BULETIN INFORMATIV NR. 10
1. Activități de informare și instruire efectuate de CNPDCP
La data de 28 ianuarie, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) în colaborare cu experții proiectului TAIEX, au organizat conferința națională „Transferuri transfrontaliere – Provocări ale transferului transfrontalier de date din perspectiva Convenției 108 + și GDPR”. Scopul conferinței a fost de a prezenta informații, exemple de bune practici și soluții inovatoare privind sensibilizarea şi informarea sectorului public despre provocările transferului transfrontalier de date cu caracter personal. Conferința a fost moderată de experți în protecția datelor cu caracter personal din Italia, Germania, Austria și reprezentanți din cadrul Comisiei Europene. Printre temele abordate de experți au fost: transferurile transfrontaliere de date cu caracter personal din perspectiva Convenției 108+ și tendințe globale, prezentare generală a temeiurilor privind transferurile transfrontaliere de date cu caracter personal în temeiul GDPR și tipul de garanții necesare, provocările transferului transfrontalier de date cu caracter personal din perspectiva autorităților de supraveghere din UE, transferuri transfrontaliere de date în domeniul cooperării cu organele de ocrotire a legii, informații generale referitoare la conceptul de caracter adecvat al nivelului de protecție a datelor cu caracter personal și aspecte esențiale și procedurale ale deciziilor de adecvare. În cadrul evenimentului au participat circa 70 de reprezentanți ai sectorului public.
Totodată, la data de 26 ianuarie, a fost desfășurată Acțiunea stradală – ”Protejează datele cu caracter personal”, organizată de reprezentanții CNPDCP în contextul celebrării Zilei Europene a Protecției Datelor. În acest context, mai mulți angajați ai CNPDCP au distribuit trecătorilor, în preajma Scuarului Catedralei, materiale informative, cetățenii fiind sensibilizați despre noțiunea de date cu caracter personal, drepturile subiecților de date, măsurile de securitate și confidențialitate a datelor, precum și despre principiile de protecție a datelor cu caracter personal. Totodată, aceștia au fost informați cu privire la posibilele situații în care datele cu caracter personal nu sunt prelucrate în conformitate cu prevederile legislației naționale din domeniu, oferindu-le îndrumări și recomandări practice care ar trebui întreprinse în astfel de situații.
În perioada de referință, CNPDCP a înregistrat o evoluție remarcabilă la capitolul activități de instruire și sensibilizare desfășurate. A fost continuat șirul de instruiri organizate pentru reprezentanții autorităților publice locale (APL) din raionale Republicii Moldova, acestea având drept scop de a consolida capacitățile reprezentaților APL-urilor prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. Subiectele abordate în cadrul instruirilor au vizat: definirea datelor cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal; filmarea și transmiterea online a ședințelor consiliilor locale; aprobarea politicii de securitate și a instrucțiunilor privind sistemele informaționale, etc. Totodată, cu titlu separat, au fost discutate aspectele legate de depersonalizarea corectă a datelor cu caracter personal ce se conțin în actele administrative ale autorităților publice locale publicate în Registrul de stat al actelor locale. Evenimentele, moderate de experți naționali în domeniul protecției datelor din cadrul CNPDCP, au fost organizate pentru aproximativ a câte 50 de primari, consilieri raionali și secretari ai consiliilor locale din fiecare centru raional în parte. Cursurile de instruire au fost desfășurate:
· La data de 27 ianuarie – Consiliul Raional Ialoveni;
· La data de 04 februarie – Consiliul Raional Telenești;
· La data de 11 februarie – Consiliul Raional Edineț;
· La data de 25 februarie – Consiliul Raional Drochia;
· La data de 11 martie – Consiliul Raional Dondușeni;
· La data de 25 martie – Consiliul Raional Soroca.
