​​Autoritatea națională pentru protecția datelor personale (ANSPDCP) va investiga dacă Poșta Română respectă legea prin livrarea pliantelor PSD de promovare la alegerile europarlamentare în cutiile poștale ale pensionarilor, se arată într-un răspuns al autorității, la solicitarea HotNews.ro. Compania susține că pliantele PSD au fost distribuite în cutiile poștale și nu direct pensionarilor, numărul acestora fiind inferior numărului de pensionari existenţi și că nu a transmis către PSD nicio bază de date.

HotNews.roFoto: Hotnews
  • Vezi mai departe în articol cum explică Protecția Datelor și juristul Bogdan Manolea care sunt situațiile în care s-ar încălca GDPR într-un astfel de contract.
  • UPDATE (vineri, 15:25) Reacția Poștei Române la informațiile HotNews.ro: "Poşta Română colaborează strâns cu orice autoritate de control abilitată să analizeze activitatea companiei. Încurajăm acţiunile de control ale statului şi ne arătăm deschiderea şi transparenţa, aşa cum am făcut-o, de fiecare dată, pentru a arăta legalitatea acţiunilor noastre."

Contract Posta_PSD2

Contract Posta_PSD2

Foto: Hotnews

HotNews.ro a scris miercuri, 3 aprilie, că Poșta Română livrează pliantele PSD de promovare la alegerile europarlamentare din acest an "în fiecare gospodărie în care este prezent un pensionar (asigurări sociale, IOVR, invaliditate, SRI, MapN, MAI, agricultor, de urmaș), inclusiv pensionarilor care au optat pentru plata pensiilor prin bancă, în cont curent sau cont de card", potrivit contractului dintre cele două parți, obținut de HotNews.ro. Mai mult, Poșta s-a obligat să pună la dispoziția PSD "informații privind baza de date conținând înregistrări privind segmentul de destinatari selectat (n.a pensionarii), în măsura în care aceasta poate fi furnizată".

Într-o reacție transmisă joi, 4 aprilie, Poșta Română a susținut că pliantele PSD au fost distribuite în cutiile poștale și nu direct pensionarilor, numărul acestora fiind inferior numărului de pensionari existenţi. Mai mult, PSD nu a primit nicio bază de date din partea companiei, arată Poșta.

Compania mai susține că, "de la lansarea produsului Postmesager Plus, din anul 1996, în portofoliul companiei, Poşta Română a încheiat mii de contracte comerciale, cu firme din diverse domenii (IFN-uri – credite pentru angajaţi şi pensionari, turism şi bilete de avion, telecomunicaţii, produse suplimente alimentare, servicii şi instalaţii gospodării, HORECA, cabinete stomatologice, edituri etc.) cât şi cu toate partidele politice care au solicitat acest lucru, atât la nivel central, cât şi la nivel de filiale judeţene. Printre acestea s-au numărat: Partidul Naţional Liberal – PNL, Uniunea Democrată Maghiară din România - UDMR, Unuinea Salvaţi România - USR, Partidul Mişcarea Populară - PMP, Partidul Alianţa Liberalilor şi Democraţilor – ALDE, Partidul Social Democrat – PSD, dar şi candidaţi independenţi."

HotNews.ro a solicitat un punct de vedere către ANSPDCP cu privire la legalitatea contractului dintre Poșta Română și PSD din punct de vedere al Regulamentului UE privind protecția Datelor (GDPR), încă din data de 1 aprilie, atunci când a izbucnit scandalul.

  • Ce spune Protecția Datelor despre regulile care trebuie respectate potrivit GDPR atunci când livrezi trimiteri neadresate

ANSPDCP a transmis mai întâi niște precizări generale referitoare la situațiile în care ar fi legală prelucrarea datelor personale la trimiterile neadresate, precum este contractul actual dintre Poșta și PSD.

  • Redăm mai jos integral aceste precizări, transmise miercuri, 3 aprilie, de ANSPDCP, la solicitarea HotNews.ro:

"Având în vedere conținutul acesteia, referitor la serviciile de distribuire neadresată furnizate de Poșta Română și respectarea Regulamentului general privind protecția datelor, precizăm următoarele:

În măsura în care, în contextul serviciilor de distribuire neadresată furnizate de Poșta Română, se prelucrează date cu caracter personal (care nu au un caracter special) situațiile în care prelucrarea datelor este legală sunt cele prevăzute de art. 6 alin. (1) din Regulamentul general privind protecția datelor (RGPD), atunci când:

- persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

- prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

- prelucrarea este necesară în vederea îndeplinirii unei obligaţii legale care îi revine operatorului;

- prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul;

- prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terţă, cu excepţia cazului în care prevalează interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.

