Legea nr. 298/2008 privind retinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii
Parlamentul Romaniei adopta prezenta lege.
CAPITOLUL I
Dispozitii generale
Art. 1. - (1) Prezenta lege stabileste obligatia furnizorilor de servicii si retele publice de comunicatii electronice de a retine anumite date generate sau prelucrate in cadrul activitatii lor de furnizare a serviciilor de comunicatii electronice, pentru punerea acestora la dispozitia autoritatilor competente in scopul utilizarii in cadrul activitatilor de cercetare, de descoperire si de urmarire a infractiunilor grave.
(2) Prezenta lege se aplica datelor de trafic si de localizare a persoanelor fizice si juridice, precum si datelor conexe necesare pentru identificarea abonatului sau a utilizatorului inregistrat.
(3) Prezenta lege nu se aplica in ceea ce priveste continutul comunicarii sau informatiile consultate in timpul utilizarii unei retele de comunicatii electronice.
(4) Punerea in aplicare a prevederilor prezentei legi se face cu respectarea prevederilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, precum si ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu completarile ulterioare.
Art. 2. - (1) In intelesul prezentei legi, termenii si expresiile de mai jos au urmatoarele semnificatii:
a) furnizor de servicii si retele publice de comunicatii electronice - persoana care furnizeaza in scop comercial servicii si/sau retele de comunicatii electronice catre utilizatori finali ori alti furnizori de retele sau servicii de comunicatii electronice pentru sustinerea traficului acestora;
b) date - informatiile privind traficul, localizarea si alte date legate de acestea, necesare pentru identificarea unui abonat sau a unui utilizator;
c) utilizator - persoana fizica sau juridica ce foloseste un serviciu de comunicatii electronice destinat publicului in scopuri personale sau profesionale, fara a fi in mod necesar abonat al acelui serviciu;
d) abonat - persoana fizica sau juridica ce a incheiat un contract cu un furnizor de servicii de comunicatii electronice destinate publicului, in vederea furnizarii unor asemenea servicii;
e) serviciu de telefonie - apelul (voce, mesagerie vocala, teleconferinta si transfer de date), serviciile suplimentare (redirectionarea convorbirii si transferul apelului) si serviciile de mesagerie si multimedia (servicii de mesagerie scurta, servicii media imbunatatite si servicii multimedia);
f) infractiune grava - infractiunea care face parte dintre infractiunile enumerate la art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea si combaterea criminalitatii organizate savarsite sau nu de un grup infractional organizat, dintre cele prevazute in cap. IV din Legea nr. 535/2004 privind prevenirea si combaterea terorismului, precum si dintre infractiunile contra sigurantei statului prevazute in titlul I din partea speciala a Legii nr. 15/1968 - Codul penal al Romaniei, republicata, cu modificarile si completarile ulterioare;
g) identificatorul utilizatorului - codul unic de identificare alocat unei persoane care se aboneaza sau se inregistreaza la un serviciu de acces la internet ori la un serviciu de comunicatii prin internet;
h) identificatorul celulei - codul de identificare a celulei in care se initiaza sau se finalizeaza un apel de telefonie mobila;
i) apel nereusit - comunicarea in cadrul careia apelul telefonic a fost conectat, dar nu a primit raspuns sau a facut obiectul unei interventii din partea administratorului retelei;
j) apel neconectat - apelul initiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, in sensul stabilirii unei conexiuni intre apelant si apelat.
(2) In tot cuprinsul prezentei legi sunt, de asemenea, aplicabile definitiile prevazute la art. 3 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, si la art. 2 din Legea nr. 506/2004, cu completarile ulterioare.
CAPITOLUL II
Retinerea datelor
Art. 3. - (1) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a asigura, pe cheltuiala proprie, crearea si administrarea unei baze de date in format electronic, in vederea retinerii urmatoarelor categorii de date, in masura in care sunt generate sau prelucrate de acestia:
a) date necesare pentru urmarirea si identificarea sursei unei comunicari;
b) date necesare pentru identificarea destinatiei unei comunicari;
c) date necesare pentru a determina data, ora si durata comunicarii;
d) date necesare pentru identificarea tipului de comunicare;
e) date necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) date necesare pentru identificarea locatiei echipamentului de comunicatii mobile.
