Buletin Informativ Nr. 17

551 Views

I. Activitățile de informare și instruire efectuate de CNPDCP

În primul trimestru al anului 2024 (ianuarie – martie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), inițiate în 2023, conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 26 ianuarie 2024. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

30 ianuarie – Inspectoratul Național de Securitate Publică al IGP (Direcția coordonare operațională, Direcția poliției de patrulare, Direcția ordine publică, etc.);
02 februarie – Inspectoratul Național de Securitate Publică al IGP (Secția escortă misiuni speciale, Secția patrulare „Chișinău” a Direcției patrulare “Centru”, etc.);
26 februarie -Direcția patrulare „Nord” a INSP;
26 februarie – Direcția „Nord” a INI.

În acest context, au fost instruiți circa 200 de reprezentanți din cadrul subdiviziunilor IGP.

Totodată, în perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Cursul de instruire a fost organizat la data de 25 ianuarie, pentru instituția Publică Liceul Teoretic „Spiru Haret” din Chișinău. Evenimentul a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a V-a “B”. În acest context, au fost instruiți 36 de elevi.

La data de 21 februarie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratului General al Poliției de Frontieră (IGPF), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru personalul Poliției de Frontieră, astfel organizându-se mai multe cursuri de instruire. Scopul acestora, a fost de a spori gradul de percepție a angajaților subdiviziunilor IGPF asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

06 martie – Direcția regională Nord a IGPF (2 cursuri de instruire);
13 martie – Direcția Regională Sud a IGPF (2 cursuri de instruire);
20 martie – Direcția Regională Est a IGPF (2 cursuri de instruire);
27 martie – Direcția Regională Vest a IGPF (2 cursuri de instruire).

În acest context, au fost instruiți circa 250 de reprezentanți din cadrul subdiviziunilor IGPF.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcționarilor publici cu aspectele ce țin de domeniul protecției datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare.

În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituții:

07 februarie – Primăria municipiului Chișinău;
08 februarie – Comisia Națională a Pieței Financiare;
23 februarie – Ministerul Sănătății;
15 martie – Pretura Sectorului Râșcani;
21 martie – Judecătoria Chișinău;
22 martie – Agenția de Intervenție și Plăți pentru Agricultură;
26 martie – Ministerul Dezvoltării Economice și Digitalizării;

În acest context au fost instruiți circa 285 de reprezentanți ai instituțiilor publice.

II. Activitatea de control

În perioada ianuarie – martie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 87 de cazuri. În perioada de referință, au fost emise 96 decizii, dintre care în 34 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 38 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

I. CNPDCP a examinat plângerea unui subiect de date – director al unei instituții de învățământ profesional tehnic privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal ale 96 de angajați din cadrul instituției de către un fost angajat.

În cadrul investigației, din materialele acumulate, CNPDCP a dedus că ultimul, avînd acces la arhiva școlii în perioada sa de activitate, a colectat și dezvăluit informații ce conțin date cu caracter personal ale angajaților instituției precum: numele, prenumele, funcția și salariul către Ministerul Educației și Cercetării sub forma de sesizare privind anumite abuzuri comise de administrația instituției în perioada când acesta era angajat, iar documentele anexate la sesizare au servit drept material probatoriu pentru a demonstra cele invocate de către ultimul.

Urmează a fi menționate prevederile art. 69 alin. (2) Cod administrativ, care statuează că, în cazul depunerii unei petiţii, autoritatea publică este obligată să inițieze o procedură administrativă.

În acest context, CNPDCP relevă că dezvăluirea unor informații ce conțin date cu caracter personal, nu pot să contravină principiilor de protecție a datelor cu caracter personal, atât timp cât acestea sunt necesare pentru realizarea unui interes legitim al persoanei față de organele competente, în scopul probării anumitor fapte pentru apărarea drepturilor și intereselor sale sau a societății în întregime, or, în speța supusă examinării, prelucrarea datelor cu caracter personal a fost pertinentă în ceea ce priveşte scopul pentru care au fost dezvăluite, în circumstanțele în care, situația deplânsă de operator către Ministerul Educației și Cercetării viza și angajații a căror date cu caracter personal erau consemnate în documentele anexate la sesizare.

