Motivaţie: Legea privind accesul la date personale aduce garanţii noi de protejare a vieţii private

Proiectul de modificare a Legii 506/2004, semnat la Cotroceni, aduce, potrivit expunerii de motive, "garanţii noi pentru a proteja dreptul la viaţa intimă, familială şi privată, având în vedere că stabileşte condiţiile în care furnizorii prelucrează anumite categorii de date cu caracter personal".

Urmărește
516 afișări
Imaginea articolului Motivaţie: Legea privind accesul la date personale aduce garanţii noi de protejare a vieţii private

Motivaţie: Legea privind accesul la date personale aduce garanţii noi de protejare a vieţii private (Imagine: Shutterstock)

În expunerea de motive la propunerea legislativă se menţionează că propunerea legislativă de modificare şi completare a Legii nr. 506/2004 are ca obiect reglementarea accesului la datele deţinute de furnizorii de servicii de comunicaţii electronice, răspunzând totodată şi criticilor formulate de Curtea Constituţională.

"Actul normativ aduce clarificări privind categoriile de date care sunt deţinute şi prelucrate de către furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, în scopul derulării activităţilor comerciale proprii, precum şi în cadrul activităţilor de asigurare a serviciilor de comunicaţii electronice, fără să impună obligaţii suplimentare de reţinere", se precizează în motivarea la propunerea legislativă.

Iniţiatorii legii menţionează că s-a avut în vedere introducerea unei noi noţiuni, respectiv cea de "date de identificare a echipamentului", precum şi definirea acesteia.

"Prin această nouă sintagmă s-a urmărit un plus de claritate în ceea ce priveşte diferenţa dintre datele de trafic imperios necesare bunei desfăşurări a activităţii specifice a furnizorilor de servicii de comunicaţii electronice (aceea de identificare a echipamentului care deserveşte o comunicaţie la un moment dat) şi acele echipamente tehnice corespunzătoare terminalului utilizatorului (care permit localizarea utilizatorului serviciului de comunicaţii - coordonate GPS). Aceste date există şi sunt prezente în sistemele de comunicaţii, fiind folosite de operatori inclusiv în rezolvarea litigiilor referitoare la buna funcţionare a serviciilor oferite şi corecta facturare a acestora (de ex. serviciile de comunicaţii ``fix to mobile`` care se bazează pe amplasarea echipamentelor de comunicaţii într-o zonă geografică prestabilită)", explică iniţiatorii legii.

În expunerea de motive se mai arată că modificările şi completările aduse Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice au fost elaborate avându-se în vedere cerinţele prevăzute de Convenţia europeană pentru apărarea drepturilor omului, Directivele europene referitoare la protecţia datelor personale şi la protecţia vieţii private în sectorul comunicaţiilor electronice, precum şi proiectul de Regulament al Uniunii Europene aflat în dezbatere, Constituţia României şi celelalte acte normative naţionale privind protecţia datelor cu caracter personal.

"Prin urmare, au fost introduse garanţii noi în cuprinsul Legii nr. 506/2004 pentru a proteja dreptul la viaţa intimă, familială şi privată, având în vedere că această lege stabileşte condiţiile în care furnizorii prelucrează anumite categorii de date cu caracter personal din domeniul comunicaţiilor electronice, după cum urmează: accesarea datelor poate fi realizată într-un cadru precis delimitat, de către instanţa de judecată sau cu autorizarea prealabilă a judecătorului; atunci când sunt transmise în format electronic, solicitările, respectiv răspunsurile, se semnează cu semnătură electronică extinsă, bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat, pentru asigurarea integrităţii datelor şi pentru stabilirea trasabilităţii acestora", se mai precizează în document.

Iniţiatorii propunerii legislative mai arată că, pentru a evita confuziile în ceea ce priveşte momentul ştergerii datelor deţinute de furnizori în cadrul activităţii lor a fost reglementat un termen în sensul că datele de trafic, datele de identificare a echipamentului şi datele de localizare nu fac obiectul ştergerii sau anonimizării de către furnizori, atâta timp cât subzistă motivele care au stat la baza solicitării dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive de către instanţa de judecată.

"Subliniem faptul că prezenta propunere legislativă de modificare a Legii nr. 506/2004 nu urmăreşte înlocuirea Legii nr. 82/2012, declarată neconstituţională prin Decizia Curţii Constituţionale nr. 440/2014. Legea nr. 506/2004 transpune Directiva 2002/58/CE a Parlamentului European şi a Consiliului privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, în vreme ce Legea nr. 82/2012 transpune Directiva 2006/24/CE a Parlamentului European şi a Consiliului privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE, aceasta din urmă fiind invalidată de CJUE", se precizează în expunerea de motive.

Prin urmare, de vreme ce prezenta reglementare nu instituie o veritabilă obligaţie de reţinere a datelor în afara scopului facturării şi asigurării serviciului de comunicaţii, nu mai subzistă necesitatea asigurării unor garanţii suplimentare privind prelucrarea şi stocarea acestor date şi nici a instituirii unui alt mecanism de control, garanţii solicitate prin Decizia Curţii Constituţionale nr.440/2014, menţionează sursa citată.