2. Activitatea de control
În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 53 de investigații. Din cele 53 de investigații: 47 de cazuri finalizate, în 27 cazuri s-a constatat încălcarea prevederilor legale. Totodată, au fost încheiate 18 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
3. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. Încălcarea drepturilor subiectului de date cu caracter personal: dreptul de acces la datele cu caracter personal, dreptul de intervenție asupra datelor cu caracter personal și dreptul de opoziție.
CNPDCP, în cadrul examinării unei petiții depuse de către un subiect de date, a emis o decizie prin care s-a constatat încălcarea prevederilor art. 13 alin. (1) și art. 14 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către un agent economic, la prelucrarea datelor cu caracter personal ale petiționarului, manifestată prin ignorarea cererii subiectului de date, prin care, ultimul a solicitat, inclusiv, un răspuns care să demonstreze că operatorul de date a șters datele cu caracter personal ce îl vizează, astfel, realizându-și dreptul de intervenție asupra datelor cu caracter personal.
Astfel, subiectul de date cu caracter personal și-a realizat dreptul de acces și dreptul de intervenție la datele cu caracter personal ce îl vizează, înaintând o cerere către operatorul de date cu caracter personal, fiind solicitate informații referitoare la modalitatea asigurării protecției datelor cu caracter personal ale clienților, care sunt scopurile în care sunt utilizate aceste date, care sunt garanțiile că datele cu caracter personal nu sunt folosite în scopuri personale.
În urma examinării cauzei s-a determinat că, operatorul de date cu caracter personal, a ignorat cererea subiectului de date, nerealizându-i dreptul de acces și dreptul de intervenție la datele cu caracter personal ce vizează subiectul de date, prevăzut de art. 13 alin. (1) și art. 14 ale Legii privind protecția datelor cu caracter personal.
Respectiv, agentului economic i-a fost întocmit proces-verbal cu privire la contravenție în baza art. 741 alin. (3) Cod contravențional.
II. Încălcarea regulilor de prelucrare și stocare a datelor cu caracter personal, prin intermediul unui sistem de supraveghere video
CNPDCP, în cadrul examinării unei petiții depuse de către un subiect de date, a emis o decizie prin care s-a constatat încălcarea prevederilor art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1) ale Legii nr. 133/2011, la prelucrarea datelor cu caracter personal ale petiționarului, în legătură cu colectarea/înregistrarea vocii persoanei vizate, fără consimțământul acesteia, prin intermediul camerei de supraveghere video, instalate pe un pilon electric, ce cuprindea atât proprietatea gestionarului sistemului de supraveghere video, cât și o porțiune din spațiul ce nu-i aparținea ultimului, fără a fi identificat scopul determinat, explicit și legitim, legătura de cauzalitate dintre scop și datele prelucrate ale petiționarului, proporționalitatea, corectitudinea și concordanța cu normele legale în domeniul protecției datelor cu caracter personal. Așadar, ținând cont de cele sus-indicate, Centrul a reținut că, înainte de instalarea unui sistem de supraveghere video, operatorul de date trebuie întotdeauna să examineze critic dacă această măsură este, în primul rând, adecvată pentru îndeplinirea obiectivului dorit și, în al doilea rând, proporțională și necesară pentru scopurile sale, în raport cu interesele sau drepturile și libertățile fundamentale ale subiectului de date. Prin urmare, înregistrarea audiovizuală de către operatorul de date în cauză, prin intermediul camerei de supraveghere video, fără consimțământul persoanei vizate, constituia o măsură excesivă și disproporționată în raport cu scopul declarat, la caz, asigurarea securității proprietății.
Respectiv, operatorului de date cu caracter personal i-a fost întocmit proces-verbal cu privire la contravenție în baza art. 741 alin. (1) Cod contravențional.
4. Activitatea de supraveghere
În conformitate cu prevederile Legii nr. 175 din 11 noiembrie 2021 pentru modificarea unor acte normative, care a intrat în vigoare la data de 10 ianuarie 2022, a fost instituită obligația desemnării persoanei responsabile cu protecția datelor cu caracter personal.
