Stiri si informatii fierbinti din Republica Moldova.
« Consiliul de Administratie anunta o sedinta publica pentru aprobarea a doua proiecte de hotarari

Interceptarea convorbirilor versus protectia datelor cu caracter personal

  29/09/10 09:07, by , Categories: e-legislatie

Aspecte problematice privind protectia datelor cu caracter personal in cadrul interceptarilor convorbirilor telefonice si a altor convorbiri, inclusiv culegerii informatiei de la institutiile de comunicatii electronice in cadrul procedurilor penale

Temeiul juridic al prezentarii informatiei: articolul 11 alin.(5) lit. o) din Legea cu privire la protectia datelor cu caracter personal.

Dupa ratificarea Conventiei pentru protectia persoanelor referitor la prelucrarea automatizata a datelor cu caracter personal,  incheiata la Strasbourg la 28 ianuarie 1981 (aplicabila pentru Republica Moldova incepind cu 01 iunie 2008, in plan national au fost adoptate Legea nr.17-XVI din 15.02.2007 cu privire la protectia datelor cu caracter personal, Legea nr.182-XVI din 10.07.2008 cu privire la aprobarea Regulamentului Centrului National pentru Protectia Datelor cu Caracter Personal, structurii, personalului - limita si a modului de finantare a Centrului National pentru Protectia Datelor cu Caracter Personal, inclusiv a fost creata autoritatea nationala de protectie a datelor cu caracter personal.

In conformitate cu declaratiile depuse impreuna cu instrumentul de ratificare a Conventiei nr. 108, dar si cu prevederile legislatiei nationale, Centrul National pentru Protectia Datelor cu Caracter Personal (Centrul) este organ de control in domeniul prelucrarii datelor cu caracter personal, investit cu anumite competente legale in vederea exercitarii controlului asupra corespunderii prelucrarii datelor cu caracter personal cerintelor legii cu privire la protectia datelor cu caracter personal si, in paralel, autoritate competenta pentru implementarea prevederilor tratatului international.

In procesul exercitarii atributiilor functionale pe parcursul anilor 2009 - 2010, Centrul a constatat existenta in fapt a unor impedimente, care fac imposibila  interventia legala in vederea exercitarii controlului asupra corespunderii prelucrarii datelor cu caracter personal in segmentul comunicatiilor electronice, cerintelor legii cu privire la protectia datelor cu caracter personal.

Pe linga faptul ca anumite competente in acest sens sint detinute si de Agentia Nationala pentru Reglementare in Telecomunicatii si Informatica, interactiunea dintre detinatorii de date cu caracter personal (furnizori) si destinatari (organele de drept) este reglementata in special printr-un act normativ departamental - Instructiunea privind modul de organizare si infaptuire a masurilor operative de investigatii in retelele de comunicatii electronice, aprobata prin Ordinul comun al Serviciului de Informatii si Securitate, Ministerului Afacerilor Interne si Centrului pentru Combaterea Crimelor Economice si Coruptiei nr.44, 249, 91 din 14 iulie 2008 (in continuare Instructiunea).

Acest act normativ departamental, pretins a fi elaborat in conformitate cu prevederile art.4 din Legea privind activitatea operativa de investigatii si art. 20 alin. (3) din Legea comunicatiilor electronice, stabileste niste conditii de aservire pentru furnizorii de retele si/sau servicii de comunicatii electronice, care sint in contradictie cu principiile protectiei datelor cu caracter personal, limiteaza dreptul persoanei la viata privata si exclude cu desavirsire posibilitatea exercitarii oricarui control din partea furnizorilor in procesul prelucrarii datelor cu caracter personal ale utilizatorilor retelelor si/sau serviciilor de comunicatii electronice - subiecti de date cu caracter personal.

In acest sens, pentru o mai buna intelegere a notiunilor utilizate in informatie este necesar a tine cont de termenii de referinta indicati in anexa.

