Buletin Informativ Nr. 18

I.  Activitățile de informare și instruire efectuate de CNPDCP

În trimestru doi al anului 2024 (aprilie – iunie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.

În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 26 ianuarie 2024. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.

Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

• 21 mai – Direcția de poliție a municipiului Chișinău;

• 28 iunie – Direcția patrulare „Sud” a Inspectoratului Național de Securitate Publică.

În acest context, au fost instruiți circa 155 de reprezentanți din cadrul subdiviziunilor IGP.

Totodată, în perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. 

Astfel, au fost organizate mai multe cursuri de instruire, cum ar fi:

• 19 aprilie –  Instituția Publică Liceul Teoretic „Liviu Rebreanu”;

• 23 aprilie – Instituția Publică Liceul Teoretic „Iulia Hașdeu”. 

Evenimentele a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii claselor a IV-a “A”, IV-a “B” și IV-a “C”.

În acest context au fost instruiți circa 200 de elevi.

La data de 21 februarie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratului General al Poliției de Frontieră (IGPF), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru personalul Poliției de Frontieră, astfel organizându-se mai multe cursuri de instruire. Scopul acestora, a fost de a spori gradul de percepție a angajaților subdiviziunilor IGPF asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:

• 03 aprilie – Sectorului Poliției de Frontieră “Aeroportul Internațional Chișinău” a IGPF;

• 10 aprilie – Inspectoratul General al Poliției de Frontieră.

În acest context, au fost instruiți circa 120 de reprezentanți din cadrul subdiviziunilor IGPF.

În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcționarilor publici cu aspectele ce țin de domeniul protecției datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare. 

În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituții:

• 04 aprilie – Cancelariei de Stat, oficiile teritoriale;

• 16 aprilie – Serviciul Național Unic pentru Apelurile de Urgență 112;

• 18 aprilie  – Universitatea Pedagogică de Stat „Ion Creangă”;

• 16 mai – Institutul de Standardizare din Moldova;

• 30 mai – Agenția de Guvernare Electronică;

• 05 iunie – Primăria Municipiului Chișinău;

• 07 iunie – Ministerul Afacerilor Externe și Integrării Europene;

• 21 iunie – Serviciului Fiscal de Stat;

• 25 iunie – Centrul Unificat de Prestare a Serviciilor Publice;

• 26 iunie – Serviciului Fiscal de Stat, funcționarii fiscali din teritoriu;

• 27 iunie – Proiectul de înregistrare și evaluare funciară.

În acest context au fost instruiți circa 710 reprezentanți ai instituțiilor publice.

II. Activitatea de control

În perioada aprilie – iunie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 75 de cazuri. În perioada de referință, au fost emise 83 decizii, dintre care în 34 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 25 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.

III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

I.  CNPDCP a examinat plângerea unui subiect de date privind pretinsul fapt de prelucrare neconformă a  datelor cu caracter personal ce-l vizează, de către angajații unei instituții de stat, manifestate prin accesarea/consultarea informației cu caracter personal stocată în resurse informaționale de stat – Registrul de Stat al populației și Registrul de Stat al conducătorilor de vehicule.

În cadrul investigației s-a determinat că, petentul, aflându-se la volanul autoturismului pe care îl deținea, deplasându-se pe un drum public, a fost antrenat într-un conflict cu conducătorul și pasagerul altui autoturism, contrar Regulamentului circulației rutiere. În același timp, un angajat al Serviciului de patrulare a accesat datele cu caracter personal ce vizează subiectul de date prin intermediul Modulului E-Data, invocând ca a fost o accesare eronată, întrucât fiind după orele de serviciu, ar fi fost solicitat de a identifica proprietarul unui autoturism care ar fi fost parcat neregulamentar.

Potrivit pct. 2 și pct. 1 subpct.1 din Regulamentul privind funcționarea Modulului Е-data al sistemului informațional automatizat ”Evidența contravențiilor din domeniul circulației rutiere, a persoanelor care au săvârșit contravenții și a punctelor de реnalizare aplicate”, utilizatorul Modulului are obligația  să acceseze informația în strictă conformitate cu prevederile Regulamentului, numai de pe echipamente mobile și fixe  din dotare cu uz departamental și doar în timpul exercitării atribuțiilor de serviciu. 

