ABROGATĂ prin Decizia nr. 1258 din 08.10.2009

CAPITOLUL I
Dispoziţii generale

Art. 1. – (1) Prezenta lege stabileşte obligaţia furnizorilor de servicii şi reţele publice de comunicaţii electronice de a reţine anumite date generate sau prelucrate în cadrul activităţii lor de furnizare a serviciilor de comunicaţii electronice, pentru punerea acestora la dispoziţia autorităţilor competente în scopul utilizării în cadrul activităţilor de cercetare, de descoperire şi de urmărire a infracţiunilor grave.
(2) Prezenta lege se aplică datelor de trafic şi de localizare a persoanelor fizice şi juridice, precum şi datelor conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat.
(3) Prezenta lege nu se aplică în ceea ce priveşte conţinutul comunicării sau informaţiile consultate în timpul utilizării unei reţele de comunicaţii electronice.
(4) Punerea în aplicare a prevederilor prezentei legi se face cu respectarea prevederilor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare, precum şi ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu completările ulterioare.

Art. 2. – (1) În înţelesul prezentei legi, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) furnizor de servicii şi reţele publice de comunicaţii electronice – persoana care furnizează în scop comercial servicii şi/sau reţele de comunicaţii electronice către utilizatori finali ori alţi furnizori de reţele sau servicii de comunicaţii electronice pentru susţinerea traficului acestora;
b) date – informaţiile privind traficul, localizarea şi alte date legate de acestea, necesare pentru identificarea unui abonat sau a unui utilizator;
c) utilizator – persoana fizică sau juridică ce foloseşte un serviciu de comunicaţii electronice destinat publicului în scopuri personale sau profesionale, fără a fi în mod necesar abonat al acelui serviciu;
d) abonat – persoana fizică sau juridică ce a încheiat un contract cu un furnizor de servicii de comunicaţii electronice destinate publicului, în vederea furnizării unor asemenea servicii;
e) serviciu de telefonie – apelul (voce, mesagerie vocală, teleconferinţă şi transfer de date), serviciile suplimentare (redirecţionarea convorbirii şi transferul apelului) şi serviciile de mesagerie şi multimedia (servicii de mesagerie scurtă, servicii media îmbunătăţite şi servicii multimedia);
f) infracţiune gravă – infracţiunea care face parte dintre infracţiunile enumerate la art. 2 lit. b) din Legea nr. 39/2003 privind prevenirea şi combaterea criminalităţii organizate săvârşite sau nu de un grup infracţional organizat, dintre cele prevăzute în cap. IV din Legea nr. 535/2004 privind prevenirea şi combaterea terorismului, precum şi dintre infracţiunile contra siguranţei statului prevăzute în titlul I din partea specială a Legii nr. 15/1968 – Codul penal al României, republicată, cu modificările şi completările ulterioare;
g) identificatorul utilizatorului – codul unic de identificare alocat unei persoane care se abonează sau se înregistrează la un serviciu de acces la internet ori la un serviciu de comunicaţii prin internet;
h) identificatorul celulei – codul de identificare a celulei în care se iniţiază sau se finalizează un apel de telefonie mobilă;
i) apel nereuşit – comunicarea în cadrul căreia apelul telefonic a fost conectat, dar nu a primit răspuns sau a făcut obiectul unei intervenţii din partea administratorului reţelei;
j) apel neconectat – apelul iniţiat de la un terminal telefonic sau echipament cu acces la un serviciu de telefonie, dar care nu s-a finalizat tehnic, în sensul stabilirii unei conexiuni între apelant şi apelat.
(2) În tot cuprinsul prezentei legi sunt, de asemenea, aplicabile definiţiile prevăzute la art. 3 din Legea nr. 677/2001, cu modificările şi completările ulterioare, şi la art. 2 din Legea nr. 506/2004, cu completările ulterioare.

