Buletin Informativ Nr. 11
1. Activitățile de informare și instruire efectuate de CNPDCP
Pe parcursul trimestrului II al anului 2022, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a înregistrat progrese în partea ce ține de activitățile de instruire pentru reprezentanții autorităților publice locale (APL) și a autorităților publice centrale (APC). Astfel, cursurile de instruire au avut drept scop consolidarea capacităților reprezentanților APL și APC prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. Cele mai importante subiecte abordate au fost, după caz: noțiuni generale privind datele cu caracter personal; prelucrarea categoriilor de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal; filmarea și transmiterea online a ședințelor consiliilor locale; depersonalizarea datelor în cadrul Registrului de stat al actelor locale; persoana responsabilă cu protecția datelor cu caracter personal; evaluarea impactului asupra protecției datelor și consultarea prealabilă; desemnarea funcției și sarcinile responsabilului de protecția datelor. Cursurile de instruire au fost desfășurate pentru următoarele instituții/autorități:
– 8 aprilie – Consiliul municipal Bălți
– 19 aprilie – Consiliul Raional Rezina;
– 06 mai – Consiliul Raional Florești;
– 20 mai – Consiliul Raional Sîngerei;
– 03 iunie – Consiliul Raional Ungheni;
– 17 iunie – Consiliul Raional Călărași.
În acest sens, CNPDCP a instruit circa 215 reprezentanți ai APL-urilor din regiunile sus-menționate.
În partea ce ține de instruirile organizate pentru reprezentanții APC-urilor, CNPDCP a instruit circa 1310 reprezentanți ai: Serviciului Vamal; Serviciului Fiscal de Stat; Agenției Naționale pentru Siguranța Alimentelor și Secretariatului Parlamentului Republicii Moldova.
La data de 15 aprilie curent, CNPDCP a lansat campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Primul curs de instruire a fost organizat la IPLT „Onisifor Ghibu” din mun. Chișinău, publicul țintă fiind elevii claselor a IV-a. Scopul campaniei, este de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Ulterior, la data de 6 mai au mai fost organizate două sesiuni de instruire în cadrul comunității școlare.
Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare.
De asemenea, în aceiași perioadă, de către CNPDCP au fost semnate două Acorduri de colaborare cu „Academia de Administrare Publică” și „Asociația Națională a Companiilor din Domeniul TIC”.
2. Activitatea de control
În perioada aprilie-iunie 2022, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 76 cazuri și au fost emise 50 decizii, dintre care în 32 cazuri s-a constatat încălcarea prevederilor legale. Totodată, în aceeași perioadă CNPDCP a constatat 37 de fapte contravenționale, au fost încheiate 34 de procese verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
3. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. Prelucrarea datelor cu caracter personal fără temei legal, manifestată prin accesarea datelor prin intermediul Registrului Bunurilor Imobile și încălcarea dreptului subiectului datelor cu caracter personal de acces la datele cu caracter personal.
CNPDCP în cadrul examinării unei petiții depuse de către un subiect de date, a emis o decizie prin care s-a constatat încălcarea prevederilor art. 4 alin. (1) lit. a) și b), art. 5 alin. (1) și art. 13 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către o companie imobiliară, la prelucrarea datelor cu caracter personal ale petiționarului, manifestată atât prin accesarea datelor cu caracter personal ale subiectului de date, stocate în Registrul Bunurilor Imobile, cât și ignorarea cererii subiectului de date, prin care, ultimul a solicitat informații referitoare la motivele, scopul prelucrării datelor cu caracter personal ce îl vizează, realizându-și dreptul de acces asupra datelor cu caracter personal.
Astfel, în urma examinării cauzei s-a determinat că, operatorul de date cu caracter personal, a prelucrat datele cu caracter personal ale subiectului de date, stocate în Registrul Bunurilor Imobile, fără a avea un temei legal și fără consimțământul subiectului de date cu caracter personal, fiind reținută încălcarea, de către compania imobiliară a prevederilor art. 4 alin. (1) lit. a) și b) și art. 5 alin. (1) ale Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal.
Mai mult, compania imobiliară a ignorat cererea subiectului de date, nerealizându-i dreptul de acces la datele cu caracter personal ce vizează subiectul de date, prevăzut de art. 13 alin. (1) al Legii privind protecția datelor cu caracter personal.
II. Încălcarea regulilor de prelucrare și stocare a datelor cu caracter personal.
CNPDCP a fost sesizat prin plângere de către un subiect de date cu caracter personal precum că un operator de date, în lipsa consimțământului subiectului de date, efectuează plăți din numele acestuia pe contul bancar al persoanei juridice, astfel fiind prelucrate datele cu caracter personal – nume, prenume, numărul de identificare de stat.