Astfel, prin prisma normelor precitate, CNPDCP a constatat сă, angajatul  Serviciului patrulare а acționat independent, realizând operațiuni de рrеlucrare а datelor сu саracter personal ale subiectului de date, manifestate prin consultarea, vizualizarea informațiilor сu caracter personal, cum ar fi: nume, рrеnume, раtrоnimic, IDNP, nr. de înmatriculare а vehiculului, datele din permisul de conducere (nr. de permis și categoria, рunсtеlе de penalizare), informații referitor la faptul dacă реrsоаnа este privată sau nu de dreptul special de а conduce etc., în lipsa unui temei legal și fără соnsimțământul subiectului de date, ignorând prevederile art. 4 alin. (1) lit. a), b), c) și art. 5 alin. (1) și art. 9  ale Legii privind protecția datelor cu caracter personal.

Or, la caz, justificarea angajatului serviciului patrulare, рrесum сă а accesat eronat, prin intermediul Modulului E-Data,  datele vehiculului antrenat în conflictul din trafic, al cărui număr ar fi asemănător cu cel parcat neregulamentar,  obligație ce îi revine prin prisma atribuțiilor de serviciu, nu poate fi reținută drept veridică, întrucât informația în cauză a fost accesată în afara orelor de serviciu.

II.   Urmare a unei plângeri depuse de către un subiect de date, CNPDCP s-a autosesizat pe pretinsul fapt de prelucrare ilegală de către un cetățean a datelor cu caracter personal ale persoanelor din diferite localități ale R. Moldova, manifestat prin publicarea pe rețelele de socializare „Facebook” și „YouTube” a unor secvențe video, efectuate prin intermediul unui telefon mobil care determină oferirea unor pachete cu produse alimentare persoanelor în etate, inclusiv a celor țintuite la pat, înregistrându-se imaginea și vocea acestora, precum și date ce țin de vârsta și domiciliul acestora.

În cadrul investigației, Autoritatea de control a constatat că, acesta efectuând acte de caritate, a realizat numeroase înregistrări video în incinta bunurilor imobile ale subiecților de date din diferite localități, în absența consimțământului, în mod deliberat divulgând/dezvăluind prin intermediul postărilor pe rețelele de socializare datele cu caracter personal ale subiecților de date vizați.

Respectiv, utilizând profilul de utilizator din rețeaua de socializare Facebook, precum și canalul de YouTube pe care îl gestionează, operatorul a prelucrat prin divulgare către acces public nerestricționat, date cu caracter personal ce vizează subiecți de date din diferite localități ale R. Moldova, cum ar fi: numele, prenumele, vârsta, domiciliul, precum și imaginea persoanelor, în lipsa unui scop și temei legal care să justifice ingerința în inviolabilitatea vieții private a subiectului de date, situație în care subiecții de date cu caracter personal nu și-au exprimat consimțământul pentru o prelucrare ulterioară a datelor cu caracter personal.

Prin urmare, CNPDCP reiterează că, orice prelucrare de date cu caracter personal trebuie să fie necesară pentru scopul preconizat. Această condiție impune o legătură între prelucrare și interesele urmărite. Cerința necesității se aplică pentru a se asigura că prelucrarea datelor cu caracter personal nu va conduce la o interpretare nejustificat de largă a necesității de a prelucra date. Acest lucru înseamnă că ar trebui să se analizeze dacă sunt disponibile și alte mijloace mai puțin invazive în viața privată a persoanei fizice pentru a servi scopului propus.

CNPDCP nu neagă caracterul benefic al acțiunilor de caritate efectuate, la caz, de către operator, însă publicarea pe rețelele de socializare/internet a datelor cu caracter personal ale persoanelor vizate, în lipsa consimțământului acestora, spre acces public nerestricționat, încalcă principiile de protecție a datelor cu caracter personal, cu atât mai mult că, în multiple cazuri, se constată dezvăluirea informațiilor privind starea de sănătate a subiecților de date, care constituie o categorie specială de date cu caracter personal, necesitând un nivel înalt de protecție.

