Sesizare către ANSPDCP: solicităm începerea unei investigații la toate instituțiile care au transmis date personale către SRI

Către Autoritatea pentru Supravegherea Prelucrării Datelor cu Caracter Personal

Având în vedere afirmațiile publice din ultimele săptămâni din partea unor reprezentanți ai diverselor instituții publice, vă sesizăm că există indicii cu privire la transferul datelor personale ale cetățenilor români în condiții care contravin Legii 677/2001.

Astfel, în data de 8 august 2016, ApTI împreună cu alte 3 asociații nonguvernamentale au atras atenția printr-o scrisoare deschisă[1] asupra proiectului Serviciului Român de Informații (SRI) denumit SII Analytics, proiect ce își propune să aducă împreună baze de date de la majoritatea instituțiilor publice românești și să permită căutarea avansată în acestea a oricăror informații despre toți cetățenii.

Însă, așa cum a declarat ulterior Serviciul Român de Informații[2], proiectul SII Analytics nu este decât o dezvoltare a unui sistem IT deja existent, SII Infrastructură, prin care SRI copiază bazele de date ale unor ministere și instituții-cheie din România.

În acest context, având și punctul de vedere[3] public și pertinent al ANSPDCP transmis HotNews, solicităm începerea unei investigații la toate instituțiile (MAI, MFP, ANAF, ANV, MJ, ANP, MADR, APIA, AFIR, BNR, ONRC, CNAS) care au transmis datele către SRI și comunicarea publică a constatărilor și măsurilor punctuale luate de Autoritate. Astfel, se poate constata că transferul de date personale se desfășoară pe o bază ilegală, nerespectând legislația națională, jurisprudența Curții Europene de Justiție în cazul Bara vs. CNAS și ANAF (C201-14)[4] și nici noul Regulament privind Protecția Datelor cu Caracter Personal, datele fiind prelucrate în mod evident în alt scop decât cel declarat inițial persoanelor vizate, iar transferul către terțe entități s-a făcut fără obținerea consimțământului persoanelor vizate sau a informării acestora, după caz. Mai mult, accesul acestor autorități la sistemul SII este făcut în condiții neclare și către baze de date care au fost colectate cu alt scop, ceea ce ar fi o altă încălcare a legislației naționale.

Având în vedere numărul mare de date personale transferate în mod ilegal vă rugăm să analizați suspendarea de îndată a transferului de date făcut cu încălcarea legii, ștergerea datelor copiate ilegal și demararea acțiunilor juridice necesare pentru anularea oricăror protocoale de colaborare între instituții, așa cum indică normele stabilite de Curtea Europeană de Justiție.

În același timp, solicităm începerea unei investigații în cadrul Serviciului Român de Informații pentru a stabili dacă activitățile sale s-au restrâns exclusiv la domeniul activităților privind siguranța națională. Deși susținem punctul de vedere al ANSPDCP în ceea ce privește argumentul neaplicării Legii 677/2001 privind protecția datelor personale în domeniul activităților privind siguranța natională, nu putem să nu observăm că anumite activități SRI nu se limitează strict la această sferă, așa cum rezultă din caietul de sarcini al SII Analytics care conține elemente de “analiză comportamentală” (adică profilare) și are un alt scop “prevenție, detectare și luare de măsuri pentru reducerea redundanței plăților în zona publică, prevenirea fraudei și abuzurilor și creșterea eficienței în actul guvernamental”.

Mai mult, observăm că printre instituțiile vizate de acest proiect se află și Ministerul Afacerilor de Interne (MAI), căruia i se aplică regimul Legii 238/2009 ce precizează la articolul 4 că prelucrările de date cu caracter personal de către structurile MAI sunt notificate ANSPDCP anterior oricărei prelucrări, iar conform art. 19 alin. (3) orice interconectare a bazelor de date trebuie notificată la ANSPDCP. În acest sens, formulăm și întrebarea dacă acest transfer de date de la structurile MAI către SRI a fost notificat, iar dacă nu a fost notificată acest gen de prelucrare a datelor personale, iar informațiile au fost trimie către SRI, considerăm necesară pornirea unei investigații pentru a stabili dacă a existat un temei legal fondat pentru lipsa unei notificări MAI către ANSPDCP.

Cu toate acestea, subliniăm încă o dată faptul că toate instituțiile publice sunt ținute să respecte o serie de principii de prelucrare (enumerate în articolul 4 alin. 1 din Legea nr. 677/2001 – prelucrării cu bună-credință și în conformitate cu dispozitiile legale, scopul prelucrării datelor să fie determinat, explicit și legitim, iar datele să fie adecvate, pertinente și neexcesive în raport de scopul în care acestea au fost colectate și ulterior prelucrate), astfel încât chiar dacă datele sunt prelucrate cu consimțământ sau nu, toate aceste principii trebuie respectate. Din punctul nostru de vedere, copierea, centralizarea și accesarea fără drept a datelor personale ale cetățenilor de către instituțiile publice contravine normelor legale, iar lipsa unui control efectiv și a unor garanții reale că sistemul nu va fi folosit în mod abuziv încalcă grav drepturile și libertățile fundamentale.

În același timp atragem atenția și asupra ușurinței de extindere din punct de vedere tehnic a sistemelor SII Infrastructură și SII analytics pentru a integra noi surse de date, publice sau nu, deschise sau nu, online sau nu, lucru care va amplifica pericolul prezentat de acest sistem la adresa cetățenilor.

În final, considerăm că este imperios necesară demararea unei investigații temeinice și bine documentate de către ANSPDCP al cărui rezultat să fie făcut public, împreună cu  măsurile corespunzătoare decise pe baza nivelului grav al încălcării drepturilor fundamentale pe care îl suspectăm în acest caz.

