LEGE nr. 506 din 17 noiembrie 2004 (*actualizată*)
privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice
(actualizată la data de 17 octombrie 2015*)
EMITENT
  • PARLAMENTUL




  • ----------
    Parlamentul României adoptă prezenta lege.

    Articolul 1

    Dispoziţii generale
    (1) Prezenta lege stabileşte condiţiile specifice de garantare a dreptului la protecţia vieţii private în privinţa prelucrării datelor cu caracter personal în sectorul comunicaţiilor electronice.
    (2) Prevederile prezentei legi se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicaţii electronice destinate publicului prin intermediul reţelelor publice de comunicaţii electronice, inclusiv al reţelelor publice de comunicaţii electronice care presupun dispozitive de colectare a datelor şi de identificare.
    ---------
    Alin. (2) al art. 1 a fost modificat de pct. 1 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    (3) Prevederile prezentei legi se completează cu prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
    (4) Prezenta lege nu se aplică prelucrărilor de date cu caracter personal efectuate:
    a) în cadrul activităţilor în domeniul apărării naţionale şi securităţii naţionale, desfăşurate în limitele şi cu restricţiile stabilite de lege;
    b) în cadrul activităţilor de combatere a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi în domeniul dreptului penal, desfăşurate în limitele şi cu restricţiile stabilite de lege.


    Articolul 2

    Definiţii
    (1) În înţelesul prezentei legi, următorii termeni se definesc după cum urmează:
    a) utilizator - orice persoană fizică ce beneficiază de un serviciu de comunicaţii electronice destinat publicului, fără a avea în mod necesar calitatea de abonat al acestui serviciu;
    b) date de trafic - orice date prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni;
    b^1) date de identificare a echipamentului - date tehnice ale furnizorilor de servicii de comunicaţii destinate publicului şi ale furnizorului de reţele publice de comunicaţii electronice, care permit identificarea amplasamentului echipamentelor de comunicaţii ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni;
    ----------
    Lit. b^1) a alin. (1) al art. 2 a fost introdusă de pct. 1 al art. unic din LEGEA nr. 235 din 12 octombrie 2015 publicată în MONITORUL OFICIAL nr. 767 din 14 octombrie 2015.
    c) date de localizare - orice date prelucrate într-o reţea de comunicaţii electronice sau prin intermediul unui serviciu de comunicaţii electronice, care indică poziţia geografică a echipamentului terminal al utilizatorului unui serviciu de comunicaţii electronice destinat publicului;
    ----------
    Litera c) a alin. (1) al art. 2 a fost modificată de pct. 2 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    d) comunicare - orice informaţie schimbată sau transmisă între un număr determinat de participanţi prin intermediul unui serviciu de comunicaţii electronice destinat publicului; aceasta nu include informaţia transmisă publicului printr-o reţea de comunicaţii electronice ca parte a unui serviciu de programe audiovizuale, în măsura în care nu poate fi stabilită o legătură între informaţia în cauză şi abonatul sau utilizatorul identificabil care o primeşte;
    e) abrogată;
    ----------
    Litera e) a alin. (1) al art. 2 a fost abrogată de pct. 3 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    f) serviciu cu valoare adăugată - orice serviciu care necesită prelucrarea datelor de trafic sau a datelor de localizare, în alte scopuri decât transmiterea comunicării ori facturarea contravalorii acestei operaţiuni;
    g) poştă electronică - serviciul care constă în transmiterea printr-o reţea publică de comunicaţii electronice a unor mesaje în format text, voce, sunet sau imagine, care pot fi stocate în reţea sau în echipamentul terminal al destinatarului până la recepţionarea de către destinatar.
    h) încălcare a securităţii datelor cu caracter personal - încălcarea securităţii având ca rezultat distrugerea accidentală sau ilicită, pierderea, alterarea, divulgarea neautorizată ori accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod în legătură cu furnizarea de servicii de comunicaţii electronice destinate publicului.
    ----------
    Litera h) a alin. (1) al art. 2 a fost introdusă de pct. 4 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    (2) În cuprinsul prezentei legi sunt, de asemenea, aplicabile definiţiile prevăzute la art. 3 lit. a), b), c) şi i) din Legea nr. 677/2001, cu modificările şi completările ulterioare, la art. 1 pct. 1 şi 8 din Legea nr. 365/2002 privind comerţul electronic, republicată, şi la art. 4 alin. (1) pct. 3, 6, 8, 9, 10 şi 36 din Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice.
    -----------
    Alin. (2) al art. 2 a fost modificat de pct. 5 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 3