În consecință, Autoritatea de control a constatat că prelucrarea datelor cu caracter personal ale persoanelor reflectate în secvențele video publicate de către operator se află în contradicție cu principiile de protecție a datelor cu caracter personal, or, asemenea acțiuni contravin dispozițiilor art. 4 alin. (1) lit. a), b) și c), art. 5 alin. (1) și art. 29 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.

III.  CNPDCP a examinat sesizarea parvenită din partea unui organ al puterii de stat cu referire la plângerea unui subiect de date cu caracter personal, care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce-l vizează, efectuate prin intermediul mai multor sisteme de evidență automatizate, de către 13 operatori de date dintre care și un organ central de specialitate al administrației publice locale (în continuare – operator de date), în conformitate cu prevederile Legii nr. 133/2011 privind protecția datelor cu caracter personal. 

În aceste circumstanțe, CNPDCP a inițiat verificarea respectării prevederilor art. 4 lit. a) și b), art. 5 și art. 30 din Legea nr. 133/2011, la prelucrarea datelor cu caracter personal ale subiectului de date.

În cadrul examinării materialului acumulat s-a constatat că, operatorul de date nu a întreprins acțiunile corespunzătoare vizând măsurile organizatorice și tehnice necesare pentru protecția datelor cu caracter personal, menite să asigure un nivel de integritate, confidențialitate și securitate adecvată în ceea ce privește riscurile de prelucrare și caracterul/natura datelor prelucrate în Banca Centrală de Date a cadastrului bunurilor imobile, or, la încetarea raportului de muncă cu angajatul administrației publice locale căruia i-a fost atribuit cont de utilizator la banca centrală de date a cadastrului bunurilor imobile pentru exercitarea atribuțiilor în cadrul acestei entități, acestuia nu i-a fost retras dreptul de acces la resursa informațională menționată.

Astfel, utilizatorul dat, care la moment deține o funcție de demnitate publică, a efectuat operațiunile de prelucrare a datelor cu caracter personal ale subiectului de date cu caracter personal în alt scop, utilizând contul oferit de către administrația publică locală.

IV.  CNPDCP a examinat plângerea subiecților de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, materializată prin publicarea datelor cu caracter personal de către Primarul localității, în cadrul unui grup din rețeaua de socializare „Facebook”, a listei de plată a angajaților unei instituții subordonate Administrației Publice Locale, care conținea: numele, prenumele, patronimicul și valoarea salariului per persoană.

În cadrul investigației, CNPDCP a constatat că datele cu caracter personal ce vizează 54 de subiecți, au fost publicate de către primar pe rețeaua de socializare cu scopul de a combate dezinformarea și falsurile răspândite de angajații instituției, precum că primarul ar îngrădi dreptul de a primi salariul.

Astfel, s-a determinat că primarul era convins că datele folosite, precum: numele, prenumele și cuantumul/valoarea salariului sunt date publice, fiind axat pe prevederile Legii nr. 148/2023. Însă, s-a constatat că, persoanele vizate în lista publicată nu sunt funcționari publici, nefiind supuși reglementărilor statuate de Legea 148/2023, cu excepția directorului care este numit în baza de concurs de către Consiliul Local și angajat contractual de către Primar. Mai mult, Legea 148/2023 a intrat în vigoare la data de 08.01.2024.

În rezultatul soluționării plângerii, CNPDCP a constatat prin decizie încălcarea prevederilor art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1) și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către primarul comunei, la prelucrarea datelor cu caracter personal a subiecților de date vizați în Lista de plată noiembrie 2023.

Totodată, CNPDCP a dispus ștergerea de către primarul comunei din grupul din rețeaua de socializare ,,Facebook” a imaginii unde sunt ilustrate informații ce conțin datele cu caracter personal a subiecților de date vizați în Lista de plată noiembrie 2023.

IV. Activitatea de supraveghere

În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 50 de consultații telefonice și 6 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.