În circumstanțele expuse supra, urmează a menționa că, prin prisma art. 5 alin. (5) lit. e) al Legii 133/2011, consimțământul subiectului datelor cu caracter personal nu este cerut în cazul în care prelucrarea este necesară pentru realizarea unui interes legitim al operatorului sau al terţului căruia îi sunt dezvăluite datele cu caracter personal, cu condiţia ca acest interes să nu prejudicieze interesele sau drepturile şi libertăţile fundamentale ale subiectului datelor cu caracter personal.

Astfel, CNPDCP a constatat că prelucrarea datelor cu caracter personal ale persoanelor reflectate în listele transmise de către fostul angajat către Ministerul Educației și Cercetării, nu a fost în contradicție cu principiile de protecție a datelor cu caracter personal, or, o astfel de prelucrare de date cu caracter personal a avut la bază un interes legitim, fapt prevăzut de art. 5 alin. (5) lit. e) al Legii 133/2011.

II. CNPDCP a recepționat plângerea unei persoane fizice privind verificarea legalității prelucrării datelor cu caracter personal prin intermediul unui sistem de supraveghere video care a fost instalat în scara unui bloc locativ, precum și pe peretele exterior al blocului de către vecinul acesteia.

Respectiv, la caz, CNPDCP a constatat că prin intermediul sistemului de supraveghere video sunt prelucrate datele cu caracter personal (imaginea) ale subiecților de date care au domiciliul pe adresa aplasării blocului locativ și ale vizitatorilor, întrucât unghiul de captare al camerelor de supraveghere monitorizează/înregistrează video spațiul ce constituie parte comună a blocului (intrarea în bloc, scările blocului, curtea comună și drumul public) care zilnic este traversat de un număr impunător de persoane fizice (locatarii altor scări), operațiuni prin care se încalcă drepturile şi libertățile fundamentale ale acestora, excesiv scopului declarat.

Astfel, CNPDCP a constatat că, în cazul în care supravegherea video efectuată prin intermediul camerei de supraveghere video gestionată de către operator se extinde asupra spațiului comun sau spațiului public și, în consecință, este îndreptată în afara sferei private a persoanei care efectuează prelucrarea datelor cu caracter personal prin aceste mijloace, aceasta nu poate fi considerată drept o activitate exclusiv „pentru nevoi personale sau familiale”.

Or, chiar dacă există consimțimântul/acordul locatarilor din scară de a prelucra datele cu caracter personal prin intermediul sistemului de supraveghere video, se notează că în cazul blocurilor de locuit, un sistem de supraveghere video ar putea fi montat doar de către Asociația de Proprietari în Condominiu la intrarea/ieșirea în/din blocurile de locuit, pe perimetrul exterior al clădirii, precum și în spațiile adiacente acestora (spații de parcare, căi de acces, etc.).

Pornind de la dispozițiile art.34 alin. (3) lit. ,,f” din Legea cu privire la condominiu și art. 546 alin. (1) si alin. (2) din Codul Civil, în cazul în care are loc supravegherea video a spațiului comun din condominiu, atunci doar Asociația de Coproprietari în Condominiu ar avea temei legal de prelucrare a datelor cu caracter personal în acest scop.

Mai mult, s-a determinat că camera de supraveghere video dispunea de funcție ,,înscriere audio”.

