Buletin Informativ Nr. 14
1211 Views
1. Activitățile de informare și instruire efectuate de CNPDCP
În primul semestru al anului curent, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a înregistrat progrese remarcabile în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.
La data de 25 ianuarie curent, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratul General al Poliției (IGP), planul de instruiri în cadrul subdiviziunilor IGP, astfel organizându-se mai multe cursuri de instruire. Scopul acestora, a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:
· 01 februarie – Inspectoratul de Poliție Anenii Noi al IGP
· 06 martie – Inspectoratul Național de Investigații (INI) al IGP
· 24 martie – Centrul pentru combaterea traficului de persoane al INI
· 07 aprilie – Inspectoratul Național de Securitate Publică (INSP) Direcția Centru al IGP
· 25 aprilie – Inspectoratul de Poliție Buiucani al DP Chișinău
· 05 mai – Inspectoratul de Poliție Ciocana al Direcției de Poliție
· 22 mai – Inspectoratul de Poliției Râșcani al Direcției de Poliție
· 05 iunie – Direcția Generală de urmărire Penală al IGP
· 23 iunie – Direcția de Poliție a UTA Găgăuzia
Totodată, au fost organizate cursuri de instruire pentru o serie de instrituții medicale cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal”. Scopul cursurilor de instruire a fost de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentelor au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind sănătatea; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind sănătatea; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. Astfel, cursurile de instruire au avut loc:
· 09 iunie – IMSP Centrul Medicilor de Familie municipiul Bălți
· 21 iunie – IMSP Asociaţia Medicală Teritorială Centru
· 28 iunie – IMSP Clinica Universitară de Asistență Medicală Primară a USMF „Nicolae Testemițanu”
În perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei, a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Au fost organizate trei sesiuni de instruire în cadrul comunității școlare, și anume:
· 27 ianuarie – Instituția Publică Liceul Teoretic „Gheorghe Asachi”
· 17 mai – Instituția Publică Liceul Teoretic „Mircea Eliade”
· 18 mai – Instituția Publică Liceul Teoretic „Ion Creangă”
Totodată, CNPDCP a organizat cursuri de instruire pentru: reprezentanții bibliotecilor din mun. Chișinău și altor raioane ale Republicii; reprezentanții Companiei Naționale de Asigurări în Medicină; reprezentanții Direcției Generale de Învățământ Cahul; reprezentanții Serviciului Fiscal de Stat; reprezentanții Ministerului Afacerilor Interne și reprezentanții Agenției Naționale Transport Auto, la solicitarea acestora.
În acest context, în primul semestru al anului curent, formatorii din cadrul CNPDCP, au instruit circa 650 de reprezentanți din cadrul subdiviziunilor IGP, circa 210 reprezentanți ai instituțiilor medicale, circa 120 de elevi din cadrul instituțiilor de învățământ și circa 575 de reprezentanți ai altor instituții.
În aceași perioadă de referință, și anume în data de 29-30 martie, CNPDCP în colaborare cu experții proiectului TAIEX, au organizat Misiunea de experți TAIEX “Prelucrarea datelor cu caracter personal în scopuri statistice”, în format online. Obiectivul Misiunii de experți a constat în prezentarea celor mai bune practici europene legale și operaționale privind mecanismele de prelucrare și stocare a datelor cu caracter personal în scopuri statistice, de către Biroul Național de Statistică (BNS), schimbul de date între instituții și BNS, precum și a reglementărilor ce țin de securitatea acestor date. În cadrul evenimentului au participat circa 24 de reprezentanți ai instituțiilor publice.
2. Activitatea de control
În perioada ianuarie – iunie 2023, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 180 de cazuri. În perioada de referință, au fost emise 141 decizii, dintre care în 73 cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 34 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
3. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, stocate în Registrul bunurilor imobile (RBI), efectuate de către o autoritate publică locală (APL) și o autoritate publică centrală (APC).
