Totul a pornit de la Decizia nr. 84/2019 emisa de Biroul Electoral Central ("BEC") prin care se permite reprezentanţilor formaţiunilor politice în birourile electorale ale secţiilor de votare, în baza unei cereri scrise, să realizeze, prin orice mijloace, inclusiv fotografiere sau filmare, copii după listele electorale suplimentare. Listele electorale suplimentare conţin următoarele despre alegători: numele, prenumele, domiciliul, CNP-ul, seria şi numărul cărţii de identitate, semnătura. Această decizie vine în aplicarea Legii 370/2004 (completată prin OUG 64/2019) care prevede posibilitatea acestor reprezentanţi de a primi, la cerere, copii după listele suplimentare.

Expert Forum (EFOR) a sesizat astfel mai multe aspecte care nu corespund cu principiile Regulamentuilui 679/2016:

  1. BEC prin Decizia nr. 84/2019 extinde cadrul legal de aplicare a Legii 370/2004, de la primirea de către reprezentanţii formaţiunilor politice a unor copii a listelor suplimentare la acordarea dreptului de a realiza ei înşişi aceste copii. Acest aspect este relevant, dat fiind că, din perspectiva protecţiei datelor cu caracter personal, acestea sunt operaţiuni distincte de prelucrare ce trebuie să întrunească anumite condiţii de securitate şi confidenţialitate. Operaţiunea de transmitere este în sarcina operatorului care deţine listele şi trebui să se asigure că aceste informaţii sunt preluate prin mijloace sigure.
    De asemenea, din atribuţiile BEC prevăzute în Legea 370/2004 reiese că acesta nu poate extinde cadrul legal trasat de lege, cum s-a întâmplat în fapt prin Decizia nr. 84/2019, care este un act administrativ.
  2. Decizia nr. 84/2019 permite formaţiunilor politice sa obţină informaţii intruzive cu impact asupra vieţii private a persoanelor (CNP, domiciliu) pentru îndeplinirea unor interese private ale formaţiunilor politice, fără a asigura garanţiile obligatorii de punerea în aplicare de măsuri tehnice şi organizatorice adecvate, fără reducerea la minim a datelor necesare, şi fără a asigura securitatea şi confidenţialitatea prelucrărilor de date cu caracter personal (în conformitate cu art. 4 din Legea 190/2016 şi art. 32 GDPR).
  3. O altă obligaţie pentru a putea realiza această prelucrare, copierea datelor de pe listele suplimentare, este numirea unui responsabil cu protecţia datelor. Datele de contact ale responsabilului trebuie făcute publice. Este neclar dacă Autoritatea Electorală Permanentă ("AEP") sau BEC sau formaţiunile politice au numit un astfel de responsabil şi dacă AEP, prin BEC, verifică îndeplinirea acestei obligaţii.
  4. În calitate de autoritate administrativă cu competenţă generală în materia pregătirii, organizării şi desfăşurării alegerilor, AEP este operatorul de date cu caracter personal care este responsabil de prelucrarea în condiţii legale a datelor cu caracter personal ale alegătorilor, împreună cu BEC. Conform prevederilor legale şi a notei de informare de pe site-ul AEP (roaep.ro/prezentare/wp-content/uploads/2019/02/INFORMARE.pdf), AEP nu are voie să transfere datele alegătorilor pentru realizarea unor interese private ale partidelor politice. Mai mult, dacă ar fi să transfere aceste date, în baza principiului responsabilităţii operatorului prevăzut de GDPR, AEP are obligaţia de a verifica îndeplinirea următoarelor obligaţii de către partidele politice solicitante ale listelor:
  • să evalueze interesul legitim exprimat prin cerere de formaţiunile politice, prin realizarea unui test de necesitate din care să reiasă, prin analiză scrisă, detaliată, faptul că interesul legitim exprimat prin cerere prevalează asupra drepturilor şi libertăţilor persoanelor vizate, prin detalierea ingerinţelor preconizate în viaţa privată a acestora;
  • că au capacitatea să asigure, prin măsuri tehnice şi organizatorice adecvate, respectarea, în special, a principiului reducerii la minimum a datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal;
  • că au numit un responsabil cu protecţia datelor;
  • să solicite termenul de stocare al datelor preconizat pentru atingerea scopului, nu mai mult de 6 luni;
  • să se asigure că a existat şi există o instruirea periodică cu privire la obligaţiile ce le revin a persoanelor care au acces la aceste date.

În niciun caz nu vor putea fi îndeplinite aceste condiţii în situaţia în care reprezentanţii formaţiunilor politice vor poza listele conţinând datele alegătorilor cu telefoanele personale cu privire la care nu există nicio garanţie a asigurării securităţii şi confidenţialităţii datelor.

În plus, alegătorii ar trebui informaţi cu privire la această prelucrare, ca ea să poată fi efectuată, pentru a îşi putea exercita drepturile prevăzute de lege, de a solicita cel puţin ştergerea datelor. Acest lucru nu este realizat, ceea ce, conform art. 9 din legea 190/2016, conduce la concluzia că activitatea de prelucrare este interzisă şi nu ar trebui realizată.