CAPITOLUL II
Reţinerea datelor

Art. 3. – (1) Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi administrarea unei baze de date în format electronic, în vederea reţinerii următoarelor categorii de date, în măsura în care sunt generate sau prelucrate de aceştia:
a) date necesare pentru urmărirea şi identificarea sursei unei comunicări;
b) date necesare pentru identificarea destinaţiei unei comunicări;
c) date necesare pentru a determina data, ora şi durata comunicării;
d) date necesare pentru identificarea tipului de comunicare;
e) date necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament;
f) date necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile.
(2) Datele se reţin timp de 6 luni de la momentul efectuării comunicării.
(3) Cheltuielile legate de crearea şi administrarea bazei de date sunt deductibile fiscal.

Art. 4. – Datele necesare pentru urmărirea şi identificarea sursei unei comunicări cuprind:
a) în cazul reţelelor de telefonie fixă şi mobilă: numărul de telefon apelant, precum şi numele şi adresa abonatului sau ale utilizatorului înregistrat;
b) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: identificatorul/identificatorii alocat/alocaţi utilizatorilor; identificatorul de utilizator şi numărul de telefon alocate pentru efectuarea oricărei comunicări prin reţeaua publică de telefonie; numele şi adresa abonatului sau ale utilizatorului înregistrat, căruia i s-a alocat o adresă Internet Protocol (IP), un identificator de utilizator sau un număr de telefon, la momentul comunicării.

Art. 5. – Datele necesare pentru identificarea destinaţiei unei comunicări cuprind:
a) în cazul reţelelor de telefonie fixă şi mobilă: numărul format/apelat/numerele formate/apelate şi, în cazurile care includ servicii suplimentare precum redirecţionarea sau transferul apelului, numărul/numerele către care este dirijat apelul; numele şi adresa/adresele abonatului/abonaţilor ori ale utilizatorului/utilizatorilor înregistrat/înregistraţi;
b) în cazul serviciilor de poştă electronică şi telefonie prin internet: identificatorul utilizatorului sau numărul de telefon al destinatarului/destinatarilor unui apel telefonic prin internet; numele şi adresa/adresele abonatului/abonaţilor sau ale utilizatorului/utilizatorilor înregistrat/înregistraţi şi identificatorul utilizatorului destinatar al comunicării.

Art. 6. – Datele necesare pentru a determina data, ora şi durata comunicării cuprind:
a) în cazul reţelelor de telefonie fixă şi mobilă: data şi ora iniţierii şi încheierii unei comunicări;
b) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: data şi ora conectării la şi ale deconectării de la serviciul de acces la internet, adresa IP alocată dinamic sau static unei comunicări de furnizorul de servicii de acces la internet, precum şi identificatorul abonatului sau al utilizatorului înregistrat; data şi ora conectării la şi ale deconectării de la serviciul de poştă electronică sau de telefonie prin internet.

Art. 7. – Datele necesare pentru identificarea tipului de comunicare cuprind:
a) în cazul reţelelor de telefonie fixă şi mobilă: informaţii privind serviciul de telefonie utilizat;
b) în cazul comunicărilor prin serviciul de poştă electronică şi de telefonie prin internet: informaţii privind serviciul de acces la internet utilizat.

Art. 8. – Datele necesare pentru identificarea echipamentului de comunicaţie al utilizatorului sau a dispozitivelor ce servesc utilizatorului drept echipament cuprind:
a) în cazul reţelelor de telefonie fixă: numărul de telefon apelant şi numărul de telefon apelat;
b) în cazul reţelelor de telefonie mobilă: numărul de telefon al apelantului şi numărul de telefon apelat; identitatea internaţională de abonat mobil (IMSI) a apelantului; identitatea internaţională a echipamentului mobil (IMEI) a apelantului; identitatea IMSI a apelatului; identitatea IMEI a apelatului; în cazul serviciilor anonime preplătite: data şi ora activării iniţiale a serviciului, precum şi identificatorul celulei din care a fost activat serviciul;
c) în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet: numărul de telefon al apelantului în cazul accesului prin dial-up; linia DSL sau alt punct terminal al celui care iniţiază comunicarea.

Art. 9. – Datele necesare pentru identificarea locaţiei echipamentului de comunicaţii mobile cuprind:
a) identificatorul celulei la începutul comunicării;
b) datele care permit stabilirea localizării geografice a celulelor, prin referire la identificatorul acestora, pe durata în care datele comunicării sunt reţinute.

