KO gvtLgrftn

Wxr*/ea,fr&,0s
AUTORTTATEA
nATtOnAl-n
DESUPRAVEGHERE
A PRELUCRARII
DATELOR
CUCARACTER
PERSONAL
Sf. Olanl/t 32,Sectot2, C.odpogtal024t157, : Tel.+4921 2525599;
Blrlure$tj Fax:+40
212525757 www.datalrotectionro:
e*nil ansdcr/.d:.datawotection.ro

Np. 6233/ /4o4 2@s

In aten(ia dornnului senatorMircea Dan Geoand,

PregedinteleSenatului Romilniei

StimatedomnulePregedinte,
uro T &<6
In conformitatecu art.2l alin. (3) lit. i) qi j) din Legeaw. 67712001
pentruproteclia
persoanelorcu privire la prelucrareadatelorcu caracterpersonalqi libera circula{iea acestor
date,cu modificdrile gi completirile ulterioare, raporhatla prevederileart. 10 lit. d) din Legea
m. 10212005privind infiinfarea, organizarea gi funcfionarea Autoritdfii Nafionale de
Supravegherea Prelucrdrii Datelor cu CaracterPersonal,
Avem onoareade a v5 informa cu privire la demersurileintreprinse de Autoritatea
Nafionald de Supravegherea Prelucr6rii Datelor cu CaracterPersonal,in legitur6 cu protecfia
dreptului la vial6 intimd, familiald qi privat6, in privinla prelucr[rii datelor personaleale
solicitanlilorde pagapoarte
electronice.
Vd anexlm in acest sens un raport conJindndpunctul de vedere al autoritetii de
supravegherefafi de problemelesemnalate.
Cu deosebit6consideralie,

ESCU
 c&o%
49{rA
AUToRTTATFT
I{ATTONAT-A
DESUPRAVEGHERE
A PRELUCRARII
DATELOR PERSONAL
CUCARACTER
St. Aai NL 32,SedqZ Cd potld 02A57,Bw$ti : Td.+40212525599;
Fd:+4021 2525757 wvddffiolediu.m maiL aspdeo/ddade1iu.rc

RAPORT

privind prelucrarea datelor biometrice in contextul eliberirii de pagapoarteelectronice

- l0 aprilie 2009 -

SecfiuneaI: Cadrul lesislativ comunitar

Urmarea Consiliului Europeande la Tesalonicdin 19 gi 20 iunie 2003, s-a convenitla nivelul

Uniunii Europeneasupranecesitd{iiunei aborddricoerentein privinla utilizirii datelor biometricein
documenteleaparfindnd cetd.tenilorstatelor terfe, in pagapoartelecetd{enilor UE qi in sistemele de
de Informa}ii privind Vizele) qi SIS ll (Schengen
informa{ii VIS (Zrsa Information Sys/ern-Sistemul
Information System11-Sistemulde Informafii SchengenGenerafiaa II-a).
Includereadatelor biometrice in pagapoartegi documentelede c[ldtorie a fost justificatd ca
reprezent6ndo garan{iepentru realizareaunei legdturi certeintre titular pi document.Pe de altd parte, s-
a afirmat necesitateaarmonizdrii gi consolidirii mlsurilor de securitateimpotriva tentativelor de
contrafacere.in acest sens, specificafiile Organna[iei Interna{ionalede Aviafie Civili au fost
considerateca standardde securitatein acestdomeniu.
Conform RegulamentuluiConsiliului European (CE) nr. 2.252/20A4privind standardelepentru
elementelede securitateSi elementelebiomenice integrate in pasapoarte Si tn documentede cdldtorie
emisede statelemembre,publicatin JurnalulOficial al Uniunii Europenenr. L 385 din 29 decembrie
2004,de directdaplicabilitate,pagapoartele
gi documentelede c[litorie vor includeun mediu de stocare
amprentedigitale in formate
care confine imagineafacial[. Statelemembrevor include de asemenea,
interoperabile(art. I alin. (2)).
Specificaliile tehnice sunt prevdzute in anexa la Regulament cdt Si in Decizia Comisiei
Europenenr. C(2005)409pentru stabilirea specifica\iilor tehniceaferentedispozitivelor de securitategi
elementelorbiometrice integrate tn pasapoarte Si tn documentefu cdldtorie emisede statele membre,
completati de Decizia C(2006)2909.Acestespecifica{iitehnicese completeaz[,cu.specifica{iistabilite
de fiecare stat membru, care pot sd nu fie frcute publice din motive ce {in de prevenireariscului de
contrafacereqi falsificare.
. Potrivit Regulamentului,statelemembretrebuie sd desemnezeo singurd autoritateresponsabild
pentru imprimareapagapoartelorqi documentelorde cilitorie, a cdrei denumire se face cunoscuti
celorlaltestatemembregi ComisieiEuropene.
 Dispoziliile Regulamentuluinu se aplicd in cazulcdrlilor de identitateemisede statelemembre
pentru ceti,tenii lor gi nici in canil pasapoartelor qi documentelor de cdldtorie temporare cu o
valabilitatede cel mult 12 luni (art. 1 alin. (3)).
RegulamentulrecunoagteaplicabilitateaDirectivei nr. 95/46/CE a Parlamentului EuropeanSi a
Consiliului din 24 octombrie 1995privind proteclia persoarrclorfizice in ceeace privesteprelucrarea
datelor cu caracter personal qi libera circulalie a acestor dateo in leglturd cu datele personale
prelucratein domeniulemiterii pagapoartelor
gi documentelorde c6l6torie.
in acestsens,s-nuprevdzuto seriede reguli, dup[ cum rnmeazd:
- Nu pot fi stocatein mediul electronicdin pagaportdec0tinformafiileprevdzutede Regulament
saude legislafiastatuluimembruca fiind men{ionatein respectiveledocumente.
- Potrivit art. 4 alin. (3) din Regulament,caracteristicilebiometricevor fi folosite numai pentru
verificareaautenticitdfiidocumentuluigi pentru verificareaidentitIlii titularului prin intermediulunor
caracteristicicomparabiledisponibile in mod direct in cazurile cdnd prin lege se prevedeobliga{ia
prezentirii pagaportuluisaualtor documentede cdldtorie.
- Titularii paqapoartelorgi documentelorde cildtorie vor avea dreptul sd verifice datele
personaleconfinutein pagaportsaudocumentulde c[ldtorie gi sd soliciterectificareasaugtergerea.
Emiterea de pagapoarteelectronice,con{indndimaginea faciald gi amprenteledigitale va fi
obligatoriepentrutoatestatelemembredela 29 iunie 2009.
in prezent,existddezbaterila nivelul ParlamentuluiEuropean,in special,al Comitetuluipentru
Libert[1i Civile, cu privire la stabilireavdrstei limiti de la care se vor emite pagapoarteelectronice
con{indndamprentedigitale, la vdrsta de 12 ani (amprentelese modific[ o dati cu vOrsta).Cu toate
acestea"se doregteemitereapagaportuluipentru fiecare minor, confindnddatele pdrinfilor, conform
principiului ,,o persoani-unpagaport",aspectcarear contribuila combaterea
traficului de minori. O alta
propunerevizeazdrestricfionareaaccesuluila datele biometrice numai pentru autoritE{ileresponsabile
cu emitereagi controlul pagapoartelor,ftrI a putea fi transferatecf,tre alte autoritdfi sau statete(e. De
asemene4din motive similarece {in de protecfiadatelor,s-apropusca datelesd poatil fi stocatenumai
in paqaport,iar nu intr-o bazdde date.
 Sectiuneaa II-a: Cadrul lesislativ national