În context, prin decizie s-a constatat că operațiunile de accesare a datelor cu caracter personal privind bunul imobil a subiectului de date au fost efectuate de către APC și APL cu încălcarea principiilor statuate la art. 4 alin. (1) lit. a), b) și art. 5 ale Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, or aceste operațiuni au avut loc în lipsa unui scop determinat, explicit și legitim. Astfel, aspectul primordial ce a dus la constatarea încălcării prevederilor legale de către APL, a fost accesarea datelor în scop personal (pentru elaborarea tezei de master) și lipsa evidenței accesărilor în sistemele automatizate de către utilizatorii autorizați din cadrul APL, a datelor cu caracter personal. Cu referire la motivul constatării încălcării Legii nr. 133/2011 de către APC, menționăm că ultima nu a asigurat actualizarea informației privind utilizatorii cu drept de a accesa sistemul informațional automatizat de stat și nu a înștiințat autoritățile competente despre modificările raporturilor de serviciu (demisia din funcție a unui fost angajat), fapt care a generat accesarea datelor cu caracter personal în RBI și după încetarea raportului de muncă.
II. CNPDCP a efectuat un control în baza unei plângeri a unui subiect de date cu caracter personal, în care indică asupra pretinselor operațiuni neconforme de prelucrare a datelor cu caracter personal ce îl vizează, stocate în Registrul bunurilor imobile și efectuate de către o autoritate publică locală, precum și nerealizarea dreptului de acces la datele sale cu caracter personal.
Urmare a examinării cazului, CNPDCP prin decizie a constatat că, APL nu a reușit să răstoarne prezumția de ilegalitate a prelucrărilor de date cu caracter personal ale subiectului de date, fiind stabilită încălcarea Legii nr. 133/2011, deoarece s-a constatat faptul că, toți utilizatorii autorizați din cadrul APL care au avut acces la banca centrală de date din RBI utilizau același cont de acces, atribuit unei foste angajate din cadrul autorității, demisionată. În acest fel, operatorul a fost în imposibilitate de a duce evidența strictă a accesărilor. În ceea ce privește realizarea dreptului de acces la datele cu caracter personal ale subiectului de date, s-a demonstrat lipsa încălcării acestui aspect, deoarece s-a stabilit că APL a examinat cererea și a remis răspuns în adresa acestuia.
III. CNPDCP a examinat plîngerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, stocate în Registrul bunurilor imobile, efectuate de către un operator de date, fără consimțământul subiectului.
În cadrul investigației s-a constatat că, operațiunile de accesare a bunului imobil, ce-i aparține cu drept de proprietate subiectului de date, a fost efectuată în vederea organizării procedurii de creare și înregistrare a unei Asociații de coproprietari.
Respectiv, pe parcursul examinării prezentului caz, operatorul, în vederea justificării acțiunii de accesare/consultare a datelor cu caracter personal ce aparțin subiectului de date, efectuate prin intermediul Registrului bunurilor imobile, a făcut referire la contractul de prestare a serviciilor de consultare și colaborare, cât și art. 5 al Legii nr.133 din 08.07.2011 privind protecția datelor cu caracter personal.
Astfel, CNPDCP a determinat că, alegațiile invocate de către operatorul de date cu caracter personal, nu justifică și nu demonstrează necesitatea prelucrării datelor cu caracter personal ale subiectului, manifestată prin accesarea băncii centrale de date a cadastrului bunurilor imobile, or, prelucrarea datelor cu caracter personal urmează a fi efectuată cu condiția respectării principiilor de protecție a datelor cu caracter personal, având la bază unul din temeiurile legale prezentate la art. 5 al Legii nr. 133/2011.
În context, prin decizie s-a constatat că, operațiunea de accesare a datelor cu caracter personal privind bunul imobil a subiectului de date a fost efectuată cu încălcarea art. 4 alin. (1) lit. a), b) și art. 5 ale Legii nr. 133/2011 de către operatorul de date – persoană juridică, în lipsa unui scop determinat, explicit și legitim.
IV. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, stocate în Registrul de stat al populației, efectuate de către un utilizator autorizat al unei autorități publice.
În cadrul investigației s-a constatat că, deși ca temei al operațiunii de prelucrare a datelor cu caracter personal a fost indicat o cerere, s-a stabilit că cererea dată viza numele altei persoane.
În acest sens, CNPDCP nu a identificat vreun scop și temei legal ce ar fi permis utilizatorului autorizat din cadrul autorității publice de a prelucra (prin extragere) datele cu caracter personal ale subiectului de date, fără consimțământul acestuia și fără a avea în examinare un dosar/cerere.