În acest sens, CNPDCP a recepționat peste douăzeci de scrisori, prin care este informat despre faptul desemnării persoanei responsabile cu protecția datelor cu caracter personal din partea entităților respective. Totodată, CNPDCP a intervenit, după caz, cu recomandări în vederea înlăturării discrepanțelor identificate.
Simultan, au fost elaborate și plasate pe pagina CNPDCP mai multe comunicate referitor la: modificările survenite la legislația din domeniul protecției datelor cu caracter personal; necesitatea desemnării persoanei responsabile cu protecția datelor cu caracter personal; obligativitatea operatorilor de date de a plasa această informație pe pagina web și obligativitatea operatorilor de date de a efectua evaluarea impactului asupra protecției datelor, etc.
În perioada de referință, CNPDCP a elaborat și publicat în Monitorul Oficial și pe pagina web a instituției Lista Statelor care asigură un nivel adecvat de protecție a datelor cu caracter personal, în contextul modificărilor art. 32 din Legea nr. 133 privind protecția datelor cu caracter personal.
Totodată, a fost elaborată și urmează a fi publicată pe pagina web a CNPDCP lista tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor cu caracter personal.
Suplimentar, CNPDCP intenționează să publice ghidul privind evaluarea impactului asupra protecției datelor cu caracter personal cu scop de recomandare.
În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 391 consultații telefonice și 34 de răspunsuri prin intermediul poștei electronice.
5. Știri internaționale și europene
– La data de 18 ianuarie a avut loc cea de-a 59-a ședință plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care:
· Linii directorii privind dreptul de acces. Liniile directorii au ca scop analizarea diferitelor aspecte ale dreptului de acces și oferirea unor orientări mai precise cu privire la modul în care trebuie pus în aplicare dreptul de acces în diferite situații.
· Răspuns la scrisorile care solicită o interpretare coerentă a consimțământului pentru cookie-uri.
· Actualizarea Liniilor directorii privind consimțământul. Acestea au ca scop asigurarea unei abordări armonizate a condiționalității consimțământului și indicarea neechivocă a solicitării.
– La data de 22 februarie a avut loc cea de-a 61-a ședință plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care:
· CEPD a adoptat o scrisoare ca răspuns la Comisia pentru libertăți civile, justiție și afaceri interne (LIBE) a Parlamentului European cu privire la cel de-al doilea protocol adițional la Convenția privind criminalitatea informatică și având în vedere cele două propuneri de decizii ale Comisiei Europene care autorizează statele membre să semneze și să ratifice protocolul.
· În urma unei consultări publice, CEPD a adoptat versiunea finală a Orientărilor privind codurile de conduită ca instrument pentru transferuri, luând în considerare feedback-ul primit de la părțile interesate. Scopul principal al orientărilor este de a clarifica aplicarea articolelor 40 alineatul (3) și 46 alineatul (2) litera (e) din GDPR.
· CEPD a adoptat o scrisoare privind răspunderea pentru Inteligența Artificială.
– La data de 14 martie a avut loc cea de-a 62-a ședință plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care:
· Linii directorii privind art. 60 din GDPR. Elaborarea acestor linii directorii fac parte din Strategia și Programul de Lucru 2021-2022 al CEPD, având drept scop de a sprijini aplicarea efectivă a legii și cooperarea eficientă între autoritățile naționale de supraveghere.
· Linii directorii privind modelele întunecate în interfețele platformelor de social media. Acestea oferă recomandări practice designerilor și utilizatorilor platformelor de social media cu privire la modul de evaluare și evitare a așa-numitelor „modele întunecate” în interfețele de social media care încalcă cerințele GDPR.