In fapt, un grup din 6 persoane au sesizat Centrul invocind pretinsul caz de incalcare a dreptului la viata privata prin metoda interceptarii ilegale a convorbirilor  telefonice intr-o perioada indelungata. Reclamantii au pretins ca in perioada anilor 2008 - 2009, cind activau in cadrul Ministrului Afacerilor Interne, datele cu caracter personal le-au fost prelucrate de catre reprezentantii organelor de drept prin metoda interceptarii ilegale a convorbirilor telefonice si culegerii informatiei de la furnizorii serviciilor de comunicatii electronice „Orange” S.A. si „Moldcell” S.A.

Mai mult, potrivit opiniei reclamantilor interceptarea convorbirilor telefonice si ridicarea listei apelurilor de intrare - iesire a fost posibila in rezultatul falsificarii documentelor oficiale prezentate judecatorilor de instructie in scopul obtinerii autorizarii acestor actiuni, prin plasarea numarului lor de abonat sub alte nume.

Aceste alegatii grave, reiesind din constatarile facute de Curtea Europeana a Drepturilor Omului (in continuare CtEDO) in cauza “Iordachi si altii versus Moldova”, dar si din ultimele comunicate informationale ale Procuraturii Generale privind ilegalitatile constatate in procesul interceptarii de catre Serviciul de Informatii si Securitate a convorbirilor telefonice ale mai multor politicieni, au servit temei pentru initierea de catre Centru a controlului legalitatii prelucrarii datelor cu caracter personal ale persoanelor vizate.

Din start urmeaza a indica ca informatia despre abonat, informatia privind apelurile de intrare - iesire si insasi continutul convorbirilor telefonice reprezinta date cu caracter personal care cad sub incidenta notiunilor de ,,viata privata” si ,,corespondenta” in sensul art. 8 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale (in continuare CEDO).

Totodata, in conformitate cu prevederile art.13 si 14 ale Legii cu privire la protectia datelor cu caracter personal, detinatorii datelor cu caracter personal (in cazul descris - furnizorii serviciilor de comunicatii electronice), sint obligati sa asigure confidentialitatea datelor cu caracter personal a clientilor sai, precum si sa ia masurile organizatorice si tehnice necesare pentru protectia datelor cu caracter personal impotriva accesului ilicit sau intimplator, distrugerii, modificarii, blocarii, copierii, raspindirii, precum si a altor actiuni ilicite.

In conformitate cu prevederile art. 10 alin. (1) al Legii cu privire la protectia datelor cu caracter personal, orice subiect al datelor cu caracter personal, are dreptul de a solicita informatia privind datele sale cu caracter personal care au fost supuse prelucrarii, privind originea informatiilor despre aceste date, inclusiv unde au fost acestea transmise sau unde urmeaza a fi transmise.

Dreptul de acces al subiectilor, in conformitate cu art.10 alin.(2) al aceluiasi act legislativ, este limitat doar in cazul in care prelucrarea datelor cu caracter personal, inclusiv a celor obtinute ca rezultat al activitatii operative de investigare, contraspionaj si spionaj, se efectueaza in scopul apararii tarii, securitatii statului si protectiei ordinii publice.

Totodata, in pofida existentei posibilitatilor legale de a limita la nivel national dreptul de acces al subiectilor la informatia care-i vizeaza, art. 10 al Deciziei - cadru 2008/977/JAI a Consiliului Uniunii Europene din 27 noiembrie 2008 privind protectia datelor cu caracter personal prelucrate in cadrul cooperarii politienesti si judiciare in materie penala prevede ca, orice transmitere de date cu caracter personal trebuie sa fie luata in evidenta sau sa fie documentata de catre detinatorul datelor cu caracter personal pentru verificarea legalitatii prelucrarii datelor, pentru monitorizare proprie si pentru asigurarea integritatii si a securitatii corespunzatoare a datelor, precum si ca luarea in evidenta sau documentarea se comunica la cerere autoritatii competente de supraveghere pentru controlul protectiei datelor.

