Opinie pe modificarea legii 506/2004 privind prelucrarea datelor cu caracter personal

Pe 7 Septembrie 2015, Senatul României a adoptat relativ rapid și fără nici o modificare proiectul de modificare a legii 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Acum, acest proiect de lege a ajuns deja la Camera Deputaților (http://www.cdep.ro/pls/proiecte/upl_pck2015.proiect?idp=15116) cu o serie de termene scurte pentru dezbateri.

ApTI a primit o invitație de la Comisia de IT&C pentru a participa la ședința comună a pe care o vor organiza împreună cu Comisia Juridica, Marți, 22 Septembrie, începând de la ora 11:00. Drept răspuns la acestă invitație, ApTI a pregătit și o opinie scrisă cu privire la textul proiectului de lege, pe care o puteți citi mai jos:

Către Comisia pentru tehnologia informației și comunicațiilor din Camera Deputaților
Către Comisia juridică, de disciplină și imunități din Camera Deputaților

Mulțumim pentru invitația dumneavoastră pentru a participa la dezbaterea pentru proiectul de lege pentru modificarea legii 506/2004. Trebuie să subliniem că, în ciuda avertismentelor publice ale societății civile, aceasta este prima (dar speram ca nu și singura) dezbatere publica propusa pe acest proiect de lege, pe o tema ce a fost dezbătuta mult în trecut și ar putea fi crea suspiciuni și în prezent. De aceea consideram că este necesară o dezbatere publica exhaustivă înainte de adoptarea sa de către Parlament.

De asemenea, aprecierea generala cu privire la noul text de lege propus este preponderent pozitiva la nivelul principiilor, dacă o comparam cu vechile propuneri de lege (denumite de presa “Big Brother”) care mergeau în direcția supravegherii generalizate.

În același timp, câteva clarificări cu privire la anumiți termeni și formulări din propunerea de text de act normativ sunt absolut necesare, pentru ca principiile corecte ale legii 506/2004 sa fie păstrate. În acest sens propunem următoarele modificări și comentarii:

1. Comentarii pe textul legii propuse (ordinea este cea a articolelor din actul normativ)

Pct. 1 – Definirea termenului de „date de identificare a echipamentului” nu are un scop clar. Pe de o parte denumirea duce cu gândul la IMEI și/sau IMSI, dar acestea sunt deja încadrate în definiția termenului de „date de trafic” (art. 2, alin. (1) b), legea 506/2004). Pe de alta parte, definiția vorbește de „identificarea amplasamentului”, ceea ce pare a fi mai degrabă date de localizare, care sunt deja încadrate în termenul de „date de localizare” (art. 2, alin. (1) c) legea 506/2004). În utilizarea sa actuală termenul nu aduce nimic în plus, deci nu vedem necesitatea folosirii sale. Pericolul păstrării unui termen ambiguu este ca sa se creeze o obligație pentru operatorii de comunicații de a păstra categorii suplimentare de date fata de ceea ce au nevoie pentru facturare sau interconectare, ceea ce ar contraveni nu doar scopului legii, ci și deciziilor CCR. O opinie întrucâtva similară a fost exprimată și de Consiliul Legislativ pe acest proiect de lege.

Pct. 2 – pentru claritatea textul și pentru a nu se înțelege în mod eronat că perioada de păstrare a datelor de 3 ani este obligatorie, și nu cea maximală, așa cum este vădit intenția legiuitorului, propunem modificarea textului în:

„(1) Datele de trafic referitoare la abonați și utilizatori, prelucrate și stocate de către furnizorul unei rețele publice de comunicații electronice sau de către furnizorul unui serviciu de comunicații electronice destinat publicului, trebuie să fie șterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepția situațiilor prevăzute la alin. (2), (3) și (5). În niciun caz perioada de păstrare a datelor de trafic nu poate depăși 3 ani de la data efectuării comunicării.”

Pct. 3 – poate fi interpretat într-un sens în care ar impune o obligație de a păstra date de trafic mai mult timp fata de ceea ce au nevoie pentru facturare sau interconectare. Pentru a clarifica sensul, a corecta termenul inexistent de “obligații contractuale” pentru cartele preplătite și a avea același regim cu datele de la pct. 2 propunem următoarea modificare:

„(2^1) Prelucrarea datelor de trafic pentru abonații serviciilor de comunicații cu plata în avans se vor păstra în condițiile art. 5, alin. (1). În niciun caz perioada de păstrare a datelor de trafic nu poate depăși 3 ani de la data efectuării comunicării.”

Pct. 4 – Art 12^1, alin. (1) : Noțiunea de „organe de stat cu atribuții în domeniul apărării și securității naționale” este mult prea largă și ar trebui redus la „organe de stat cu atribuții în domeniul securității naționale”, argumentația fiind foarte bine subliniată de opinia Consiliului Legislativ.

Pct. 5 – Art 12^1, alin. (3): Datele la care face referire actul normativ se păstrează de către operatori exclusiv în format electronic. Pentru a putea garanta integritatea și autenticitatea datelor, singura metoda logica este trimiterea lor exclusiv în format electronic către autoritățile competente. Ca atare propunem modificarea textului în:

„(3) Solicitările, respectiv răspunsurile, trebuie sa fie transmise în format electronic și semnate cu semnătură electronică extinsă bazată pe certificat calificat eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde potrivit legii pentru integritatea și securitatea acestor date.”