(2) Datele se retin timp de 6 luni de la momentul efectuarii comunicarii.
(3) Cheltuielile legate de crearea si administrarea bazei de date sunt deductibile fiscal.
Art. 4. - Datele necesare pentru urmarirea si identificarea sursei unei comunicari cuprind:
a) in cazul retelelor de telefonie fixa si mobila: numarul de telefon apelant, precum si numele si adresa abonatului sau ale utilizatorului inregistrat;
b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: identificatorul/identificatorii alocat/alocati utilizatorilor; identificatorul de utilizator si numarul de telefon alocate pentru efectuarea oricarei comunicari prin reteaua publica de telefonie; numele si adresa abonatului sau ale utilizatorului inregistrat, caruia i s-a alocat o adresa Internet Protocol (IP), un identificator de utilizator sau un numar de telefon, la momentul comunicarii.
Art. 5. - Datele necesare pentru identificarea destinatiei unei comunicari cuprind:
a) in cazul retelelor de telefonie fixa si mobila: numarul format/apelat/numerele formate/apelate si, in cazurile care includ servicii suplimentare precum redirectionarea sau transferul apelului, numarul/numerele catre care este dirijat apelul; numele si adresa/adresele abonatului/abonatilor ori ale utilizatorului/utilizatorilor inregistrat/inregistrati;
b) in cazul serviciilor de posta electronica si telefonie prin internet: identificatorul utilizatorului sau numarul de telefon al destinatarului/destinatarilor unui apel telefonic prin internet; numele si adresa/adresele abonatului/abonatilor sau ale utilizatorului/utilizatorilor inregistrat/inregistrati si identificatorul utilizatorului destinatar al comunicarii.
Art. 6. - Datele necesare pentru a determina data, ora si durata comunicarii cuprind:
a) in cazul retelelor de telefonie fixa si mobila: data si ora initierii si incheierii unei comunicari;
b) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: data si ora conectarii la si ale deconectarii de la serviciul de acces la internet, adresa IP alocata dinamic sau static unei comunicari de furnizorul de servicii de acces la internet, precum si identificatorul abonatului sau al utilizatorului inregistrat; data si ora conectarii la si ale deconectarii de la serviciul de posta electronica sau de telefonie prin internet.
Art. 7. - Datele necesare pentru identificarea tipului de comunicare cuprind:
a) in cazul retelelor de telefonie fixa si mobila: informatii privind serviciul de telefonie utilizat;
b) in cazul comunicarilor prin serviciul de posta electronica si de telefonie prin internet: informatii privind serviciul de acces la internet utilizat.
Art. 8. - Datele necesare pentru identificarea echipamentului de comunicatie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament cuprind:
a) in cazul retelelor de telefonie fixa: numarul de telefon apelant si numarul de telefon apelat;
b) in cazul retelelor de telefonie mobila: numarul de telefon al apelantului si numarul de telefon apelat; identitatea internationala de abonat mobil (IMSI) a apelantului; identitatea internationala a echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului; identitatea IMEI a apelatului; in cazul serviciilor anonime preplatite: data si ora activarii initiale a serviciului, precum si identificatorul celulei din care a fost activat serviciul;
c) in cazul serviciilor de acces la internet, posta electronica si telefonie prin internet: numarul de telefon al apelantului in cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care initiaza comunicarea.
Art. 9. - Datele necesare pentru identificarea locatiei echipamentului de comunicatii mobile cuprind:
a) identificatorul celulei la inceputul comunicarii;
b) datele care permit stabilirea localizarii geografice a celulelor, prin referire la identificatorul acestora, pe durata in care datele comunicarii sunt retinute.
