Utilizarea formularelor on-line pentru completarea declarațiilor prevăzute de Ordonanțele militare nr. 2/2020 și 3/2020. Restrângerea drepturilor persoanelor fizice s-a realizat prin ordonanțe militare. Între alte măsuri, ordonanțele militare nr. 2 și nr. 3 au restrâns dreptul la liberă circulație al cetățenilor. Urmare a acestor acte mai multe site-uri au realizat formulare care să fie completate de către utilizatori on-line și apoi să fie printate sau să fie salvate într-un document de forma pdf. Se poate menționa o lipsă de etică în promovarea acestor site-uri pentru că fie au nume de domenii care să atragă utilizatorii și fac trimitere la guvern/are, fie sunt site-uri ad-hoc care fac trimitere la situația de urgență. Se remarcă și o contradicție în ceea ce se menționează pe site, respectiv faptul că acesta ”nu stochează datele dvs. personale, care doar tranzitează server-ul nostru pentru a vă genera documentele”. Așadar, se recunoaște o prelucrare a datelor cu caracter personal (”tranzitarea” este tot o modalitate de prelucrare), unele sensibile, fără a exista proceduri publicate pe site privind protecția datelor. Fără a nega utilitatea unor astfel de instrumente, din perspectiva comodității utilizatorilor, trebuie remarcat faptul că acestea nu trebuie să încalce reglementarea privind protecția datelor, pentru că nu există niciun temei în a prelucra date fără a respecta drepturile persoanelor vizate. În aceste situații ar trebui utilizate formulare deja existente pe site-urile publice cum ar fi site-ul Guvernului https://gov.ro/ro/masuri sau site-ul stirioficiale.ro realizat în ”parteneriat cu Guvernul României prin Autoritatea pentru Digitalizarea României”.[1]
Măsuri practice pentru site-urile care constituie formulare on-line, fie și pentru situațiile menționate de ordonanțele militare:
- Crearea politicii de confidențialitate;
- Informații privind prelucrarea datelor, în special în ceea ce privește stocarea și distrugerea datelor;
- Informații referitoare la transferul de date către state terțe;
- Informații referitoare la politica cookies;
- Măsurile tehnice și organizatorice pentru prelucrarea datelor;
- Celelalte elemente obligatorii (referitoare la identificarea operatorului, autoritatea de supraveghere etc).
Încălcarea elementelor enumerate conduce la încălcarea mai multor principii ale Regulamentului general privind protecția datelor. În primul rând este încălcat principiul responsabilității prin inocularea ideii că operatorul respectiv nu prelucrează date cu caracter personal, în al doilea rând principiile proporționalității și echității prelucrării datelor, în al treilea rând, chiar dacă suntem în fața unor formulare oficiale, comoditatea nu poate fi justificată prin încălcarea legislației referitoare la protecția datelor.
Măsuri practice pentru ceilalți operatori: interzicerea utilizării unor astfel de site-uri de pe calculatoarele (device-urile) de serviciu și chiar personale având în vedere impredictibilitatea prelucrării datelor și al transferului către terți a unor date sensibile (inclusiv IP-ul și alte elemente tehnice).
Au fost implicate mai multe tipuri de site-uri:
a) situri situate în afara Uniunii Europene având în vedere domeniul de internet de nivel superior (ccTLD), pentru Muntenegru ”.me” sau ”.in” pentru India.
b) site-uri cu domeniul ”.ro”, de altfel unul închis și altul încă funcțional;
Cu privire la site-ul care până la urmă a închis formularul (și care se apropia cel mai mult de condițiile de conformare cu Regulamentul) ca urmare a sesizării autorității de protecția datelor, aceasta a reacționat că va demara o investigație[2], site-ul a revenit prin publicarea integrală a politicii de confidențialitate, precizând că poate pune la dispoziția instituțiilor abilitate codul sursă pentru a se verifica inexistența stocării datelor (o zi mai tarziu a pus public la dispoziția tuturor codul sursa). Grupul pentru Comunicare Strategică s-a delimitat de aceste aplicații și a arătat că nu lucrează cu ele[3], furnizorii de antivirus au indicat brese de securitate[4] iar CERT-RO a sfătuit ca să fie utilizate sursele oficiale.[5]
d) site oficial, asumat de autortățile din România
În
fine, un alt formular, dezvoltat de Servciul de Telecomunicații Speciale, a fost
făcut disponibil, pe site (https://formular.sts.ro/) fiind publicate atât
”Termeni și condiții. Confidențialitate” cât și ” Nota
de informare privind prelucrarea datelor cu caracter personal” în care sunt
menționate toate elementele obligatorii de informare[6].
[1] CERT-RO a menționat în comunicatul ”Echipa CERT-RO recomandă folosirea surselor oficiale în completarea documentelor necesare pentru activitățile din afara locuinței, în perioada restricțiilor determinate de COVID-19, publicat la adresa https://cert.ro/citeste/recomandare-cert-ro-declaratie-activitate-covid: ”Echipa CERT-RO a primit în ultimele ore numeroase întrebări legate de legitimitatea site-urilor care oferă posibilitatea de a genera, online, declarația pe propria răspundere necesară pentru justificarea prezenței în afara locuinței, în contextul restricțiilor impuse din cauza COVID-19. Pentru generarea unei astfel de declarații este solicitată introducerea unor date cu caracter personal pe site.