    Securitatea prelucrării datelor cu caracter personal
    (1) Furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicaţii electronice destinate publicului va lua aceste măsuri împreună cu furnizorul reţelei publice de comunicaţii electronice.
    (2) Măsurile adoptate potrivit alin. (1) trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri.
    (3) Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puţin următoarele condiţii:
    a) să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
    b) să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;
    c) să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.
    (4) Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, poate audita măsurile luate de furnizori în conformitate cu alin. (1) şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.
    (5) În cazul existenţei unui risc determinat de încălcarea securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a informa abonaţii cu privire la existenţa acestui risc, precum şi la posibilele consecinţe ce decurg. În cazul în care acest risc depăşeşte domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceştia au obligaţia de a informa abonaţii despre remediile posibile, inclusiv prin indicarea costurilor implicate.
    (6) În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.
    (7) Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva încălcare, fără întârziere, abonatului sau persoanei în cauză.
    (8) Notificarea prevăzută la alin. (7) nu este necesară dacă furnizorul a demonstrat ANSPDCP, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice de protecţie adecvate şi că respectivele măsuri au fost aplicate datelor afectate de încălcarea securităţii. Astfel de măsuri tehnologice de protecţie trebuie să asigure faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.
    (9) Fără a aduce atingere obligaţiei furnizorului de a notifica abonaţilor şi persoanelor în cauză, în cazul în care furnizorul nu a notificat deja abonatului sau persoanei în cauză încălcarea securităţii datelor cu caracter personal, ANSPDCP poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.
    (10) Notificarea prevăzută la alin. (7) va cuprinde cel puţin o descriere a naturii încălcării securităţii datelor cu caracter personal şi punctele de contact ale furnizorului unde pot fi obţinute mai multe informaţii şi va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (6) va conţine şi o descriere a consecinţelor încălcării securităţii datelor cu caracter personal, precum şi a măsurilor propuse sau adoptate de furnizor în vederea remedierii acestora.
    (11) Sub rezerva oricăror măsuri tehnice de punere în aplicare adoptate de Comisia Europeană, ANSPDCP poate să stabilească circumstanţele în care furnizorii sunt obligaţi să notifice încălcări ale securităţii datelor cu caracter personal, formatul unei astfel de notificări şi modalităţile în care se va face notificarea.
    (12) Furnizorii au obligaţia de a păstra o evidenţă a tuturor încălcărilor securităţii datelor cu caracter personal, care trebuie să cuprindă o descriere a situaţiei în care a avut loc încălcarea, a efectelor acesteia şi a măsurilor de remediere întreprinse, astfel încât ANSPDCP să poată verifica dacă au fost respectate obligaţiile ce incumbă furnizorilor potrivit prezentului articol. Evidenţa va include numai informaţiile necesare în acest scop.
    -----------
    Art. 3 a fost modificat de pct. 6 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 3^1

    Proceduri de accesare
    Furnizorii au obligaţia de a stabili proceduri interne pentru a răspunde solicitărilor de accesare a datelor cu caracter personal ale utilizatorilor. La cerere, aceştia oferă ANSPDCP informaţii despre procedurile respective, numărul de solicitări primite, justificarea legală invocată în solicitare şi răspunsul oferit solicitanţilor.
    -----------
    Art. 3^1 a fost introdus de pct. 7 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 4

