Astfel, raportându-ne la textul din 2004, au fost realizate patru schimbări, a fost modificat textul unui articol existent și au fost introduse reglementări prin alineate și articole noi.
1. Art. 2 alin. (1) lit. b¹ introduce definiția unui nou termen, acela de ”date de identificare a echipamentului”.
Acest termen este definit ca reprezentând date tehnice ale furnizorilor de servicii de comunicații destinate publicului și ale furnizorului de rețele publice de comunicații electronice, care permit identificarea amplasamentului echipamentelor de comunicații ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau în scopul facturării contravalorii acestei operațiuni.
2. Următoarea modificare a fost realizată la art.5 alin (1), aceasta constând în introducerea unui termen maxim până la care este permis furnizorului unei rețele publice de comunicații sau a unui serviciu de comunicații electronice destinate publicului să păstreze datele de trafic referitoare la abonați și la utilizatori.
Astfel, atunci când nu mai sunt necesare la transmiterea unei comunicări, datele de trafic trebuie șterse sau transformate în date anonime, cel târziu după 3 ani de la data efectuării comunicării.
3. Alineatul (2¹) al art. 5 introduce un termen maxim de 3 ani de la data efectuării comunicării, pentru prelucrarea datelor de trafic efectuată în scopul stabilirii obligațiilor contractuale ale abonaților la serviciile de comunicații care au plătit în avans.
Din experiență termenul de 3 ani este foarte mare, având în vedere că în tot acest timp aceste date sunt stocate și pot fi corelate în propriul sistem cu alte date, în consecinţă terți pot avea acces la o parte de date foarte mare despre un utilizator. Mai mult, durata de 3 ani este în contradicție cu “dreptul de a fi uitat” al utilizatorului, acesta putând, conform noului regulament european de protecție a datelor cu caracter personal, să solicite ștergerea datelor sale dintr-o bază de date. Totuși, această modificare este un pas înainte, în condițiile în care, în structura anterioară a legii, nu exista un astfel de termen, acest lucru permiţând o ingerință anormală, ba chiar ilegală, în viața privată a abonaților și a utilizatorilor. Restricția temporală impusă furnizorilor aduce dispozițiile legii mai aproape de o exercitare a controlului asupra abonaților și utilizatorilor cu respectarea dreptului acestora la privacy.
4. Noul articol 12¹ introduce condițiile în care se comunică de către furnizorii de servicii de comunicații electronice destinate publicului și furnizorii de rețele publice de comunicații electronice, datele de trafic, de identificare a echipamentului și datele de localizare către instanță.
Nevoia introducerii acestui articol vine în contextul modificărilor realizate la Codul de Procedură Penală în materia supravegherii și a interceptărilor efectuate de SRI. Astfel, furnizorii de servicii sunt obligați să pună la dispoziția organelor de urmărire penală, ori organelor de stat cu atribuții în domeniul apărării și securității naționale sau instanțelor de judecată datele de trafic, datele de identificare a echipamentului și datele de localizare, în conformitate cu prevederile referitoare la protecția datelor cu caracter personal.
Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea şi securitatea acestor date. Această condiție face ca transmiterea datelor cu caracter personal să se efectueze în condiții care să permită controlarea eficientă a comunicării acestor date între instituții.
Faptul că datele solicitate de organele de securitate nu urmează regimul de eliminare prin ștergere sau prin anonimizare, în cazul unei solicitări exprese din partea SRI, este menit să permită controlul asupra datelor, însă acest lucru se întâmplă în situația în care este necesară menținerea lor pentru identificare, conservarea probelor sau a indiciilor temeinice, toate aplicate în văzul unor investigații pentru combaterea infracțiunilor în domeniul apărării și securității naționale. În plus, prevederea se aplică dacă subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunţarea unei hotărâri definitive a instanţei de judecată.
Practic, termenul de 3 ani este prelungit până la 5 ani în această situație. Aceleași organe care solicită păstrarea sau transmiterea informațiilor referitoare la datele de de trafic, datele de identificare a echipamentului și datele de localizare, comunică, prin notificare, furnizorilor încetarea motivelor care au stat la baza solicitării inițiale sau, după caz, notifică furnizorilor faptul că s-a pronunțat o hotărâre definitivă.
In final as vrea sa vorbim un pic despre dreptul la restricţia prelucrării datelor personale corborat cu dreptul de a fi uitat, raportat la aceasta ultima situatie. Si anume, in situatia in care se ajunge la termenul de 5 ani si furnizorii sunt notificati de atre organele de securitate ca trebuie sterse datele, acestia au obligatia de a notifica la randul lor titularul datelor despre situatie. Mai mult decat atat titularul datelor va avea acces la justificarea acestei prelucrari de date personale prelungite?
Datele personale devin cea mai importanta arma impotriva unei comunitati, pentru ca ele iti spun totul despre o persoana sau un grup de persoane, astfel ca au nevoie de o protectie sporita, iar protectia asta trebuie oferita atat in raport cu organele de control cat si in raport cu furnizorii de dierite servicii.
Cristiana Deca este Partener la Decalex Legal Solutions.