1. Prin Ordonanfade Urgenfi a Guvemului w. 207/2008pentru modificareaqi completarea

Legii nr. 248/2005privind regimul liberei circulalii a cetdfenilorromdni in strdin6tate(M. Of. nr.
831/10.12.2008),s-a prevdzutla art. 6 alin. (3) cA Guvemul va stabili prin hotdr0redata de la care
paqapoartelediplomatice,paqapoartele
de serviciu gi paqapoartelesimple vor cuprindeun mediu de
stocareelectronic6a datelorbiometriceale persoaneigi a altor datepersonaledintrecelecuprinsein fila
informatizati qi se vor elibera in mod etapizat ca paqapoartediplomatice electronice, paqapoartede
serviciu electronicegi pagapoartesimple electronice.De la aceeagidati se elibereazdgi pagaportul
simplutemporar.
Potrivit art. 7 din Legea nr. 248/2005, cu modificdrile gi completiirile ulterioare, datele
biometriceinclusein paqapoarte
sunt imaginea faciali qi impresiunea digitali a doui degetegi sunt
folosite numai in scopurileprevdzutela art. 4 alin. (3) din Regulamentul(CE) nr. 2.25212004dn 29
decembrie2004 privind standardelepentru elementelede securitateqi elementelebiometriceintegrate
in pagapoarte
gi in documentede cilitorie emisede statelemembre.
Suntexceptatede la obligafiade fumizarea impresiunilordigitaleminorii sub vdrstade 6 ani Si
persoanelepentru careprelevarea amprentelordigitale estefizic imposibild.
Procedurapreludrii imaginiifaciale gi a impresiunilordigitale, cdt gi procedura depuneriiSi
soluliondrii cererilor pentru eliberarea documentelorde cdldtorie tn strdindtate, actele care trebuie
prezentatede solicitanfi la depunereacererilor,precumqi termenelein care se solufioneaziacestease
stabilescprin normele metodologicede aplicarea Legii rtr.24812005(art. 6 alin. (6) gi art. 7 alin. (3)
din Legeanr.24812005,cu modificdrileqi completdrileulterioare).
Pdndla data de l0 aprilie 2009" nu a fost emis un act normativ caxesi reglementezeaceste
proceduri"in cazul documentelorelectronice.Normele metodologicede aplicarea Legii nr.248/2005
privind regimul liberei circulalii a cetdfenilorromdniin shlinitate, aprobateprin Hot6rdreaGuvernului
rr.9412006 (M. Of. nr.76 din27.01.2006)nu contin prevederireferitoarela proceduraprelu[rii
imaeinii faciale$i a impresiunilordigitale.
De regul6, conform art. 15 alin. (2) din Legea nr. 24812005,cu modificdrile qi completdrile
ulterioare, cererile pentru eliberareapagapoartelorsimple se depun personalde cdtre solicitanli, in tar5.,
la serviciilepublice comunitarepentruevidenlapersoanelorori la serviciilepublice comunitarepenhu
eliberareagi evidentapaqapoartelor
simple in a cdror rczd de competen{dau domiciliul sau, durpdcaz,
reqedin{a,iar in strdindtate,la misiunilediplomaticegi oficiile consulareale Romdniei.
Cererile pentru eliberareapagapoartelorsimple electronicese primesc de cdtre serviciile publice
comunitarepentru evidenfapersoanelorprevdzutela art. 15 alin. (2), numai pe mdsura dotdrii cu
echipamenteletehnicecorespunzf,toare.
 Pe de altl parte,potrivit art. 17' din acelagiact normativ, se ooateeliberaun pasaportsimplu
temporar"?nsdin cazul persoanelorcare nu dispun de timpul necesarpentru eliberareaunui pa$aoort
simplu electroniceliberareaesteconditionatdde depunereaunei cereri pentru eliberareaunui pa$aport
simplu electronic.
Conform art. III din OUG nr. 207/2008,Guvernul va stabili, prin hotdrdre,data de la care
serviciile publice comunitarepentru eliberareaqi evidenfapagapoartelorsimple, precum gi misiunile
diplomaticegi oficiile consulareale Romdniei?nstrlin[tate, dotatecu echipamentele
tehnicenecesare
eliberdrii pagapoartelor
electronice,vor primi gi vor solu{ionanumai cereri privind eliberareaacestor
documenteqi a paqapoartelor
simpletemporare,potrivit competen{elor.
Autoritiilile competentecare la data prevdzuti prin hotdr0re de Guvem nu sunt dotate cu
echipamenteletehnice necesareeliberbrii pagapoartelorelectronicevor primi qi vor solufiona ln
continuarecereripentrueliberareapagapoartelor
simple,dar nu mai tdrziu de datade 1 iulie 2009.
Pe mdsura dotdrii cu echipamentele tehnice necesare eliberdrii pa$apoartelor simple
electroniceoinstituliile prefectului in subordineacirora funclioneazdserviciile publice comunitare
pentru eliberareagi eviden{apaqapoartelorsimple procedeazbpotrivit art. III, ,,av0ndobligafia de a
ingtiin{a cetifenii qi de a notifica Ministerul Intemelor gi Reformei Administrative cu privire la
eliberareanoilor documentede cdldtorie".
in prezent,proiectul legii de aprobarea OUG nr.207/2008 se afl6 in dezbaterela Camera
Deputa{ilor,dupdadoptareade cltre Senatla 16 martie 2009,conform art. 115 alin. (5) din Constitulia
Romdniei.