Art. 10. – (1) Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului, aflaţi sub jurisdicţie română, au obligaţia reţinerii datelor referitoare la un apel nereuşit numai atunci când aceste date sunt generate sau prelucrate şi stocate, în cazul serviciului de telefonie, ori înregistrate, în cazul serviciului de acces la internet, în cadrul activităţii de furnizare a serviciilor respective.
(2) Furnizorii nu au obligaţia reţinerii datelor prevăzute la art. 3 alin. (1) în cazul apelurilor neconectate.

Art. 11. – (1) În aplicarea prevederilor prezentei legi sunt interzise interceptarea şi reţinerea conţinutului comunicării sau a informaţiilor consultate în timpul utilizării unei reţele de comunicaţii electronice.
(2) Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a reţine numai acele categorii de date enumerate la art. 3 alin. (1), care sunt accesibile ca urmare a desfăşurării activităţilor proprii, în condiţiile legii.
(3) La sfârşitul perioadei de reţinere, toate datele reţinute în temeiul prezentei legi, cu excepţia datelor puse la dispoziţia autorităţilor competente, potrivit legii, şi care au fost păstrate de către acestea, trebuie să fie distruse prin proceduri automatizate, ireversibil.

Art. 12. – Activitatea de reţinere a datelor se realizează cu respectarea următoarelor principii:
a) datele reţinute trebuie să fie de aceeaşi calitate şi supuse aceluiaşi grad de securitate şi protecţie cu cele utilizate la nivelul reţelelor furnizorilor de comunicaţii electronice;
b) datele reţinute trebuie supuse unor măsuri tehnice şi organizatorice corespunzătoare, în vederea protejării datelor împotriva distrugerilor accidentale sau ilicite, alterării ori pierderii accidentale, stocării, prelucrării, accesării sau dezvăluirii neautorizate ori ilicite;
c) datele reţinute trebuie supuse unor măsuri tehnice şi organizatorice corespunzătoare, în vederea asigurării faptului că numai personalul autorizat în acest sens are acces la aceste date.

Art. 13. – (1) În situaţia în care datele prevăzute la art. 4-7 pot fi reţinute de mai mulţi furnizori de servicii şi reţele publice de comunicaţii electronice, activitatea de reţinere a datelor se face doar la unul dintre furnizori.
(2) Activitatea de reţinere a datelor prevăzute la art. 4-7 poate fi desfăşurată, acolo unde este tehnic posibil şi în urma unei înţelegeri contractuale, de un terţ, în numele unui furnizor de servicii şi reţele publice de comunicaţii electronice, cu respectarea prevederilor art. 19 şi 20 din Legea nr. 677/2001, cu modificările şi completările ulterioare, şi ale Legii nr. 506/2004, cu completările ulterioare.
(3) Obligaţia de reţinere a datelor prevăzute la art. 4-7 se aplică furnizorilor de servicii şi reţele publice de comunicaţii electronice care alocă numerotaţie, în cazul serviciilor de telefonie fixă şi mobilă, respectiv adrese de IP, în cazul serviciilor de date.

Art. 14. – (1) Ministerul Internelor şi Reformei Administrative, Ministerul Public, Serviciul Român de Informaţii şi Serviciul de Informaţii Externe, denumite în continuare autorităţi competente, au obligaţia de a colecta şi de a transmite semestrial Ministerului Comunicaţiilor şi Tehnologiei Informaţiei următoarele date statistice, în vederea urmăririi şi controlului aplicării prevederilor cuprinse în prezenta lege:
a) numărul cazurilor în care informaţiile au fost furnizate autorităţilor competente, în conformitate cu prevederile prezentei legi;
b) perioada de timp scursă între data la care datele au fost reţinute şi data la care autoritatea competentă a solicitat transmiterea acestor date;
c) numărul de cazuri în care solicitările de date nu au putut fi îndeplinite.
(2) Termenele până la care trebuie transmise datele statistice se stabilesc prin normele metodologice de aplicare a prezentei legi.
(3) Ministerul Comunicaţiilor şi Tehnologiei Informaţiei centralizează datele statistice primite de la autorităţile competente şi transmite anual Comisiei Europene statisticile elaborate în baza acestora. Statisticile nu vor conţine date cu caracter personal.

