Buletin Informativ nr. 12
- Activitățile de informare și instruire efectuate de CNPDCP
La data de 10 iulie 2022, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a celebrat 14 ani de activitate. Cu acest prilej, CNPDCP a organizat mai multe activități dedicate domeniului protecției datelor cu caracter personal. Printre activități se numără acțiunea stradală organizată la data de 11 iulie, cu genericul: „14 ani de la fondarea CNPDCP”. Scopul acțiunii a fost de a disemina informații utile vizând domeniul protecției datelor cu caracter personal trecătorilor, de a informa și încuraja cetățenii Republicii Moldova să acorde o atenție mai mare domeniului respectiv.
Totodată, în perioada de referință, CNPDCP a continuat procesul de instruire pentru reprezentanții autorităților publice locale (APL) și autorităților publice centrale (APC) în domeniul protecției datelor cu caracter personal. Scopul cursurilor de instruire a fost de a familiariza, sensibiliza și informa reprezentanții autorităților cu cele mai noi aspecte din domeniul protecției datelor. Principalele subiecte abordate au vizat: noțiuni generale privind datele cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; filmarea și transmiterea online a ședințelor consiliilor locale; depersonalizarea datelor în cadrul Registrului de stat al actelor locale; desemnarea persoanei responsabile cu protecția datelor cu caracter personal; specificul funcției și sarcinile responsabilului de protecția datelor. Astfel, cursurile de instruire au fost organizate pentru următoarele autorități:
– 15 iulie – Consiliul Raional Nisporeni;
– 20 iulie – DGETS;
– 04 august – Consiliul Raional Strășeni;
– 19 august – Consiliul Raional Hîncești;
– 02 septembrie – Consiliul Raional Anenii Noi;
– 22 septembrie – Consiliul Raional Leova.În acest sens, în trimestrul III al anului curent, formatorii din cadrul CNPDCP, au instruit circa 197 reprezentanți din cadrul APL-urilor menționate supra și 64 reprezentanți din cadrul DGETS.
De asemenea, în aceeași perioadă, CNPDCP a elaborat o listă de Recomandări pentru prestatorii de servicii de instalare a sistemelor de supraveghere video în vederea oferirii consultațiilor beneficiarilor finali de servicii la montarea sistemelor de supraveghere video. Recomandările sunt disponibile pe pagina web oficială a instituției și pot fi accesate la compartimentul Operator de date, sub-compartimentul Recomandările CNPDCP.
- Activitatea de control
În perioada iulie-septembrie curent, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 53 cazuri și au fost emise 54 decizii, dintre care în 33 cazuri s-a constatat încălcarea prevederilor legale. Totodată, în aceeași perioadă de către CNPDCP, au fost încheiate 30 de procese verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
- Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. CNPDCP a examinat plângerea unui subiect de date cu caracter personal care a sesizat pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, stocate în Registrul bunurilor imobile, efectuate de către o administrație publică locală.
În rezultatul soluționării plângerii CNPDCP a constatat că, administrația publică locală nu a întreprins acțiunile corespunzătoare vizând măsurile organizatorice și tehnice necesare pentru protecția datelor cu caracter personal, contrar prevederilor art. 4 alin. (1) lit. a), art. 29 alin. (1), art. 30 alin. (1) ale Legii nr. 133/2011, nefiind asigurată confidențialitatea și securitatea datelor cu caracter personal în ceea ce privește riscurile prezentate de prelucrare și caracterul/natura datelor prelucrate în cadrul Băncii Centrale de Date a cadastrului bunurilor imobile, fără a monitoriza și implementa respectarea prevederilor acordului de prestare a serviciilor de acces la informație
Consecutiv, relevăm că față de autoritatea publică locală precitată, prin Decizie s-a dispus:
·Revizuirea drepturilor de acces ale utilizatorilor la Banca Centrală de date a cadastrului bunurilor imobile, după schimbarea de statut al utilizatorului/lor (demisie, concediere, detașare ș.a.) prin actualizarea listei utilizatorilor cu drept de acces la informație, conform acordului de prestare a serviciilor de acces la informație;
·Informarea I.P „Agenția Servicii Publice” despre modificarea utilizatorilor, în vederea revocării codurilor de identificare/autentificare a utilizatorului autorizat din cadrul autorității publice, cât și blocării accesului la informația din Banca Centrală de Date a cadastrului bunurilor imobile;
·Instituirea unui mecanism de ținere de către utilizatorii autorizați a evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal prin intermediul Băncii Centrale a cadastrului bunurilor imobile, prin consemnarea datei și orei exacte a prelucrării datelor cu caracter personal, justificarea scopului, temeiului și necesității operațiunii efectuate, specificarea sistemului de evidență din care au fost prelucrate acestea, categoriile de date prelucrate;
·Aducerea la cunoștință/instruirea efectivului din cadrul subdiviziunii din subordine, despre neadmiterea accesării/utilizării neautorizate a informației din Banca de Date a cadastrului bunurilor imobile și altor sisteme informaționale.
