Interoperabilitatea: Sa fie ușor, dar cu datele personale protejate

  • Posted on: 28 March 2022
  • By: Redacția ApTI

România este în proces de adoptare a unei legi care va reglementa schimbul de date informatice între instituțiile publice. Unul dintre beneficiile noului sistem ar putea fi o simplificare a cerințelor birocratice pentru cetățean, pentru că nu va mai trebui să plimbăm atâtea hârtii de la o instituție la alta.

Principiul sună bine, dar hai să vedem cum ați răspunde la câteva întrebări legate de acest nou sistem.

Majoritatea va răspunde DA la întrebarea:
    1. Vrei să câștigi o oră în loc să faci copii după cartea de identitate sau diploma de studii și să alergi prin oraș ca să le depui la cine știe ce instituție publică?
Cel puțin o parte va răspunde NU sau POATE la întrebările:
    1. Trebuie ca Poliția să aibă acces imediat la datele tale de la Casa Națională de Asigurări de Sănătate?
    2. Ar trebui ca cineva din Ministerul Educației să poată știi ce taxe ai plătit sau nu la Administrația financiară?
    3. Și oare datele de la divorțul tău din Portalul Instanțelor de Judecată ar trebui să fie la un click distanță pentru orice funcționar public?
    4. Iar fostul profesor, care este investigat pentru abuzuri asupra copiilor, ar trebui să aibă acces la noile date din buletin ale copilului tău din baza de date de la DEPADB?
(Notă: întrebările sunt uneori exagerate, pentru a sublinia ideea de principiu)

Diferența dintre primul set de întrebări și al doilea este că, în primul caz, tu, ca cetățean, s-ar putea să vrei acest lucru, pe când, în al doilea, fie nu dorești acest lucru, fie, cel puțin, te îndoiești că l-ai dori.
Din fericire, avem GDPR, care ne certifică că Statului nu i se permite să folosească datele noastre personale, doar pentru că poate. Sau pentru ca trebuie. Ci că fiecare instituție (la fel ca orice alt operator de date privat) trebuie să răspundă la următoarele întrebări: de ce vrea accesul la acele date personale? care este temeiul legal? de ce date specifice are nevoie? nu este accesul la acestea nu este exagerat raportat la scopul utilizării lor? câtă vreme le ține? cum le asigură securitatea? cum dovedește că a răspuns corect la toate întrebările anterioare?


Interoperabilitatea între bazele de date publice cu date personale este un subiect complex și nu neapărat doar din punct de vedere tehnic. Dar interoperabilitatea se poate face. Cu respect pentru datele noastre. De aceea, legea interoperabilității este necesară și utilă - dar trebui să aibă acel cumul de garanții și proceduri care fac cetățenii să aibă încredere că orice abuz al datelor lor este aproape imposibil.
Proiectul supus acum (de către Guvern sau un grup de parlamentari, nu este clar), dezbaterii publice abordează într-un mod amatoricesc accesul, transferul sau divulgarea de date personale.

Ceea ce propunem ca amendamente și principii (vezi detalii mai jos, în scrisoarea înaintată de noi Guvernului) este un cadru minimal - bazat pe implementarea corectă a Regulamentului UE 679/2016 - GDPR - astfel încât prelucrările de date personale să fie făcute în mod legal, dând încredere cetățeanului că datele sale personale nu sunt abuzate. În atașamente, am pus documentul poziției cu tot cu resurse, plus un document cu proiectul în forma sa inițială alături de toate comentariile pe care le-am primit, anonimizate. Poziția este formulată în urma consultării cu membrii comunității Asociației pentru tehnologie și internet. Le mulțumim tuturor celor care au trimis comentarii și celor care au participat în persoană la dezbatere!

Publicăm anunțuri despre proiecte legislative de acest fel și invitații la colaborare și dezbatere pe canalul de știri ApTI de pe Telegram. Dacă vrei să fii la curent cu subiecte de digital rights, abonează-te la canalul de știri.


Asociaţia pentru Tehnologie și Internet (ApTI) este o organizaţie neguvernamentală care acționează pentru protecția drepturilor civile digitale prin garantarea unui mediu digital liber și deschis.