Suplimentar, Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice - document, care vine sa amplifice si sa concretizeze principiile inserate in Conventia nr.108, indica expres exceptiile de la regulile asupra confidentialitatii comunicatiilor electronice, dupa cum urmeaza:

Articolul 15

(1) Statele membre pot adopta masuri legislative pentru a restringe sfera de aplicare a drepturilor si obligatiilor prevazute la articolul 5 (interzicerea ascultarii, inregistrarii, stocarii sau altor tipuri de interceptari sau supravegheri a comunicatiilor si a datelor de transfer aferente de catre persoane altele decit utilizatorul), articolul 6, articolul 8 alineatele (1), (2), (3) si (4) si articolul 9 ale prezentei directive, in cazul in care restringerea lor constituie o masura necesara, corespunzatoare si proportionala in cadrul unei societati democratice pentru a proteja securitatea nationala (de exemplu siguranta statului), apararea, siguranta publica sau pentru prevenirea, investigarea, detectarea si urmarirea penala a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicatii electronice, in conformitate cu articolul 13 alineatul (1) al Directivei 95/46/CE. In acest scop, statele membre pot adopta, inter alia, masuri legislative care sa permita retinerea de date, pe perioada limitata, pentru motivele aratate anterior in acest alineat. Toate masurile mentionate in acest alineat trebuie sa fie conforme cu principiile generale ale legislatiei comunitare, inclusiv cu cele mentionate la articolul 6 alineatele (1) si (2) al Tratatului privind Uniunea Europeana.

(1b) Furnizorii (in cazul descris „Orange” S.A. si “Moldcell” S.A.) stabilesc proceduri interne pentru a raspunde solicitarilor de accesare a datelor cu caracter personal ale utilizatorilor pe baza dispozitiilor nationale adoptate in conformitate cu alineatul (1). La cerere, acestia ofera autoritatii nationale competente informatii despre procedurile respective, numarul de solicitari primite, justificarea legala invocata si raspunsul acestora.”

In acest sens Centrul, generalizind continutul raspunsurilor prezentate de catre furnizorii serviciilor de comunicatii electronice „Orange” S.A. si „Moldcell” S.A. in adresa grupului de reclamanti (anexate la sesizarea initiala;), a constatat incalcarea de catre acesti detinatori de date cu caracter personal a drepturilor de acces si informare, garantate prin art. 10 alin. (1) lit. a), b) si d) al Legii cu privire la protectia datelor cu caracter personal.

Totodata, in procesul investigatiei initiate, cu implicarea Ministerului Justitiei, Procuraturii Generale, Serviciului de Informatii si Securitate, Ministerului Afacerilor Interne, inclusiv a operatorilor de telefonie mobila „Orange” S.A. si „Moldcell” S.A., Centrul a facut eforturi substantiale in vederea controlului corespunderii prelucrarii datelor cu caracter personal ale subiectilor vizati prevederilor Legii cu privire la protectia datelor cu caracter personal.

In rezultat, operatorii de telefonie mobila au refuzat sa prezinte materialele si informatiile relevante facind nemotivat trimitere la prevederile art.212 Cod de procedura penala, dar si la faptul ca in conformitate cu prevederile Instructiunii nominalizate nu controleaza si nu duc evidenta operatiunilor de interceptare efectuate de reprezentantii Serviciului de Informatie si Securitate; Ministerul Justitiei, de la care s-a solicitat informatii necesar a fi colectate cu implicarea judecatorilor de instructie, au remis adresarea Centrului in adresa Procuraturii Generale fara a furniza careva date suplimentare; Serviciul de Informatie si Securitate (in continuare SIS) a refuzat furnizarea informatiilor pe motiv ca acestea ar fi din categoria celor secrete, iar Procuratura Generala a declarat categoric ca in rezultatul controlului efectuat de aceasta autoritate, nu a fost constatat faptul efectuarii anumitor operatiuni de interceptare a convorbirilor telefonice a reclamatilor.

