Buletin Informativ Nr. 15
I. Activitățile de informare și instruire efectuate de CNPDCP
În trimestru al treilea al anului curent (iulie-septembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.
În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 25 ianuarie curent. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.
Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:
- 11 iulie – Inspectoratul de Poliție Ialoveni al IGP
- 17 iulie – Inspectoratul Național de Securitate Publică (INSP), Direcția Sud al IGP
- 03 august – Inspectoratul de Poliție Botanica al Direcției de Poliție
- 29 august – Inspectoratul Național de Securitate Publică (INSP), Direcția Nord al IGP
- 05 septembrie – Inspectoratul de Poliție Sângerei al IGP
- 19 septembrie – Inspectoratul de Poliție Strășeni al IGP
În acest context, au fost instruiți circa 300 de reprezentanți din cadrul subdiviziunilor IGP.
Totodată, au fost continuate cursurile de instruire pentru instituțiile medicale. La data de 27 septembrie a avut loc cursul de instruire cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal” pentru reprezentanții Spitalului Clinic Municipal pentru Copii nr. 1, având drept scop de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentului au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind sănătatea; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind sănătatea; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. În cadrul evenimentului au fost instruiți circa 70 de reprezentanți ai Spitalului Clinic Municipal pentru Copii nr. 1.
La data de 13 septembrie 2023, CNPDCP a organizat un curs de instruire în domeniul protecției datelor cu caracter personal pentru auditorii interni din cadrul autorităților publice, la solicitarea Ministerului Finanțelor (MF). MF în comun cu autoritățile publice centrale desfășoară misiuni de audit intern orizontale, tematica de interes comun identificată pentru anul 2023 fiind „Evaluarea procesului de prelucrare a datelor cu caracter personal în cadrul autorităților publice”. Scopul cursului de instruire a fost sporirea vizibilității și mediatizarea rolului auditului intern de a adăuga valoare și de a îmbunătăți activitatea entității, inclusiv a proceselor de management al riscului, control și guvernanță, prin prisma legislației privind protecția datelor cu caracter personal. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de Responsabilul cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor, etc. În cadrul evenimentului au participat circa 50 de auditori interni din cadrul a 30 de autorități publice.
La data de 28 septembrie, CNPDCP a organizat un curs de instruire cu genericul „Asigurarea protecției datelor cu caracter personal în activitatea Centrului Național Anticorupție (CNA)”. Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților CNA asupra principiilor de protecție a datelor cu caracter personal, în vederea cunoașterii și asimilării celor mai bune practici din domeniu, precum și asupra asigurării aplicării corecte a prevederilor legale în activitatea pe care o desfășoară, ceea ce va contribui ulterior la sporirea performanței angajaților CNA în depistarea și contracararea fenomenului corupției. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații CNA; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat și evidența dusă de CNA a acestor acesări; cadrul normativ care reglementează protecția informațiilor din cauzele penale ce conțin date cu caracter personal; verificarea conformității prelucrării datelor cu caracter personal / etapele investigației; aspecte ce țin de Responsabilul cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor, etc. În cadrul evenimentului au fost instruiți circa 150 de reprezentanți ai CNA.
La data de 29 septembrie, CNPDCP a organizat un curs de instruire cu genericul „Evaluarea, prin prisma sistemului de control intern managerial existent, funcționalitatea procesului de prelucrare a datelor cu caracter personal în cadrul judecătoriilor și curților de apel” pentru reprezentanții Agenției de Administrare a Instanțelor Judecătorești (AAIJ), Zona Sud, la solicitatea acestora. Evenimentul a avut loc la sediul Curții de Apel Comrat. Scopul cursului de instruire a fost de a spori gradul de percepție a reprezentanților AAIJ asupra principiilor de protecție a datelor cu caracter personal, precum și de a indentifica un mecanism de evaluare a impactului asupra protecției datelor cu caracter personal în judecătorii și curțile de apel. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; examinarea solicitărilor de dezvăluire a datelor cu caracter personal; verificarea conformității prelucrării datelor cu caracter personal; etc. În cadrul evenimentului au fost instruiți circa 40 de reprezentanți ai AAIJ.