    Confidenţialitatea comunicărilor
    (1) Confidenţialitatea comunicărilor transmise prin intermediul reţelelor publice de comunicaţii electronice şi a serviciilor de comunicaţii electronice destinate publicului, precum şi confidenţialitatea datelor de trafic aferente sunt garantate.
    (2) Ascultarea, înregistrarea, stocarea şi orice altă formă de interceptare ori supraveghere a comunicărilor şi a datelor de trafic aferente sunt interzise, cu excepţia cazurilor următoare:
    a) se realizează de utilizatorii care participă la comunicarea respectivă;
    b) utilizatorii care participă la comunicarea respectivă şi-au dat, în prealabil, consimţământul scris cu privire la efectuarea acestor operaţiuni;
    c) se realizează de autorităţile competente, în condiţiile legii.
    (3) Prevederile alin. (1) şi (2) nu aduc atingere posibilităţii de a efectua stocarea tehnică necesară, în scopul transmiterii comunicării, în condiţiile respectării confidenţialităţii.
    (4) Prevederile alin. (1) şi (2) nu aduc atingere posibilităţii de a efectua înregistrări autorizate, în condiţiile legii, ale comunicărilor şi datelor de trafic aferente, atunci când acestea se realizează în cadrul unor practici profesionale licite, în scopul de a furniza proba unui act comercial sau a unei comunicări realizate în scopuri comerciale.
    (5) Stocarea de informaţii sau obţinerea accesului la informaţia stocată în echipamentul terminal al unui abonat ori utilizator este permisă numai cu îndeplinirea în mod cumulativ a următoarelor condiţii:
    a) abonatul sau utilizatorul în cauză şi-a exprimat acordul;
    b) abonatului sau utilizatorului în cauză i s-au furnizat, anterior exprimării acordului, în conformitate cu prevederile art. 12 din Legea nr. 677/2001, cu modificările şi completările ulterioare, informaţii clare şi complete care:
    (i) să fie expuse într-un limbaj uşor de înţeles şi să fie uşor accesibile abonatului sau utilizatorului;
    (ii) să includă menţiuni cu privire la scopul procesării informaţiilor stocate de abonat sau utilizator ori informaţiilor la care acesta are acces.
    În cazul în care furnizorul permite unor terţi stocarea sau accesul la informaţii stocate în echipamentul terminal al abonatului ori utilizatorului, informarea în concordanţă cu pct. (i) şi (ii) va include scopul general al procesării acestor informaţii de către terţi şi modul în care abonatul sau utilizatorul poate folosi setările aplicaţiei de navigare pe internet ori alte tehnologii similare pentru a şterge informaţiile stocate sau pentru a refuza accesul terţilor la aceste informaţii.
    -----------
    Alin. (5) al art. 4 a fost modificat de pct. 8 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    (5^1) Acordul prevăzut la alin. (5) lit. a) poate fi dat şi prin utilizarea setărilor aplicaţiei de navigare pe internet sau a altor tehnologii similare prin intermediul cărora se poate considera că abonatul ori utilizatorul şi-a exprimat acordul.
    -----------
    Alin. (5^1) al art. 4 a fost introdus de pct. 9 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    (6) Prevederile alin. (5) nu aduc atingere posibilităţii de a efectua stocarea sau accesul tehnic la informaţia stocată în următoarele cazuri:
    a) atunci când aceste operaţiuni sunt realizate exclusiv în scopul efectuării transmisiei unei comunicări printr-o reţea de comunicaţii electronice;
    b) atunci când aceste operaţiuni sunt strict necesare în vederea furnizării unui serviciu al societăţii informaţionale, solicitat în mod expres de către abonat sau utilizator.
    -----------
    Alin. (6) al art. 4 a fost modificat de pct. 10 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 5