Astfel, s-a accentuat că, înainte de instalarea unor camere de supraveghere video cu înregistrarea audio, operatorul trebuie întotdeauna să examineze critic dacă această măsură este, în primul rând, adecvată pentru îndeplinirea obiectivului dorit și, în al doilea rând, proporțională și necesară pentru scopurile sale, în raport cu drepturile și libertățile fundamentale ale subiecților de date. Or, în timpul prelucrării datelor sunt înregistrate și stocate nu doar conversațiile private ale membrilor familiei, persoanelor interesate, ci și a persoanelor terțe ce nimeresc în raza de acțiune a dispozitivelor de înregistrare video/audio, nerespectându-se astfel principiul inviolabilității vieții private, consacrat la art. 28 al Constituției Republicii Moldova, conform căruia, statul respectă și ocrotește viața intimă, familială și privată.

Prin urmare, colectarea/înregistrarea imaginii și vocii subiecților de date cu caracter personal, prin intermediul camerelor de supraveghere video în cauză, constituie o măsură excesivă și disproporționată în raport cu scopul declarat.

În această ordine de idei, s-a determinat că, colectarea categoriei de date cu caracter personal, precum imaginea și vocea, prin intermediul sistemului de supraveghere video reclamat, se efectua contrar prevederilor art. 4 alin. (1) lit. a) și c), art. 5 alin. (1) ale Legii privind protecția datelor cu caracter personal, fiind dispusă încetarea prelucrării datelor cu caracter personal prin sistemul de supaveghere video reclamat.

III. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, privind pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către o instituție de învățământ, manifestate prin publicarea unei înregistrări audio, în care este vizat acesta și copilul său minor, pe rețeaua de socializare „Facebook” a instituției, invocând dreptul la replică, ca urmare a unui conflict mediatizat.

În context, prin decizie s-a constatat că, prelucrarea datelor cu caracter personal ce vizează subiectul de date a fost efectuată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b), c) și art. 5 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal, accentuându-se că nu a fost identificat nici un temei legal pentru publicarea datelor cu caracter personal pe pagina de „Facebook”, care este deschisă publicului larg, precum și invocarea dreptului la replică nu este relevant, or, CNPDCP nu a pus la îndoială și nu a negat dreptul operatorului la replică sau la dezmințirea relatărilor false, însă, toate aceste acțiuni urmau a fi efectuate cu respectarea tuturor principiilor de prelucrare a datelor cu caracter personal statuate de Legea 133/2011. Mai mult, având în vedere că speța implica un minor, CNPDCP a reținut că, scopul invocat putea fi atins prin utilizarea unor mijloace inofensive și mai puțin intruzive în viața privată a acestuia.

IV. CNPDCP a examinat sesizarea unei Asociații Obștești, prin care a fost solicitată verificarea legalității prelucrării datelor cu caracter personal, efectuată de către o persoană publică, manifestată prin publicarea unei secvențe video pe canalul de ,,Youtube’’, în care se regăsesc datele cu caracter personal ale unei minore.

În cadrul investigației s-a determinat că, imaginea minorei a fost clară și a dus la identificarea acesteia, fiind comunicate mai multe date cu caracter personal ale acesteia, precum numele și prenumele, adresa, data și anul nașterii, vârsta, sexul, starea de sănătate etc.

Pornind de la circumstanțele descrise, CNPDCP a constatat că, plasarea în spațiul on-line a informațiilor ce conțin date cu caracter personal ale minorei, a fost excesivă și neîntemeiată și a avut loc contrar prevederilor legale statuate la art. 4, art. 5 și art. 29 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Or, persoana publică, în calitate de operator de date, urma să asigure confidențialitatea datelor cu caracter personal, blurarea imaginii feței și nedivulgarea în spațiul public a informației care duce la identificarea minorei.

IV. Activitatea de supraveghere

În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 30 de consultații telefonice și 10 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

V. Știri internaționale și europene

La data de 26 ianuarie 2024, CNPDCP, în colaborare cu experții proiectului TAIEX, a organizat conferința națională “Creșterea gradului de conștientizare cu privire la Convenția 108+”.