5. Știri internaționale și europene

• În perioada de 16-17 aprilie curent, reprezentanții CNPDCP a participat la cea de-a 92-a ședință plenară a Comitetului European pentru Protecția Datelor (EDPB). În cadrul ședinței au fost discutate mai multe subiecte și adoptate câteva documente esențiale:

1. Un aviz ca urmare a unei sesizări în temeiul art. 64 alineatul (2) din RGPD privind consimțământul pentru prelucrarea datelor în publicitatea comportamentală: autoritățile din Țările de Jos, Norvegia și Hamburg au solicitat un aviz EDPB privind modelele de tip „consimțământ sau plată” utilizate de marile platforme online. Avizul concluzionează că, de obicei, aceste modele nu oferă un consimțământ valabil, deoarece utilizatorii sunt forțați să aleagă între consimțământul pentru prelucrarea datelor sau plata unei taxe. EDPB recomandă ca platformele să ofere utilizatorilor alternative reale, inclusiv opțiuni gratuite fără publicitate comportamentală.

2. Strategia EDPB pentru perioada 2024-2027, care definește patru piloni principali:

– Consolidarea armonizării și promovarea conformității.

– Consolidarea unei culturi comune de punere în aplicare și a unei cooperări eficiente.

– Salvgardarea protecției datelor în contextul dezvoltării peisajului digital și al reglementărilor încrucișate.

– Contribuția la dialogul global privind protecția datelor.

3. EDPB a adoptat un regulament de procedură, o notă de informare a publicului și modele de formulare de reclamații pentru a facilita punerea în aplicare a mecanismelor de despăgubire din Cadrul UE-SUA privind confidențialitatea datelor. Aceste mecanisme se ocupă de reclamațiile legate de securitatea națională și scopurile comerciale pentru datele transmise după 10 iulie 2023.

• În perioada 14-16 mai 2024, reprezentanții CNPDCP au participat la cea de-a 32–a ediție a Conferinței de primăvară a Autorităților Europene de Protecție a Datelor.

Conferința de Primăvară din acest an, găzduită de Inspectoratul de Stat pentru Protecția Datelor din Letonia, a reunit Autoritățile de Protecție a Datelor din întreaga Europă, în scop de a stabili un cadru comun de cooperare pentru a proteja datele persoanelor fizice la nivel european. Totodată, conferința a servit drept o platformă europeană unică pentru schimb de experiență și bune practici în domeniul protecției datelor. 

Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate, precum:

• Rolul Autorităților de Protecție a Datelor în era evoluției reglementărilor digitale;

• Gestionarea domeniul protecției datelor și al vieții private în era tehnologiilor și inovațiilor emergente;

• Protecția datelor privind sănătatea în era digitalizării;

• Modelarea protecției datelor prin experiența de cooperare a Autorităților de Protecție a Datelor;

• Gestionarea reglementărilor Combaterii Spălării Banilor (AML) și Regulamentului General privind Protecția Datelor (GDPR): provocări, cooperare și conformitate;

• Consolidarea conformității cu reglementările AML și GDPR prin strategii de colaborare.

Pentru a doua oară în cadrul unei Conferințe de primăvară a Autorităților Europene de Protecție a Datelor, a fost organizată ziua ușilor deschise. Această practică a oferit posibilitatea  mai multor instituții, ONG-uri sau altor organizații care și-au manifestat interesul pentru subiectele abordate în cadrul evenimentului, să participe, inclusiv în format on-line.

La eveniment au participat 145 de reprezentanți din 43 de țări, cum ar fi: Austria, Belgia, Bulgaria, Croația, Danemarca, Franța, Georgia, Germania, Grecia, Ungaria, Italia, Malta, Moldova, Portugalia, România, Spania, Elveția, Ucraina, etc. Totodată, au fost prezenți reprezentanții a patru organizații: FRA, EDPS, EDPB și Comisia Europeană.

• În perioada 03-06 iunie, la Bruxelles, Belgia, reprezentanții CNPDCP au participat la evenimentul ”Consiliul de progres al guvernării din țările Parteneriatului Estic”, implementat de GIZ și cofinanțat în comun de Uniunea Europeană și Ministerul Federal German pentru Cooperare și Dezvoltare Economică.