    Datele de trafic
    (1) Datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).
    ----------
    Alin. (1) al art. 5 a fost modificat de pct. 2 al art. unic din LEGEA nr. 235 din 12 octombrie 2015 publicată în MONITORUL OFICIAL nr. 767 din 14 octombrie 2015.
    (2) Prelucrarea datelor de trafic efectuată în scopul facturării abonaţilor sau al stabilirii obligaţiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenţei obligaţiei de plată corespunzătoare.
    (2^1) Prelucrarea datelor de trafic efectuată în scopul stabilirii obligaţiilor contractuale ce privesc abonaţii serviciilor de comunicaţii cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.
    ----------
    Alin. (2^1) al art. 5 a fost introdus de pct. 3 al art. unic din LEGEA nr. 235 din 12 octombrie 2015 publicată în MONITORUL OFICIAL nr. 767 din 14 octombrie 2015.
    (3) Furnizorul unui serviciu de comunicaţii electronice destinat publicului poate prelucra datele prevăzute la alin. (1), în vederea comercializării serviciilor sale sau a furnizării de servicii cu valoare adăugată, numai în măsura şi pe durata necesară comercializării, respectiv furnizării acestor servicii, şi numai cu consimţământul expres prealabil al abonatului sau utilizatorului la care se referă datele respective. Abonatul sau, după caz, utilizatorul îşi poate retrage oricând consimţământul exprimat cu privire la prelucrarea datelor de trafic.
    (4) În cazurile prevăzute la alin. (2) şi (3), furnizorul serviciului de comunicaţii electronice destinat publicului este obligat să informeze abonatul sau utilizatorul cu privire la categoriile de date de trafic care sunt prelucrate şi la durata prelucrării acestora. În cazul prevăzut la alin. (3), această informare trebuie să aibă loc anterior obţinerii consimţământului abonatului sau utilizatorului.
    (5) Prelucrarea datelor de trafic în condiţiile alin. (1)-(4) poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, având ca atribuţii facturarea ori gestionarea traficului, relaţiile cu clienţii, detectarea fraudelor, comercializarea serviciilor de comunicaţii electronice sau furnizarea serviciilor cu valoare adăugată, şi este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuţii.
    (6) Prevederile alin. (1)-(3) şi (5) nu aduc atingere posibilităţii organelor de urmărire penală, instanţelor de judecată şi organelor de stat cu atribuţii în domeniul securităţii naţionale de a avea acces la datele de trafic, în condiţiile legii.
    ----------
    Alin. (6) al art. 5 a fost modificat de pct. 1 al art. 24 din LEGEA nr. 82 din 13 iunie 2012 publicată în MONITORUL OFICIAL nr. 406 din 18 iunie 2012.


    Articolul 6

    Facturarea detaliată
    (1) Abonaţii primesc facturi nedetaliate.
    (2) Emiterea facturilor detaliate se face la cererea abonaţilor, cu respectarea dreptului la viaţă privată al utilizatorilor apelanţi şi al abonaţilor apelaţi.
    (3) Informaţiile minime prezentate în cadrul facturilor detaliate sunt stabilite de ANRC.


    Articolul 7

    Prezentarea şi restricţionarea identităţii liniei apelante şi a liniei conectate
    (1) În cazul în care este oferită prezentarea identităţii liniei apelante, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorului apelant pentru fiecare apel, precum şi abonatului apelant pentru fiecare linie, printr-un mijloc simplu şi gratuit, posibilitatea de a ascunde identitatea liniei apelante, indiferent de ţara de destinaţie a apelului.
    (1^1) În cazul interconectării, furnizorul are obligaţia de a transmite la interfaţa dintre cele două reţele identitatea liniei apelante fără a o altera, modifica sau şterge.
    ------------
    Alin. (1^1) al art. 7 a fost introdus de articolul unic din LEGEA nr. 272 din 29 iunie 2006, publicată în MONITORUL OFICIAL nr. 576 din 4 iulie 2006.
    (2) În cazul în care este oferită prezentarea identităţii liniei apelante, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu şi, în limitele unei utilizări rezonabile, gratuit, posibilitatea de a ascunde identitatea liniei apelante pentru apelurile primite, indiferent de ţara de origine a acestora.
    (3) În cazul în care este oferită prezentarea identităţii liniei apelante, când prezentarea identităţii liniei apelante se face înainte de începerea convorbirii, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu, posibilitatea de a respinge apelurile primite pentru care identitatea liniei apelante a fost ascunsă de utilizatorul sau abonatul apelant, indiferent de ţara de origine a apelurilor.
    (4) În cazul în care este oferită prezentarea identităţii liniei conectate, furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie abonatului apelat, printr-un mijloc simplu şi gratuit, posibilitatea de a ascunde identitatea liniei conectate faţă de utilizatorul apelant, indiferent de ţara de origine a apelurilor.
    (5) În cazul în care este oferită prezentarea identităţii liniei apelante sau a liniei conectate, furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a informa publicul în acest sens, inclusiv cu privire la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a apelurilor prevăzute la alin. (1)-(4).
    (6) Abrogat.
    -----------
    Alin. (6) al art. 7 a fost abrogat de pct. 12 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 8