Scopul conferinței a fost de a crește gradul de conștientizare atât a reprezentanților instituțiilor publice, cât și a mediului privat cu privire la Convenția 108+ – un instrument viabil pentru a facilita transferurile internaționale de date, garantând astfel un nivel adecvat de protecție pentru subiecții de date la nivel global.

Conferința a fost moderată de experți în protecția datelor cu caracter personal din Italia, Slovenia și Spania. Printre temele abordate de experți a fost:

Impactul Convenției 108+ asupra deciziilor de adecvare și a transferurilor de date, cu accent pe conformitatea cu acquis-ul UE;
Convenția 108+ ca instrument viabil pentru a facilita transferurile internaționale de date, garantând în același timp un nivel adecvat de protecție a persoanelor fizice la nivel mondial;
Convenția 108+ ca o punte de legătură între regimurile juridice și țări; procesul de ratificare a Convenției 108+;
Lecții învățate și sfaturi de la țările ratificatoare;
Convenția 108+: Mecanismul de evaluare și analiză etc.

În cadrul evenimentului au participat circa 100 de reprezentanți atât ai instituțiilor publice cât și a mediului privat.

Evenimentul a fost organizat şi finanțat de instrumentul de asistență tehnică și schimb de informații a Comisiei Europene (TAIEX).

În perioada 13 -14 februarie, reprezentantul CNPDCP a participat la cea de-a 90-a ședință plenară a Comitetului European pentru Protecția Datelor (EDPB), care a fost organizată cu prezență fizică. În cadrul ședinței au fost discutate, analizate și adoptate unele documente importante pentru activitatea EDPB și care urmează a fi înaintate drept recomandări pentru Autoritățile de Protecție a Datelor.

Unul din aspectele de lucru ale plenarei s-a axat pe adoptarea Avizului privind noțiunea de sediu principal și criteriile de aplicare a mecanismului Ghișeului unic, în urma unei sesizări în temeiul articolului 2 alineatul (1) din Regulamentul (CE) nr. 64 alineatul (2) din GDPR la solicitarea Autorității Franceze pentru Protecția Datelor. S-a specificat că, EDPB consideră că mecanismul Ghișeului unic se poate aplica numai dacă există dovezi că una dintre unitățile din Uniune ale operatorului ia deciziile privind scopurile și mijloacele pentru operațiunile de prelucrare relevante și are competența de a pune în aplicare aceste decizii. Prin urmare, atunci când deciziile privind scopurile, mijloacele și competența de a pune în aplicare aceste decizii sunt exercitate în afara Uniunii, nu ar trebui să existe un sediu principal în temeiul articolului 4 alineatul (16) litera (a) din GDPR, iar mecanismul ghișeului unic nu ar trebui să se aplice.

În cadrul ședinței plenare s-a clarificat modul în care Autoritățile de Supraveghere ar trebui să aplice în practică art. 4 alin. (16) lit. a) din GDPR pentru a asigura aplicarea consecventă a acestuia. În special, s-a reiterat faptul că sarcina probei în ceea ce privește locul în care se iau deciziile de prelucrare relevante și unde există puterea de a pune în aplicare astfel de decizii în Uniune revine, în cele din urmă, operatorilor și că aceștia au obligația de a coopera cu autoritățile de supraveghere.

Următorul aspect analizat în cadrul ședinței plenare a EDPB a fost adoptarea Declarației privind evoluțiile legislative referitoare la propunerea de regulament de stabilire a normelor de prevenire și combatere a abuzului sexual asupra copiilor. Declarația este o continuare a Avizului comun al EDPB și EDPS privind propunerea de regulament a Comisiei Europene și se concentrează pe cele mai recente evoluții legislative, în special pe poziția Parlamentului European din noiembrie 2023.

În cadrul ședinței plenare, s-a discutat despre domeniul de aplicare al orientărilor legate de modelul „Consimțământ sau plată„. În plus față de viitorul art. 64 (2), care va aborda modelul „Consimțământ sau plată” în contextul marilor platforme online, s-a convenit că este necesar să se elaboreze consecutiv orientări cu un domeniu de aplicare mai larg.