Totodată atragem atenția asupra faptului că astfel de cazuri ce încalcă flagrant prelucrarea datelor personale nu poate să stea sub perdeaua motivării unei obligații legale a operatorului (articolul 5 alin. (2) din Legea nr. 677/2001), dacă aceasta nu este stipulată în mod clar și explicit. În acest sens, suntem de părere că ANSPDCP ar trebui să ia o poziție fermă ori de căte ori există derapaje legislative care mascheză încălcarea principiilor prelucrării datelor cu caracter personal, așa cum este demonstrat în acest caz.

 

Semnatari

Asociația pentru Tehnologie și Internet – ApTI

Centrul de Resurse Juridice – CRJ

ActiveWatch

Centrul pentru Inovare Publică

Miliția Spirituală

Asociația pentru Minți Pertinente – AMPER

Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)

 

Documentație

Scrisoare deschisă împotriva supravegherii generalizate: https://www.apti.ro/sites/default/files/Scrisoare%20publica%20impotriva%20proiectului%20SRI%20de%20supraveghere%20generalizata_0.pdf

 

Document de analiză caiet sarcini proiect SRI de supraveghere generalizată: http://www.apti.ro/sites/default/files/Document%20de%20analiza%20caiet%20sarcini%20proiect%20SRI%20de%20supraveghere%20generalizata_0.pdf

 

Comunicat de presă SRI proiect SII Analytics:

http://www.sri.ro/comunicat-de-presa-08-08-2016-18-27.html

 

SRI a copiat bazele de date:

http://economie.hotnews.ro/stiri-telecom-21229546-sri-copiat-deja-baze-date-mai-multe-ministere-institutii-cheie-urmareste-noul-sistem-prevenire-fraudei-coruptiei-terorismului-evaziunii-fiscale.htm

 

Explicații Ministerul Finanțelor și Registrul Comerțului:

http://economie.hotnews.ro/stiri-telecom-21258658-cum-explica-ministerul-finante-registrul-comertului-transmiterea-bazelor-date-catre-sri-nu-fost-nevoie-consimtamantul-cetatenilor-pentru-prelucrarea-datelor.htm

 

Declarație BNR:

http://economie.hotnews.ro/stiri-telecom-21231577-spune-bnr-despre-bazele-date-care-pus-dispozitia-sri.htm

 

Investigație România Curată despre sistemul SRI:

http://www.romaniacurata.ro/elefantul-din-camera-sistemul-big-brother-al-sri-e-vechi-de-13-ani/

 

Anunț de presă SRI finalizare proiect SII Infrastructură: http://www.sri.ro/fisiere/comunicate/Anunt_de_presa_-_proiect_POS_CCE.pdf

 

Bazele de date copiate de SRI:

http://economie.hotnews.ro/stiri-telecom-21233868-bazele-date-copiate-sri-ministere-institutii-cheie-spune-autoritatea-pentru-protectia-datelor-personale.htm

 

Bara vs. CNAS și ANAF (C201-14):

http://curia.europa.eu/juris/document/document.jsf?docid=168943&doclang=RO

 

Hotărâre de Guvern nr. 952 din 14 august 2003 privind aprobarea normelor şi procedurilor în vederea operationalizarii Sistemului informatic integrat, componenta a Sistemului Electronic Naţional:

http://legislatie.just.ro/Public/DetaliiDocument/46049

 

Contestație APADOR-CH împotriva Hotărârii de Guvern:

http://www.apador.org/access/24_43.pdf

 

Interviu Radu Timofet despre sistemul integrat: http://www.romanialibera.ro/special/investigatii/legile-pentru-sistemul-integrat–secrete-de-stat-93117

SII Infrastructură:

http://media.hotnews.ro/media_server1/document-2016-08-16-21229541-0-sii-infrastructura.doc

 

SII Analytics:

http://media.hotnews.ro/media_server1/document-2016-08-16-21229540-0-sii-analytics.doc

[1]             Scrisoarea deschisă, SRI vrea să folosească fonduri europene pentru supravegherea generalizată a tuturor cetățenilor, printr-un proiect deghizat în eGuvernare, Asociația pentru Tehnologie și Internet, 8 august 2016, disponibilă la: https://www.apti.ro/sites/default/files/Scrisoare%20publica%20impotriva%20proiectului%20SRI%20de%20supraveghere%20generalizata_0.pdf

[2]             SRI a copiat deja baze de date de la mai multe ministere si institutii cheie. Ce urmareste noul sistem IT de prevenire a fraudei, coruptiei, terorismului si evaziunii fiscale, Adrian Vasilache, 16 august 2016, disponibil la: http://economie.hotnews.ro/stiri-telecom-21229546-sri-copiat-deja-baze-date-mai-multe-ministere-institutii-cheie-urmareste-noul-sistem-prevenire-fraudei-coruptiei-terorismului-evaziunii-fiscale.htm

[3]             Bazele de date copiate de SRI de la ministere si institutii cheie: Ce spune Autoritatea pentru Protectia Datelor Personale, Adrian Vasilache, 18 august 2016, disponibil la: http://economie.hotnews.ro/stiri-telecom-21233868-bazele-date-copiate-sri-ministere-institutii-cheie-spune-autoritatea-pentru-protectia-datelor-personale.htm

[4]             Bara vs. CNAS și ANAF (C201-14), Curtea de Justiție a Uniunii Europene, 1 octombrie 2015, disponibilă la: http://curia.europa.eu/juris/document/document.jsf?docid=168943&doclang=RO