Obiectivul evenimentului a fost de a facilita un dialog practic, la nivel de experți, între instituțiile selectate din țările Parteneriatului Estic (EaP) pe tema bunei guvernanțe. Aceasta include utilizarea criteriilor de referință ale principiilor revizuite ale administrației publice în domenii care se aliniază aspectelor bunei guvernanțe. Aceste aspecte cuprind eficiența guvernamentală, calitatea reglementării, statul de drept, vocea și responsabilitatea, stabilitatea politică și măsurile anticorupție. Evenimentul a avut ca scop aprofundarea practicilor de aplicare a principiilor revizuite la temele bunei guvernanțe, subliniind importanța unei abordări centrate pe cetățean, a responsabilității, transparenței și eficienței ca piloni-cheie ai bunei guvernanțe.

În cadrul evenimentului, participanții au fost împărțiți pe 5 grupuri de lucru, printre care:

–          Grupul 1. Supravegherea parlamentară eficientă ca modalitate de creștere a încrederii în guvern;

–          Grupul 2: Creșterea eficacității guvernului prin îmbunătățirea proceselor de elaborare a politicilor și de luare a deciziilor;

–          Grupul 3: Construirea unui serviciu public profesionist;

–          Grupul 4: Transformare prin digitalizare incluzivă;

–          Grupul 5: Statul de drept.

• În perioada 04-06 iunie, a avut loc cea de-a 46-a ședință plenară a Comitetului Consultativ al Convenției 108, care s-a desfășurat în Strasbourg, Franța.

În cadrul ultimei reuniuni a Comitetului, s-a discutat programul de lucru pentru anii 2022-2025 și situația referitor la semnarea și ratificarea Protocolului de modificare a Convenției 108+, necesar pentru protejarea datelor cu caracter personal. Din cele 46 de state semnatare, 31 au ratificat protocolul, fiind necesare 38 de ratificări pentru intrarea în vigoare. Delegația Republicii Moldova a prezentat progresul în ratificarea protocolului și aprobarea unei noi legi privind protecția datelor, care transpune GDPR, de către Parlament. Ministerul Justiției a menționat că ratificarea Protocolului va fi realizată după adoptarea noii legi.

Comitetul a luat act de angajamentul Costa Ricăi pentru aderare și a discutat modelul de clauze contractuale pentru fluxurile transfrontaliere de date, adoptând documentul final. S-a prezentat și proiectul revizuit privind interpretarea articolului 11 din Convenția 108 modernizată. Profesorul Colin J. Bennett a prezentat un document despre prelucrarea datelor în procesul electoral, adoptat ulterior de Comitet.

Cooperarea cu alte organe ale Consiliului Europei a fost discutată, salutând adoptarea noii Convenții-cadru privind IA. Biroul a luat act de raportul de expertiză și a îndemnat la elaborarea ghidurilor privind neuroștiința și protecția datelor. Delegația Republicii Moldova a relatat despre conferința națională „Creșterea gradului de conștientizare cu privire la Convenția 108+”, organizată în colaborare cu experții TAIEX.

Reuniunea plenară a avut loc cu participarea reprezentanților din 54 de țări, următoarea întâlnire fiind programată pentru 4-6 noiembrie 2024, iar următoarea reuniune a Biroului pentru 11-13 septembrie 2024.

• În perioada 18-19 iunie 2024, a avut loc cea de-a94-a ședință plenară a Comitetului European pentru Protecția Datelor la Bruxelles, Belgia, la care Republica Moldova a participat în calitate de observator. În cadrul ședinței, Zdravko Vukić, directorul Agenției Croate pentru Protecția Datelor, a fost ales vicepreședinte al EDPB, succedându-l pe Aleid Wolfsen. Vukić, împreună cu Irene Loizidou Nikolaidou și Anu Talus, vor asigura aplicarea consistentă a normelor UE privind protecția datelor și vor promova cooperarea între autoritățile de protecție a datelor din Spațiul Economic European.

În cadrul reuniunii, au fost adoptate Orientările 01/2023 privind articolul 37 din Directiva privind aplicarea legii. Aceste orientări oferă îndrumări referitoare la garanțiile adecvate ce trebuie aplicate de autoritățile competente conform articolului 37 LED și așteptările EDPB în negocierile între statele membre și terțe părți sau organizații internaționale.