Acest exercitiu, in coroborare cu caracterul controversat al informatiilor acumulate, a demonstrat gradul nesatisfacator de implementare in plan national a principiilor enuntate in Conventia nr.108 si in Protocolul aditional la Conventia pentru protectia persoanelor referitor la prelucrarea automatizata a datelor cu caracter personal, cu privire la autoritatile de control si fluxul transfrontalier al datelor cu caracter personal, dar si absenta mecanismelor care ar asigura eficient echilibrul intre dreptul indivizilor la confidentialitate si masurile luate in vederea protejarii sigurantei publice, apararii si sigurantei statului ori intaririi legii penale.

A fost retinut ca efectuarea interceptarii legale ale comunicatiilor electronice sau luarea altor masuri pentru atingerea scopurilor mentionate supra nu este interzisa daca acest lucru este facut in conformitate cu respectarea prevederilor art.8 din CEDO. In acelasi timp, datele referitoare la abonati, prelucrate in cadrul retelei de comunicatii electronice pentru a stabili conexiuni sau pentru a transmite informatii, contin informatii despre viata privata a persoanelor fizice si intra sub incidenta dreptului la respectarea confidentialitatii corespondentei.

In acest sens, obligatia de a-i informa pe abonati cu privire la scopul sau scopurile listelor publice in care vor aparea datele lor personale trebuie sa-i revina partii care aduna datele pentru liste, iar in cazul in care datele pot fi transmise uneia sau mai multor parti terte, abonatul trebuie informat despre aceasta posibilitate si despre persoana sau categoriile de persoane care vor primi aceste date.

Furnizorul de servicii de comunicatii electronice trebuie sa ia masurile tehnice si organizatorice necesare pentru a asigura securitatea serviciilor sale, masuri, care ar trebui sa garanteze atit accesibilitatea datelor cu caracter personal numai pentru personalul autorizat si numai in scopuri autorizate de lege, cit si protectia datelor cu caracter personal stocate sau transmise, precum si protectia retelei si a serviciilor.

Aceste obligatii ale furnizorilor serviciilor de comunicatii electronice nu pot fi indeplinite in anumite situatii pe simplul motiv ca in unele momente sint inlaturati cu desavirsire din procesul controlului prelucrarii datelor cu caracter personal ale abonatilor.

Astfel, in conformitate cu prevederile pct.14 al Instructiunii, ordonanta motivata privind infaptuirea interceptarii convorbirilor, demersul procurorului, incheierea judecatorului de instructie, precum si materialele care au servit drept temei pentru luarea hotaririi privind interceptarea convorbirilor nu se prezinta furnizorilor si se pastreaza, respectiv, la organul imputernicit sa exercite activitate operativa de investigatii sau organul de urmarire penala, la procurorul abilitat si la judecatorul de instructie.

Prevederea pct.14, care inlatura furnizorul serviciilor de comunicatii electronice din procesul controlului prelucrarii datelor cu caracter personal ale propriilor abonati este neinteleasa in momentul analizarii normelor incluse in pct.20 si 22 ale aceleiasi Instructiuni, in conformitate cu care informatiile mentionate la punctul 18 (informatiile disponibile, generate sau procesate in procesul furnizarii propriilor servicii de comunicatii electronice, necesare pentru identificarea si urmarirea sursei de comunicatii electronice, identificarea destinatiei, tipului, datei, orei si duratei comunicatiei electronice, identificarea echipamentului de comunicatii electronice al utilizatorului sau al altui dispozitiv utilizat pentru comunicatie, identificarea coordonatelor echipamentului terminal de comunicatii mobile) se prezinta de catre furnizor in baza extrasului din incheierea judecatorului de instructie privind autorizarea culegerii informatiei respective, iar numarul si data incheierii judecatorului de instructie si raspunsurilor furnizorilor se inregistreaza de catre furnizori in registre speciale.

Acest volum minim de informatii, aparent, este suficient intru a asigura aspectul de legalitate pentru detinatorul de date cu caracter personal si pentru eventualele controale efectuate de Centru in calitatea sa de autoritate competenta la capitolul protectia datelor cu caracter personal.