II. CNPDCP a examinat plângerea a doi subiecți de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către o administrație publică locală, stocate în Registrul bunurilor imobile.
În cadrul investigației s-a constatat că, operațiunile de accesare a bunului imobil, ce aparțin cu drept de proprietate subiecților de date, a fost efectuată de pe contul de utilizator creat pe numele unui fost angajat din administrația publică locală, care de 3 ani nu mai activa în cadrul entității, iar contul a fost utilizat de un număr nedeterminat de angajați din cadrul administrației publice locale vizate.
În context, prin decizia CNPDCP s-a constatat că operațiunea de accesare a datelor cu caracter personal a subiecților de date a fost efectuată cu încălcarea art. 4 alin. (1) lit. a), b) și art. 5, art. 29 alin. (1), art. 30 alin. (1) ale Legii 133/2011 privind protecția datelor cu caracter personal, de către administrația publică locală, în lipsa unui scop determinat, explicit și legitim, exclusiv în condițiile în care accesarea a avut loc într-o zi declarată oficial nelucrătoare.
III. În alt caz, în urma verificărilor efectuate, CNPDCP a constatat încălcarea dreptului de acces la datele cu caracter personal a unui subiect de date de către o autoritate publică.
În fapt circumstanțele ce au servit drept motiv pentru inițierea verificării conformității operațiunilor de prelucrare a datelor cu caracter personal a fost plângerea depusă de către un subiect de date care își exprima dezacordul cu răspunsul oferit de o subdiviziune a Ministerului Afacerilor Interne (MAI), prin neoferirea informațiilor comprehensive privitor la datele cu caracter personal ce-l vizează, prelucrate în cadrul Sistemului Informațional Automatizat „Registrul informației criminalistice și criminologice”, acțiune pe care petentul o considera a fi contrară prevederilor art. 13 alin. (1) al Legii 133/2011 privind protecția datelor cu caracter personal.
În rezultatul examinării plângerii, CNPDCP a constatat încălcarea prevederilor art. 13 alin. (1) al Legii 133/2011 privind protecția datelor cu caracter personal, dispunând, prin decizie ca MAI să întreprindă acțiunile ce-i sunt impuse în vederea asigurării realizării dreptului de acces la datele cu caracter personal pentru subiecții de date, inclusiv la datele prelucrate în Sistemul Informațional Automatizat „Registrul informației criminalistice și criminologice”, fără a admite confuzii în ceea ce privește caracterul gratuit în realizarea dreptului de acces al oricărui subiect de date, recunoscut și garantat de art. 13 alin. (1) al Legii nr. 133/2011 privind protecția datelor cu caracter personal.
- Activitatea de supraveghere
În conformitate cu prevederile Legii nr. 175/2021 pentru modificarea unor acte normative, care a intrat în vigoare la data de 10 ianuarie 2022, a fost instituită obligația desemnării persoanei responsabile cu protecția datelor cu caracter personal. Astfel, în perioada de referință, CNPDCP a recepționat 49 de scrisori, prin intermediul cărora este informat despre faptul desemnării persoanei responsabile cu protecția datelor cu caracter personal, preponderent de la entitățile private.
