dispozitiilor legale care reglementeaza obligatia autoritatilor publice de a respecta si de a ocroti viata intima, familiala si privata.

CAPITOLUL IV
Stocarea datelor cu caracter personal

Art. 5. -
(1) Pentru realizarea scopurilor activitatilor prevazute la art. 1 alin. (1), structurile/unitatile M.A.I. stocheaza numai acele date cu caracter personal care sunt exacte, complete si necesare indeplinirii atributiilor legale sau obligatiilor rezultate din instrumente juridice internationale la care Romania este parte.
(2) Stocarea diferitelor categorii de date cu caracter personal se realizeaza prin ordonarea acestora in functie de gradul lor de acuratete si exactitate. Datele cu caracter personal bazate pe opinii si interpretari personale rezultate din activitatile prevazute la art. 1 alin. (1) sunt ordonate in mod distinct.
(3) Structurile/unitatile M.A.I. au obligatia de a verifica periodic calitatea datelor prevazute la alin. (2), conform regulilor stabilite potrivit art. 14 alin. (1) lit. b).
(4) In situatia in care datele cu caracter personal stocate se dovedesc a fi inexacte sau incomplete, structurile/unitatile M.A.I. care le detin au obligatia sa le stearga, distruga, modifice, actualizeze sau, dupa caz, sa le completeze.
(5) Structurile/unitatile M.A.I. stocheaza datele cu caracter personal colectate in scopuri administrative separat de datele cu caracter personal colectate in scopurile prevazute la art. 1 alin. (1).