Mai mult, anume acest volum de informatii trebuie sa fie adus la cunostinta furnizorilor in conformitate cu prevederile pct.5.2 din Cerintele si Regulile Internationale ale Utilizatorului, instituite prin Rezolutia Consiliului Uniunii Europene din 17 ianuarie 1995 privind interceptarea legala a telecomunicatiilor (96/C 329/01) - document, care este citat, printre altele, in pct.2 al Instructiunii si in conformitate cu care se presupune ca ar trebui sa fie intreprinse masurile operative nominalizate.

Astfel, pct.5.2 al Cerintelor precitate prevede expres ca „organele de drept solicita operatorilor de retea/furnizorilor de servicii sa se asigure ca comunicatiile interceptate sa fie transmise doar pentru o monitorizare care sa fie specificata in autorizatia de interceptare.”

La acest capitol, in cauza Rotaru versus Romania, CtEDO a indicat ca “intrucit aplicarea in practica a masurilor de supraveghere secreta a mijloacelor de comunicatie nu este deschisa scrutinului de catre persoanele interesate sau de catre public, ar fi contrar principiului suprematiei legii ca puterea legala discretionara acordata executivului sa fie exprimata in termenii unei puteri nerestrictionate. Prin urmare, avind in vedere scopul legitim al masurii in discutie, legea trebuie sa indice cu suficienta claritate intinderea oricarei astfel de puteri discretionare conferite autoritatilor competente, precum si modalitatea in care se exercita aceasta putere, si sa acorde fiecarei persoane o protectie adecvata impotriva interferentelor arbitrare”.

In momentul in care Codul de procedura penala (art.135-136), intr-o masura oarecare, stabileste termenul in interiorul caruia dreptul de acces al subiectului de date cu caracter personal este limitat, precum si actiunile care trebuie intreprinse de judecatorul de instructie dupa expirarea acestui termen, situatia este diferita in cazul Legii privind activitatea operativa de investigatii. Aceasta lege nu stabileste termenul pentru care este valabila exceptia indicata in art.10 alin.(2) din Legea cu privire la protectia datelor cu caracter personal, dar nici nu pune in sarcina judecatorului de instructie ori a altui reprezentant al statului sa informeze subiectul de date cu caracter personal ca a fost supus unei ingerinte in viata privata.

In esenta, persoana care a fost subiectul unei interceptari a convorbirilor telefonice in temeiul Legii privind activitatea operativa de investigatii si in conformitate cu prevederile Instructiunii, risca sa ramina neinformat despre aceasta operatiune de prelucrare a datelor cu caracter personal, iar datele care-l vizeaza sa fie stocate si pastrate o perioada nedeterminata in fisierele organelor abilitate cu dreptul de a efectua aceste masuri operative.

In acest sens sint relevante si alte prevederi ale Instructiunii, cum ar fi:

- obligatiunea furnizorilor (specificata in pct.8 subpct.10) al Instructiunii) de a prezenta Serviciului de Informatii si Securitate lunar, iar la solicitare, in interes operativ, si mai des, actualizarile bazelor de date ale abonatilor (ce vor contine obligator corelarea numerelor ASDN si IMSI, numele proprietarului, daca acesta se cunoaste, posesorii IP adreselor statice, corelarea IP adreselor dinamice cu posesorii acestor IP adrese), in format electronic, precum si alte informatii necesare pentru infaptuirea masurilor operative de investigatii in retelele de comunicatii electronice. Reiesind din aceasta prevedere, prezentarea datelor cu caracter personal nominalizate, precum si “a altor informatii necesare”, care nu sint concretizate, se face lunar in mod automat, in absenta carorva documente justificative care ar individualiza scopul prelucrarii acestor categorii de date in raport cu calitatea procesuala a subiectului vizat ori a activitatii desfasurate de o persoana concreta si care s-ar referi la securitatea nationala, siguranta publica, bunastarea economica a tarii, apararea ordinii si prevenirea faptelor penale, protejarea sanatatii sau a moralei, ori protejarea drepturilor si libertatilor altora. Prevederea este difuza, neindicind cu suficienta claritate intinderea puterii discretionare si modul in care poate fi exercitata pentru urmarirea scopului legitim.