2. Prin HotdrdreaGuvernuluiw. 55712006

privind stabilireadatei de la carese pun in circulalie
pagapoartele
electronice,precum qi a formei gi continutului acestora(M. Of. rr. 376/2.05.2006),cu
ultimelemodificlri gi completdriaduseprin HG nr. 156612008
(M. Of. nr. 842 din 15.12.2008),
s-a
previzut ci punerea in circulafie a pasapoartelor electronice se face incepffnd cu data de 31
decembrie2008.
La art. 2 lit. b) din HG nr. 557/2006 (nemodificat), se preciznazl"semnificafia ,,datelor
biometrice"ca fiind,,imaginea faciali, impresiunea digitali, precum Si orice alte date ale persoanei
care potft introdusetn mediul de stocareelectronicd".Fatd de textul actual al OUG nr.207/2008,
considerimc[ datelebiometricetrebuieinterpretateca redusestrict la imaginea faciali qi impresiunea
digitali a doui degete.
Conform anexelorla HG nr. 557/2006,cu modificdrile gi completirile ulterioare,paqapoartele
electronicediplomatice,de serviciu gi simple con{in urm6toareledatepersonale:
- datelede identitateale titularului (numele,prenumele,datagi locul nagterii),autoritateaemitent5,data
eliber[rii pagaportului,data expirdrii pagaportului,codul numeric personal- C.N.P., sex, cetdfeni4
4
fotografia titularului gravat[ laser qi fotografia in umbr[ tealizatd prin perforafie cu laser, numdrul
paqaportului, semnitura titularului, datele informatizate citibile optic (MRZ), mediul de stocare
electronicda datelorbiometriceale persoanei;
- inllfime4 culoarea ochilor, domiciliul gi fotografia in umbri a titularului, rcallz:athprin imprimare
inkjet.
De asemene4la pagina 32 a paqaportului,intitulatd ,,urgenfe",titularul pagaportuluitrebuie sl
completeze datele particulare ale unei rude sau ale unui prieten care poate fi contactat \n caz de
accident:numele,prenumele,adres4telefonul.
in privin{a persoanelorfdri cetifenie, datelepersonale,pe ldngdaceleaqidate de la pagina32,
cuprind:
- datele de identitateale titularului (numele,prenumele,lara de origine, data qi locul naqterii,codul
numeric personal- C.N.P.,sexul),data eliberlrii, organulemitent,dataexpirdrii, fotografiatitularului
gavatd laser gi fotografiain umbrd realizathprin perforafiecu laser,numdrulpagaportului,semndtura
titularului, dateleinformatizatecitibile optic (MRZ), mediul de stocareelectronicda datelorbiometrice
ale persoanei;
- indlfime4 culoareaochilor,domiciliul gi fotografiain umbri a titularului.
in cazul refugiafilor qi al strdinilor cdrorali s-a acordatprotecfiesubsidiari pentru azil, datele
personale,pe ldngdaceleaqidatede la pagina32, cuprind:
- datelede identitateale titularului (numele,prenumele,cet6{eni4data gi locul nagterii,codul numeric
personal- C.N.P., sexul), data eliberdrii, organulemitent,data expirdrii, fotografiatitularului gravatd
laser gi fotografia in umbr6 realizatd prin perfora{ie cu laser, numdrul pagaportului, semndtura
titularului, dateleinformatizatecitibile optic (MRZ), mediul de stocareelectronici a datelorbiometrice
ale persoanei;
- in6l{ime4 culoareaochilor,regedinJa
pi fotografiain umbr[ a titularului.
Caracteristicile,rubrica{ia"num[rul gi tipul elementelorde siguranti incluse in documentele
electronicetrebuiesdfie in conformitatecu prevederileRegulamentuluiConsiliului (CE) nr. 2.252/2004
qi in
pentruelementelede securitateqi elementelebiomehiceintegratein pagapoarte
privind standardele
documentede cdldtorieemisede statelemembreSi aleDeciziei ComisieiC(2005)409pentru stabilirea
specificaliilor tehnice aferentedispozitivelorde securitateSi a elementelorbiometrice integrate tn
pascipoarteSi in documentelede cdldtorie emise de statele membre.Acesteavor putea fi adaptatein
funclie de dinamicareglementlrilorUniunii Europenein domeniu.