Practic, completările şi modificările aduse Legii nr.506/2004 prin prezenta iniţiativă legislativă constau în definirea datelor tehnice ce permit individualizarea echipamentelor utilizate de furnizorii de servicii şi reţele publice de comunicaţii electronice şi statuează garanţiile şi condiţiile de legalitate prin instituirea obligaţiei de obţinere a aprobării judecătorului competent anterior accesării respectivelor date de orice autorităţi şi instituţii publice, apreciază iniţiatorii proiectului.

"Totodată, trebuie precizat că respectivele date sunt deţinute de furnizorii sus-menţionaţi în scopul facturării şi prevenirii unor litigii comerciale, iar acestor furnizori nu le sunt create obligaţii suplimentare", se arată în document.

"De menţionat că, în conformitate cu legislaţia privind protecţia datelor cu caracter personal, prin art. 3 (în vigoare) al Legii nr. 506/ 2004, furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicaţii electronice destinate publicului va lua aceste măsuri împreună cu furnizorul reţelei publice de comunicaţii electronice. De asemenea, furnizorii trebuie să respecte cel puţin următoarele condiţii: a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite; c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal. Faţă de măsurile luate de furnizori, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), poate audita aceste măsuri şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri, potrivit noilor reglementări din proiect, mai spun iniţiatorii.

În expunerea de motive se mai arată că, la data de 8 aprilie 2014, Curtea de Justiţie a Uniunii Europene (CJUE) a pronunţat hotărârea preliminară în cauzele conexate C-293/12 (Digital Rights Ireland) şi C-594/12 (Seilinger şi alţii), referitoare la întrebările preliminare privind validitatea Directivei 2006/24/CE privind reţinerea datelor generate sau prelucrate de către furnizorii de reţele şi servicii de comunicaţii electronice destinate publicului şi de modificare a Directivei 2002/58/CE ("Directiva privind reţinerea datelor").

"În urma analizei efectuate, Curtea de Justiţie a invalidat Directiva 2006/24/CE reţinând, printre altele, că reglementarea în cauză trebuie să prevadă o serie de cerinţe minime astfel încât persoanele ale căror date au fost păstrate să dispună de garanţii suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz, precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. De asemenea, în ceea ce priveşte accesul autorităţilor naţionale competente la date şi utilizarea lor ulterioară, Curtea a subliniat că Directiva 2006/24/CE nu conţine garanţii materiale şi procedurale suficiente. O altă critică a vizat faptul că accesul la datele păstrate de autorităţile naţionale competente nu este condiţionat de un control prealabil efectuat fie de o instanţă, fie de o entitate administrativă independentă prin a căror decizie să se garanteze limitarea accesului la date şi a utilizării lor la ceea ce este strict necesar în vederea atingerii obiectivului urmărit", se precizează în document.

Ulterior Hotărârii Curţii de Justiţie a Uniunii Europene, prin Decizia nr. 440/2014 Curtea Constituţională a României a constatat neconstituţionalitatea dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.

Prin Decizia nr. 440/2014, Curtea Constituţională a reţinut că Legea nr. 82/2012 nu oferea suficiente garanţii care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite a datelor cu caracter personal, constatând că legea nu prevedea criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate. De asemenea, Curtea a arătat că solicitările de acces la datele reţinute de furnizorii de servicii de comunicaţii electronice în vederea utilizării lor în scopul prevăzut de lege, formulate de către autorităţile competente altele decât organele de urmărire penală, nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel datele păstrate de garanţia unei protecţii eficiente împotriva riscurilor de abuz, precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date.

Prin aceeaşi decizie, Curtea a reţinut că legea nu prevedea un mecanism autentic de control, care să asigure o verificare permanentă şi efectivă a respectării dispoziţiilor legale de către instituţiile competente.

"Prin urmare, de la data publicării Deciziei Curţii Constituţionale nr. 440/2014, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi ale celor cu atribuţii în domeniul siguranţei naţionale", se arată în document.

Prin excepţie, pot fi reţinute de către aceşti furnizori doar datele necesare pentru facturare sau plăţi pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimţământul prealabil al persoanei ale cărei date sunt prelucrate, aşa cum prevede Directiva 2002/58/CE, în vigoare.

"Având în vedere cele expuse şi totodată pentru reglementarea procedurii de accesare a datelor deţinute de furnizorii de servicii şi reţele de comunicaţii electronice s-a considerat necesară modificarea şi completarea Legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice", se menţionează în expunerea de motive la propunerea legislativă.

Conținutul website-ului www.mediafax.ro este destinat exclusiv informării și uzului dumneavoastră personal. Este interzisă republicarea conținutului acestui site în lipsa unui acord din partea MEDIAFAX. Pentru a obține acest acord, vă rugăm să ne contactați la adresa vanzari@mediafax.ro.

 

Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.mediafax.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi aici