În cadrul investigației s-a reținut că, o angajată a unei bănci, pe parcursul anului 2021 a utilizat un șablon al ordinului de încasare a numerarului în favoarea persoanei juridice, însă având drept plătitor un membru al cooperativei. În ordinele menționate angajata a modificat doar suma și data corespunzătoare, însă a omis să schimbe datele/informațiile plătitorului, deși la încheierea tranzacției ultima a verificat identitatea administratorului cooperativei fără ca acesta să prezinte copia buletinului de identitate a subiectului de date.
Relevăm că, în conformitate cu art. 4 alin. (1) al Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie: a) prelucrate în mod corect și conform prevederilor legii; b) colectate în scopuri determinate, explicite și legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri. […]. Potrivit art. 5 al aceluiași act normativ, prelucrarea datelor cu caracter personal se efectuează cu consimțământul subiectului datelor cu caracter personal, cu excepția cazurilor statuate exhaustiv la alin. (5) al aceluiași articol. Conform art. 9 al actului normativ precitat, prelucrarea numărului de identificare de stat (IDNP) al persoanei fizice, […] sau a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală poate fi efectuată în următoarele condiții: a) subiectul datelor cu caracter personal și-a dat consimțământul; b) prelucrarea este prevăzută în mod expres de legislație.
În context, prin decizie s-a constatat că angajata băncii, pe parcursul anului 2021, a încălcat dispozițiile art. 4 alin. (1) lit. a) și lit. b), art. 5 alin. (1) și art. 9 ale Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal.
Mai mult, CNPDCP a dispus, prin decizie, instituției bancare de a iniția instruirea angajaților/personalului implicat în procesul de prelucrare a datelor cu caracter personal, în vederea îndeplinirii de către aceștia a atribuțiilor funcționale în conformitate cu legislația în domeniul protecției datelor cu caracter personal, precum și cu documentele/regulamentele interne aprobate în acest sens.
4. Activitatea de supraveghere
În conformitate cu prevederile Legii nr. 175/2021 pentru modificarea unor acte normative, care a intrat în vigoare la data de 10 ianuarie 2022, a fost instituită obligația desemnării persoanei responsabile cu protecția datelor cu caracter personal. Astfel, în perioada de referință, CNPDCP a recepționat 24 de scrisori, prin intermediul cărora este informat despre faptul desemnării persoanei responsabile cu protecția datelor cu caracter personal din partea entităților respective, preponderent de la entitățile private.
Simultan, au fost elaborate și plasate pe pagina web oficială a CNPDCP următoarele recomandări/opinii: Considerente în legătură cu utilizare tot mai frecventă a sistemului de supraveghere video înzestrat cu funcții de înregistrare audio; Aspecte practice și legale în legătură cu instalarea și gestionarea mijloacelor de supraveghere video.
În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 315 consultații telefonice și 20 de răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorul de date.
Totodată, CNPDCP a informat, prin intermediul demersurilor oficiale expediate, 34 de autorități și instituții publice cu privire la necesitatea desemnării persoanei responsabile cu protecția datelor cu caracter personal.
5. Știri internaționale și europene
– La data de 06 aprilie a avut loc cea de-a 63-a ședință plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care, a fost adoptată o Declarație privind anunțul unui nou cadru transatlantic de confidențialitate a datelor. CEPD salută angajamentele asumate de SUA de a lua măsuri „fără precedent” pentru a proteja confidențialitatea datelor cu caracter personal ale persoanelor fizice din Spațiul Economic European atunci când datele acestora sunt transferate în SUA.
– La data de 4 mai a avut loc cea de-a 64-a ședință plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line, în cadrul căreia a fost discutată adoptarea Avizului Comun al Comitetul European pentru Protecția Datelor și Autorității Europene pentru Protecția Datelor cu privire la Propunerea Parlamentului European și a Consiliului privind normele armonizate pentru un acces echitabil la date și o utilizare corectă a acestora (Legea privind datele).
– La data de 12 mai a avut loc cea de-a 65-a ședință plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. Sesiunea plenară s-a axat pe două subiecte și anume:
· Au fost adoptate noile Orientări privind calcularea amenzilor administrative, armonizând metodologia utilizată de autoritățile de protecție a datelor. Astfel, sunt luate în considerare trei elemente: clasificarea încălcărilor în funcție de natura lor, gravitatea încălcării și cifra de afaceri a unei întreprinderi.