3. Conform Ordonanlei de Urgenfd a Guvernului nr. 94/2008 pentru stabilirea unor mbsuri
privind punereain circula{ie a pa$apoartelorelectronice,precum gi producereaaltor documentede
cSldtorie(M. Of. nr. 485 din 30.06.2008),Compania Nafionalfl <<ImprimeriaNafionalil> - S.A.
produce, cu titlu de exclusivitate,in condiliile RegulamentuluiConsiliului (CE) nr.2.252/2004gi ale
electronice,permisede qederegi documentede cilitorie
Deciziei Comisieinr. C(2005)409,pagapoarte
care se elibereazdstrdinilor, colantul uniform de vad, pagapoartetemporare,titluri de cdldtorie pentru
cet5,teniirom6ni, titluri de cil[torie provizorii pentru ceti,tenii din statelemembreale Uniunii Europene,
colantepentruvize biometrice,formularepentruaplicareavizei volante,precumqi alte documenteale
cdror specificafii tehnicesunt clasificate <<secret
UE>>.
in acestsens,Compania Na{ionall "Imprimeria Na{ional[" - S.A. esteabilitatdsS,,procure
gi str punl la dispozifia Ministerului Internelor gi Reformei Administrative gi a Ministerului
Afacerilor Externe echipamenteleqi produsele soft necesarepentru personalizareapagapoartelor
electronice,colantelor uniforme de vizl gi colantelor pentru vize biometrice gi asiguri, totodatii,
comunica{iile qi serviciile necesare func{ionIrii neintrerupte a intregului sistem de emitere,
gestionaregi eliberare a documentelor".
Personalizarea pa$apoartelorelectronicese realizeazdde cltre Centrul Na{ional Unic de
Personalizare a Pagapoartelor Electronice, care va funcfiona in structuraooDirec{ieigenerale de
paqapoartedin cadrulMinisterului Internelor qi Reformei Administrative".
Organizarea gi func{ionarea Centrului Na{ional Unic de Personalizare a Pagapoartelor
(M. Of.726 din 27.10.2008).
Electroniceau fost stabiliteprin HG nr. 1319/2008
Conform acesteihotirdri de Guvem, Centrul indeplinegteurmitoarele atribufii principale:
electronice- diplomatice,de serviciuqi simple;
a) personalizeazdpaqapoartele
alte documente,in condifiile legii;
b) personalizeazdgi
de datede produc{ieconfindnddatelecu caracterpersonalnecesarepersonalizdrii
c) gestioneazdbazele
electronice,in conformitatecu prevederilelegalein domeniulprotecfieipersoanelorcu
pagapoartelor
privire la prelucrareadatelorcu caracterpersonalgi libera circulaliea acestordate;
d) verifici indeplinirea standardelorgi specificafiilor na{ionale qi interna{ionalecu privire la
paqapoartele
electronice
;
e) particip[ la comisiile internationalede elaborarea standardelorgi specificafiilorpentrudocumentele
de cdlitorie;
f) asiguri interoperabilitateacitirii pagapoartelorelectroniceromdneqtiprin implementareastandardelor
recunoscuteintemalional?ndomeniuldocumentelorde c6ldtorie.
 Sectiuneaa III-a: Demercuri ale Autoritdtii Nationale de Suoravesherea Prelucrdrii Datelor
cu CaracterPerconal

I. Conform atribu{iilor de investigare,in baza art.21 alin. (3) lit. h), a art. 27 din Legea nr.
67712001pentru protec{ia persoanelor cu privire la prelucrarea datelor cu caracter
personal qi libera circulafie a acestor date gi a art.13 din Legea nr. 102t2005privind
infiin{arean organizarea qi functionarea Autoriti{ii Nafionale de Supraveghere il
Prelucr[rii Datelor cu Caracter Personal
Potrivit informafiilor de pe site-ul oficial al PrefecturiijudeJuluiIlfov (www.prefecturailfov.ro)
gi din mass-media,incep0ndcu31.12.2008,Serviciul pagapoarte Ilfov elibereazdexclusiv : paqapoarte
simple electronice= 234,001ei (costul pagaportului)+ 32,00 lei (tax6 consulari); pagapoartesimple
temporare: 64,20lei (costulpagaportului)+ 32,00 lei (taxdconsulari),fiind singurulserviciudin {ard
careelibereazdin prezentpaqapoarte
electronice.
Institutia Prefectuluijude{ului llfov a notificat in 2007 prelucrareadatelorcu caracterpersonal
avdnd ca scop ,,eliberareagi evidenfapagapoartelorsimple", iar printre datele cu caracterpersonal
prelucrateseafl6 qi imagineagi datelebiometrice.
DirecfiaGeneraldde Pagapoarte
din cadrulMinisteruluiAdminisha{ieigi Internelora notificat in
anul 2007 gi in 2008 prelucrareadatelor cu caracterpersonalin scopurinecorelate,fapt pentru care
notificarea nu a fost inregistrat[ in Registrul de evidenfd a prelucr6rilor de date cu caracterpersonal.
Pentruprelucrareadatelorbiometricein vedereaeliberirii paqapoartelor
electronice,Direclia Generald
de Paqapoarte
nu a depusnotificarein prealabil.
Fala de acesteconstatiri preliminare gi ludnd in consideraredispoziliile legale aplicabile,
Autoritatea Nationald de Supravegherea Prelucrdrii Datelor cu Caracter Personal (denumitd in
continuare ANSPDCP)a efectuat in luna martie 2009 doui investiga{ii din oficiu, la Institu{ia
Prefectuluijudefului llfov-Serviciul Public pentru eliberareagi evidenfapagapoartelorsimple gi la
Direclia GeneralSde Pagapoarte
(CentrulNa{ionalUnic de Personalizarea Pagapoartelor
Electronice)
din cadrulMinisteruluiAdministrafieigi lnternelor(denumitin continuareMAI).
in urma verific drilor ficute, au rezultat urmdtoarele constatdri :
. in bazaOUG nr.207/2008, s-a decis caintr-o fazd pilot sd se implementezeeliberarea
. pagapoartelor
simple electronicede cdtre Serviciulpublic comunitarpentrueliberareagi
eviden{apagapoartelorsimple Ilfov (denumit tn continuareSPCEEPSllfov), intrucdt se
la nivelul acestuijude! gi din
inregistrauun numdrmai redusde solicitiri de paqapoarte
motive funcfionale,dat fiind sediul in municipiul Bucureqti.in func1iede constatirile
legatede modul de funcfionarede la acestserviciu,se vor implementaulterior misuri la
 nivelul tuturor serviciilor de pagapoartedin !ard, pentru eliberarea pagapoartelor
electronice,pdnbla 30 iunie 2009.
Desftgurareaacesteifaze pilot a fost stabilitdin Planul de Ac{iuneSchengen2008, chiar dacd
acestanu ftcea referire in mod expres la SPCEEPSllfov. Planul de Acliurrc Schengen2008 prevedea
unui proiectpilot al sistemuluipentruemitereaqi gestionarea
,,Implementarea noilor paqapoarte
cu date
biometrice" cu termen 23.06.2008,dupd care ,,Extindereasistemuluipentru emitereaqi gestionarea
pagapoartelor
cu datebiometrice,pentruintreagatprt' cu termen30.11.2008.
UrgentareaadoptSrii unor reglementiri vizdnd inhoducereapagaportuluielectronic confindnd
date biometrice,prin actelenormativeemise in 2008, s-a datoratprimirii unei aten{iondridin partea
ComisieiEuropenein octombrie2007,de punerein intdrzierepentruneaplicareaRegulamentului(CE)
nr.2.25212004.
ln perioadaoctombrie- decembrie2008 au fost instalateechipamentelehardwarein sediile
aferentefazei pilot qi au fost efectuateprimele testede tipdrire a blanchetelorde pagapoarte,iar dup[
instalareamaqinii de personalizatgi testareaechipamentelor,la 31 decembrie2008 a fost personalizat
primul pagaport electronic simplu rom0nesc-primul specimen in conformitate cu cerinfele
Regulamentului(CE) nr.2.252/2004qi specificafiiletehniceprevdzutein Anexelela HG nr. 1566/2008.
o Primireacererilor pentrueliberareapagapoartelor
simple electronicede cdtre SPCEEPS
Ilfov a inceput la data de 5 ianuarie 2009.

incepdndcu aceastiidati, SPCEEPSIlfov elibereazdexclusiv pa$apoartesimple electronicegi

simpletemporare,pentrucetdfeniicaredomiciliazdsauau reqedinlain judeful llfov.
pagapoarte

Prin urmare,prelucrarea datelor prin preluarea imaginii faciale Si a impresiunilor digitale a

inceputla 5.01.2009,ftrd s6 fi fost adoptateln prealabilnormele metodologicede aplicarea Legii nr.
248/2005,aqacum a fost modificatdprin OUG nr. 20712008,
pentrureglementareaacestorproceduri.
in perioada5.01.2009-6
.03.2009,1aSPCEEPSIlfov au fost inregistrateun total de 893 de cereri,
dintre care626 pentrueliberareapagapoartelor
simpleelectronice9i267 pentrueliberareapagapoartelor
simple temporare,iar un numdr de 239 de pagapoartesimple electroniceau fost inmdnatetitularilor.
o Direclia Generald de Pasapoarte (denumitd in continuare DGP) este responsabild
pentru modul in cqre s-a pus in aplicare OUG nr. 207/2008,intrucdt a stabilit proceduri
. pentru utilizarea aplicaliei informatice vizdnd emitereapaqapoartelorelectroniceqi a
instruitin acestsensangaja{iiSCPEEPSIlfov.
. Imagineafaciald gi impresiuniledigitale intrd in categoriadatelor cu caracterspecial
avdnd o func{ie de identificare de aplicabilitate general5,protejate conform art. 8 din
 Legea nr. 677/2001*.in acestsens,colectareadatelorbiometricepentru solicitantii de
pagapoartetemporare, in vederea includerii ln pagaportul electronic, reprezintii o
incdlcarea prevederilorart. 8 din Legea nr. 67712001,avdndin vederecd nu exist[ o
dispozilie legali expres[ care sI impund colectarea datelor biometrice o dotd cu
depunereacererii pentru eliberarea pasaportului temporar sau o autoriza{ie emisd de
ANSPDCP. in acelagitimp, consimflmdntulpersoanelorvizate nu poate fi considerat
expresgi neechivoc,solicitanlii fiind obliga{i ca, o datdcu completareaconcomitenti a
cererilor pentru eliberarea pagaportului electronic gi a celui temporarosd se supunf,
colectirii obligatoriia datelorbiometrice.
Aceasti prelucrare decurgedin interpretarearestrictivl, datorati gi lipsei de reglementareprin
normele metodologicede aplicare,a dispoziliilor art. l7r lit. a) din Legea tr.248/2005, modificatd
astfel prin OUG nr. 207/2008,conform cdrora,in cazul persoanelorcarenu dispunde timpul necesar
pentru eliberareaunui pagaport simplu electronic, eliberarea paqaportuluisimplu temporar este
condi{ionati de depunereaunei cereri pentru eliberareaunui pagaportsimplu electronic.Legea nu
prevede dacd la data depunerii unei cereri pentru eliberareaunui pagaportsimplu electronic este
obligatoriepreluareadatelorbiometrice.
Fafdde acestaspect,reprezentantiiDGP auprecizat,prin obiec{iileformulatela procesul-verbal,
cd ,,obligativitateadepunerii unei cereri pentru eliberareapagaportuluisimplu electronic odati cu
solicitareaunui paqaportsimplu temporar,in cazulprevdzutla art. 171lit. a) din Legea nr.24812005,a
fost introdusdla propunereaMinisterului Economieigi Finanfelorin procedurade avizarca proiectului
O.U.G. nr.207/2008,contrartuturor opoziliilor exprimatede Ministerul Administrafieigi Internelorgi,
implicit de Direcfia Generaldde Pagapoarte".
o Reprezentan{iientiti{ilor controlatenu au putut dovedi dacI sunt stocatelnbaza de date
in mod corect numai doud amprentedigitale, ce trebuie s[ fie cu prioritate cele de la
ardtitorul stdng gi de la arltdtorul drept, a$acum prevdd deciziile Comisiei Europene
emiseconform RegulamenfuluiCE, iar nu zeceamprentecare sunt in prezentpreluatede
la solicitanli, la nivelul SCPEEPS Ilfov. De asemene4 reprezentanlii entititilor
controlatenu au putut indica qi dovedi care sunt cele doudamprentestocatepe mediul de
stocareelectronic,cu specificarea?n formaful de stocarea degetuluirespectiv.Aceste

-
Potrivit Documentului de lucru privind datele biometrice w. 80 din I august 2003, emis de Grupul de Lucru Art.29, care
reunestereprezentantiai tuturor autoritdlilor nalionale de proteclie a datelor din Uniunea European5,cu rol consultativ pe
l6ngd Comisia European5,datele biomeffice au fost considerateca fiind date cu caracter special legate de caracteristicile
comportamentalegi fiziologice ale unui individ, ce permit identificarea sa unic6. in cazul utilizirii datelor biometrice (spre
exemplu, amprenteledigitale, imaginearetinei, ADN) pe scardlargd, acesteasunt considerateca fiind date de identificare de
aplicabilitate generald,in sensulart. 8 paragraful 7 din Directiva95/46[EC, iar statelemembre sunt obligate sd stabileasc6in
ce condilii pot fi prelucrate.
 lacune de naturi a nu permite stabilirea caracterului adecvqt,pertinent, neexcesivSi
exactal datelorcolectate,conform art.4 aln. (1) lit. c) gi d) din Legeanr.677/2001,pot
creadificult[{i in practicd"ce pot aduceatingerechiar libertifii de circula{iea titularului
de pagaport(in cazul controalelorla frontiere).
DGP nu a furnizat o explicalie satisfbcdtoarepentru stocareatimp de 30 de zile
calendaristicede la datatrimiterii paqaportuluipersonalizat"de la CentrulNafional Unic
Electronicec[tre serviciile publice locale, in scopul
de Personalaarea Paqapoartelor
reactivdrii lor atunci cdnd titularul contesti exactitatea unor date inscrip{ionate in
paqapor!pentruca stabilireaacesteiperioadesdcorespundd
principiilor prevdzutede art.
4 alin. (1) lit. e) din Legea nr. 677/2001,de stocarea datelor strict pe durata necesard
atingerii scopului prelucrdrii. in plus, DGP a stocat pe servertoate datele care au fost
colectatedupl 5.01.2009,stocarecare va continuap0ndla primirea noilor echipamente
tehnicecarevor fi instalatela sediulDGP (datdneprecizati),deqi 239 de pagapoarteau
fost deja inmdnatetitularilor.
Formularelepentru eliberareapaqapoartelorelectronice,elaboratede DGP qi utilizate
momentannumai de SCPEEPSllfov, nu conlin acordul exprespentru prelucrareadatelor
biometrice, informa{ii privind colectareagi prelucrareaacestorcategorii de date-date
biometrice,destinatariidatelor,fapt carecontravineart. 8 qi 12 din Legeanr.67712001.
DGP nu a adoptatsuficientemdsuri de asigurarea securitdlii datelorpersonale,nefiind
stabiliti obliga{ia de a se utiliza la fiecare utilizator al aplica{iei dedicateuser name,
parolagi cardulde accesqi nu suntimplementatelog-urilede acces,potrivit Ordinului nr.
5212002privind aprobareacerin{elor minime de securitatea prelucrdrilor de date cu
caracterpersonal.De asemene4nu au fost instruitepersoanelecarelucreazIpe tot fluxul
de emitere a pagapoartelorelectronice cu privire la procedura corecti de preluare a
impresiunilordigitale,in privin{a stabilirii cu prioritatea amprentelorde la doui degete,
conform specificafiilor tehnice aprobate prin deciziile Comisiei Europene. Aceste
aspectecontravinart. 19 gi art.20 din Legeam.677/2001.
DGP are calitateade operator de date cu caracterpersonal pentru prelucrareadatelor cu
electronicegi al evidenfeititularilor
caracterpersonalin scopuleliberdrii pagapoartelor
simple,conformart. 3 lit. e) din Legeanr.67712001,sensin careii revine
de pagapoarte
obliga{iarespectiriituturor dispoziliilor acestuiact normativ.
DGP a notificat ln 2007 la ANSPDCP prelucrareadatelor cu caracterpersonalavdnd ca scop
,,activit6tide prevenirea infracfiunilorgi alte activiti(i desftguratein domeniuldreptuluipenal".DGP a
mai notificat in anul 2008 scopuri necorelate (frr[ sI precizeze qi scopul eliber6rii pagapoartelor

10
simple), fapt pentru carenotificarea nu a fost inregistrati. Pdn[ la dataefectudrii investiga{iilor, DGP nu
a transmis un rdspunssau o noud notificare, conform observafiilor primite in scris de la ANSPDCP in
2008.
Pentruprelucrareadatelor biometrice,prin intermediul Centrului Nafional Unic de Personalizare
a Pagapoartelor
Electronice,DGP ar fi trebuit sd depuni o notificare cu cel pulin 30 de zile inainte de
incepereaprelucririi, pentru a fi efectuatun control prealabil, respectiv,cu cel pufin 30 de zile inainte
de datade 5 ianuarie2009,cdnda inceputprelucrareadatelorin cadrulfazeipilot.
DGP nu gi-a indeplinit aceastdobligafie, nefiind depus[ nici o notificare pentru prelucrarea
datelorcu caracterpersonalin scopuleliberdriipagapoartelor
simpleelectronicegi al eviden{eititularilor
de pagapoarte
simple,inaintede incepereaprelucrdrii,conform art.22 alin. (l) din Legeanr.677/2001.

Pentruconstatirilede mai sus,ANSPDCPa aplicato sanc{iunecontravenfionald

DGP, const0nd
in amenddin cuantumtotal de 10.000lei (RON) gi a formulat o serie de recomandiri, dupi cum
urmeazd:
- notificareaprelucrdriicihe ANSPDCP;
- modificareaformularelorde eliberarea pagapoartelor;
- adoptareamisurilor de securitatea prelucrlrilor de date cu caracterpersonal,cel pufin la
nivelul prevdzutde Ordinul nr.52/2002,in privinfa identificirii gi autentificirii utilizatorilor
gi a stabilirii figierelorde acces;
- instruirea personalului care prelucreazd date personale, pe tot fluxul de emitere a
pagapoartelorelectronice gi urm[rirea regulatii a respectirii mdsurilor de securitate gi
confidenfialitatea prelucr[rilor de cdtreacesta;
- modificarea aplica{iei informatice, astfel incdt sd permiti stabilirea cu exactitate a
impresiunilordigitale stocatein mediul de stocareelectronicde la celedouddegete;
- revizuireanecesitifii de stocarea datelor biometrice, dupd atingereascopului, respectiv,
emitereapagaportuluielectronic,cu justificare conform[ Legii nr. 677/2001;
- transmitereacdtre ANSPDCP a proiectului hotirdrii de Guvern pentru aprobareanormelor
metodologicede aplicare a Legii nr. 24812005,aga cum a fost modificatd prin OUG nr.
207/2008,in vedereaavizdni.

. Pdnd la data redactiirii prezentului raport, mdsurile sau fost ?ndeplinitepa(ial de c[tre DGP,
urmdnd s[ fie transmise c[tre ANSPDCP qi celelalte informalii corespunzdtoare,conform celor
recomandate.
Totodat5"in urma investigatiilor, ANSPDCP a emis cdtre DGP Recomandareonr. 19/2009,
avdndca obiect luareamdsurilornecesarepentru elaborareagi aplicareaunei proceduriscrisecare si

ll
continA prevederireferitoare la durata de stocarea datelor biometrice qi la destina{iaulterioar5 a
prevederilorLegii 677/2001.
acestora,cu respectarea

U. Conform atribu{iilor de consultarelegislativil,inbaza art.2l alin. (3) lit. h) din Legea nr.
67712001pentru protec{ia persoanelor cu privire la prelucrarea datelor cu caracter
personal qi libera circulafie a acestordate
1. Autoritatea Na{ionald de Supravegherea Prelucrlrii Datelor cu Caracter Personal a fost
consultatiin anul 2008,in fazade elaborarea proiectuluiOUG nr.20712008.
Este de men{ionatcd proiectul ordonanfei,la datarespectivS,nu conlinea prevederileactualului
aft. I71 lit. a) din Legea nr.248/2005, modificatd astfel prin OUG nr. 20712008,care condilioneaz[
depunereacererii pentru eliberarea pagaportului temporar, de depunereacererii pentru paqaportul
electronic.
Autoritatea Nafionaltr de Supravegherea helucririi Datelor cu Caracter Personal a avuat
favorabilproiectulordonan{eide urgen{i, cu urmdtoareleobserva{ii:
Fafa de excepJiilemenfionatecu privire la obligafia de furnizare a impresiunilor digitale,
referitor la vdrsta persoanelo,",s-a apreciatcd trebuie avutd in vedere,cel putin, posibilitateade a
revizui limita de vdrst6"dupl o numiti perioaddde timp (spreex. 3 ani), pebazaexperienfeiacumulate,
in vederearespectiiriiprincipiului calititii datelorinstituit atdtde Directiva95l46lCE,cdt qi de Legeanr.
677/2001,modificati gi completatE.
in sensulcelor de mai sus,limita de vdrsti de 6 ani a fost stabiliti frrd a se aveain vedereun
studiu solid gi aprofundat,a$a cum se subliniaz[ qi in Avizul Autorit[fii Europenepentru Protecfia
Datelordin26 martie2008,publicatin JO nr. C200/l din 6.8.2008.
in acelagi timp, avizul menlionat anterior recomandd a se ovea tn vedere vdrsta de 14 ani
stabiliti gi ?n cadrul sistemuluiEurodacsau al programului,,US Visit" ori o vdrsti pufin mai mic6,
deoareceutilizareadatelorbiometriceselimiteazdstrict la un procesde verificare.
De asemene4 s-a apreciat ca necesar[ stabilirea unei limite de vdrst[ pentru persoanele
v0rstnice,in mod similar programului,,USVisit" (spreexempluo79 de ani),pentrurespectarea
aceluiagi
principiu enunfatmai sus.
Referitorla principiul o,opersoan[- un pagaport",in acordulcelor amintiteanterior,autoritateaa
apreciat cd acestaar trebui aplicat numai copiilor a ciror vdrsti este superioardlimitei de vdrstd
pertinente(14 ani), deoarecescopulemiterii unui paqaportesteacelade a facilita circulafiaceti{enilor
europeniqi nu lupta impotriva rdpirii de copii, pentru caresunt elaboratealte mlsuri suplimentare.

2. Ulterior efectudrii investiga{iilor din luna martie 2009, AutoritateaNationald de Supraveghere

a Prelucr[rii Datelor cu CaracterPersonala primit pentru exprimareaunui punct de vedere,proiectul

12
Hotdrdrii Guvernuluipentru modificareaSi completareaNormelor metodologicede oplicare a Legii nr.
248/2005privind regimul liberei circulalii a cetdgenilorromdni tn strdinitate, aprobateprin Hotdrdrea
Guvernuluinr. 94/2006.
FafS de conJinutul acestui proiect, autoritatea a comunicat cdtre Ministerul Administraliei gi
Internelor, iniliatorul proiectului, o serie de observalii legatede claritateagi exactitateareglementirii in
privinla procedurii de prelevare a impresiunilor digitale, de vdrsta solicitanlilor de pagapoarte,de
modaliti{ile de verificare a datelor din paqapoartede cdtre titulari, de perioada de stocare a datelor
personaleprelucrate, in special a celor biometrice, de modalitateade stocarea acestoragi destinatia
ulterioarda datelor,de procedurasoluJiondriicererilorde acces,interventiegi opozifiegi de necesitatea
indicdrii obligafiei personalului tuturor structurilor/institu{iilor implicate de a acfiona cu respectarea
confiden{ialitdtiiqi securit{ii datelorcu caracterpersonalutilizate.

l3
 Sectiunes a IV-a: Propuneri

Avdnd in vederedemersurile?ntreprinsede Autoritatea Na(ionald de Supravegherea prelucr6rii

Datelor cu Caracter Personal, raportate la prevederile legale incidente in domeniul eliber6rii
pagapoartelorsimple electronice qi a pagapoartelorsimple temporare,apreciem ca fiind necesard
stabilirea unui cadru legal adecvat,de naturi a asiguraatet libertateade circula{ie a cetiifenilor romini,
cdt qi protejareadatelorlor personale,in conformitatecu reglement6rilecomunitareqi celenafionale.
in acest contextoconsiderdm ci dispoziliile Legii m. 248/2005 ar trebui sd reglementezeo
procedur[ clari de colectare,stocaregi accesla datelebiometrice,numai pentru realizareascopurilor
stabiliteprin RegulamentulCE nr.2.252/2004(pentruverificareaautenticitafiidocumentuluigi pentru
verificarea identitnfii titularului prin intermediul unor caracteristicicomparabiledisponibile in mod
direct in cazurile cdnd prin lege se prevede obliga{ia prezentirii pagaportuluisau altor documentede
cdl6torie),cu limitarea num[rului de date colectategi a perioadeide stocareacestora.De asemenea,
Autoritatea Nafionali de Supravegherea Prelucririi Datelor cu CaracterPersonaltmpdrtdgegteopinia
Autoritdfii Europene Pentru Protecfia Datelor, exprimatd in Avizul nr. 2008/C 200/01, privind
propulrereo de regulamenta Parlamentului EuropeanSi a Consiliutui fu modificare a Regulamentului
(CE) nr. 2252/2004 al Consiliului privind standardelepentru elementelede securitate Si elementele
biometrice integrate tn pasapoarte gi tn documentede cdldtorie emise de statele membre, conform
cdreiadatelebiometricetrebuiestocatenumaiin mediul electronicinseratin pagaport,iar nu ?ntr-obaz6
centralizatdde date.
Totodati" AutoritateaNafional5 de Supravegherea Prelucrdrii Datelor cu CaracterPersonal
apreciazhcd se impune stabilirea unor limite de vdrstE pentru persoanelede la care se preiau
impresiuniledigitale in func{ie de rezultateleunor studii nafionalesauinternafionalerecunoscutegi de
practicaexistentdin alte domenii saustate,dat[ fiind necesitatea
asiguririi calitnfii datelorca adecvatd
gi pertinentd,fa{ade scopulprelucr5rii.Astfel, limitele de vdrsti propusede autoritateade supraveghere
sunt de 14 ani pentru minori gi 79 de ani pentru persoanelevdrstnice,in acord cu reglementdrile
EURODAC (sistemde informa{ii al solicitanlilorde azil) 9i cu practicaSUA, din programulUS Visit.
in acelagisens, va fi necesari revizuirea periodicl a limitei de vdrst[ gi aplicareaprincipiului ,,o
persoand- un pa$aport"numai in cazul copiilor a cdror vdrstd este superioardlimitei de vdrstd
pertinente.
in final, AutoritateaNa{ionaldde Supravegherea Prelucr[rii Datelor cu CaracterPersonal atrage
atenfia asupra riscurilor implicate de efecfuareaprelucrdrilor de date, mai ales a celor cu caracter
special,a;a cum sunt datelebiometrice,in lipsa unui cadrulegal completarmonizat,riscuri de natur6a
aduceatingererespectdriidrepturilor ceti,tenilor gi tn mod deosebitdreptului la via,ti intim4 familiald gi
privatd.

t4