Art. 10. - (1) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului, aflati sub jurisdictie romana, au obligatia retinerii datelor referitoare la un apel nereusit numai atunci cand aceste date sunt generate sau prelucrate si stocate, in cazul serviciului de telefonie, ori inregistrate, in cazul serviciului de acces la internet, in cadrul activitatii de furnizare a serviciilor respective.
(2) Furnizorii nu au obligatia retinerii datelor prevazute la art. 3 alin. (1) in cazul apelurilor neconectate.
Art. 11. - (1) In aplicarea prevederilor prezentei legi sunt interzise interceptarea si retinerea continutului comunicarii sau a informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice.
(2) Furnizorii de retele publice de comunicatii si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia de a retine numai acele categorii de date enumerate la art. 3 alin. (1), care sunt accesibile ca urmare a desfasurarii activitatilor proprii, in conditiile legii.
(3) La sfarsitul perioadei de retinere, toate datele retinute in temeiul prezentei legi, cu exceptia datelor puse la dispozitia autoritatilor competente, potrivit legii, si care au fost pastrate de catre acestea, trebuie sa fie distruse prin proceduri automatizate, ireversibil.
Art. 12. - Activitatea de retinere a datelor se realizeaza cu respectarea urmatoarelor principii:
a) datele retinute trebuie sa fie de aceeasi calitate si supuse aceluiasi grad de securitate si protectie cu cele utilizate la nivelul retelelor furnizorilor de comunicatii electronice;
b) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea protejarii datelor impotriva distrugerilor accidentale sau ilicite, alterarii ori pierderii accidentale, stocarii, prelucrarii, accesarii sau dezvaluirii neautorizate ori ilicite;
c) datele retinute trebuie supuse unor masuri tehnice si organizatorice corespunzatoare, in vederea asigurarii faptului ca numai personalul autorizat in acest sens are acces la aceste date.
Art. 13. - (1) In situatia in care datele prevazute la art. 4-7 pot fi retinute de mai multi furnizori de servicii si retele publice de comunicatii electronice, activitatea de retinere a datelor se face doar la unul dintre furnizori.
(2) Activitatea de retinere a datelor prevazute la art. 4-7 poate fi desfasurata, acolo unde este tehnic posibil si in urma unei intelegeri contractuale, de un tert, in numele unui furnizor de servicii si retele publice de comunicatii electronice, cu respectarea prevederilor art. 19 si 20 din Legea nr. 677/2001, cu modificarile si completarile ulterioare, si ale Legii nr. 506/2004, cu completarile ulterioare.
(3) Obligatia de retinere a datelor prevazute la art. 4-7 se aplica furnizorilor de servicii si retele publice de comunicatii electronice care aloca numerotatie, in cazul serviciilor de telefonie fixa si mobila, respectiv adrese de IP, in cazul serviciilor de date.
Art. 14. - (1) Ministerul Internelor si Reformei Administrative, Ministerul Public, Serviciul Roman de Informatii si Serviciul de Informatii Externe, denumite in continuare autoritati competente, au obligatia de a colecta si de a transmite semestrial Ministerului Comunicatiilor si Tehnologiei Informatiei urmatoarele date statistice, in vederea urmaririi si controlului aplicarii prevederilor cuprinse in prezenta lege:
a) numarul cazurilor in care informatiile au fost furnizate autoritatilor competente, in conformitate cu prevederile prezentei legi;
b) perioada de timp scursa intre data la care datele au fost retinute si data la care autoritatea competenta a solicitat transmiterea acestor date;
c) numarul de cazuri in care solicitarile de date nu au putut fi indeplinite.
(2) Termenele pana la care trebuie transmise datele statistice se stabilesc prin normele metodologice de aplicare a prezentei legi.
(3) Ministerul Comunicatiilor si Tehnologiei Informatiei centralizeaza datele statistice primite de la autoritatile competente si transmite anual Comisiei Europene statisticile elaborate in baza acestora. Statisticile nu vor contine date cu caracter personal.