CAPITOLUL III
Procedura solicitării datelor reţinute

Art. 15. – Furnizorii de reţele publice de comunicaţii şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia ca, la solicitarea autorităţilor competente, în baza autorizaţiei emise potrivit dispoziţiilor art. 16, să transmisă acestora de îndată datele reţinute potrivit prezentei legi, cu excepţia cazurilor de forţă majoră.

Art. 16. – (1) Solicitarea transmiterii de date reţinute potrivit prezentei legi se realizează numai după ce a fost începută urmărirea penală, cu autorizarea motivată a preşedintelui instanţei căreia i-ar reveni competenţa să judece cauza în primă instanţă sau de la instanţa corespunzătoare în grad acesteia, în a cărei circumscripţie se află sediul parchetului din care face parte procurorul care efectuează sau supraveghează urmărirea penală ori a judecătorului desemnat de acesta, la cererea procurorului care efectuează sau supraveghează urmărirea penală, potrivit legii, dacă sunt date ori indicii temeinice privind pregătirea sau săvârşirea unei infracţiuni grave.
(2) În caz de urgenţă, când întârzierea obţinerii autorizării prevăzute la alin. (1) ar aduce grave prejudicii activităţii de urmărire penală ori îndeplinirii obligaţiilor asumate de România prin documente juridice de cooperare internaţională sau ca stat membru al Uniunii Europene, procurorul care efectuează sau supraveghează urmărirea penală sau căruia i-ar reveni această competenţă poate să autorizeze, prin ordonanţă motivată, solicitarea transmiterii de date reţinute, potrivit prezentei legi. În termen de 48 de ore de la emiterea autorizării, procurorul prezintă instanţei de judecată competente, potrivit alin. (1), motivele care au stat la baza emiterii autorizării. Instanţa de judecată se pronunţă cu privire la legalitatea şi temeinicia ordonanţei prin care s-a autorizat solicitarea transmiterii de date reţinute, în cel mult 48 de ore.
(3) Autorizaţia de solicitare a datelor reţinute trebuie să cuprindă:
a) denumirea instanţei/parchetului;
b) data, ora şi locul emiterii;
c) numele şi prenumele judecătorului/procurorului;
d) durata de valabilitate a autorizaţiei;
e) denumirea şi sediul social ale persoanei juridice care urmează să pună la dispoziţie datele reţinute;
f) indicarea persoanei cu privire la care se va face verificarea datelor reţinute sau indicarea codului de identificare a abonatului ori a utilizatorului înregistrat pentru serviciile de internet sau a numărului de telefon al abonatului ori al utilizatorului înregistrat pentru serviciile de telefonie fixă sau mobilă;
g) temeiurile concrete care determină autorizarea de solicitare a datelor reţinute;
h) perioada de timp pentru care datele reţinute urmează a fi furnizate;
i) semnătura judecătorului/procurorului.
(4) Lipsa oricăreia dintre menţiunile prevăzute la alin. (3) se sancţionează cu nulitatea absolută a autorizaţiei.
(5) Durata de valabilitate a autorizaţiei nu poate depăşi 15 zile.
(6) Datele reţinute care nu privesc fapta ce formează obiectul cercetării se arhivează la sediul parchetului, în locuri speciale, în plic sigilat, cu asigurarea confidenţialităţii, şi pot fi transmise judecătorului sau completului învestit cu soluţionarea cauzei, la solicitarea acestuia. La soluţionarea definitivă a cauzei, acestea vor fi şterse sau, după caz, distruse de către procuror, încheindu-se în acest sens un proces-verbal.
(7) Dacă în cauză s-a dispus soluţia de netrimitere în judecată, datele reţinute se arhivează la sediul parchetului, în locuri speciale, în plic sigilat, cu asigurarea confidenţialităţii, şi se păstrează până la împlinirea termenului de prescripţie a răspunderii penale pentru fapta ce a format obiectul cauzei, iar când se distrug, se încheie un proces-verbal în acest sens.
(8) Dacă în cauză instanţa a pronunţat o hotărâre de condamnare, achitare sau încetare a procesului penal, rămasă definitivă, datele reţinute se arhivează odată cu dosarul cauzei la sediul instanţei, în locuri speciale, în plic sigilat, cu asigurarea confidenţialităţii.