În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 195 consultații telefonice și 26 de răspunsuri prin intermediul poștei electronice, fiind înaintate recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date.
- Știri internaționale și europene
În perioada de referință, între Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) și Oficiul pentru Protecția Datelor din Republica Polonă a fost semnat Acordul de colaborare în domeniul protecției datelor cu caracter personal.
– La data de 12 iulie a avut loc cea de-a 67-ea ședință plenară a Comitetului European pentru Protecția Datelor (CEPD), care a fost organizată online.
• În cadrul sesiunii plenare CEPD și Autoritatea Europeană pentru Protecția Datelor (AEPD) au adoptat avizul lor comun privind propunerea Comisiei Europene pentru Spațiul european de date medicale (EHDS). Propunerea are ca scop facilitarea creării unei Uniuni Europene a sănătății și să permită UE să utilizeze pe deplin potențialul oferit de schimbul, utilizarea și reutilizarea sigură și securizată a datelor privind sănătatea. CEPD și AEPD recunosc că infrastructura pentru schimbul de date electronice de sănătate prevăzută în prezenta propunere EHDS are ca scop facilitarea schimbului de date privind sănătatea. Cu toate acestea, din cauza volumului mare de date electronice de sănătate care ar fi prelucrate, a naturii lor extrem de sensibile, a riscului de acces ilegal și a necesității de a asigura pe deplin o supraveghere eficientă de către autoritățile independente de protecție a datelor, CEPD și AEPD solicită Parlamentului European și Consiliului să adauge la propunere o cerință de stocare a datelor electronice de sănătate în SEE, fără a aduce atingere transferurilor ulterioare în conformitate cu capitolul V din GDPR.
– La data de 28 iulie a avut loc cea de-a 68-a ședință plenară a Comitetului European pentru Protecția Datelor, care a fost organizată online. În cadrul ședinței au fost discutate și adoptate o serie de documente, care urmează a fi o recomandare pentru autoritățile de protecție a datelor și anume:
• CEPD și AEPD au adoptat un aviz comun privind propunerea de regulament pentru prevenirea și combaterea abuzului sexual asupra copiilor. Propunerea vizează impunerea de obligații legate de detectarea, raportarea, eliminarea și blocarea materialelor online cunoscute privind abuzurile sexuale asupra copiilor, precum și de racolarea copiilor, furnizorilor de servicii de găzduire, de servicii de comunicare interpersonală, de magazine de aplicații software, de servicii de acces la internet și de alte servicii relevante. CEPD și AEPD consideră că abuzul sexual asupra copiilor este o infracțiune deosebit de gravă. Limitările drepturilor la viața privată și la protecția datelor trebuie, totuși, să respecte esența acestor drepturi fundamentale și să rămână limitate la ceea ce este strict necesar și proporțional.
• Două scrisori ca răspuns la Access Now și BEUC cu privire la TikTok. În aceste scrisori, CEPD subliniază acțiunea rapidă întreprinsă de autoritățile de supraveghere irlandeză, italiană și spaniolă în urma anunțului TikTok că nu va mai solicita consimțământul utilizatorilor pentru a trimite reclame personalizate, iar temeiul juridic pentru aceasta va fi interesul legitim al TikTok și al partenerilor săi.
• O decizie de soluționare a litigiilor în temeiul art. 65 GDPR. Decizia cu caracter obligatoriu urmărește să abordeze lipsa de consens cu privire la anumite aspecte ale unui proiect de decizie emis de autoritatea de supraveghere din Irlanda, în calitate de autoritate de supraveghere principală, în ceea ce privește Instagram (Meta Platforms Ireland Limited (Meta IE)) și obiecțiile ulterioare exprimate de unele dintre autoritățile de supraveghere vizate.