În context, prin decizie s-a constatat că, operațiunea de prelucrare a datelor cu caracter personal ce vizează subiectul de date, a fost efectuată de către utilizatorul autorizat cu încălcarea prevederilor art. 4 alin. (1) lit. a) și b) și art. 5 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, în lipsa unui scop determinat, explicit și legitim și fără consimțământul subiectului datelor cu caracter personal.
V. CNPDCP a examinat demersul parvenit din partea Serviciului Fiscal de Stat (SFS) prin care a informat că, în rezultatul exercitării atribuțiilor de administrare fiscală, s-a constatat că un agent economic colectează și utilizează date cu caracter personal contrar prevederilor art. 5 alin. (1) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, ceea ce a servit drept motiv pentru inițierea verificării/investigării conformității operațiunilor de prelucrare a datelor cu caracter personal.
În fapt, potrivit materialelor anexate la demersul SFS, s-a constatat faptul că agentul economic a prelucrat datele cu caracter personal a 35 de persoane fizice, în lipsa consimțământului acestora sau a succesorilor persoanelor decedate, sau în lipsa altui temei legal prevăzut de art. 5 alin. (5) din Legea nr. 133/2011 privind protecția datelor cu caracter personal.
În urma investigațiilor efectuate de CNPDCP, în corespundere cu prevederile art. 27 al Legii nr. 133/2011 privind protecția datelor cu caracter personal, prin decizia CNPDCP a fost constatată încălcarea prevederilor art. 4 alin. (1) lit. a), art. 5 alin. (1), (4) și art. 12 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către agentul economic în cauză la prelucrarea datelor cu caracter personal ale subiecților de date vizați în demersul SFS.
Totodată, CNPDCP a dispus inclusiv încetarea operațiunilor de prelucrare a datelor cu caracter personal ale subiecților de date vizați în demersul SFS și distrugerea copiilor buletinelor de identitate utilizate/obținute ilicit de către agentul economic.
Consecvent, în corespundere cu prevederile art. 20 alin. (1) lit. m) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, CNPDCP a sesizat în ordine penală organul de urmărire penală a SFS, privind existența unor indicii rezonabile de falsificare a actelor de achiziții a mărfurilor, faptă prevăzută la articolul 3351 din Codul penal.
Mai mult, urmare a constatării încălcărilor menționate supra, CNPDCP a intervenit în ordine contravențională în privința agentului economic, prin întocmirea procesului-verbal cu privire la contravenție prin faptele prevăzute la art. 741 alin (1) și (3) din Codul contravențional.
VI. CNPDCP a fost sesizat cu privire la legalitatea activității paginii web cu denumirea www.numar.md, în care erau publicate anumite date cu caracter personal a mai multor persoane fizice, de către un reprezentant mass-media.
În urma analizării paginii web www.numar.md, a fost reținut că, prin intermediul acesteia, orice persoană putea să lase un comentariu, vizibil tuturor, asupra deținătorului oricărui număr de telefon mobil din Republica Moldova. Comentariile de pe pagina web aveau diferit conținut, atât informații biografice cum ar fi: numele, prenumele, studii, locul de muncă, vârsta, localitatea, adresa de domiciliu, gen de activitate, etc., cât și informații cu caracter calomnios și defăimător. Dezvăluirea în spațiul online, spre vizualizare nerestricționată a acestor informații putea prejudicia grav drepturile şi libertățile constituționale ale cetățenilor.
În rezultatul efectuării controlului, CNPDCP a determinat ca fiind neconform, mijlocul oferit pentru prelucrarea datelor cu caracter personal, prin publicarea pe pagina web www.numar.md a informațiilor ce conțin date cu caracter personal, cum ar fi: numele, prenumele, studii, locul de muncă, vârsta, localitatea, adresa de domiciliu, gen de activitate, etc., întrucât nu a fost stabilit existența unui scop determinat, explicit și legitim, nici existența unui temei legal de prelucrare a datelor cu caracter personal ce vizează deținătorii numerelor de telefonie mobilă din Republica Moldova, acțiuni săvârșite contrar prevederilor art. 4 alin. (1) lit. a), b), c) și art. 5 alin. (1) ale Legii 133/2011 privind protecția datelor cu caracter personal.