    Datele de localizare, altele decât datele de trafic
    (1) Prelucrarea datelor de localizare, altele decât datele de trafic, referitoare la utilizatorii sau abonaţii reţelelor publice de comunicaţii electronice sau ai serviciilor de comunicaţii electronice destinate publicului, atunci când este posibilă, este permisă numai în unul dintre următoarele cazuri:
    a) datele în cauză sunt transformate în date anonime;
    b) cu consimţământul expres prealabil al utilizatorului sau abonatului la care se referă datele respective, în măsura şi pentru durata necesare furnizării unui serviciu cu valoare adăugată;
    c) atunci când serviciul cu valoare adăugată cu funcţie de localizare are ca scop transmiterea unidirecţională şi nediferenţiată a unor informaţii către utilizatori.
    (2) Furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorului sau abonatului, anterior obţinerii consimţământului acestuia, în conformitate cu prevederile alin. (1) lit. b), informaţii referitoare la:
    a) tipul de date de localizare, altele decât datele de trafic, care vor fi prelucrate;
    b) scopurile şi durata prelucrării acestor date;
    c) eventuala transmitere a datelor către un terţ, în scopul furnizării serviciului cu valoare adăugată.
    (3) Utilizatorii sau abonaţii care îşi dau consimţământul în vederea prelucrării datelor în conformitate cu prevederile alin. (1) lit. b) au dreptul de a-şi retrage oricând consimţământul exprimat cu privire la prelucrarea datelor sau de a refuza temporar prelucrarea datelor în cauză pentru fiecare conectare la reţea sau pentru fiecare transmitere a unei comunicări. Furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorilor sau abonaţilor un procedeu simplu şi gratuit pentru exercitarea acestor drepturi.
    (4) Prelucrarea datelor de localizare, altele decât datele de trafic, în condiţiile alin. (1)-(3), poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorului reţelei publice de comunicaţii electronice sau al serviciului de comunicaţii electronice destinat publicului ori a terţului furnizor de servicii cu valoare adăugată şi trebuie să se limiteze numai la ceea ce este necesar pentru furnizarea serviciului cu valoare adăugată.
    (5) Dispoziţiile prezentului articol nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele păstrate de furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile legii.
    ------------
    Alin. (5) al art. 8 a fost introdus de pct. 2 al art. 21, Cap. VI din LEGEA nr. 298 din 18 noiembrie 2008, publicată în MONITORUL OFICIAL nr. 780 din 21 noiembrie 2008.
    (6) Dispoziţiile prezentului articol nu aduc atingere posibilităţii organelor de urmărire penală, instanţelor de judecată şi organelor de stat cu atribuţii în domeniul securităţii naţionale de a avea acces la datele generate sau prelucrate şi păstrate de furnizorii de reţele publice de comunicaţii şi de furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile legii.
    ----------
    Alin. (6) al art. 8 a fost introdus de pct. 2 al art. 24 din LEGEA nr. 82 din 13 iunie 2012 publicată în MONITORUL OFICIAL nr. 406 din 18 iunie 2012.


    Articolul 9

    Excepţii
    (1) Furnizorul unei reţele publice de comunicaţii electronice sau al unui serviciu de comunicaţii electronice destinat publicului poate deroga de la prevederile art. 7 referitoare la oferirea posibilităţii de ascundere a identităţii liniei apelante, astfel:
    a) temporar, în urma cererii unui abonat privind depistarea sursei unor apeluri abuzive; în acest caz datele care permit identificarea abonatului apelant vor fi păstrate şi puse la dispoziţie de către furnizorul reţelei publice de comunicaţii electronice sau al serviciului de comunicaţii electronice destinat publicului, în condiţiile legii;
    b) pentru fiecare linie, în vederea soluţionării de către serviciile specializate de intervenţie recunoscute în condiţiile legii, precum poliţie, pompieri sau ambulanţă, a situaţiilor ce le sunt semnalate prin apeluri de urgenţă.
    (2) În cazul prevăzut la alin. (1) lit. b), furnizorul unei reţele publice de comunicaţii electronice sau al unui serviciu de comunicaţii electronice destinat publicului poate deroga şi de la prevederile art. 8, referitoare la obţinerea consimţământului abonatului sau utilizatorului cu privire la prelucrarea datelor de localizare.
    (3) Derogările prevăzute la alin. (1) şi (2) sunt permise în condiţiile stabilite de Avocatul Poporului, cu consultarea ANRC.
    (4) Abrogat.
    ---------
    Alin. (4) al art. 9 a fost abrogat de pct. 13 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 10