CAPITOLUL IV
Autoritatea de supraveghere

Art. 17. – Autoritatea competentă să monitorizeze aplicarea prevederilor prezentei legi este Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare A.N.S.P.D.C.P.

CAPITOLUL V
Regimul sancţionator

Art. 18. – (1) Constituie contravenţii următoarele fapte:
a) neîndeplinirea obligaţiilor prevăzute la art. 3 alin. (2);
b) neîndeplinirea obligaţiilor prevăzute la art. 11 alin. (2) şi (3);
c) neîndeplinirea obligaţiei prevăzute la art. 12.
(2) Contravenţiile prevăzute la alin. (1) se sancţionează, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, cu amendă de la 2.500 lei la 500.000 lei.
(3) Constatarea contravenţiilor prevăzute la alin. (1) şi aplicarea sancţiunilor se efectuează de către personalul de control împuternicit în acest scop al A.N.S.P.D.C.P., în conformitate cu prevederile art. 35 din Legea nr. 677/2001, cu modificările şi completările ulterioare.

Art. 19. – (1) Orice accesare intenţionată sau transfer al datelor păstrate în conformitate cu prezenta lege, fără autorizare, constituie infracţiune şi se pedepseşte cu închisoare de la un an la 5 ani.
(2) Împiedicarea cu intenţie a punerii la dispoziţia autorităţilor competente a datelor reţinute ca urmare a aplicării prezentei legi constituie infracţiune şi se pedepseşte cu închisoare de la 6 luni la un an.
(3) Tentativa la infracţiunea prevăzută la alin. (1) se pedepseşte.

CAPITOLUL VI
Dispoziţii finale

Art. 20. – În scopul prevenirii şi contracarării ameninţărilor la adresa securităţii naţionale, organele de stat cu atribuţii în acest domeniu pot avea acces, în condiţiile stabilite prin actele normative ce reglementează activitatea de realizare a securităţii naţionale, la datele reţinute de furnizorii de servicii şi reţele publice de comunicaţii electronice.

Art. 21. – Pe data intrării în vigoare a prezentei legi, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 1.101 din 25 noiembrie 2004, cu completările ulterioare, se modifică şi se completează după cum urmează:
1. La articolul 5, alineatele (1) şi (6) se modifică şi vor avea următorul cuprins:
“Art. 5. – (1) Datele de trafic referitoare la abonaţi şi utilizatori înregistraţi, prelucrate şi reţinute de furnizorul unei reţele publice de comunicaţii electronice sau de furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepţia situaţiilor prevăzute la alin. (2), (3), (5) şi (51).
……………………………………………………………………………………………………………….
(6) Prevederile alin. (1)-(3) şi (5) nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele de trafic, în condiţiile legii.”
2. La articolul 8, după alineatul (4) se introduce un nou alineat, alineatul (5), cu următorul cuprins:
“(5) Dispoziţiile prezentului articol nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele păstrate de furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile legii.”

Art. 22. – În termen de 30 de zile de la data intrării în vigoare a prezentei legi, Ministerul Comunicaţiilor şi Tehnologiei Informaţiei va elabora normele metodologice de aplicare a acesteia, pe care le va supune spre aprobare Guvernului.

Art. 23. – (1) Prezenta lege intră în vigoare la 60 de zile de la publicarea în Monitorul Oficial al României, Partea I.
(2) Dispoziţiile referitoare la reţinerea datelor de trafic şi localizare corespunzătoare serviciilor de acces la internet, poştă electronică şi telefonie prin internet se vor aplica începând cu data de 15 martie 2009.

Bucureşti, 18 noiembrie 2008.
Nr. 298.