Detinatorii de infrastructuri cibernetice vor avea obligatia 'sa nu permita accesul la datele de continut din infrastructurile detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii', se arata in noul proiect de lege privind securitatea cibernetica a Romaniei. Ce inseamna mai exact aceasta formulare? Ministerul pentru Societatea Informationala spune ca aceasta inseamna 'aducerea respectivei autorizatii la cunostinta detinatorilor de infrastructuri cibernetice (..), reprezentand o notificare scrisa, oficiala, pentru a pune in executare autorizarea judecatorului, si nu o simpla prezentare a actului de autorizare, neconsemnata'.
La sfarsitul lunii ianuarie din acest an, autoritatile au scos in dezbatere publica un nou proiect de lege imbunatatit privind securitatea cibernetica a Romaniei.
Amintim ca o lege similara a fost declarata neconstitutionala in luna ianuarie a anului trecut, unul dintre motive fiind ca accesul la datele clientilor se putea face de catre SRI si alte autoritati fara mandat judecatoresc, lasand posibilitatea abuzurilor din partea autoritatilor.
- Pentru detalii citeste si: De ce a cazut Legea securitatii cibernetice. Motivarea Curtii Constitutionale
De aceasta data, initiatorii spun inca din expunerea de motive ca noul proiect "prevede ca si garantie a respectarii drepturilor si libertatilor persoanei faptul ca accesul la datele de continut din infrastructurile cibernetice ale detinatorilor prevazuti de lege se va realiza in baza unei autorizatii emise de judecator, in conditiile legii".
Totusi, in proiectul de lege exprimarea este putin diferita:
- "Art. 20 - (1) Detinatorii de infrastructuri cibernetice prevazuti la art. 2 lit. a)-c) au urmatoarele obligatii: (..)
- d) sa nu permita accesul la datele de continut din infrastructurile cibernetice detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii".
HotNews.ro a solicitat Ministerului pentru Societatea Informationala (MSI), caruia in acest proiect de lege i se confera rolul de 'autoritate de reglementare si control al implementarii masurilor referitoare la asigurarea securitatii cibernetice' sa explice ce inseamna mai exact aceasta formulare.
Prezentam mai jos integral raspunsul oferit de MSI:
- "Pentru prevenirea materializarii unor amenintari la adresa securitatii cibernetice sau a materializarii unor atacuri cibernetice la adresa securitatii infrastructurilor cibernetice de interes national, in scopul asigurarii protejarii drepturilor si libertatilor fundamentale ale cetatenilor in spatiul cibernetic, autoritatile competente ale statului solicita judecatorului, in conditiile legii, autorizatie pentru accesul la datele de continut din aceste infrastructuri.
- Aceasta prevedere a fost introdusa de initiator tocmai pentru a raspunde criticilor formulate de Curtea Constitutionala la adresa vechiului proiect al legii, ca o garantie a respectarii drepturilor si libertatilor cetatenilor.
- Referitor la termenul de 'instiintare scrisa', instiintare reprezinta 'comunicarea scurta facuta de obicei in scris de o institutie, care cuprinde o stire, un anunt etc.'
- Prin interpretare, 'instiintare scrisa privind existenta unei autorizatii emise de judecator' consta in aducerea respectivei autorizatii la cunostinta detinatorilor de infrastructuri cibernetice - prevazuti in proiect la art. 2 lit. a) - c), reprezentand o notificare scrisa, oficiala, pentru a pune in executare autorizarea judecatorului, si nu o simpla prezentare a actului de autorizare, neconsemnata.'
- Grupul de lucru care a elaborat aceasta versiune este format pe structura grupului tehnic al C OSC (Consiliul Operativ de Securitate Cibernetica), mecanism de cooperare interinstitutionala, care reuneste consilierul prezidential pentru probleme de securitate nationala, secretarul CSAT, precum si reprezentanti ai MAPN, MAI, MCSI, SRI, SIE, STS, ORNISS".
Juristul Bogdan Manolea, despre noua propunere de lege a securitatii cibernetice: De ce e aceeasi Marie cu alta Palarie
Exista insa si voci care nu se arata foarte incantate de noua forma a proiectului de lege privind securitatea cibernetica.
Astfel, juristul Bogdan Manolea, director executiv al Asociatiei Pentru Tehnologie si Internet, unul dintre cei care au avertizat insistent anul trecut ca legea in forma anterioara incalca drepturile la viata privata, lucru confirmat si de Curtea Constitutionala, considera ca noul proiect este o versiune resapata a vechiului proiect cu mult mai alambicata si mai generica, dar cu acelasi principii ca data trecuta - toate persoanele juridice sunt subiectii legii si trebuie 'elaboreze si sa implementeze politici si planuri de securitate cibernetica' si sa raporteze 'toate incidentele de securitate'.
Acesta remarca totusi evolutia fata de anul trecut - chestiunile neconstitutionale majore (accesul la data fara mandat de la judecator sau SRI ca auditor al sistemelor informatice) nu mai apar in noul proiect.
Juristul remarca faptul ca "securitatea datelor personale este prevazuta ca principalul principiu al legii. Doar ca astea sunt vorbe goale, pentru ca legea nu doar ca nici macar nu mentioneaza legea 677/2001 sau Autoritatea din domeniu (n.a Autoritatea Nationala pentru Protectia Datelor cu Caracter Personal - ANSPDCP), dar nici macar nu prevede ceea ce ar trebui sa aduca ca noutate pe domeniul securitatii datelor personale - raportarea pierderii datelor personale (data breach), pentru a intra in trendul european".