- ori prevederea pct.9 subpct.3 si 4) al Instructiunii, in conformitate cu care SIS este “obligat” sa organizeze retelele de transmitere a comunicarilor interceptate catre subdiviziunea sa specializata si ulterior spre subdiviziunile specializate ale organelor imputernicite care exercita activitatea operativa de investigatii sau ale organelor de urmarire penala, inclusiv sa asigure inregistrarea, utilizarea si pastrarea in modul stabilit a comunicarilor interceptate. Aceste “obligatii”, aparent, creeaza premise ca datele cu caracter personal ce vizeaza o anumita persoana sa fie prelucrate in paralel de catre SIS, care dupa interceptare le transmite initial subdiviziunii sale specializate in scopul inregistrarii si pastrarii acestora, apoi de alte autoritati care au dispus si au obtinut autorizarea efectuarii interceptarilor. In acest caz Instructiunea creeaza conditii pentru incalcarea prevederilor art.5 din Legea cu privire la protectia datelor cu caracter personal si existenta in fapt a situatiei cind in absenta autorizatiei judecatorului de instructie, SIS prelucreaza datele cu caracter personal a tuturor persoanelor - subiecti ai operatiunilor de interceptare a comunicatiilor, pe care le indexeaza in fisiere secrete.

Reiesind din argumentele enuntate dar si pentru depasirea situatiei, considerata a fi problematica, care impiedica exercitarea de catre Centru a controlului corespunderii prelucrarilor datelor cu caracter personal in domeniul comunicatiilor electronice prevederilor Legii cu privire la protectia datelor cu caracter personal, au fost sesizate autoritatile publice competente in vederea:

- Initierii procedurii de reexaminare a Instructiunii privind modul de organizare si infaptuire a masurilor operative de investigatii in retelele de comunicatii electronice, aprobata prin Ordinul comun al Serviciului de Informatii si Securitate, Ministerului Afacerilor Interne si Centrului pentru Combaterea Crimelor Economice si Coruptiei nr.44, 249, 91 din 14 iulie 2008 (in special a prevederilor pct.8, 9, 14, 31, 32) si analiza continutului acestui act normativ interdepartamental pentru evaluarea compatibilitatii cu Constitutia Republicii Moldova, cu actele legislative si alte acte normative intru a caror executare a fost emis, precum si cu reglementarile legislatiei comunitare;

- Definitivarii proiectului Legii privind modificarea si completarea Legii privind activitatea operativa de investigatii si Codului de procedura penala in partea ce se refera la capitolul “interceptarea comunicarilor”;

- Urgentarii procedurilor legate de promovarea proiectului Legii cu privire la protectia datelor cu caracter personal in redactie noua, precum si a proiectului de completare a Codului contraventional (cu introducerea raspunderii pentru contraventii ce afecteaza drepturile si libertatile persoanei la prelucrarea datelor ei cu caracter personal);

- Urgentarii procedurii aprobarii Cerintelor fata de asigurarea securitatii datelor cu caracter personal la prelucrarea acestora in cadrul sistemelor informationale de date cu caracter personal (menite sa stabileasca regulile minime de elaborare si implementare de catre detinatorii de date cu caracter personal a masurilor tehnice si organizatorice necesare pentru asigurarea securitatii, confidentialitatii si integritatii datelor cu caracter personal prelucrate in cadrul sistemelor informationale de date cu caracter personal si/sau registrelor tinute manual), precum si a Regulamentului registrului manual al detinatorilor de date cu caracter personal (care ar permite initierea procesului de inregistrare a detinatorilor de date cu caracter personal).

sursa

This entry was posted by and is filed under e-legislatie.

No feedback yet


Form is loading...

December 2019
Mon Tue Wed Thu Fri Sat Sun
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          
 << <   > >>
Blog juridic al lui Dumitru Purici dedicat stirilor de ultima ora in domeniul tehnologiilor informationale si criminalitatii cibernetice din Republica Moldova.

Search

  XML Feeds

CMS + user community
 

This collection ©2019 by Dumitru Purici

Contact | Help | Blog skin by Asevo | Multiple blogs solution