CAPITOLUL V
Comunicarea datelor cu caracter personal

Art. 6. -
(1) Comunicarea datelor cu caracter personal intre structurile/unitatile M.A.I. se face numai in cazul in care este necesara pentru exercitarea competentelor si indeplinirea atributiilor legale ce le revin.
(2) Comunicarea de date cu caracter personal catre alte autoritati sau institutii publice se poate efectua numai in urmatoarele situatii:
a) in baza unei prevederi legale exprese ori cu autorizarea Autoritatii nationale de supraveghere;
b) cand datele sunt indispensabile indeplinirii atributiilor legale ale destinatarului si numai daca scopul in care se face colectarea sau prelucrarea de catre destinatar nu este incompatibil cu scopul pentru care datele au fost colectate de structurile/unitatile M.A.I., iar comunicarea datelor de structurile/unitatile M.A.I. se realizeaza in conformitate cu atributiile legale ale acestora.
(3) Prin exceptie de la prevederile alin. (2), comunicarea datelor cu caracter personal catre alte autoritati sau institutii publice este permisa in urmatoarele situatii:
a) persoana vizata si-a exprimat consimtamantul expres si neechivoc pentru comunicarea datelor sale;
b) comunicarea este necesara pentru a preveni un pericol grav si iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia.
(4) Comunicarea datelor cu caracter personal catre entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei se efectueaza numai daca exista o obligatie legala expresa sau cu autorizarea Autoritatii nationale de supraveghere.
(5) Prin exceptie de la prevederile alin. (4), comunicarea datelor cu caracter personal catre entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei sau in afara acestuia este permisa daca persoana vizata si-a dat consimtamantul in mod expres si neechivoc pentru comunicarea datelor sale sau daca este necesara pentru a preveni un pericol grav si iminent cel putin asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia sau a unei alte persoane amenintate.
Art. 7. -
Datele cu caracter personal detinute de structurile/unitatile M.A.I. potrivit scopurilor prevazute la art. 1 alin. (1) pot fi transferate catre Organizatia Internationala a Politiei Criminale - Interpol, Oficiul European de Politie - Europol sau alte institutii internationale similare, precum si catre organismele de politie ale altor state, daca exista o prevedere legala expresa in legislatia nationala sau intr-un acord international ratificat de Romania ori prevederi care reglementeaza cooperarea judiciara internationala in materie penala sau, in lipsa unei astfel de prevederi, cand transferul este necesar pentru prevenirea unui pericol grav si iminent asupra vietii, integritatii corporale sau sanatatii unei persoane ori a proprietatii acesteia, precum si pentru combaterea unei infractiuni grave prevazute de lege, cu respectarea legii romane.
Art. 8. -
(1) Cererile pentru comunicarea datelor cu caracter personal adresate structurilor/unitatilor M.A.I. de catre alte structuri/unitati ale M.A.I., alte autoritati sau institutii publice, entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei sau in afara acestuia si organisme de politie ale altor state trebuie sa contina datele de identificare a solicitantului, precum si motivarea si scopul cererii, conform prevederilor legale interne sau celor cuprinse in acordurile internationale la care Romania este parte. Cererile care nu contin aceste date si nu sunt conforme prevederilor legale interne sau celor cuprinse in acordurile internationale la care Romania este parte se resping.
(2) Inainte de comunicare, structurile/unitatile M.A.I. verifica daca datele solicitate sunt exacte, complete si actualizate. In cazul in care se constata ca nu sunt corecte, complete sau actualizate, datele nu se comunica. In comunicari trebuie indicate, dupa caz, datele care rezulta din hotarari ale instantelor judecatoresti ori din actele prin care s-a dispus neinceperea urmaririi penale, clasarea, scoaterea de sub urmarire penala, incetarea urmaririi penale sau trimiterea in judecata, precum si datele bazate pe opinii si interpretari personale rezultate din activitatile prevazute la art. 1 alin. (1). Datele bazate pe opinii si interpretari personale rezultate din activitatile prevazute la art. 1 alin. (1) trebuie verificate la sursa inainte de a fi comunicate, iar gradul de acuratete si exactitate al acestor date trebuie intotdeauna mentionat cu ocazia comunicarii.
(3) In situatia in care au fost transmise date incorecte sau neactualizate, structurile/unitatile M.A.I. au obligatia sa ii informeze pe destinatarii respectivelor date asupra neconformitatii acestora, cu mentionarea datelor care au fost modificate.
Art. 9. -
(1) La comunicarea datelor cu caracter personal catre alte autoritati sau institutii publice, entitati de drept privat care isi desfasoara activitatea pe teritoriul Romaniei sau in afara acestuia, Organizatia Internationala a Politiei Criminale - Interpol, Oficiul European de Politie - Europol sau alte institutii internationale similare ori catre organisme de politie ale altor state, structurile/unitatile M.A.I. atentioneaza destinatarii asupra interdictiei de a prelucra datele comunicate in alte scopuri decat cele specificate in cererea de comunicare.
(2) Prelucrarea datelor de catre destinatari in alte scopuri decat cele care au format obiectul cererii se poate realiza numai cu acordul structurilor/unitatilor M.A.I. care le-au comunicat si numai cu respectarea prevederilor art. 6 alin. (2)-(5) si ale art. 7.
Art. 10. -
(1) Pentru realizarea activitatilor de cercetare si combatere a infractiunilor, structurile/unitatile M.A.I. pot interconecta sistemele de evidenta a datelor cu caracter personal sau, dupa caz, mijloacele automate de prelucrare a datelor cu caracter personal pe care le detin pentru scopuri diferite.
(2) In scopul prevazut la alin. (1), interconectarea se poate realiza si cu sistemele de evidenta sau cu mijloacele automate de prelucrare a datelor cu caracter personal detinute de alti operatori.
(3) Interconectarile prevazute la alin. (1) si (2) sunt permise numai in cazul efectuarii actelor premergatoare, al urmaririi penale sau al judecarii unei infractiuni in baza unei autorizari emise de procurorul competent sa efectueze sau sa supravegheze, intr-un caz determinat, efectuarea actelor premergatoare sau urmarirea penala ori, in cazul judecarii unei infractiuni, de judecatorul anume desemnat de la instanta careia ii revine competenta de a judeca fondul cauzei pentru care sunt prelucrate datele respective.
(4) Accesul direct sau printr-un serviciu de comunicatii electronice la un sistem de evidenta a datelor cu caracter personal care face obiectul interconectarii, potrivit alin. (1), este permis numai in conditiile legii si cu respectarea prevederilor art. 1 alin. (1) si ale art. 5-11.
(5) Interconectarea sistemelor de evidenta a datelor cu caracter personal sau a mijloacelor automate de prelucrare a datelor cu caracter personal nu se realizeaza in cazul activitatilor de prevenire a infractiunilor, de mentinere si de asigurare a ordinii publice.

CAPITOLUL VI
Drepturile persoanei vizate

Art. 11. -
(1) Structurile/unitatile M.A.I. asigura conditiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu modificarile si completarile ulterioare, si a prezentei legi.
(2) Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevazute de Legea nr. 677/2001, cu modificarile si completarile ulterioare, nu se aplica pe perioada in care o asemenea masura este necesara pentru evitarea prejudicierii activitatilor specifice de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice, ca urmare a cunoasterii de persoana vizata a faptului ca datele sale cu caracter personal sunt prelucrate, sau este necesara pentru protejarea persoanei vizate ori a drepturilor si libertatilor altor persoane, in cazul in care exista date si informatii ca aceste drepturi si libertati sunt puse in pericol.
(3) In cazul aplicarii exceptiilor de la exercitarea drepturilor persoanei vizate, prevazute la alin. (2), acestea trebuie motivate in scris. Necomunicarea motivelor este posibila numai in masura in care este necesara bunei desfasurari a activitatilor prevazute la art. 1 alin. (1) sau pentru protejarea drepturilor si libertatilor altor persoane decat persoana vizata.
(4) In toate situatiile, persoana vizata va fi informata cu privire la dreptul de a se adresa Autoritatii nationale de supraveghere sau, dupa caz, instantei de judecata, care va decide daca masurile luate de structurile/unitatile M.A.I., conform prevederilor alin. (2), sunt intemeiate.
(5) In situatia in care, in urma exercitarii dreptului de acces sau a dreptului de interventie, rezulta ca datele cu caracter personal sunt inexacte, irelevante sau inregistrate in mod abuziv, acestea vor fi sterse sau rectificate prin anexarea unui document, incheiat in acest sens, la sistemul de evidenta ale carui date cu caracter personal au suferit modificari, detinut de structurile/unitatile M.A.I.
(6) Masurile prevazute la alin. (5) se aplica tuturor documentelor care au legatura cu sistemul de evidenta a datelor cu caracter personal. In cazul in care acestea nu sunt efectuate imediat, se va avea in vedere realizarea lor cel mai tarziu la data prelucrarii ulterioare a datelor cu caracter personal sau la o urmatoare comunicare a acestora.