Comentariile de mai jos privesc aspectele prioritare din textul legii, care pot afecta drepturile civile digitale, conform expertizei ApTI. De aceea nu ne vom pronunța cu privire la alte aspecte decât în comentariile de pe text, deși textul trebuie clarificat pe multe alte aspecte. Poziția este formulată în urma consultării cu membrii comunității ApTI.

     1. Premise

Legea propusă pornește de la mai multe aspecte fundamentale corecte - avem nevoie de schimb de date informatice între instituțiile publice, avem nevoie de crearea unei platforme de interoperabilitate și avem nevoie de o lege care să definească corect Registrele esențiale, ca punct de plecare în folosirea unor date de încredere pentru administrația publică.

Fără încredere, interoperabilitatea mult clamată devine doar o funcție tehnică puțin folosită. Experiența recentă ne arată că cetățenii au în general puțină încredere în sistemele publice informatice și, în special, cu mult mai puțină față de sistemele private pe care le folosesc zilnic. Teama de abuz a datelor este una recurentă. Uneori pe bună dreptate, alteori nu.

     2. Reglementarea corectă a datelor personale este cheia pentru încredere

Putem crea încredere prin măsuri clare și adecvate în care arătăm că datele personale ale cetățenilor sunt respectate în acest proces și sunt puse pe primul loc, atât ca protecție a datelor prin principii, mecanisme, proceduri, audit, acces nelimitat, dar și prin securitatea datelor personale.

Ar trebui să existe o distincție clară între datele cu caracter personal (cf. definiției din Regulamentul 679/2016 - GDPR) și alte date care sunt supuse interoperabilității. Altfel, s-ar putea ca acest regim mai strict să trebuiască sa fie implementat în toate cazurile.

Atenție! Inclusiv anumite date legate de persoanele juridice (de ex. numele administratorului sau asociaților) sunt date cu caracter personal. De asemenea, datele pot fi categorisite conform unor norme interne, pentru fiecare categorie putând exista reguli diferite. (vezi Anexa 1 pentru un model de categorisire propuse de prof. Adrian Munteanu)

De asemenea, pentru respectarea GDPR trebuie făcute distincții cu privire la prelucrarea datelor aparținând diverselor categorii specifice:

  • minori
  • persoanele cu dizabilități (în special în cazul celor psihice)
  • datele din categoriile speciale (reglementate specific în art. 9 GDPR).

Textul propus este destul de vag în ceea ce privește măsurile practice de protecție a datelor și, din cauza acestor lacune, pare a permite unei instituții publice să aibă acces nelimitat la datele personale colectate de altă instituție publică în cu totul alt scop, doar că acest lucru este ilegal nu doar conform GDPR, ci și prin practica actuală a Curții Europene de Justiție, pe un caz chiar din România, care subliniază că un simplu acord între cele 2 instituții nu este suficient (Bara vs. CNAS).

Cum proiectul este lacunar cu privire la modul în care datele personale sunt prelucrate, ar trebui să pornim de la câteva explicații relativ simple, și ușor de înțeles pentru orice persoană, despre cum va funcționa sistemul (și abia apoi putem discuta cum se pot integra în proiect):

2.1. Temeiul legal al divulgării datelor

Pornind de la cele 6 temeiuri legale ale prelucrării datelor (cf. Art. 6 GDPR), se identifică următoarele variante:

  1. Accesul la datele persoanei vizate (inclusiv pentru activități de interoperabilitate) se poate face doar cu consimțământul persoanei vizate, ca principiu.

  2. Ca excepție, în condițiile în care persoana vizată cere în mod explicit un anume serviciu public electronic, accesul la date se poate face în temeiul acestei cereri (demersuri în vederea încheierii unui contract) dacă:

  • Exista acordul într-un un contract pentru furnizarea acelui serviciu (Termeni și condiții);
  • Exista informarea explicită că pentru furnizarea serviciului, se vor accesa/verifica/folosi/copia datele persoanei vizate de la instituția X prin sistemul de interoperabilitate;
  • Datele personale sunt absolut necesare pentru executarea serviciului public cerut și nu pot fi folosite în alt scop (pentru a putea demonstra acest lucru - vezi Guidelines EDPS).
  1. Ca excepție, dacă statul dorește să existe o interoperabilitate (manuală, automată sau (semi-automată) a datelor personale, pe temeiul obligație legală:

