Adresată:
Domnului Radu-Dinel MIRUȚĂ, Ministrului Economiei, Digitalizării, Antreprenoriatului și Turismului
Domnului Florin Valentin ȘTEFAN, Director General Compania Naţională Poșta Româna S.A.
De către: Deputat Laura GHERASIM
Circumscripția electorală: nr. 39 Vaslui
Grup parlamentar: Alianța pentru Unirea Românilor
Ședința Camerei Deputaților din data de: 18.09.2025
Obiectul întrebării: Acces la informații de interes public și clarificări GDPR – Externalizarea Serviciului de Relații cu Clienții al Poștei Române către Republica Moldova, stat extracomunitar, și riscurile pentru protecția datelor cetățenilor români
Domnule Ministru,
Conform comunicatului public din 20 august 2024, CNPR a anunțat externalizarea Serviciului de Relații cu Clienții către un operator din Republica Moldova, cu scopul declarat de creștere a eficienței și reducere a timpului de răspuns pentru preluarea zilnică a circa 2.000 de apeluri și peste 200 e-mailuri, inclusiv operațiuni de informare privind statusul coletelor, preluare solicitări și introducere de date personale în CRM-ul Poștei.
Această decizie a fost comunicată cu aproximativ 3 luni înainte de alegerile parlamentare din România, ceea ce ridică întrebări suplimentare privind momentul oportun și transparența deciziei. Republica Moldova fiind stat non-UE, orice transfer de date în afara UE/SEE atrage obligații suplimentare de conformitate și securitate conform art. 44–49 GDPR (Regulamentul UE 679/2016).
Având în vedere că:
- Republica Moldova nu este stat membru UE, iar transferul de date personale în afara Uniunii Europene implică riscuri sporite de securitate, inclusiv pentru cetățeni și pentru stat;
- Datele personale ale cetățenilor români sunt gestionate de CNPR și reprezintă informații sensibile cu implicații directe asupra securității naționale;
- Regulamentele UE (GDPR) prevăd condiții stricte pentru transferul de date în afara UE, inclusiv evaluări de impact și măsuri tehnice și legale obligatorii;
Stimate domnule ministru, domnule director general, vă solicit, punctual, următoarele clarificări/documente:
1. Identitatea completă și statutul juridic al operatorului extern: denumire completă, sediu, cod fiscal, forma juridică precum și numărul total de angajați implicați pe contractul CNPR, defalcat (RO/MD, onsite/remote, ture).
2. Regimul de acces la date:
- categoriile de date personale accesate/introduse (ex.: identificatori, date de contact, date despre colete/tracking, înregistrări audio, metadate);
- temeiul juridic (art. 6 GDPR) și rolurile părților (operator – împuternicit/ subîmputerniciți, art. 28);
- dacă există înregistrare/monitorizare a apelurilor și termenul de stocare;
- locația serverelor/CRM.
3. Conform art. 35 GDPR trebuia realizată evaluarea de impact privind protecția datelor anterior externalizării.
- În cazul în care evaluarea există, solicităm să ne fie pusă la dispoziție o copie, cu omiterea părților confidențiale, dar care să includă concluziile evaluării, riscurile identificate, măsurile dispuse și modalitatea de implementare a acestora, cu menționarea termenelor de conformare.
- În situația în care evaluarea de impact nu a fost efectuată, vă rugăm să ne comunicați, în scris, motivele pentru care aceasta a fost omisă, raportat la obligațiile prevăzute de art. 35 GDPR și de Legea nr. 190/2018.
4. Firma din Chișinău are reprezentant GDPR în UE conform art. 27 GDPR? În cazul unui răspuns afirmativ, vă rog să îmi puneți la dispoziție datele de contact ale acestuia, având în vedere faptul că „Reprezentantul îşi are sediul în unul dintre statele membre” conform pct. (3) art. 27.
5. Conform art. 32 GDPR solicitam:
- descrierea măsurilor tehnice și organizatorice implementate (control acces, autentificare, criptare în tranzit/repauz, segregare rețea, DLP, jurnalizare, înregistrare ecrane și, cel mai important, training personal);
- mecanismele de monitorizare și audit (periodicitate, indicatori, rapoarte);
- locația de stocare a datelor (UE/SEE vs. non-UE) și
- politicile de retenție si registrele lunare de evidenta a datelor.
6. Există clauze contractuale care să garanteze respectarea GDPR ?
Care este baza juridică a transferului internațional (art. 44–49 GDPR):
– ce garanții au fost alese (ex. Clauze Contractuale Standard – SCC, norme corporatiste obligatorii – BCR, derogări art. 49 etc.);
– clauze contractuale CNPR–operator privind confidențialitatea, sub-procesatorii, auditul, notificarea incidentelor și răspunderea;
– cine răspunde legal în caz de incident/scurgere de date (între CNPR, împuternicit, subîmputerniciți).
6.1. Confirmați dacă au fost efectuate teste de penetrare și evaluări de vulnerabilitate pe sistemele/BD-urile implicate (atât în România, cât și în Republica Moldova): data, scopul, furnizorul, metodologia (ex. OWASP/WSTG, ISO/IEC 27001/2), rezumat constatări și remedieri.
7. Care este argumentul instituțional pentru externalizarea către un stat extracomunitar, în contextul în care eficientizarea instituției trebuie realizată în interiorul granițelor României, respectând principiul securității naționale?
Justificarea instituțională a externalizării într-un stat non-UE, dorim sa cuprinda: analiza comparativă cost-beneficiu și evaluarea riscurilor (inclusiv risc geopolitic/securitate națională), alternative analizate (soluții interne/UE), criterii de selecție.
8. Cine este responsabil de această decizie de externalizare și care este expunerea de motive sau analiza prin care s-a concluzionat că externalizarea unor servicii ale Poștei Române în Republica Moldova reprezintă soluția corectă pentru statul român? Care este actul intern (nota de fundamentare, expunere de motive, hotărâre CA/AGA, referat de necesitate, caiet de sarcini), calendarul etapelor și criteriile de atribuire; dacă procedura a fost achiziție publică: tip procedură, valoare, ofertanți, rezultat).
- Cum poate fi argumentată alegerea unui stat extracomunitar pentru eficientizarea serviciilor, ridicând legitima întrebare dacă, teoretic, Parlamentul României ar putea externaliza servicii în alte state, cum ar fi Turcia, pentru eficiență?
Vă rog să comunicați poziția oficială a ministerului și a CN Poşta Română privind aceste aspecte, pentru a asigura transparența, securitatea statului și protecția datelor personale ale cetățenilor români.
Solicit răspuns în scris.
Comments are closed