CAPITOLUL VII
Incheierea operatiunilor de prelucrare a datelor cu caracter personal

Art. 12. -
(1) Datele cu caracter personal stocate in indeplinirea activitatilor prevazute la art. 1 alin. (1) se sterg atunci cand nu mai sunt necesare scopurilor pentru care au fost colectate.
(2) Inainte de stergerea datelor cu caracter personal, potrivit alin. (1), si daca activitatile prevazute la art. 1 alin. (1) nu mai pot fi prejudiciate prin cunoasterea faptului ca datele cu caracter personal au fost colectate si stocate, persoana vizata trebuie informata atunci cand colectarea si stocarea datelor s-au efectuat fara consimtamantul sau.
(3) In conditiile prevazute la alin. (2), informarea persoanei vizate se realizeaza de structurile/unitatile M.A.I. care au colectat si stocat datele cu caracter personal ale acesteia, in termen de 15 zile de la momentul in care activitatile prevazute la art. 1 alin. (1) nu mai pot fi prejudiciate sau, dupa caz, de la momentul comunicarii catre aceste structuri/unitati ale M.A.I. a unei solutii de neincepere a urmaririi penale, clasare, scoatere de sub urmarire penala sau incetare a urmaririi penale.
(4) Prin exceptie de la prevederile alin. (1), datele cu caracter personal pot fi stocate si dupa indeplinirea scopurilor pentru care au fost colectate, daca este necesara pastrarea acestora. Evaluarea necesitatii stocarii datelor dupa indeplinirea scopurilor pentru care au fost colectate se realizeaza, in special, in urmatoarele situatii:
a) datele sunt necesare in vederea terminarii urmaririi penale intr-un caz determinat;
b) nu exista o hotarare judecatoreasca definitiva;
c) nu a intervenit reabilitarea;
d) nu a intervenit prescriptia executarii pedepsei;
e) nu a intervenit amnistia;
f) datele fac parte din categorii speciale de date, potrivit Legii nr. 677/2001, cu modificarile si completarile ulterioare.

CAPITOLUL VIII
Securitatea datelor cu caracter personal

Art. 13. -
Structurile/unitatile M.A.I. sunt obligate sa ia toate masurile necesare pentru a asigura securitatea tehnica si organizatorica adecvata a prelucrarii datelor cu caracter personal, astfel incat sa previna accesul, comunicarea sau distrugerea neautorizata ori alterarea datelor. In acest scop, se au in vedere diferitele caracteristici ale sistemelor de evidenta a datelor cu caracter personal si continutul acestora.

CAPITOLUL IX
Dispozitii finale

Art. 14. -
(1) Structurile/unitatile M.A.I. care desfasoara activitatile prevazute la art. 1 alin. (1) au obligatia de a elabora reguli, daca acestea nu sunt stabilite prin prevederi legale exprese, cu privire la:
a) termenele de stocare a datelor cu caracter personal pe care le prelucreaza;
b) verificarile periodice asupra datelor cu caracter personal pentru ca acestea sa fie exacte, actuale si complete;
c) stergerea datelor cu caracter personal.
(2) In lipsa unor prevederi legale exprese care sa stabileasca regulile prevazute la alin. (1), structurile/unitatile M.A.I. care desfasoara activitatile prevazute la art. 1 alin. (1) au obligatia ca, in termen de 30 de zile de la data intrarii in vigoare a prezentei legi, sa stabileasca aceste reguli, cu avizul Autoritatii nationale de supraveghere acordat in conditiile legii.
Art. 15. -
Prevederile prezentei legi se completeaza cu dispozitiile Legii nr. 677/2001, cu modificarile si completarile ulterioare.


Aceasta lege a fost adoptata de Parlamentul Romaniei, cu respectarea prevederilor art. 75 si ale art. 76 alin. (2) din Constitutia Romaniei, republicata.


    PRESEDINTELE CAMEREI DEPUTATILOR     PRESEDINTELE SENATULUI
       ROBERTA ALMA ANASTASE               MIRCEA-DAN GEOANA

Bucuresti, 10 iunie 2009.
Nr. 238.