Deputatul Laura Gherasim cere clarificări privind externalizarea serviciului Poștei Române în Republica Moldova și riscurile pentru protecția datelor cetățenilor români

Deputatul AUR, Laura Gherasim, a adresat o întrebare oficială Ministrului Economiei și Directorului General al Poștei Române, solicitând clarificări privind externalizarea serviciului de relații cu clienții al Poștei către un operator din Republica Moldova.

Într-o scrisoare detaliată, Gherasim exprimă îngrijorări legate de riscurile de securitate și protecția datelor personale ale cetățenilor români, având în vedere că Republica Moldova nu este stat membru al Uniunii Europene, iar transferul de date în afacerea acestui stat extracomunitar ar putea încalcă reglementările GDPR.

Deputatul solicită documente și informații suplimentare pentru a asigura transparența și protecția datelor cetățenilor.

„Ministerul Economiei, Digitalizării, Antreprenoriatului și Turismului, domnului Ministru Radu- Dinel Miruță
Compania Naţională Poșta Româna S.A., domnului Director General Florin Valentin Ştefan
De la: Doamna GHERASIM Laura, Deputat AUR Vaslui, Circumscripţia nr. 39, Vaslui
Subiectul întrebării: Acces la informații de interes public și clarificări GDPR – Externalizarea Serviciului de
Relații cu Clienții al Poștei Române către Republica Moldova, stat extracomunitar, și riscurile pentru protecția datelor cetățenilor români

Domnule Ministru,

Conform comunicatului public din 20 august 20241, CNPR a anunțat externalizarea Serviciului de Relații cu Clienții către un operator din Republica Moldova, cu scopul declarat de creștere a eficienței și reducere a timpului de răspuns pentru preluarea zilnică a circa 2.000 de apeluri și peste 200 e-mailuri, inclusiv operațiuni de informare privind statusul coletelor, preluare solicitări și introducere de date personale în CRM-ul Poștei. Această decizie a fost comunicată cu aproximativ 3 luni înainte de alegerile parlamentare din România, ceea ce ridică întrebări suplimentare privind momentul oportun și transparența deciziei. Republica Moldova fiind stat non-UE, orice transfer de date în afara UE/SEE atrage obligații suplimentare de conformitate și securitate conform art. 44–49 GDPR (Regulamentul UE 679/2016).

Având în vedere că:

• Republica Moldova nu este stat membru UE, iar transferul de date personale în afara Uniunii Europene implică riscuri sporite de securitate, inclusiv pentru cetățeni și pentru stat;
• Datele personale ale cetățenilor români sunt gestionate de CNPR și reprezintă informații sensibile cu implicații directe asupra securității naționale;
• Regulamentele UE (GDPR) prevăd condiții stricte pentru transferul de date în afara UE, inclusiv evaluări de impact și măsuri tehnice și legale obligatorii;

Stimate domnule ministru, domnule director general, vă solicit, punctual, următoarele clarificări/documente:

1. Identitatea completă și statutul juridic al operatorului extern: denumire completă, sediu, cod fiscal, forma juridică precum și numărul total de angajați implicați pe contractul CNPR, defalcat (RO/MD, on site/remote, ture).

2. Regimul de acces la date:
 categoriile de date personale accesate/introduse (ex.: identificatori, date de contact, date despre colete/tracking, înregistrări audio, metadate);
 temeiul juridic (art. 6 GDPR) și rolurile părților (operator – împuternicit/ subîmputerniciți, art. 28);
 dacă există înregistrare/monitorizare a apelurilor și termenul de stocare;
 locația serverelor/CRM.

3. Conform art. 35 GDPR trebuia realizată evaluarea de impact privind protecția datelor anterior externalizării.
 În cazul în care evaluarea există, solicităm să ne fie pusă la dispoziție o copie, cu omiterea părților confidențiale, dar care să includă concluziile evaluării, riscurile identificate, măsurile
dispuse și modalitatea de implementare a acestora, cu menționarea termenelor de conformare.
 În situația în care evaluarea de impact nu a fost efectuată, vă rugăm să ne comunicați, în scris, motivele pentru care aceasta a fost omisă, raportat la obligațiile prevăzute de art. 35 GDPR și
de Legea nr. 190/2018.

4. Firma din Chișinău are reprezentant GDPR în UE conform art. 27 GDPR? În cazul unui răspuns afirmativ, vă rog să îmi puneți la dispoziție datele de contact ale acestuia, având în vedere faptul că „Reprezentantul îşi are sediul în unul dintre statele membre” conform pct. (3) art. 27.

5. Conform art. 32 GDPR solicităm:
 descrierea măsurilor tehnice și organizatorice implementate (control acces, autentificare, criptare în tranzit/repaus, segregare rețea, DLP, jurnalizare, înregistrare ecrane și, cel mai
important, training personal);
 mecanismele de monitorizare și audit (periodicitate, indicatori, rapoarte);
 locația de stocare a datelor (UE/SEE vs. non-UE) și
 politicile de retenție si registrele lunare de evidenta a datelor.

6. Există clauze contractuale care să garanteze respectarea GDPR?
Care este baza juridică a transferului internațional (art. 44–49 GDPR): – ce garanții au fost alese (ex. Clauze Contractuale Standard – SCC, norme corporatiste obligatorii – BCR, derogări art. 49 etc.); – clauze contractuale CNPR–operator privind confidențialitatea, sub-procesatorii, auditul, notificarea incidentelor și răspunderea; – cine răspunde legal în caz de incident/scurgere de date (între CNPR, împuternicit, subîmputerniciți).

6.1. Confirmați dacă au fost efectuate teste de penetrare și evaluări de vulnerabilitate pe sistemele/BD-urile implicate (atât în România, cât și în Republica Moldova): data, scopul, furnizorul,
metodologia (ex. OWASP/WSTG, ISO/IEC 27001/2), rezumat constatări și remedieri.

7. Care este argumentul instituțional pentru externalizarea către un stat extracomunitar, în contextul în care eficientizarea instituției trebuie realizată în interiorul granițelor României, respectând
principiul securității naționale?
Justificarea instituțională a externalizării într-un stat non-UE, dorim sa cuprinda: analiza comparativă cost-beneficiu și evaluarea riscurilor (inclusiv risc geopolitic/securitate națională),
alternative analizate (soluții interne/UE), criterii de selecție.

8. Cine este responsabil de această decizie de externalizare și care este expunerea de motive sau analiza prin care s-a concluzionat că externalizarea unor servicii ale Poștei Române în Republica Moldova reprezintă soluția corectă pentru statul român? Care este actul intern (nota de fundamentare, expunere de motive, hotărâre CA/AGA, referat de necesitate, caiet de sarcini), calendarul etapelor și criteriile de atribuire; dacă procedura a fost achiziție publică: tip procedură, valoare, ofertanți, rezultat).
• Cum poate fi argumentată alegerea unui stat extracomunitar pentru eficientizarea serviciilor, ridicând legitima întrebare dacă, teoretic, Parlamentul României ar putea externaliza servicii în alte state, cum ar fi Turcia, pentru eficiență?

Vă rog să comunicați poziția oficială a ministerului și a CN Poşta Română privind aceste aspecte, pentru a asigura transparența, securitatea statului și protecția datelor personale ale cetățenilor români”, a transmis deputat Laura Gherasim, președinte Comisia pentru cercetarea abuzurilor, corupției și pentru petiții, Camera Deputaților.