În perioada 11-13 martie 2024, reprezentanții CNPDCP au participat la “Săptămâna de învățare și networking privind protecția datelor cu caracter personal în era digitală”, care a avut loc la Tallinn, Estonia.

Scopul evenimentului a fost de a prezenta experiența estoniană în procesul de implementare a GDPR-ului, oferind o imagine de ansamblu cuprinzătoare și practică a provocărilor apărute în procesul de aplicare a acestuia.

Totodată, având în vedere că Estonia este cunoscută ca un lider global în digitalizarea serviciilor publice și se situează pe locul 3 în topul celor mai sigure țări în Indexul global de securitate cibernetică, au fost prezentate informații despre modul în care este organizată prelucrarea datelor cu caracter personal în cadrul instituțiilor publice, precum și care sunt noile tendințe în procesul de asigurare a securității cibernetice.

Pe parcursul “Săptămânii de învățare și networking privind protecția datelor cu caracter personal în era digitală” au fost abordate subiecte de importanță, cum ar fi:

Provocările Autorității de Protecție a Datelor din Estonia înainte și după GDPR;
Prelucrarea datelor cu caracter personal în bazele de date publice: practicile de prelucrare și accesul la aceste date;
Cazuistica GDPR: tendințe și constatări semnificative din practica judiciară și de supraveghere din Estonia;
Confidențialitatea vs. reutilizarea datelor în contextul unei societăți modernizată digital: provocări și recomandări;
Schimbul de date și protecția datelor cu caracter personal;
Securitatea informațională, etc.

Evenimentul, organizat de către Fondul regional GIZ pentru reformele administrației publice din cadrul Parteneriatului Estic, în colaborare cu Ministerul Federal pentru Cooperare Economică și Dezvoltare din Germania, a reunit reprezentanți ai Autorităților de Protecție a Datelor din Moldova, Armenia, Georgia și Ucraina.

În perioada 11-13 martie 2024, reprezentanții CNPDCP au efectuat vizita de studiu „Prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video”. Evenimentul a fost găzduit de Autoritatea pentru Protecția Datelor din Spania (AEPD) – Agencia Española de Protección de Datos.

Scopul evenimentului a constat atât în preluarea celor mai bune practici legale și operaționale privind utilizarea mijloacelor de supraveghere video, cât și în preluarea de către angajații CNPDCP a abilităților și resurselor necesare pentru a aborda în mod eficient aspectele legate de prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, în conformitate cu legislația în vigoare și în interesul protejării drepturilor subiecților de date.

Pe parcursul vizitei de studiu, moderată de către experți în domeniul protecției datelor cu caracter personal din cadrul AEPD, au fost analizate în profunzime subiecte de importanță, cum ar fi:

Evoluția reglementărilor privind supravegherea video, ultimele modificări legislative și reglementări legate de prelucrarea datelor cu caracter personal prin intermediul sistemelor de supraveghere video, cu accent pe reglementările GDPR;
Drepturile subiecților de date și etica în supravegherea video;
Recepționarea și clasificarea plângerilor;
Proceduri de inspecție și instrucțiuni;
Măsuri tehnice și organizatorice pentru asigurarea securității datelor cu caracter personal;
Promovarea tehnologiilor aplicate referitor la supravegherea video etc.

Vizita de studiu a fost organizată cu suportul proiectului UE TAIEX – Instrument de asistență tehnică și schimb de informații, gestionat și finanțat de Direcția Generală Politica Europeană de Vecinătate și Negocieri privind Extinderea (DG NEAR) a Comisiei Europene.

VI. Alte autorități pentru protecția datelor

La data de 22 ianuarie, a fost anunțată decizia finală a Autorității de supraveghere din Belgia din 16 ianuarie 2024, cu privire la impunerea amenzii în valoare de 174 640 de euro pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării, art. 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor subiectului de date, art. 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la subiectul de date, art. 15 Dreptul de acces al subiectului de date, art. 24 Responsabilitatea operatorului, art. 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit și art. 30 Evidențele activităților de prelucrare, din GDPR, de către Black Tiger Belgium.