· Un set de instrumente privind garanțiile esențiale de protecție a datelor pentru cooperare în materie de aplicare a legii între autoritățile de supraveghere din SEE și cele din țările terțe. Aceasta contribuie la una dintre acțiunile-cheie ale Strategiei și Programului de Lucru al CEPD 2021-2022 și vizează facilitarea angajamentului dintre membrii CEPD și SA din țări terțe. Setul de instrumente acoperă subiecte cheie, cum ar fi drepturile executorii ale subiecților de date, conformitatea cu principiile de protecție a datelor și căile de atac judiciare.
· Un aviz comun CEPD-AEPD cu privire la propunerile de extindere a certificatului digital COVID cu până la 12 luni. Subiectul va continua a fi analizat și la următoarea Ședință.
– La data de 23-25 martie a avut loc cea de-a 55-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:
· Convenția 108+, ratificările și aderările actuale;
· Mecanismul de evaluare și urmărire în temeiul Convenției 108+;
· Identitatea digitală;
· Schimburi inter-statale de date pentru Combaterea Spălării Banilor și a Finanțării Terorismului și scopuri fiscale;
· Clauze contractuale în contextul fluxurilor transfrontaliere de date;
· Cooperarea cu alte organisme și entități ale Consiliului Europei.
6. Alte autorități pentru protecția datelor
· La data de 28 ianuarie, Autoritatea pentru Protecția Datelor din Grecia (APDG) a impus o amendă totală în valoare de 9.250.000 de euro, companiilor de telecomunicații COSMOTE și OTE pentru scurgerea datelor cu caracter personal și prelucrarea ilegală a acestora. În cursul cercetării cauzei s-a constatat că, COSMOTE a încălcat principiile legalității și transparenței din cauza furnizării unor informații neclare și insuficiente abonaților. De asemenea, compania a fost considerată responsabilă pentru evaluarea slabă a impactului asupra protecției datelor, anonimizarea insuficientă, măsurile de securitate inadecvate luate și nerepartizarea rolurilor celor două companii (COSMOTE / OTE) în legătură cu prelucrarea în cauză. În plus, s-a constatat că ΟΤΕ a încălcat articolul 32 din GDPR, din cauza măsurilor de securitate inadecvate luate în legătură cu infrastructura utilizată în contextul încălcării. APDG, pe de o parte, a amendat COSMOTE cu suma totală de 6.000.000 de euro și a dispus încetarea prelucrării și distrugerea datelor prelucrate ilegal, iar, pe de altă parte, a amendat OTE cu suma totală de 3.250.000 de euro.
· La data de 10 februarie, Autoritatea Italiană pentru Protecția Datelor (AIPD) a impus amendă în valoare de 20 milioane de euro companiei Clearview AI pentru prelucrarea ilegală a datelor cu caracter personal. În urma investigației inițiate din propria inițiativă, AIPD a constatat că datele cu caracter personal deținute de companie, inclusiv informațiile biometrice și de localizare geografică, au fost prelucrate ilegal, fără un temei juridic adecvat. În plus, compania a încălcat câteva principii fundamentale ale GDPR-ului, cum ar fi transparența, limitarea scopului și limitarea stocării. În acest context AIPD a impus interzicerea oricărei colectări ulterioare, prin intermediul tehnicilor de web scraping, a imaginilor și a metadatelor relevante referitoare la persoane aflate pe teritoriul Italiei și a prelucrării ulterioare ale acestora, precum și a dispus ștergerea datelor, inclusiv a datelor biometrice, prelucrate de sistemul său de recunoaștere facială.
· La data de 15 martie, Autoritatea Irlandeză pentru Protecția Datelor (AIPD) a impus o amenda administrativă în valoare de 17 milioane euro companiei Meta Platforms (fostă Facebook) pentru încălcarea articolelor 5(2) și 24(1) din GDPR. În urma investigațiilor, AIPD a constatat că Meta Platforms nu a reușit să pună în aplicare măsuri tehnice și organizatorice adecvate, care i-ar permite să demonstreze cu ușurință măsurile de securitate pe care le-a implementat în practică pentru a proteja datele utilizatorilor din UE, în contextul celor douăsprezece încălcări ale datelor cu caracter personal.