  • trebuie să existe prevederi exprese (cine, ce date, în ce scop, cum se face, care sunt garanțiile, cum sunt informate persoanele) într-o lege (nu în acorduri/memorandumuri sau HG - vezi CJUE, cazul Bara vs. CNAS);
  • trebuie ca legea să stipuleze în mod clar ce serviciu și ce date se transferă, în ce scop, inclusiv imposibilitatea schimbării scopului;
  • în analiza premergătoare legii, trebuie făcut un DPIA (art. 35 GDPR) pentru a vedea modul în care activitatea propusă respectă principiile GDPR și de ce celelalte temeiuri nu sunt adecvate.

       4. Ca o excepție deosebită, dacă există la un moment necesitatea de a prelucra date pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice (de ex. viața îi este în pericol), trebuie să se definească o procedură prin care ADR să permită acces rapid la anumite date personale. Toate cazurile vor trebui înregistrate individual și auditate anual de ANSPDCP.

      5. Nu poate să existe o interoperabilitate a datelor personale din sisteme publice, pe baza temeiurilor din art. 6 lit. e (interes public) și f (interes legitim).

2.2. Procesul de aprobare a activității de divulgare de date

     A.Fiecare activitate care presupune divulgarea de date personale de la o instituție publică (Registru de bază) la alta ar trebui să fie supuse unui proces electronic, desfășurat în întregime prin platforma de interoperabilitate, de autorizare a divulgării din punctul de vedere al protecției datelor pentru activitatea respectivă (procesul are loc o singură dată pentru fiecare activitate în parte și este revizuit anual), care include:

  1. Instituția care cere accesul trebuie să facă o cerere cu Regulile divulgării (sau Contract de schimb de date), aprobată de Responsabilul cu protecția datelor (DPO-ul propriu), care să conțină elementele minime pentru un transfer/divulgare: scopul, datele cerute și perioada stocării (în cazul datelor transferate), inclusiv temeiul legal GDPR pentru transferul de date (vezi pct 2.1) și modul în care respectă principiile minimizării (vezi mai jos punctul 2.2.B).
  2. Registrul care permite prelucrarea datelor trebuie să confirme Regulile divulgării, inclusiv prin aprobarea de către DPO-ul propriu, că prelucrarea este conformă GDPR (sau să o permită cu excepții).
  3. ADR trebuie să confirme Regulile divulgării, împreună cu măsurile de securitate minimale suplimentar, pe care trebuie să le îndeplinească fiecare parte.
  4. Fiecare parte este operator de sine stătător în prelucrarea datelor.
  5. Esența Regulilor divulgării trebuie făcută publică pe site-ul ADR (instituții implicate, categorii de date, scop, temei legal transfer, perioada de păstrare).
  6. Procesul trebuie revizuit cel puțin o dată pe an de toate părțile implicate. Procesul ar trebui auditat extern cel puțin o dată la 2 ani.
  7. Dacă exista o plângere sau sesizare în acest sens, ANSPDCP poate să ceară părților să revizuiască Regulile divulgării.

     B. Toate prelucrările de date de la o instituție publică (registru) la alta ar trebui să fie supuse principiului minimizării colectării datelor. În practică aceasta înseamnă că:

  1. Doar datele absolut necesare pentru prestarea unui serviciu (fie public, fie cerut de un privat) se pot prelucra. Ambele părți trebuie să fie de acord asupra acestui aspect, cf. pct. A, de mai sus. Orice persoană vizată poate cere re-verificarea acestui aspect.
  2. Se pot face doar activitățile de prelucrare minim necesare pentru prestarea unui serviciu (de ex. verificare vs. copiere). Orice persoană vizată poate cere re-verificarea acestui aspect.
  3. Doar minimum de identificare necesare pentru persoana fizica poate fi implementat pentru o anumite activitate. (de ex. nu îți trebuie semnătură electronica calificată pentru orice interacțiune cu statul)

     C. Toate activitățile de interoperabilitate trebuie să fie desfășurate:

  • în deplină securitate (în sensul GDPR), inclusiv prin realizarea unui audit de securitate anual, cu concluzii publice.
  • în deplină transparență (persoana vizată să aibă acces la toate detaliile legate de cine a accesat datele sale).