Deși unele dintre site-urile semnalate au elementele de securitate necesare și menționează inclusiv faptul că nu colectează și nu procesează date cu caracter personal, CERT-RO nu poate garanta că acest lucru se întâmplă cu respectarea Regulamentului pentru Protecția Datelor cu Caracter Personal sau că respectivele site-uri au autorizarea de a prelucra date cu caracter personal, din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Din acest motiv, recomandăm utilizatorilor să folosească doar surse OFICIALE pentru obținerea acestui tip de declarație, în principal cele disponibile pe site-urile MAI, al Guvernului sau stirioficiale.ro.”
[2] ”Totodată, având în vedere aspectele semnalate, referitoare la posibile prelucrări de date prin intermediul site-ului […], vă informăm că Autoritatea de Supraveghere a reținut situația prezentată, în vederea exercitării competențelor sale.” Autoritatea fce de altfel referire la temeiurile prelucrării și la investigație. Adresa autorității este disponibila la adresa https://media.hotnews.ro/media_server1/document-2020-03-25-23751738-0-demarare-investigatie.pdf
[3] Ministerul Afacerilor Interne, Actualizarea modelului declarației pe proprie răspundere, 26 martie 2020, https://www.mai.gov.ro/actualizarea-modelului-declaratiei-pe-proprie-raspundere/, ”Precizăm faptul că orice alte inițiative de a dezvolta platforme electronice folosite pentru completarea declarațiilor pe proprie răspundere/adeverințe de angajator NU beneficiază de acordul autorităților guvernamentale și nu se realizează în colaborare cu acestea. În acest sens, avertizăm asupra riscului folosirii, în mod nejustificat, a unor astfel de instrumente electronice pentru prelucrarea și folosirea fără drept a datelor personale.”
[4] Vlad Barza, Descărcați declarația pe proprie răspundere doar de pe site-ul Guvernului, avertizează Bitdefender. Compania a blocat pagini neoficiale pentru tentativă de fraudă, 26 martie 2020, HotNews.ro. De altfel, s-au și demonstrat breșede securitate: Cristian Iosub, Atentie! Declaratieppr.ro a stocat datele personale https://www.cristianiosub.com/atentie-declaratieppr-stocat-datele-personale/
[5] Echipa CERT-RO recomandă folosirea surselor oficiale în completarea documentelor necesare pentru activitățile din afara locuinței, în perioada restricțiilor determinate de COVID-19, comunicat din 25 martie 2020.
[6] Formular.sts.ro – platforma electronică pentru completarea online a declarațiilor pe proprie răspundere și a adeverințelor de angajator, 28 martie 2020, comunicat disponibil la adresa https://www.mai.gov.ro/formular-sts-ro-platforma-electronica-pentru-completarea-online-a-declaratiilor-pe-proprie-raspundere-si-a-adeverintelor-de-angajator/: „Platforma operaționalizată pe site-ul Serviciului de Telecomunicații Speciale le permite cetățenilor să completeze de pe telefon sau calculator câmpurile predefinite și, ulterior, să salveze documentele în format PDF. Menționăm că documentele necesită semnătura olografă pentru autentificarea acestora. Este foarte important de menționat că datele personale nu sunt prelucrate de către STS, acestea rămân în telefonul/calculatorul utilizatorului. Pe timpul verificărilor făcute de autorități, persoanele pot prezenta declarația pe proprie răspundere/adeverința de angajator direct de pe telefon (cu semnătură olografă aplicată) împreună cu actul de identitate, pe care personalul abilitat cu verificarea acestora le va putea fotografia.
Precizăm faptul că formular.sts.ro este singura platformă electronică avizată pentru completarea declarațiilor pe proprie răspundere/adeverințe de angajator. Orice alte astfel de platforme online NU beneficiază de acordul autorităților guvernamentale și nu se realizează în colaborare cu acestea. În acest sens, avertizăm asupra riscului folosirii, în mod nejustificat, a unor astfel de instrumente electronice pentru prelucrarea și folosirea fără drept a datelor personale. În baza colaborării cu Guvernul României, platforma formular.sts.ro a fost dezvoltată de compania (…) cu suportul juridic din partea (…) și cu sprijinul Serviciului de Telecomunicații Speciale.”
***
Citare: Daniel-Mihail Sandru, Utilizarea formularelor on-line pentru completarea declarațiilor prevăzute de Ordonanțele militare nr. 2/2020 și 3/2020, Opinie, ultima modificare 12.04.2020, disponibila la adresa mihaisandru.ro
Daniel-Mihail Sandru – relevant activities in the field of personal data protectionD
link to dataprotection – bibliografii, surse, reviste, metodologia cercetarii