    Redirecţionarea automată a apelului
    (1) Furnizorul reţelei publice de comunicaţii electronice sau, după caz, al serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie fiecărui abonat un mijloc simplu şi gratuit de a bloca redirecţionarea automată de către un terţ a apelurilor către echipamentul terminal al abonatului respectiv.
    (2) Abrogat.
    ----------
    Alin. (2) al art. 10 a fost abrogat de pct. 14 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 11

    Registrele abonaţilor
    (1) Abonaţii serviciilor de comunicaţii electronice destinate publicului au dreptul, cu respectarea prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, de a le fi incluse datele cu caracter personal în toate registrele publice ale abonaţilor, în formă scrisă sau electronică.
    (2) Persoanele care pun la dispoziţia publicului registre ale abonaţilor în formă scrisă sau electronică ori care furnizează servicii de informaţii privind abonaţii au obligaţia de a informa abonaţii cu privire la scopul întocmirii acestor registre în care pot fi incluse datele lor cu caracter personal, precum şi cu privire la orice posibilităţi ulterioare de utilizare a acestor date, bazate pe funcţii de căutare integrate registrelor în formă electronică. Informarea abonaţilor este gratuită şi se realizează înainte ca aceştia să fie incluşi în registrele respective.
    (3) Ulterior realizării informării prevăzute la alin. (2), furnizorii de servicii de comunicaţii electronice destinate publicului care atribuie numere de telefon abonaţilor au obligaţia de a le acorda acestora un termen de 45 de zile lucrătoare în care se pot opune includerii datelor necesare identificării lor în toate registrele prevăzute la alin. (1). La expirarea celor 45 de zile lucrătoare, în cazul în care abonaţii nu şi-au exprimat voinţa în sens contrar, datele necesare identificării lor sunt incluse.
    (4) Abonaţii ale căror date cu caracter personal nu sunt disponibile furnizorilor prevăzuţi la alin. (3) pot solicita, în mod gratuit, includerea în toate registrele prevăzute la alin. (1).
    (5) Fără a aduce atingere prevederilor alin. (3) şi (4), persoanele prevăzute la alin. (2), precum şi persoanele care furnizează registrele şi serviciile prevăzute la alin. (1) au obligaţia de a asigura abonaţilor, în mod gratuit şi fără întârziere, următoarele posibilităţi:
    a) de a decide dacă datele lor cu caracter personal, precum şi care dintre acestea vor fi sau nu incluse în aceste registre;
    b) de a verifica, rectifica sau elimina datele cu caracter personal incluse în aceste registre.
    (6) Registrele prevăzute la alin. (1) pot fi utilizate în alt scop, în afara simplei căutări a datelor de contact, pe baza numelui şi, dacă este necesar, a unui număr limitat de alţi parametri, numai cu consimţământul expres prealabil al fiecărui abonat care figurează în aceste registre.
    (7) Prevederile prezentului articol se aplică, în mod corespunzător, şi abonaţilor persoane juridice cu privire la datele care permit identificarea acestora.
    (8) Fără a aduce atingere prevederilor alin. (1)-(7), persoanele care furnizează registrele şi serviciile prevăzute la alin. (1) au obligaţia de a pune la dispoziţia publicului informaţii clare, uşor accesibile şi gratuite privind scopul întocmirii registrelor pe care le gestionează, posibilităţile de utilizare a datelor cu caracter personal pe care le deţin, bazate pe funcţii de căutare integrate registrelor în formă electronică, sau exercitarea de către abonaţi a drepturilor prevăzute la alin. (5).
    ----------
    Art. 11 a fost modificat de pct. 15 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 12