În acest context, ținând cont de prevederile art. 27 alin. (3) și alin. (5) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, CNPDCP a dispus prin Decizie: constatarea in rem a încălcării prevederilor Legii nr. 133/2011, la prelucrarea datelor cu caracter personal prin intermediul paginii www.numar.md, constatarea indisponibilității în rețeaua de internet a paginii www.numar.md, precum și sesizarea IP „Serviciului Tehnologia Informației și Securitate Cibernetică” în vederea examinării posibilității intervenirii prin prisma competențelor, statuate la pct. 33 subpct. 7) al Regulamentului cu privire la gestionarea domeniului de nivel superior .md, aprobat prin Hotărârea ANRCETI nr. 42/2020.
Finalmente, se notează că scopul care a stat la baza autosesizării Autorității de control, manifestat prin dorința de a contracara prelucrarea neconformă a datelor cu caracter personal, a fost atins odată cu indisponibilitatea/devenirea inactivă a paginii web www.numar.md, care constituia un mijloc de dezvăluire abuzivă a informațiilor personalizate ale unui număr impunător de subiecții de date.
4. Activitatea de supraveghere
La data de 10 ianuarie 2022, prin Legea nr. 175/2021 pentru modificarea unor acte normative, a fost instituită obligația operatorului și a persoanei împuternicite de operator de a desemna o persoană responsabilă cu protecția datelor cu caracter personal, în cazurile prevăzute de art. 25 al Legii nr. 133/2011 privind protecția datelor cu caracter personal.
În acest sens, CNPDCP a lansat un ciclu de instruiri a persoanelor responsabile cu protecția datelor cu caracter personal. Obiectivul de bază al instruirilor este dezvoltarea cunoștințelor teoretice în domeniul protecției datelor cu caracter personal și a deprinderilor practice privind aplicarea actelor normative și cerințelor legislației din domeniu. Astfel, în perioada de referință, au fost instruite 28 persoane. Totodată, în conformitate cu prevederile statuate la art. 25 alin. (6) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale persoanei responsabile cu protecția datelor și de a le comunica CNPDCP. În acest context, CNPDCP a recepționat 21 scrisori, prin intermediul cărora a fost informat despre faptul desemnării persoanei responsabile cu protecția datelor cu caracter personal din partea entităților respective, preponderent de la entitățile private.
Simultan, a fost ajustat și plasat pe pagina web oficială a CNPDCP, la compartimentul „Operator de date/Recomandările CNPDCP”, „Aspecte practice și legale în legătură cu instalarea și gestionarea mijloacelor de supraveghere video”, ținând cont de intrarea în vigoare a Legii Nr. 187 din 14-07-2022 cu privire la condominiu.
În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 220 consultații telefonice și 15 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.
5. Știri internaționale și europene
ü În cadrul proiectului de cooperare regională în domeniul transformării digitale și reingineriei serviciilor publice, în perioada 6-10 februarie, la Paris, Franța, a avut loc prima Academie, cu genericul “Proiectarea și furnizarea serviciilor în era digitală”. Scopul acestei Academii a fost de a permite crearea de rețele și schimbul intensiv privind reproiectarea serviciului public:
a) la nivel național, între instituțiile cheie ale statului, cum ar fi agențiile de dezvoltare a serviciului public și instituțiile de protecție a datelor cu caracter personal;
b) la nivel regional, între țările Parteneriatului estic; și
c) la nivel internațional, între țările Parteneriatului estic și statele membre ale UE.
Astfel, în scopul preluării bunelor practici în cadrul Academiei a fost efectuată o vizită de studiu și la Ministerul Transformării și Serviciului Public, în cadrul căreia reprezentantul CNPDCP a fost familiarizat cu situația actuală a transformării funcției publice din Franța, îmbunătățirii serviciilor publice (servicii publice digitale centrate pe om), monitorizării și transparenței implementării reformelor guvernamentale, etc.