De asemenea, s-a discutat despre cele mai bune practici pentru organizarea reuniunilor plenare ale EDPB, subliniind importanța transparenței, eficienței procedurilor, consensului în decizii și urmărirea implementării acestora. Printre recomandări s-au numărat respectarea principiului transparenței, utilizarea eficientă a instrumentelor digitale, promovarea dialogului constructiv și evaluarea periodică a eficacității reuniunilor. Aceste practici sunt esențiale pentru asigurarea unei guvernanțe eficiente și a unei protecții adecvate a datelor personale în Uniunea Europeană.

6. Alte autorități pentru protecția datelor

• La data de 08 mai, a fost anunțat despre decizia Autorității Finlandeze pentru Protecția Datelor (FI SA) privind aplicarea amenzii administrative în valoare de 856 000 euro companiei Verkkokauppa.com pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal și art. 25 Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit din GDPR.

FI SA a investigat activitățile retailer-ului online Verkkokauppa.com în urma unei plângeri depuse de un client. Operatorul îi ceruse acestuia să se înregistreze în calitate de client înainte de a face cumpărături online. Cumpărăturile în magazinul online nu erau posibile fără crearea unui cont de client. 

În urma investigațiilor s-a constatat că, operatorul nu a specificat perioada de stocare a datelor colectate pentru conturile de client din magazinul său online, iar acestea au fost stocate pe un termen nelimitat. Totodată, practica operatorului de a solicita crearea unui cont de client pentru a face achiziții online a încălcat legislația privind protecția datelor. Crearea unui cont de client sau stocarea datelor cu caracter personal care rezultă din această creare poate să nu fie o cerință obligatorie pentru a face achiziții individuale online.

În acest context, FI SA a impus o amendă administrativă în valoare de 856 000 de euro operatorului pentru că nu a definit perioada de stocare a datelor cu caracter personal privind conturile clienților. Operatorului i s-a impus să precizeze o perioadă de stocare adecvată pentru datele din conturile clienților și să își rectifice practica de înregistrare obligatorie. De asemenea, compania Verkkokauppa.com a primit o mustrare pentru practici care încalcă legislația privind protecția datelor.

• La data de 02 mai, a fost anunțat despre decizia Autorității pentru Protecția Datelor din Republica Cehă (SA) din 10 aprilie 2024 privind aplicarea amenzii administrative în valoare de 13,9 milioane de euro unei companii înregistrată în Republica Cehă pentru încălcarea art. 6 Legalitatea prelucrării și art. 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată din GDPR.

Cazul se referă la transferul de către operator a datelor cu caracter personal colectate de către acesta de la utilizatorii software-ului său antivirus către o companie afiliată. Procedura a fost inițiată pe baza rapoartelor din mass-media și a unui dosar anonim. 

În urma investigațiilor, SA Cehă a constatat că operatorul a transferat datele cu caracter personal ale utilizatorilor de software antivirus și de extensii de browser către compania afiliată fără a avea un temei legal pentru o astfel de prelucrare. Datele transferate se refereau la aproximativ 100 de milioane de utilizatori și cuprindeau în special istoricul de navigare pe internet pseudonimizat al utilizatorilor, legat de un identificator unic. În plus, SA Cehă a constatat că operatorul și-a informat în mod eronat utilizatorii (subiecții de date) cu privire la transferurile de date menționate, întrucât a susținut că datele transferate au fost anonimizate și utilizate exclusiv pentru analiza statistică a vânzărilor. Totodată,  Autoritatea Cehă pentru Protecția Datelor a concluzionat că istoricul de navigare pe internet, chiar dacă nu este complet, poate constitui date cu caracter personal, deoarece ar putea avea loc o reidentificare a cel puțin unora dintre subiecții de date. Încălcarea operatorului este cu atât mai gravă cu cât acesta este unul dintre cei mai importanți experți în domeniul securității cibernetice, care oferă publicului instrumente de protecție a datelor și a vieții private.

În acest context, operatorului de date i-a fost impusă o amendă administrativă în valoare de 13,9 milioane de euro (351 milioane coroane cehe). Decizia este definitivă și executorie.