    Comunicările nesolicitate
    (1) Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare şi comunicare care nu necesită intervenţia unui operator uman, prin fax ori prin poştă electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul sau utilizatorul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.
    ----------
    Alin. (1) al art. 12 a fost modificat de pct. 16 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    (2) Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiţia de a oferi în mod clar şi expres clienţilor posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus iniţial.
    (3) În toate cazurile este interzisă efectuarea prin poşta electronică de comunicări comerciale în care identitatea reală a persoanei în numele şi pe seama căreia sunt făcute este ascunsă, cu încălcarea art. 5 din Legea nr. 365/2002, republicată, sau în care nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări ori în care sunt încurajaţi destinatarii să viziteze pagini de internet care contravin art. 5 din Legea nr. 365/2002, republicată.
    ----------
    Alin. (3) al art. 12 a fost modificat de pct. 17 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.
    (4) Prevederile alin. (1) şi (3) se aplică în mod corespunzător şi abonaţilor persoane juridice.


    Articolul 12^1

    Accesul la date al autorităţilor
    (1) La solicitarea instanţelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuţii în domeniul apărării şi securităţii naţionale, cu autorizarea prealabilă a judecătorului stabilit potrivit legii, furnizorii de servicii de comunicaţii electronice destinate publicului şi furnizorii de reţele publice de comunicaţii electronice pun la dispoziţia acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului şi datele de localizare, în conformitate cu prevederile referitoare la protecţia datelor cu caracter personal.
    (2) Solicitările privind datele prevăzute la alin. (1), formulate de către organele de stat cu atribuţii în domeniul apărării şi securităţii naţionale, sunt supuse dispoziţiilor art. 14, 15 şi art. 17-23 din Legea nr. 51/1991 privind securitatea naţională a României, republicată.
    (3) Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea şi securitatea acestor date.
    (4) Solicitările prevăzute la alin. (1) se procesează în condiţii de confidenţialitate.
    (5) Datele de trafic, datele de identificare a echipamentului şi datele de localizare solicitate conform alin. (1) nu fac obiectul ştergerii sau anonimizării de către furnizori, atunci când solicitarea formulată în temeiul alin. (1) este însoţită ori urmată de o notificare cu privire la necesitatea menţinerii lor, în scopul identificării şi conservării probelor sau indiciilor temeinice, în cadrul investigaţiilor pentru combaterea infracţiunilor ori în domeniul apărării şi securităţii naţionale, atât timp cât subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive a instanţei de judecată.
    (6) Instanţele de judecată, organele de urmărire penală sau organele de stat cu atribuţii în domeniul apărării şi securităţii naţionale notifică furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunţarea unei hotărâri judecătoreşti definitive.
    ----------
    Art. 12^1 a fost introdus de pct. 4 al art. unic din LEGEA nr. 235 din 12 octombrie 2015 publicată în MONITORUL OFICIAL nr. 767 din 14 octombrie 2015.