Pct 6 – Art 12^1, alin. (5) și (6): Intenția articolelor este una lăudabila, dar trebuie să prevedem și cazuri – extrem de probabile – în care instanța nu notifica operatorul de comunicații despre pronunțarea unei hotărâri judecătorești definitive, în condițiile în care operatorul nu este, de regula, parte într-un asemenea proces. În acest context ar fi utila adăugarea unui termen clar în care datele să fie șterse, atunci când nu mai sunt necesare, conform principiului de la art. 4 Legea 677/2001. În acest sens propunem următoarea modificare:

„(5) Datele de trafic și datele de localizare solicitate conform alin. (1) nu fac obiectul ștergerii sau anonimizării de către furnizori, atunci când solicitarea formulată în temeiul alin. (1) este însoțită sau urmată de o notificare cu privire la necesitatea menținerii lor, în scopul identificării și conservării probelor sau indiciilor temeinice, în cadrul investigațiilor pentru combaterea infracțiunilor sau în domeniul apărării și securității naționale, atât timp cât subzista motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării. După expirarea termenului de 5 ani, datele se pot păstra pentru o perioada maximală de încă 3 ani doar cu autorizarea expresa a instantei de judecata până la pronunțarea unei hotărâri judecătorești definitive.”

2. Comentarii pe ceea ce lipsește din textul legii propuse

2.1. Trebuie să remarcăm că prezentului text de lege îi lipsește una din limitările impuse de fostele legi de păstrarea a datelor de trafic – faptul că accesarea datelor de trafic nu poate fi făcută pentru orice infracțiune, ci doar pentru cele infracțiunile grave, definite în mod precis în legea 82/2012 art. 2 e).

Considerăm că legiuitorul trebuie să ia în discuție dacă nu cumva o asemenea limitare este de asemenea necesara pentru prezentul proiect. Argumentul este legat în principal de faptul că accesul la datele de trafic este o încălcare a vieții private (dar acceptabilă într-o societate democratică conform textului propus), deci aceasta ar trebui să fie făcută nu pentru orice infracțiuni minore (de ex. cele pedepsibile cu amendă penală), ci doar pentru infracțiuni grave, a căror urmărire și sancționare este extrem de importantă pentru societate.

2.2. Textul actual poate fi îmbunătățit prin includerea unor măsuri de transparența ale operatorilor cu privire la numărul de cereri de acces la datele primite, conform bunelor practici ale Rapoartelor de Transparență publicate de marile firmele de comunicații la nivel mondial. Considerăm că o astfel de practică trebuie încurajată, de aceea propunem adăugarea unui nou articol în acest sens:

„Art 12^1 (7) Furnizorii de rețele publice de comunicații electronice și de servicii de comunicații electronice destinat publicului au dreptul de a anunța anual în mod public numărul de solicitări primite, conform prezentului articol, numărul de persoane vizate de aceste solicitări ca și orice alte date relevante statistice cu privire la acest subiect.”

2.3. Pentru a asigura că accesul la datele de trafic se poate face în mod legal, va trebui modificat și art 152 CPP în mod subsecvent. De asemenea, pentru clarificarea procedurii și a condițiilor în care se permite accesul, propunem includerea acestor măsuri în cadrul termenului de „supraveghere tehnică” de la art 138 (13) CPP.

„Art 152 (1) Organele de urmărire penală și cele cu atribuții în domeniul siguranței naționale, cu autorizarea prealabilă a judecătorului de drepturi șilibertăți, pot solicita unui furnizor de rețele publice de comunicații electronice sau unui furnizor de servicii de comunicații electronice destinate publicului transmiterea datelor de trafic reținute, în baza legii speciale privind prelucrarea datelor cu caracter personal șiprotecțiavieții private în sectorul comunicațiilor electronice, în cazul în care există o suspiciune rezonabilă cu privire la săvârșirea unei infracțiuniși există temeiuri pentru a se crede că datele solicitate constituie probe.”

Pentru orice informații suplimentare cu privire la propuneri aduse, putem aduce argumente suplimentare oral sau în scris.

Susținători:

Asociația pentru Tehnologie și Internet – ApTI – www.apti.ro
Centrul pentru Jurnalism Independent – CJI – www.cji.ro
Convenția Organizațiilor de Media

Referințe:

[1] Lege privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice; Numărul 506/2004; Publicata în Monitorul Oficial, Partea I nr. 1101 din 25/11/2004; http://www.legi-internet.ro/legislatie-itc/date-cu-caracter-personal/legea-privind-prelucrarea-datelor-cu-caracter-personal-si-protectia-vietii-private-in-sectorul-comunicatiilor-electronice.html
[2] Proiect de Lege pentru modificarea și completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice , cu modificările și completările ulterioare; http://www.senat.ro/legis/PDF%5C2015%5C15b220FG.pdf
[3] Opinia Consiliului Legislativă referitoare la Proiect de Lege pentru modificarea și completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice , cu modificările și completările ulterioare – http://www.senat.ro/legis/PDF%5C2015%5C15L327LG.pdf
[4] Cerem dezbatere publică pentru proiectul de modificare a legii comunicațiilor electronice http://apti.ro/dezbatere-publica-pentru-modificarea-legii-comunicatiilor-electronice

Documentul trimis de către ApTI Comisiei de IT&C a Camerei Deputaților: Opinie-ApTI-proiect-modif-506

1 Comment

  1. Pingback: “Societatea civilă deranjeaza coreografia democratiei dâmbovițene” sau “Postmortem – opinie pe modificarea legii 506/2004 privind prelucrarea datelor cu caracter personal” | Date personale si viata privata

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>