Astfel, în măsura în care nu există consimțământul persoanei vizate, prelucrarea datelor personale de către operator poate fi efectuată potrivit unuia dintre celelalte temeiuri legale stabilite de dispozițiile RGPD mai sus enumerate.

În ceea ce privește asigurarea principiului transparenței cu privire la colectarea și prelucrarea datelor, operatorul trebuie să efectueze informarea persoanelor vizate conform articolelor 13 şi 14 din RGPD, după cum datele sunt obținute în mod direct sau indirect de la persoana vizată. Informarea trebuie să se prezinte într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu.

Informarea se realizează în funcție de circumstanțele prelucrării datelor, putându-se apela la note de informare directă a persoanelor vizate, concomitent cu furnizarea de broșuri și pliante ori o informare generică, expusă pe site-ul operatorului.

De asemenea, în ceea ce privește datele și categoriile de date colectate și prelucrate, precizăm faptul că este necesară respectarea principiilor stabilite de art. 5 din RGPD, printre care cel privind prelucrarea datelor adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (principiul proporționalității) și de asigurare a unei securități adecvate a acestora. Operatorul este responsabil de respectarea acestor principii şi poate demonstra această respectare (principiul responsabilității).

În acest context, precizăm faptul că persoanei vizate i se garantează în orice moment dreptul la opoziție la prelucrarea datelor, potrivit art. 21 din RGPD, atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct.

În cazul în care persoana vizată se opune prelucrării, datele cu caracter personal nu mai sunt prelucrate în acest scop.

Cel târziu în momentul primei comunicări cu persoana vizată, dreptul la opoziție este adus în mod explicit în atenţia persoanei vizate şi este prezentat în mod clar şi separat de orice alte informaţii.

Prin urmare, raportat la dispozițiile legale mai sus menționate, datele personale pot fi prelucrate cu respectarea art. 6 din Regulamentul general privind protecția datelor, cu informarea prealabilă a persoanelor vizate, precum și cu respectarea principiilor de prelucrare și a dreptului de opoziție."

Răspunsul ANSPDCP către HotNews.ro a venit vineri, 5 aprilie, astfel:

"Având în vedere aspectele semnalate, vă informăm că Autoritatea de Supraveghere a reținut deja această situație, în vederea exercitării competențelor sale legale."

  • Juristul Bogdan Manolea, despre potențialele probleme în acest caz: Singurii care pot spune dacă este ilegal sau nu acest contract sunt reprezentanții Protecției Datelor

Contactat de HotNews.ro, juristul Bogdan Manolea, director executiv al Asociației pentru Tehnologie și Internet (APTI), care urmărește cadrul general în care se aplică GDPR în România, a dat următoarele explicații:

"Numărul total de pensionari, chiar dacă ar fi fost numărul acestora pe fiecare localitate, nu reprezintă dată cu caracter personal și nu se încalcă GDPR și nicio lege în această zonă.

Este însă o problemă potențială, dar e una internă a Poștei Române. Explicată simplist problema ar fi următoarea: Poșta nu are voie să facă o bază de date cu clienții lor segmentați, deci pe diferite categorii - pensionari, șomeri, asistați social etc.., cu excepția cazului în care are un temei legal precis în acest scop, temeiuri care sunt prevăzute în art.6 GDPR.

Folosirea unor date/informatii pe care le-ar avea din alt contract (de ex. cel de livrare a pensiilor) pentru a face această segmentare și profilare a clienților lor, pe care ar folosi-o în cu totul alt scop ar fi în mod evident ilegala pe partea de date personale.

Însă, în același timp nu știm dacă Poșta Română are această bază de date, temeiul colectării datelor și modul exact de trimitere a plicurilor respective, deci nu putem decât să facem supoziții și presupuneri.

Singurii care pot spune dacă este ilegal sau nu acest contract sunt reprezentanții Autorității pentru Protecția Datelor, care ar trebui să meargă la Poștă și să investigheze și să spună dacă au temeiul legal și corect pentru colectarea datelor în acest caz."

Pentru detalii despre scandalul pliantelor PSD livrate de Poșta Română citește și: