BULETIN INFORMATIV NR. 6

BULETIN INFORMATIV NR. 6

(1 august – 30 octombrie 2020)

 

1. Activități de informare efectuate de CNPDCP

În ultima perioadă,  Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPDCP) primește multiple adresări prin care se solicită opinia autorității în legătură cu înregistrarea și transmiterea în direct prin intermediul internetului a ședințelor consiliilor locale. În acest context, în perioada de referință CNPDCP a analizat subiectul abordat și a notat că prin publicarea pe internet a ședințelor consiliilor locale, se va oferi acces la anumite informații care sunt puse în discuție în cadrul ședințelor, nu doar părților interesate din localitatea respectivă, dar unui număr nelimitat de persoane. Opinia detaliată a CNPDCP poate fi accesată la următorul link: https://datepersonale.md/aspecte-privind-inregistrarea-si-transmiterea-on-line-a-sedintelor-consiliilor-locale/

2. Activitatea de control 

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 82 de investigații. Din cele 82 de investigații: 4 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; în 28 de cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 31 de procese verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3. Activitatea de supraveghere

Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 183 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 89 de decizii de autorizare și 94 de decizii de refuz. Astfel, circa 68 de operatori de date și 89 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal.

4. Știri internaționale și europene

La 2 septembrie curent a avut loc cea de-a 36-a sesiune plenară a Comitetului European pentru Protecția Datelor. În cadrul acestei ședințe Comitetul a adoptat Liniile directorii privind conceptele de operator și persoană împuternicită din RGPD și Liniile directorii orientate spre utilizatorii de social media. În plus, CEPD a creat un grup de lucru pentru reclamații ca urmare a hotărârii CEJ Schrems II și un grup de lucru dedicat măsurilor suplimentare pe care exportatorii și importatorii de date pot fi obligați să le ia pentru a asigura o protecție adecvată la transferul de date în contextul hotărârii CEJ Schrems II.

https://edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-seventh-plenary-session-guidelines-controller_en

La 7 octombrie  s-a desfășurat cea de-a 39-a sesiune plenară a Comitetului European pentru Protecția Datelor. În cadrul  ședinței au fost adoptate Liniile directorii privind conceptul de obiecție relevantă și motivată. Liniile directorii vor contribui la o interpretare unificată a conceptului, care va ajuta la implimentarea art. 65 din RGPD. Liniile directorii vizează stabilirea unei înțelegeri comune a noțiunii „relevant și motivat”, inclusiv ceea ce ar trebui luat în considerare atunci când se evaluează dacă o obiecție „demonstrează în mod clar semnificația riscurilor prezentate de proiectul de decizie” (articolul 4 (24) RGPD).

La 20 octombrie, CEPD s-a întrunit pentru cea de-a 40-a sesiune plenară. În timpul plenului, a fost discutată o gamă largă de subiecte.

În urma consultării publice, CEPD a adoptat o versiune finală a Ghidului privind protecția datelor din momentul conceperii și implicit. Liniile directorii se concentrează asupra obligației de protecție a datelor din momentul conceperii și implicit, astfel cum este prevăzut la art. 25 RGPD. Obligația de bază consacrată la articolul 25 constă în implementarea efectivă a principiilor de protecție a datelor și a drepturilor și libertăților persoanelor vizate din momentul conceperii și implicit. Aceasta înseamnă că operatorii trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate și măsurile de protecție necesare, concepute pentru a stabili principiile de protecție a datelor în practică și pentru a proteja drepturile și libertățile persoanelor vizate. În plus, operatorii ar trebui să poată demonstra că măsurile implementate sunt eficiente.

Tot în cadrul acestei ședințe CEPD a decis să înființeze un cadru coordonat de aplicare (CEF). CEF oferă o structură pentru coordonarea activităților anuale recurente de către autoritățile de supraveghere ale CEPD. Obiectivul CEF este de a facilita acțiunile comune într-o manieră flexibilă și coordonată, variind de la creșterea conștientizării comune și colectarea de informații până la verificările de aplicare și anchete comune. Scopul acțiunilor coordonate anuale recurente este de a promova conformitatea, de a împuternici persoanele vizate să își exercite drepturile și să sensibilizeze. La această ședință CEPD a adoptat o scrisoare ca răspuns la Europäische Akademie für Informationsfreiheit und Datenschutz cu privire la implicațiile privind protecția datelor din articolul 17 din Directiva drepturilor de autor, în special cu privire la filtrele de încărcare a fișierelor. În scrisoare, CEPD afirmă că orice prelucrare a datelor cu caracter personal în scopul filtrelor de încărcare trebuie să fie proporțională și necesară și că, pe cât posibil, nu ar trebui prelucrate date cu caracter personal atunci când se aplică art. 17 din Directiva privind drepturile de autor. În cazul în care este necesară prelucrarea datelor cu caracter personal, cum ar fi pentru mecanismul de recurs, aceste date ar trebui să se refere doar la datele necesare pentru acest scop specific, aplicând în același timp toate celelalte principii ale RGPD. CEPD a subliniat că în continuare face schimb de informații cu Comisia Europeană pe această temă și că și-a manifestat disponibilitatea pentru o colaborare ulterioară.

 În perioada 28-30 septembrie a avut loc cea de-a 50-a reuniune a Biroului Comitetului Convenției 108, care s-a întrunit on-line. Peste 50 de experți în protecția datelor care reprezintă statele părți la Convenția 108, precum și observatori  s-au conectat zilnic la platformă, pentru a discuta subiectele agendei. Participanții au dus discuții pe teme prioritare ale Comitetului Convenției, cum ar fi recunoașterea facială, datele cu caracter personal prelucrate în contextul sistemelor de învățământ, profilarea, identitatea digitală precum și prelucrarea datelor cu caracter personal în contextul campaniilor politice.

Consiliul Europei publică raportul „Soluții digitale pentru combaterea COVID-19”, care analizează impactul asupra drepturilor la confidențialitate și protecția datelor a măsurilor luate pentru a preveni răspândirea pandemiei COVID-19 în cele 55 state africane, țările americane și europene părți la Convenția 108. Include o revizuire aprofundată și tehnică a utilizării aplicațiilor digitale de urmărire a contactelor și a instrumentelor de monitorizare.

5. Alte autorități pentru protecția datelor

–         o amendă de 830,000 euro a fost aplicată de Autoritatea Olandeză pentru Protecția Datelor către Registrul Național de Credit, pentru taxarea subiecților de date pentru solicitarea accesului la datele lor în format digital. Registrul Național de Credit a creat prea multe obstacole pentru persoanele care doresc să-și acceseze datele. Conform legislației privind confidențialitatea datelor cu caracter personal, acest lucru nu este permis.

–         o amendă de 75,000 euro a fost aplicată de Autoritatea Spaniolă pentru Protecția Datelor către VODAFONE ESPAÑA, pentru prelucrarea numărului de telefon al reclamantului în scopuri de marketing, după ce ultimul și-a exercitat dreptul la ștergere a datelor cu caracter personal în 2015, cu toate acestea, subiectului de date i-a fost transmis un SMS publicitar. Autoritatea Spaniolă pentru Protecția Datelor a considerat că VODAFONE ESPAÑA a încălcat articolul 6 alineatul (1) din GDPR, prin prelucrarea datelor personale ale reclamantului fără niciun temei legal.

–         o amendă de 100.000 zloți polonezi a fost aplicată de Autoritatea Poloneză pentru Protecția Datelor împotriva Autorității Generale de Geodezie a Poloniei (AGGP), pentru încălcarea principiului legalității prelucrării datelor cu caracter personal și punerea la dispoziție în mod intenționat fără un temei legal pe GEOPORTAL2 (geoportal.gov.pl) a datelor cu caracter personal sub formă de numere de carte funciară obținute din registrele funciare și de proprietate. În plus, AGGP trebuie să adapteze prelucrarea datelor cu caracter personal la prevederile GDPR, întrerupând punerea la dispoziție pe portalul GEOPORTAL2 (www.geoportal.gov.pl) a datelor cu caracter personal.

–         o amendă de 37, 400 euro  a fost aplicată de Autoritatea Norvegiană pentru Protecția Datelor împotriva Administrației Norvegiene a Drumurilor Publice, pentru prelucrarea datelor cu caracter personal în scopuri incompatibile cu scopurile menționate inițial și pentru neasigurarea ștergerii înregistrărilor video după 7 zile. Administrația Norvegiană  a Drumurilor a folosit camerele video de drum pentru a monitoriza părțile contractante, angajații, subcontractanții și angajații subcontractanților. Această utilizare a înregistrărilor video a fost incompatibilă cu scopul declarat inițial.

–         o amendă de 35, 3 milioane euro a fost aplicată de Comisarul din Hamburg pentru Protecția Datelor și Libertatea Informației (HmbBfDI) împotriva Centrului de Servicii H&M din Nurnberg pentru monitorizarea ilegală a câtorva sute de angajați de către administrație. Managerii au dobândit informația despre viața privată, religie, simptome ale bolii și diagnosticul angajaților, care a fost stocată permanent pe o rețea pentru o evaluare meticuloasă a performanței individuale a muncii și pentru a obține un profil detaliat al angajaților pentru măsuri și decizii referitoare la munca lor. Colectarea datelor a devenit cunoscută prin faptul că datele au devenit accesibile la nivel de companie pentru câteva ore în octombrie 2019 din cauza unei erori de configurare. HmbBfDI a ordonat, conținutul rețelei să fie “înghețat” și ulterior a cerut să fie returnat.

–         o amendă de 276,000 euro a fost aplicată de Autoritatea Norvegiană pentru Protecția Datelor împotriva Municipalității Bergen pentru prelucrarea neconformă a informațiilor ce conțin date cu caracter personal din sistemul de comunicare dintre școală și casă. În octombrie 2019, Autoritatea pentru Protecția Datelor a fost notificată cu privire la o încălcare a prelucrării datelor cu caracter personal de către municipalitatea Bergen, cu privire la noul instrument al municipalității pentru comunicarea dintre școală și casă, unde școala și părinții puteau comunica printr-un portal sau o aplicație. Municipalitatea nu a stabilit liniile directorii necesare pentru a securiza informațiile ce conțin date cu caracter personal ale copiilor și părinților cu o adresă confidențială înainte ca instrumentul să fie pus în aplicare. Astfel, o listă de contacte cu informații despre „adresa confidențială” a fost distribuită părinților la nivel de clasă. Amenda administrativă a fost impusă deoarece municipalitatea nu a implementat măsuri tehnice și organizatorice pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal, precum și confidențialitatea acestora.