Autoritatea de supraveghere belgiană a primit o plângere cu privire la activitățile de prelucrare desfășurate de BISNODE BELGIUM, care a fost ulterior preluată de grupul francez BLACK TIGER GROUP și redenumită BLACK TIGER BELGIUM (denumită în continuare „BTB”), susținând că compania a colectat indirect și a prelucrat în mod ilegal datele cu caracter personal ale reclamanților timp de peste 15 ani, fără a-i informa în prealabil în mod corespunzător.

În urma investigațiilor, Autoritatea de supraveghere belgiană a constatat că BTB nu se putea baza pe interesele sale legitime, deoarece datele cu caracter personal colectate indirect nu puteau fi considerate necesare pentru a urmări interesul de a menține la zi registrul de evidență a subiecților de date. Totodată, interesele BTB au fost excluse de drepturile fundamentale ale subiecților de date, din cauza lipsei de informații furnizate în mod proactiv și individual acestora, a contextului prelucrării și a naturii datelor cu caracter personal, precum și a perioadei de păstrare timp de 15 ani. În plus, BTB nu a luat în considerare în mod corespunzător toate riscurile care decurg din prelucrare, stabilind că BTB nu a răspuns în mod adecvat la solicitările reclamanților în temeiul art.15. În cele din urmă, Autoritatea de supraveghere din Belgia a constatat că registrul activităților de prelucrare este incomplet.

În acest context, BTB i-au fost aplicate trei amenzi administrative, în valoare totală de 174 640 de euro. Aceste amenzi se referă la prelucrarea ilegală a datelor cu caracter personal fără informarea subiecților de date într-un mod proactiv, individual și transparent, la faptul că nu a răspuns în mod corespunzător la cererile de acces la date și, în cele din urmă, la diverse încălcări legate de înregistrarea activităților de prelucrare. În plus, Autoritatea de supraveghere din Belgia a impus BTB mai multe măsuri corective, inclusiv o interdicție temporară de prelucrare a datelor cu caracter personal ale subiecților de date pentru care BTB deține datele de contact, până când compania nu îi va notifica în mod individual cu privire la prelucrarea datelor lor și nu le va oferi posibilitatea de a se opune prelucrării.

Reprezentanții Centrului Național pentru Energie Durabilă instruiți în domeniul protecției datelor cu caracter personal

La data de 17 octombrie 2025, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru reprezentanții Centrului Național pentru Energie Durabilă (CNED), la solicitarea acestora. Cursul de instruire a avut drept scop familiarizarea funcționarilor din […]

22 Views

Representatives of the Border Police Sector „Chisinau International Airport” of the Border Control General Directorate trained in the field of personal data protection

On October 15, 2025, the National Center for Personal Data Protection (NCPDP) organized a training session in the field of personal data protection for representatives of the Border Police sector „Chisinau International Airport” of the General Inspectorate of Border Police (GIBP), according to the training plan within the GIBP subdivisions for 2025, […]

20 Views

Galerie Video

Materiale informative

Cookie	Durată	Descriere
cookielawinfo-checkbox-necessary	11 months	Acest cookie este utilizat pentru a ține evidența modulelor cookie pe care le-ați consimțit, în raport cu categoria de cookies “necessary” (cookies necesare);
cookielawinfo-checkbox-non-necessary	11 months	Acest cookie este utilizat pentru a ține evidența modulelor cookie pe care le-ați consimțit, în raport cu categoria de cookies “non-necessary” (cookies care nu sunt necesare);
viewed_cookie_policy	11 months	Acest cookie este utilizat pentru a vedea dacă ați citit politica noastră privind modulele cookie. Nu stochează date cu caracter personal;