2.3. Platforma națională de interoperabilitate

Cu toate că pare a avea o funcție preponderent tehnică și de intermediere, platforma va prelucra un set impresionant de date cu caracter personal, deci din aceasta perspectivă este obligatorie realizarea unei evaluări a impactului asupra datelor personale conform art. 35 GDPR de către operator (ADR), inclusiv depunerea evaluării la ANSPDCP conform articolului 36 GDPR.

Recomandăm analiza detaliată a Ghidului EDPS pentru instituțiile europene, care, pe cale de consecință, poate fi folosit ca resursă - https://edps.europa.eu/sites/edp/files/publication/it_governance_management_en.pdf

În mod normal această analiză ar trebui de fapt să stea la baza acestei legi și a deciziilor cu privire la datele personale din ea. În caz contrar, dacă analiza se face ulterior adoptării legii, există riscul ca anumite aspecte din lege să nu permită protecția datelor personale.

2.4. Rolul părților

Fiecare Registru sau instituție publică este operator de date cu caracter personal pentru propria activitate de prelucrare. Furnizorul Platformei de interoperabilitate (ADR) este persoană împuternicită (care asigură un serviciu tehnic și securitatea transmiterea informațiilor).

     3. Dezbatere publică

În calitate de asociație legal constituită și în temeiul art. 6 alin. 7 din Legea nr. 52/2003 privind transparenta decizională în administrația publică, vă adresăm prezenta cerere pentru a solicita organizarea unei întâlniri în care să se dezbată public proiectul de Lege privind schimbul de date între sisteme informatice și crearea platformei naționale de interoperabilitate. Reamintim că, potrivit art. 6 alin. 7 din Legea nr. 52/2003, organizarea unei întâlniri în care să se dezbată public proiectul de lege este obligatorie dacă acest lucru a fost cerut în scris de către o asociație legal constituită.

Având în vedere că acesta este un proiect de lege care ar trebui să stea la baza digitalizării României , credem că este necesară o dezbatere reală a tuturor aspectelor menționate.

 

Anexa 1

Exemplu de categorii de date prelucrate - pentru fiecare ar putea exista drepturi diferite (via Adrian Munteanu).

CATEGORIA

DESCRIERE

A

Date de identificare și caracteristici personale

A.1

Nume și prenume

A.2

Data nașterii

A.3

CNP

A.4

Cetățenie

A.5

Serie și număr buletin / carte de identitate / pașaport / alt act de identitate (ex. permis de ședere, de muncă etc.)

A.6

Adresa de domiciliu (inclusiv cele anterioare, dacă există)

A.7

Data emiterii

A.8

Data expirării

A.9

Poza din buletin

A.10

Reședință (dacă există)

A.11

Stare civilă

A.12

Număr de telefon (personal și / sau de serviciu)

A.13

Email (personal și / sau de serviciu)

A.14

Pseudonim

A.15

Semnătura

A.16

Vârstă

A.17

Religie

A.18

Sex

A.19

Locul nașterii

A.20

Naționalitate

A.21

Nume și prenume tată

A.22

Nume și prenume mamă

A.23

Numărul plăcuței de înmatriculare a autoturismului (personal și / sau de serviciu)

A.24

Numărul permisului de conducere

A.25

Numărul de asigurare sociala sau de sănătate

 

 

CATEGORIA

DESCRIERE

B.

Detalii despre membrii familiei

B.1

Nume și prenume soț / soție

B.2

Data naștere soț / soție

B.3

Numele dinainte de căsătorie al soțului / soției

B.4

Numele după căsătorie soț / soție

B.5

Nume și prenume copii

B.6

Data naștere copil

B.7

CNP copil

B.8

Seria și numărul certificatului de căsătorie, divorț, deces, etc

B.9

CNP soț/soție

B.10

Nume și prenume păriniți soți

B.11

Istoricul stării civile: căsătorii anterioare, divorțuri, etc.

B.12

Informații despre alți membrii ai familiei: numărul copiilor, persoane aflate în întreținere, părinti, etc

 

 

CATEGORIA

DESCRIERE

C.