– În perioada 12-13 septembrie a avut loc cea de-a 69-a Ședință Plenară a Comitetului European pentru Protecția Datelor, care a avut loc în Bruxelles, Belgia. În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care:
• Declarația referitoare la propunerea Comisiei Europene privind Codul de cooperare polițienească al UE. Prezenta propunere urmărește să consolideze cooperarea în domeniul aplicării legii între statele membre, în special schimbul de informații între autoritățile competente. Codul este compus din trei măsuri principale: propunerea de regulament Prüm II, propunerea de directivă privind schimbul de informații polițienești și propunerea de recomandare a Consiliului privind cooperarea operațională a poliției.
• Decizia CEPD asupra subiectului pentru cea de-a doua sa acțiune coordonată de aplicare a legii, care va viza desemnarea și poziția responsabilului cu protecția datelor. În cadrul unei acțiuni coordonate, CEPD va acorda prioritate unui anumit subiect pentru ca autoritățile de protecție a datelor să lucreze la nivel național. Rezultatele acestor acțiuni naționale vor fi apoi grupate și analizate, generând o perspectivă mai profundă asupra subiectului și permițând o urmărire țintită atât la nivel național, cât și la nivelul UE.
- Alte autorități pentru protecția datelor
– La data de 07 iulie, Autoritatea Franceză pentru Protecția Datelor (APD) a emis o amendă în valoare de 175 000 de euro companiei UBEEQO International, pentru prelucrarea ilegală a datelor cu caracter personal. Dosarul face parte din tematica de control prioritar în 2020 referitor la noile utilizări ale datelor de geolocalizare în contextul mobilității. În acest sens, APD Franceză a verificat compania UBEEQO International, a cărei activitate este închirierea de vehicule pentru o perioadă scurtă. Investigațiile s-au concentrat în special pe datele colectate, perioadele de păstrare definite, informațiile furnizate subiecților de date și măsurile de securitate implementate. În urma investigațiilor, APD Franceză a constatat mai multe încălcări, cum ar fi:
• Nerespectarea obligației de a asigura minimizarea datelor (articolul 5.1.c din GDPR);
• Nedefinirea și nerespectarea unei perioade proporționale de păstrare a datelor (articolul 5.1.e din GDPR);
• Nerespectarea obligației de informare a subiectului de date (articolul 12 din GDPR).
– La data de 19 iulie, Autoritatea Elenă pentru Protecția Datelor (APD) a emis a amendă în valoare de 20 000 de euro Societății de Administrare a Datoriilor pentru prelucrarea ilegală a datelor cu caracter personal și examinarea neesențială a drepturilor de opoziție și ștergere. În urma investigațiilor, APD Elenă a constatat că, în acest caz particular, societatea reclamată a împiedicat în mod nejustificat exercitarea drepturilor reclamantului, cu încălcarea prevederilor stipulate la articolul 12 alineatul (2) din GDPR și că prelucrarea în cauză a avut loc fără un temei legal, dat fiind faptul că a existat deja o scutire judiciară de la datoriile reclamantului, cu încălcarea prevederilor articolelor 5(1)(a), 5(2) și (6) din GDPR.
– La data de 08 septembrie, Autoritatea Franceză pentru Protecția Datelor (CNIL) a emis o amendă în valoare de 250 000 de euro companiei INFOGREFFE, pentru încălcarea articolului 5.1.e și articolului 32 din GDPR. În urma unei plângeri, CNIL, a efectuat o investigație online a site-ului infogreffe.fr, care permite utilizatorilor să consulte informații juridice despre companii și să comande documente și certificate din registrele comerciale. Investigațiile s-au concentrat în special pe perioadele de păstrare a datelor cu caracter personal și pe măsurile de securitate implementate de grupul de interes economic INFOGREFFE, care furnizează serviciul de publicare a informațiilor juridice privind societățile comerciale prin intermediul site-ului. În urma investigațiilor s-a constatat:
• Nerespectarea obligației de păstrare a datelor cu caracter personal pentru o perioadă de timp proporțională cu scopul prelucrării (articolul 5.1.e din GDPR);
• Nerespectarea obligației de a asigura securitatea datelor cu caracter personal (articolul 32 din GDPR).