Da, am facut plingere atit la ANCOM cat si la ANSPDCP (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal). Cei de la ANCOM mi-au spus asa:

În ceea ce priveşte informarea abonaţilor, ambii furnizori au indicat prevederile contractuale incluse în contractele-cadru pe care le încheie cu utilizatorii finali, referitoare la posibilitatea aplicării unor proceduri de dimensionare şi rutare a traficului în reţea în scopul evitării congestionării reţelei.
Analizând, din perspectiva prevederilor art. 51 alin. (2) lit. d) din Ordonanţa de urgenţă a Guvernului nr. 111/2011, răspunsurile celor doi furnizori, precum şi prevederile contractelor pe care aceştia le încheie cu utilizatorii finali, considerăm că acestea din urmă sunt incomplete.
Astfel, vom solicita celor doi furnizori clarificarea şi completarea informaţiilor existente în contracte cu aspecte legate atât de tehnicile de compresie a traficului, cât şi de impactul acestora asupra experienţei utilizatorului final.

Pe de altă parte, precizăm faptul că ANCOM nu are atribuţii care să îi permită să solicite furnizorilor dezactivarea tehnicilor de optimizare aplicate.

Ok, sincer nu am observat nici o completare a informatiilor existente in contracte, dar e bine ca au luat atitudine. Si daca ANCOM spune ca nu are dreptul de a cere dezactivarea interceptarii traficului (desi mi se pare aberant sa nu poata cere asta), atunci poate cei de la ANSPDCP o pot face.

La plingerea initiala catre ei, acestia mi-au cerut mai multe detalii tehnice (desi in articol erau destule) insa fiind intr-o perioada mai aglomerata nu am reusit sa mai revin cu un raspuns.

Se pare totusi ca a mai existat cineva care a facut plingere la ANSPDCP exact in aceeasi perioada. Chiar daca raspunsul a venit mai tarziu, acesta este unul imbucurator:

In prezent, ca urmare a recomandarilor date de reprezentantii autoritatii de supraveghere, unul din operatorii de telefonie a modificat solutia de optimizare a traficului prin eliminarea modificarii URL-ului, iar celalalt a renuntat la aceasta procedura

Asadar au obligat operatorii  de telefonie Vodafone si Cosmote sa renunte la acea modificare a URL-ului aplicata imaginilor si nu numai. Sincere felicitari celor de la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal! Nu este un lucru tocmai usor din partea lor, mai ales ca primesc mii de solicitari si reclamatii, iar investigatiile (mai ales cele tehnice) nu sunt chiar la indemina oricui.

Acesta este un alt succes important pe care il experimentez din partea autoritatii de supraveghere, primul fiind in cazul BCR.

Intregul raspuns pe care l-au trimis este acesta:

• numărul de telefon apelat
• numărul către care a fost redirecționat apelul
• data și ora inițierii și încheierii apelului
• data si ora conectării si deconectării de la serviciul de acces la Internet
• adresa IP alocată dinamic sau static, data si ora conectării si deconectării de la serviciul de postă electronică sau de telefonie prin internet
• identitatea internaţională de abonat mobil (IMSI)
• identitatea internaţională a echipamentului mobil (IMEI)
• identificatorul celulei la începutul comunicării
• datele care permit stabilirea localizării geografice a celulelor, prin referire la identificatorul acestora

În caz că nu știați, aceste date sunt reținute conform legii 82/2012, așa-zisa lege Big brother. Motivul solicitării a fost acela că, în cuprinsul acestei legi se specifică faptul că

Punerea in aplicare a prevederilor prezentei legi se face cu respectarea dispozitiilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, precum si ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu modificarile si completarile ulterioare, precum si cu modificarile si completarile aduse prin prezenta lege.

Așadar potrivit art. 13 din Legea nr. 677/2001 (dreptul de acces) eu sunt îndrepățit să aflu aceste date ce se rețin despre mine. Bineînțeles că operatorul a refuzat punerea la dispoziție a celor cerute, legându-se de o singură frază în loc să aplice contextul legal.

Vă confirm că ABCDEF România respectă cu strictețe toate prevederile legale în domeniul protecției prelucrării datelor personale.
Referitor la solicitarea dumneavoastră, cu referire la Legea nr. 82/2012, menționez că în conformitate cu articolul 1, alineatul 1, ABCDEF România poate furniza aceste date doar la solicitarea organelor de urmărire penală, instanțelor de judecată si organelor de stat cu atribuții în domeniul siguranței naționale în scopul utilizării lor în cadrul activităților de prevenire, de cercetare, de descoperire si de urmărire penală a infracțiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei.
Ca urmare a aspectelor anterior menționate, regret, dar nu putem da curs solicitării dumneavoastră si rămânem la dispoziția dumneavoastră pentru orice informație suplimentară.