Identificare electronica

C.1

“Cookies”

C.2

Loguri de acces ale angajaților

C.3

Adresele IP ale angajaților

C.4

Coordonate GPS

C.5

IMEI

 

 

CATEGORIA

DESCRIERE

D.

Elemente Financiare

D.1

Număr cont bancar al unei persoane fizice (ex. număr cont bancar al angajatului).

D.2

Numărul unui card bancar al unei PF

D.3

Coduri secrete (ex. coduri de acces în anumite spatii)

D.4

Orice tranzacții financiare în care sunt implicate PF (ex. persoane fizice beneficiari / plătitori în cadrul unei operațiuni de plata )

D.5

Contracte comerciale, alte documente de natura financiara încheiate de PJ cu PF, sau de către PF din PJ cu un terț (PF sau PJ)

D.6

Licențe, diplome, certificări, activități profesionale ( tipuri de activități, relații de afaceri) ale PF din cadrul PJ

 

 

CATEGORIA

DESCRIERE

E.

Alte caracteristici personale

E.1

Informații despre stagiul militar

E.2

Informații despre străin: detalii viza, permis de munca, condiții speciale

 

 

CATEGORIA

DESCRIERE

F.

Caracteristici fizice ?

F.1

Înălțime

F.2

Greutate

F.3

Culoarea parului

F.4

Culoarea ochilor

F.5

Semne distinctive

 

 

CATEGORIA

DESCRIERE

G.

Informații privind stilul de viata

G.1

Consumul de tutun, alcool

G.2

Detalii privind călătoriile: vize, permise de munca

G.3

Contacte sociale: prieteni, asociați, relații altele decât familia

G.4

Funcții publice deținute

G.5

Informații privind accidentele suferite, persoane implicate, natura accidentului

G.6

Distincții civile

 

 

CATEGORIA

DESCRIERE

H.

Hobby-uri si interese

H.1

Activități de tip hobby, sporturi practicate

 

 

CATEGORIA

DESCRIERE

I.

Afilieri

I.1

Membru în diferite organizații (mai puțin politice): caritabile, voluntari, cluburi, asociații, etc

 

 

CATEGORIA

DESCRIERE

J.

Informații de natura juridica

J.1

Condamnări

J.2

Amenzi administrative

J.3

Suspiciuni, punere sub acuzare, investigații (civile, penale)

J.4

Masuri judiciare: punere sub tutela, sub administrare provizorie, etc

J.5

Sancțiuni administrative: natura pur disciplinara, amenzi, etc

 

 

CATEGORIA

DESCRIERE

K.

Date privind starea de sănătate

K.1

Informații privind starea de sănătate a persoanei vizate: rapoarte medicale, fise medicale, tratamente, rezultate ale analizelor, diagnostice, etc

K.2

Grupa de sânge

 

 

CATEGORIA

DESCRIERE

L.

Informații privind studiile și cursurile

L.1

Informații privind studiile persoanei vizate: instituții de învățământ absolvite, cursuri urmate, diplome, rezultate ale examenelor, etc

L.2

Calificări profesionale: patente, licențe, calificări, etc

L.3

Publicații: reviste, cărți, articole, rapoarte, etc

 

 

CATEGORIA

DESCRIERE

M.

Informații privind istoricul profesional

M.1

Informații despre angajatorul curent: angajator, funcția, data angajării, masuri disciplinare, etc

M.2

Informații despre terminarea contractului de munca: data plecării, preavize, etc

M.3

Cariera: informații despre angajatorii precedenți

M.4

Informații financiare: salarii, beneficii, bonusuri, pensii, taxe, etc

M.5

Bunuri deținute de angajat: obiecte de inventar, mașini, utilaje, etc

 

 

CATEGORIA

DESCRIERE

N.

Informații privind opiniile politice

N.1

Opinii și preferințe politice

N.2

Calitatea de membru într-un partid politic

N.3

Activități de lobby

 

 

CATEGORIA

DESCRIERE

O.

Informații privind procesarea de imagini

O.1

Fotografii, înregistrări video, etc

 

 

CATEGORIA

DESCRIERE

P.

Informații privind procesarea de sunete

P.1

Înregistrarea de apeluri telefonice

 

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.