Septimius Parvu, reprezentantul Expert Forum concluzionează: "BEC nu are autoritatea să acorde prin act administrativ dreptul reprezentanţilor formaţiunilor politice să realizeze copii ale listelor suplimentare, având în vedere că legea 370/2004 permite doar primirea copiilor după liste, activităţi ce comportă tratament fundamendal diferit din perspectiva protecţiei datelor. Copiile ar trebui să fie realizate prin grija autorităţii competente, AEP şi/sau BEC, cu aplicarea măsurilor şi garanţiilor corespunzătoare conform GDPR şi legea 190/2016, şi abia apoi puse la dispoziţia formaţiunilor politice, printr-un canal care să îndeplinească, de asemenea, cel puţin, condiţiile menţionate. De asemenea, în funcţie de scopul ce ar trebui stabilit prin lege ca fiind urmărit prin copierea listelor, conţinutul acestora ar trebui cenzurat corespunzător, prin acoperirea măcar a identificatorilor naţionali, CNP şi/sau serie şi număr carte de identitate.

Este neclar scopul urmărit prin această decizie (n.n. scop de prelucrare, necesar a fi definit, conform GDPR, înaintea colectării datelor şi adus la cunoştinţa persoanelor vizate de prelucrare), care nu asigură garanţiile necesare, dat fiind faptul că nu prevede modul în care vor fi soluţionate cererile de copiere a listelor suplimentare, cine va aprecia asupra interesului legitim exprimat de formaţiunile politice şi cine va realiza testul de necesitate, ce se întâmplă cu cererile respinse, dacă pot fi contestate deciziile cu privire la solicitări şi cine soluţionează contestaţiile etc.

De asemenea, din informaţiile disponbile public, precum şi din interpretarea prevederilor legale aplicabile, este neclară calitatea etităţilor implicate (operatori de date independenţi, operatori asociaţi, persoane împuternicite de operatori) în organizarea alegerilor şi considerăm necesară o clarificare din partea acestora, respectiv AEP, BEC şi unitatea administrativ-teritorială care participă, printre altele la întocmirea registrului electoral."

Printr-o adresa emisa de Biroul Electoral Central ("BEC") in data de 09.11.2019 se mentioneaza ca "interesul legitim urmarit de formatiunea politica prin realizarea copiilor listelor electorale suplimentare trebuie sa se circumscrie identificarii unor aspecte de fraude electorale, altfel nejustificandu-se demersul solicitarii copiilor listelor suplimentare". 

Biroul Electoral Central ("BEC") a răspuns în data de 12.11.2019 adresei transmise de Expert Forum (EFOR) (răspunsul integral îl regăsiţi la finalul articolului), comunicând următoarele aspecte:

  • Prelucrarea datelor cu caracter personal se realizează cu respectarea normelor europene şi naţionale, având în vedere că formaţiunea politica trebuie sa justifice interesul legitim atunci când solicita copiile listelor electorale suplimentare, în concordanţă cu paragraful 47 din Preambulul Regulamentului 679/2016 (" Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfăşurată pentru un interes legitim")
  • Responsabilitatea prelucrarii datelor cu caracter personal potrivit art. 4 alin. 2 din Decizia BEC 84/04.11.2019, apartine exclusiv formatiunii politice care este operator de date cu caracter personal si care trebuie sa respecte garantiile referitoare la informarea persoanei vizate, sa asigure transparenta procesului de prelucrare doar in scopul satisfacerii intereselor legitime.
  • Stocarea datelor cu caracter personal inscrise in listele electorale suplimentare nu poate fi mai mare de 6 luni.

In urma acestor clarificari in partea Biroului Electoral Central ("BEC") raman o serie de neclaritati:

  • Cine analizeaza justificarea interesului legitim si daca are legatura cu identificarea unor aspecte de fraude electorale ?

  • Cine verifica modul in care partidul politic intreprinde masuri adecvate de protectie ( stocarea limitata a fotocopiilor, stocarea datelor pe echipamente securizate, realizarea fotocopiilor cu echipamente securizare, nu cu telefoane mobile personale, transmitera fotocopiilor prin canale securizate nu prin WhatsApp sau Facebook Messenger etc) ?

  • Cine verifica modul in care se face informarea persoanei vizate prinvind aceasta prelucrare si modul in care este asigurata transparenta de catre operator  ?

  • Cine verifica faptul datele nu sunt folosite si in alte scopuri ? Cine raspunde daca o fotocopie a acestei liste ajunge pe retelele de socializare ?

  • Cum sunt respectate principiile "privacy by design" si "privacy by default" in arhitectura acestui flux de informatii in care BEC nu este operator si nu este reponsabil si partidul politic trebuie sa informeze persoanele de pe lista pe care urmeaza teoretic sa o primeasca ?

  • Cum poate o persoana fizica sa isi exercite dreptul la opozitie daca nu este informat in prealabil ?