ü În semestrul I anul 2023, reprezentanții CNPDCP au participat la 3 ședințe plenare cu prezența fizică și 3 on-line ale Comitetului European pentru Protecția Datelor (EDPB). În cadrul plenarelor au fost discutate și adoptate în varianta finală mai multe documente, printre care:
· Orientările 05/2021 privind interacțiunea dintre aplicarea art. 3 și dispozițiile privind transferurile internaționale conform capitolului V din GDPR;
· Orientările 07/2022 privind certificarea ca instrument pentru transferuri;
· Procedura de adoptare a avizelor EDPB privind criteriile naționale de certificare și sigilii europene pentru protecția datelor;
· Ghidul 01/2022 privind drepturile subiecților de date – Dreptul de acces
· Orientările privind calcularea amenzilor administrative;
· Orientările privind tehnologia de recunoaștere facială în domeniul aplicării legii;
La 25 mai curent a fost aleasă noua conducere a EDPB, D-na Anu Talus (FI SA) este noul președinte al Comitetului European pentru Protecția Datelor și D-na Irene Loizidou Nikolaidou (CY DPA) noul vicepreședinte.
Comitetul European pentru Protecția Datelor este un organism european independent, care contribuie la aplicarea consecventă a normelor de protecție a datelor în întreaga Uniune Europeană și promovează cooperarea între autoritățile UE de protecție a datelor.
ü În perioada 10-12 mai, a avut loc cea de-a 31-a ediție a Conferinței de primăvară a Autorităților Europene de Protecție a Datelor (AEPD), desfășurată în Budapesta, Ungaria. Anul acesta evenimentul a fost găzduit pentru a treia oară de Autoritatea Maghiară pentru Protecția Datelor.
Pe parcursul sesiunilor de lucru, au fost prezentate subiecte de actualitate din domeniul protecției datelor, precum:
· noile tehnologii – evaluarea impactului social al utilizării noilor tehnologii în diferite domenii;
· interacțiunea dintre protecția datelor și Legea concurenței;
· hotărârile de judecată: rezoluții și modificări ale Regulamentului de procedură; și
· cele mai bune practici/studii de caz în cooperarea de aplicare a legislației între SEE și țările din afara SEE.
Pentru prima data în cadrul unei Conferințe de primăvară a AEPD, a fost organizată ziua ușilor deschise. Această practică a oferit posibilitatea mai multor instituții, ONG-uri și altor organizații, care și-au manifestat interesul pentru subiectele abordate în cadrul evenimentului, să participe on-line.
La eveniment au participat reprezentanți ai Autorităților pentru Protecția Datelor din Europa Centrală și de Est, CoE, CEPD, AEPD, în cadrul căruia au avut oportunitatea de a face un schimb de experiență și bune practici în domeniul protecției datelor cu caracter personal, inclusiv în ceea ce privește rolul Responsabilului cu Protecția Datelor în cadrul unei entități publice sau private.
ü În perioada 14-16 iunie a avut loc cea de-a 44-a ședință plenară a Comitetul Consultativ al Convenției 108. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:
· Convenția 108+, ratificările și aderările actuale;
· protecția datelor cu caracter personal pentru Combaterea Spălării Banilor și a Finanțării Terorismului;
· clauze contractuale în contextul fluxurilor transfrontaliere de date;
· interpretarea articolului 11 din Convenția 108 +;
· protecția datelor cu caracter personal, inclusiv a datelor biometrice în procesul electoral;
· cooperarea cu alte entități ale CoE;
· evoluții și activități majore în domeniul protecției datelor, etc.
Totodată, delegația CNPDCP s-a expus cu privire la stadiul ratificării Protocolului de modificare CETS nr.223 la Convenția 108. Menționăm că, la 09 februarie 2023, în baza Decretului Președintelui Republicii Moldova nr. 757/2002, Republica Moldova a semnat Protocolul de modificare a Convenției 108 pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal, iar în Planul de acțiuni al Guvernului RM pentru anul curent este planificată acțiunea de promovare a măsurilor de ratificare a protocolului.
6. Alte autorități pentru protecția datelor
· La data de 22 mai, a fost anunțată decizia finală a Autorității irlandeze de supraveghere (DPA IE) din 13 aprilie 2023, cu privire la aplicarea amenzii în valoare de 1.2 miliare de euro companiei Meta Platforms Ireland Limited (Meta IE). Această amendă, care este cea mai mare amendă pentru încălcarea GDPR, a fost aplicată pentru transferurile de date cu caracter personal efectuate de către compania Meta către SUA pe baza clauzelor contractuale standard (SCC), începând cu 16 iulie 2020. În plus, Meta a fost obligată să își dirijeze transferurile de date în conformitate cu capitolul V din GDPR, prin încetarea prelucrării ilegale, inclusiv a stocării, în SUA a datelor cu caracter personal ale utilizatorilor europeni transferate cu încălcarea GDPR, în termen de 6 luni de la notificarea deciziei finale a DPA IE.