· Au fost adoptate Orientările privind utilizarea tehnologiei de recunoaștere facială în domeniul aplicării legii. Orientările oferă îndrumări factorilor de decizie din UE și naționali, precum și autorităților de aplicare a legii, cu privire la punerea în aplicare și utilizarea sistemelor tehnologice de recunoaștere facială.
– În perioada 18-20 mai, a avut loc cea de-a 30 – a ediție a Conferinței de primăvară a Autorităților Europene de Protecție a Datelor, desfășurată în orașul Cavtat, Croația.
Evenimentul a fost găzduit de Agenția Croată pentru Protecția Datelor cu Caracter Personal, încurajând astfel participarea a circa 40 de țări. Agenda evenimentului a inclus subiecte de actualitate din domeniul protecției datelor cu caracter personal, precum: Convenția 108+, asistență reciprocă și convergență globală, protecția datelor în jurisprudența CEDO: ultimele evoluții din domeniu.
Totodată, Autoritățile membre au adoptat o Rezoluție privind necesitatea ratificării prompte a „Convenției 108+”, versiunea modernizată a Convenției 108. Rezoluția îndeamnă guvernele statelor membre ale Consiliului Europei, guvernele țărilor terțe ale Consiliul Europei, Uniunii Europene și Organizațiile Internaționale să accelereze procesul de semnare și ratificare a Convenției 108+.
– În perioada 14-15 iunie a avut loc cea de-a 66-a ședință plenară a Comitetului European pentru Protecția Datelor, care a avut loc la Bruxelles, Belgia. În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care Orientări privind certificarea ca instrument pentru transferuri. Scopul principal al acestor orientări este de a oferi clarificări suplimentare cu privire la utilizarea practică a acestui instrument de transfer și vor face obiectul unei consultări publice până la sfârșitul lunii septembrie.
6. Alte autorități pentru protecția datelor
· La data de 4 aprilie, Autoritatea daneză de supraveghere a datelor, a impus o amendă administrativă în valoare de 1,3 milioane de euro companiei Danske Bank pentru încălcarea articolului 5 alineatul (2) din GDPR. În timpul anchetei s-a constatat că banca din cele peste 400 de sisteme deținute nu a putut documenta dacă au fost stabilite reguli pentru ștergerea și stocarea datelor cu caracter personal sau dacă a fost efectuată ștergerea manuală a datelor cu caracter personal. Aceste sisteme prelucrează datele cu caracter personal a milioane de persoane.
· La data de 15 aprilie, Autoritatea Franceză pentru Protecția Datelor (CNIL), a impus o amendă administrativă în valoare de 1,5 milioane de euro companiei Dedalus Biologie pentru încălcarea articolelor 28, 29 și 32 din GDPR. În urma investigațiilor, CNIL a identificat trei încălcări. În primul rând, în contextul migrării unui pachet software către un alt instrument, solicitat de două laboratoare care utilizează serviciile Dedalus Biologie, acesta din urmă a extras un volum de date mai mare decât cel solicitat. Prin urmare, compania a prelucrat date dincolo de instrucțiunile impuse de operatorul de date și nu a respectat articolul 29 din GDPR. În al doilea rând, compania nu a asigurat securitatea datelor cu caracter personal, contrar articolului 32 din GDPR. Totodată s-a stabilit că, condițiile generale de vânzare propuse de Dedalus Biologie și contractele de mentenanță transmise către CNIL nu conțineau mențiunile prevăzute la articolul 28 alineatul (3) din GDPR.
· La data de 3 mai, Autoritatea de Supraveghere a Islandei, a impus o amendă în valoare de 35 000 euro municipalității Reykjavík pentru utilizarea sistemului educațional Seesaw, un serviciu american bazat pe cloud. În urma anchetei s-a constatat că: acordul de prelucrare dintre Reykjavík și Seesaw a fost insuficient; municipalitatea nu a putut demonstra un scop specific, explicit și legitim pentru prelucrarea în cauză; prelucrarea nu a fost echitabilă, transparentă și nu au fost implementate principiile minimizării datelor și limitările stocării ținând cont de cantitatea de date colectate, de amploarea prelucrării acestora, de perioada de stocare și de accesibilitatea acestora; evaluarea impactului privind protecția datelor nu a îndeplinit cerințele minime; municipalitatea nu a demonstrat că a asigurat securitatea adecvată a datelor cu caracter personal în cauză și datele au fost transferate în Statele Unite ale Americii fără garanții adecvate. În plus, Autoritatea de Supraveghere a Islandei a concluzionat că toate prelucrările de date din sistemul educațional Seesaw ar trebui confiscate, iar datele elevilor ar trebui șterse.