Nu știu cum respectă prevederile legale dacă uită faptul cel mai important: legea 82/2012 trebuie să respecte și prevederile legii 677/2001, inclusiv alineatul 13 deci faptul că „orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit pentru o solicitare pe an” aceste informații.

Nefiind mulțumit de acest răspuns al operatorului, am trimis o solicitare și către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal prin care am cerut clarificarea acestui aspect: dacă am sau nu dreptul la a primi datele reținute prin legea 82/2012. Răspunsul a fost următorul:

Referitor la petiţia dumneavoastră înregistrată la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal sub nr. 24955 din 02.10.2012, prin care reveniţi asupra aspectelor semnalate prin petiţia anterioară nr.21968 din 28.08.2012, referitoare la încălcarea dreptului de acces la date de către S.C. ABCDEF România S.A., care a refuzat să vă furnizeze informaţiile pe care le-aţi solicitat, respectiv „datele de trafic ce s-au înregistrat pentru propriul număr de telefon mobil, de la data intrării în vigoare a Legii nr. 82/2012 până în prezent”, vă aducem la cunoştinţă următoarele:

Potrivit art. 13 din Legea nr. 677/2001 (dreptul de acces), persoana vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, o serie de informaţii referitoare la prelucrarea datelor sale.

Totodată, reiterăm că, potrivit prevederilor Legii nr. 82/2012, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi administrarea unor baze de date în format electronic, în vederea reţinerii categoriilor de date stabilite de această lege, în măsura în care sunt generate sau prelucrate de aceştia, în termen de 6 luni de la data intrării în vigoare a legii.
În acest context, aveţi posibilitatea de a obţine informaţiile solicitate, ca urmare a exercitării dreptului de acces în baza Legii nr. 677/2001, după  expirarea termenului susmenţionat.

Astfel, de la 6 luni după publicarea în Monitorul Oficial, publicare ce a avut loc în data de 18 iunie 2012, oricine poate solicita furnizorilor de rețele publice de comunicații electronice și a furnizorilor de servicii de comunicații electronice destinate publicului (operatori de telefonie mobilă, furnizori de Internet, etc.) datele cerute de mine mai sus.

Cu alte cuvinte, începând cu 18 decembrie 2012 puteți solicita aceste lucruri. În caz de refuz apelați la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Cel mai bine este ca, în momentul depunerii cerererii către operator să menționați că sunt obligați să vă ofere informațiile cerute conform art 13 din legea 677/2001 și conform petiției nr. 24955 din 02.10.2012 înregistrată la ANSPDCP. Nu uitați să cereți număr de înregistrare pentru cererea dumneavoastră. Tocmai din acest motiv eu prefer să trimit prin fax și să sun în aproximativ 30 min la relații clienți pentru acordarea numărului de înregistrare.

Aș aprecia dacă aceste informații pe care le-am obținut ar fi cât mai mediatizate tocmai pentru ca publicul să știe că are dreptul de a obține datele de trafic înregistrate de operatorii de telefonie mobilă pentru numărul de telefon propriu.

Observând asta, am contactat banca şi am cerut mai multe detalii. După aproximativ 40 zile de aşteptare, în care singurul răspuns primit a fost că voi fi eu contactat cândva, lucru care nu s-a întâmplat, am trimis o sesizare către AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL, ANSPDCP, în care am detaliat ce se întâmplă. Am primit răspuns cu numărul sesizării şi cam asta a fost. În luna februarie din acest an am contactat din nou ANSPDCP, întrebând dacă au vreun rezultat al investigaţiei. Mi s-a spus că încă cerceteaza şi că în curând voi primi răspunsul.

Ei bine, astăzi a venit şi acest răspuns:

Faţă de constatările efectuate, s-a dispus sancţionarea contravenţională a Băncii Comerciale Române în baza art. 32 din Legea nr. 677/2001, deoarece dezvăluie CNP- ul persoanelor vizate, respectiv al plătitorilor sau beneficiarilor unor plăţi, prin extrasele de cont emise, fără consimţământul expres al persoanelor vizate în acest sens şi fără ca această dezvăluire să fie prevăzută în mod expres de o dispoziţie legală.

De asemenea, prin Decizia Preşedintelui ANSPDCP nr. 25 din 26 martie 2012 s-a dispus ştergerea de către Banca Comercială Română a CNP-ului persoanelor vizate, respectiv al plătitorilor sau beneficiarilor unor plăţi, din extrasele de cont pe care le emite.

Mă bucur că cei de la ANSPDCP au investigat problema semnalată şi chiar au constat că este o problemă. Nu mă interesează suma cu care cei de la Banca Comercială Română au fost sancţionaţi întrucât aceste sancţiuni sunt prea mici, ci mă bucură faptul că s-a făcut dreptate şi BCR-ul va trebui să şteargă CNP-ul din extrasele de cont atât cele vechi cât şi cele care vor fi emise în continuare.

Justice has been done!