    Articolul 13

    Regim sancţionator
    (1) Constituie contravenţii următoarele fapte:
    a) neîndeplinirea obligaţiei prevăzute la art. 3 alin. (1), în condiţiile stabilite potrivit art. 3 alin. (2)-(4);
    b) neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (5);
    c) neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (6);
    d) neîndeplinirea obligaţiei de informare prevăzute la art. 3 alin. (7);
    e) nerespectarea prevederilor art. 3 alin. (10);
    f) nerespectarea măsurilor stabilite de ANSPDCP potrivit prevederilor art. 3 alin. (11);
    g) nerespectarea prevederilor art. 3 alin. (12);
    h) nerespectarea prevederilor art. 4 alin. (2) referitoare la interdicţia interceptării şi supravegherii comunicărilor şi datelor de trafic aferente;
    i) nerespectarea condiţiilor prevăzute la art. 4 alin. (5);
    j) nerespectarea prevederilor art. 5 referitoare la prelucrarea datelor de trafic;
    k) nerespectarea condiţiilor de emitere a facturilor, stabilite potrivit art. 6;
    l) încălcarea obligaţiilor referitoare la disponibilitatea mijloacelor de ascundere a identităţii sau de respingere a apelurilor, precum şi la informarea publicului, prevăzute la art. 7;
    m) nerespectarea prevederilor art. 8 referitoare la prelucrarea datelor de localizare, altele decât datele de trafic;
    n) nerespectarea prevederilor art. 9 referitoare la condiţiile în care se poate deroga de la prevederile art. 7 sau 8;
    o) încălcarea obligaţiilor referitoare la posibilitatea de a bloca redirecţionarea automată a apelurilor, prevăzute la art. 10;
    p) neîndeplinirea obligaţiilor referitoare la întocmirea registrelor abonaţilor, prevăzute la art. 11;
    q) nerespectarea prevederilor art. 12 referitoare la comunicările nesolicitate.
    (2) Contravenţiile prevăzute la alin. (1) lit. a)-l), n), o) şi q) se sancţionează cu amendă de la 5.000 lei la 100.000 lei, iar pentru societăţile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001 privind regimul juridic al contravenţiilor, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
    (3) Contravenţia prevăzută la alin. (1) lit. p), precum şi contravenţia prevăzută la alin. (1) lit. m), săvârşite prin nerespectarea obligaţiei prevăzute la art. 8 alin. (1) lit. b), se sancţionează cu amendă de la 30.000 lei la 100.000 lei, iar pentru societăţile comerciale cu o cifră de afaceri de peste 5.000.000 lei, prin derogare de la dispoziţiile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările ulterioare, cu amendă în cuantum de până la 2% din cifra de afaceri.
    (4) Contravenţia prevăzută la alin. (1) lit. k) se constată de personalul de control împuternicit în acest scop al Autorităţii Naţionale pentru Administrare şi Reglementare în Comunicaţii, iar sancţiunea se aplică, prin rezoluţie scrisă, de către preşedintele acestei instituţii.
    (5) Constatarea contravenţiilor prevăzute la alin. (1) lit. a)-j) şi l)-q) şi aplicarea sancţiunilor se fac de personalul împuternicit în acest scop al ANSPDCP.
    (6) În măsura în care prin prezenta lege nu se prevede altfel, contravenţiilor prevăzute la alin. (1) li se aplică prevederile Ordonanţei Guvernului nr. 2/2001, aprobată cu modificări şi completări prin Legea nr. 180/2002, cu modificările şi completările ulterioare.
    (7) ANSPDCP poate aplica amenzi cominatorii pe zi de întârziere, în cuantum de până la 5.000 lei, stabilind totodată şi data de la care acestea se calculează, pentru a determina furnizorii să se supună măsurilor luate potrivit prevederilor art. 3 alin. (9).
    (8) Aplicarea amenzilor cominatorii pe zi de întârziere în condiţiile alin. (7) se face prin proces-verbal încheiat de personalul împuternicit în acest scop al ANSPDCP. Procesul-verbal va cuprinde menţiunea cu privire la obligativitatea achitării amenzii la instituţiile abilitate să o încaseze, potrivit legislaţiei în vigoare, precum şi termenul de plată şi constituie titlu executoriu, fără vreo altă formalitate.
    ----------
    Art. 13 a fost modificat de pct. 18 al art. unic din ORDONANŢA DE URGENŢĂ nr. 13 din 24 aprilie 2012 publicată în MONITORUL OFICIAL nr. 277 din 26 aprilie 2012.


    Articolul 14

    Dispoziţii tranzitorii şi finale
    (1) Prevederile art. 11 nu se aplică în cazul registrelor abonaţilor întocmite sau comercializate în formă scrisă ori în formă electronică accesibilă off-line înaintea intrării în vigoare a prezentei legi.
    (2) Pe data intrării în vigoare a prezentei legi se abrogă Legea nr. 676/2001 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor, publicată în Monitorul Oficial al României, Partea I, nr. 800 din 14 decembrie 2001, cu modificările ulterioare.


    Articolul 15

    Transpunerea unor acte normative comunitare
    Prezenta lege transpune Directiva 2002/58/CE a Parlamentului European şi a Consiliului privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Jurnalul Oficial al Comunităţilor Europene nr. L 201 din 31 iulie 2002.

    Această lege a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2) din Constituţia României, republicată.

    PREŞEDINTELE CAMEREI DEPUTAŢILOR

    VALER DORNEANU

    PREŞEDINTELE SENATULUI

    NICOLAE VĂCĂROIU

    Bucureşti, 17 noiembrie 2004.
    Nr. 506.
    ------