În decizia sa obligatorie din 13 aprilie 2023, EDPB a informat DPA IE ca să își modifice proiectul de decizie și să impună o amendă reprezentanței Meta în Irlanda. Având în vedere gravitatea încălcării, EDPB a constatat că punctul de pornire pentru calcularea amenzii ar trebui să fie între 20% și 100% din maximul legal aplicabil.
Decizia finală a IE DPA încorporează evaluarea juridică exprimată de EDPB în decizia sa obligatorie, adoptată în temeiul art. 65 alin. (1) lit. a) din GDPR, după ce DPA IE, în calitate de autoritate de supraveghere principală (LSA), a declanșat o procedură de soluționare a litigiilor cu privire la obiecțiile formulate de mai multe autorități de supraveghere vizate (CSA). Printre altele, CSA au emis obiecții care vizau includerea unei amenzi administrative și/sau a unui ordin suplimentar de punere în conformitate a prelucrării.
· La data de 16 mai, a fost anunțată decizia finală a autorității de supraveghere croată din 02 mai 2023, cu privire la impunerea amenzii administrative în valoare de 2 milioane și 265 de mii de euro companiei B2 Kapital d.o.o. pentru încălcarea art. 13, art. 28 și art. 32 din GDPR.
În decembrie 2022, Autoritatea de supraveghere croată a primit o plângere anonimă în care se afirma că B2 Kapital d.o.o. a prelucrat în mod ilegal un număr mare de date cu caracter personal ale debitorilor. Împreună cu plângerea, B2 Kapital a primit stick-ul USB atașat, care conținea date cu caracter personal pentru un număr total de 77317 persoane fizice, care aveau datorii restante la organizațiile de creditare și care au fost achiziționate de către Agenția de colectare a creanțelor în baza contractului de cesiune. Aceleași date cu caracter personal au fost transmise pe un stick USB unei instituții de presă.
S-a stabilit că încălcarea a avut loc cel puțin din anul 2019 și că nu a fost remediată până în prezent, totul din cauza neaplicării măsurilor de protecție corespunzătoare.
· La data de 21 martie, a fost anunțată decizia finală a Autorității finlandeze de supraveghere din 17 februarie 2023, cu privire la aplicarea amenzii în valoare de 440 mii de euro companiei Suomen Asiakastieto Oy pentru că nu a șters înregistrările inexacte privind neîndeplinirea obligațiilor de plată salvate în registrul informațiilor de credit din cauza unor practici inadecvate. Autoritatea de Supraveghere a subliniat faptul că o înscriere de neplată are un impact semnificativ asupra drepturilor și libertăților unei persoane fizice.
În 2021, Autoritatea de Supraveghere din Finlanda a cerut unui operator să își rectifice practicile de înregistrare a plăților neefectuate și să șteargă înregistrările inexacte bazate pe decizii definitive. Operatorul nu a contestat decizia și a fost contactat în ianuarie 2023 pentru evaluarea sancțiunilor. Totodată, acesta a recunoscut că a interpretat greșit ordinul și a șters toate înregistrările de neplată din registru. Autoritatea, însă, a constatat că operatorul a ales intenționat să nu se conformeze ordinului emis. Înregistrările inexacte ar fi putut fi șterse, având în vedere că informațiile despre neachitări erau disponibile în registrul hotărârilor judecătorești timp de 10 ani.
· O amendă administrativă în valoare de 5.200 000 euro a fost aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei CLEARVIEW AI pentru prelucrarea ilegală a datelor cu caracter personal prin intermediul tehnologiilor de recunoaștere facială.
Compania CLEARVIEW AI a colectat fotografii de pe o mulțime de site-uri web, inclusiv rețele sociale, și a vândut accesul la baza sa de date prin intermediul unui motor de căutare în care o persoană poate fi căutată cu ajutorul unei fotografii. Compania oferea acest serviciu și autorităților de aplicare a legii. Tehnologia de recunoaștere facială este utilizată pentru a interoga motorul de căutare și a găsi o persoană pe baza fotografiei sale.