În aceiași perioadă de referință, și anume în data de 10 iulie, CNPDCP în colaborare cu experții proiectului TAIEX, au organizat conferința națională ”Evaluarea Impactului asupra Protecției Datelor și rolul Responsabilului cu protecția datelor”. Scopul conferinței a constat în preluarea celor mai bune practici legale și operaționale de către reprezentanții instituțiilor publice privind mecanismele de Evaluare a Impactului asupra Protecției Datelor (DPIA), operațiunile de prelucrare care necesită o DPIA, precum și rolul Responsabilului cu protecția datelor (DPO) în cadrul operatorilor de date cu caracter personal din sectorul public. Conferința a fost moderată de experți în protecția datelor cu caracter personal din Italia și Malta. Printre temele abordate de experți au fost: evaluarea necesității și proporționalității operațiunilor de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor; scenarii de evaluare a impactului asupra protecției datelor cu caracter personal; mecanisme practice de efectuare a consultărilor prealabile dacă evaluarea impactului asupra protecției datelor, indică faptul că prelucrarea ar genera un risc sporit, iar acesta nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării, de către angajații DPA-urilor; mijloacele acordate Responsabilului cu protecția datelor pentru a-și îndeplini misiunile; exemple de cele mai bune practici pentru a ajuta instituțiile de stat / organizațiile în numirea și sprijinirea Responsabilului cu protecția datelor, în scopul evitării unor eventuale conflicte de interese; etc. În cadrul evenimentului au participat circa 60 de reprezentanți ai sectorului public.
II. Activitatea de control
În perioada iulie – septembrie 2023, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 93 de cazuri. În perioada de referință, au fost emise 94 decizii, dintre care în 52 cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 27 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
- În rezultatul examinării multiplelor plângeri din partea diferitor subiecți de date, precum și ținând cont de mediatizările în spațiul public a faptului accesării datelor cu caracter personal ale unui număr excesiv de subiecți de date cu caracter personal în Banca centrală de date a cadastrului bunurilor imobile, efectuat de către un ONG, CNPDCP a inițiat controlul în vederea stabilirii circumstanțelor ce au dus la situația identificată.
Urmare a acțiunilor efectuate în cadrul controlului vizat, s-a determinat că în perioada mai 2022 – iulie 2022, utilizatorul autorizat al ONG-ului vizat a efectuat 680263 de accesări în Registrul Bunurilor Imobile (RBI) la aproximativ 378261 de bunuri imobile, fiecare dintre ele având unu, doi și mai mulți proprietari, noi și vechi. Numărul persoanelor fizice, ale căror date cu caracter personal au fost accesate, a constituit 362533.
Potrivit materialelor acumulate în cadrul controlului, în scopul realizării unor rapoarte independente de verificare a integrității candidaților la funcția de membru în Consiliul Superior al Magistraturii și Consiliul Superior al Procurorilor, ONG-ul vizat a contractat o persoană fizică pentru a analiza datele privind subiecții evaluați în rapoartele independente de verificare a integrității în cadrul procedurilor de pre-vetting și vetting și a colecta date deschise din spațiului online și consultanță în domeniul IT. Accesările datelor cu caracter personal a persoanelor vizate s-ar fi produs din cauza folosirii unui robot automat de căutare a adreselor juridice în motorul de căutare al serviciului web cadastru.
În rezultatul controlului, CNPDCP a constatat că acțiunile utilizatorului autorizat care a efectuat operațiunea de accesare a datelor cu caracter personal ale unui număr impunător de subiecți de date care nu au nici o legătură cauzală cu persoanele/candidații care au fost obiectul studiului și bunurile imobile ale acestora, au fost prelucrate excesiv, fără a avea la bază un scop bine-determinat, explicit și legitim, adecvat, pertinent și neexcesiv, în raport cu obiectivul stabilit, precum și fără a deține consimțământul subiectului de date cu caracter personal.
La fel, CNPDCP a constatat că, o altă circumstanță ce a contribuit la efectuarea accesărilor excesive a fost inacțiunile operatorului în raport cu persoana împuternicită de către operator, în sensul evaluării corectitudinii prelucrării datelor cu caracter personal. În perioada nominalizată supra, ONG-ul nu a întreprins nici o acțiune de verificare a implementării măsurilor tehnice și organizatorice de către utilizatorul autorizat privind prelucrarea în mod corect şi conform prevederilor legii a datelor cu caracter personal stocate în RBI, cu toate că, pornind de la prevederile expuse în Declarația privind obligația de confidențialitate și securitate a datelor cu caracter personal, semnată de către utilizatorul autorizat, această obligație se regăsea.
Totodată, I.P. ,,Agenția Servicii Publice”, în calitate de posesoare a Băncii Centrală de Date a cadastrului bunurilor imobile, avea obligațiunea legală să ia măsurile organizatorice şi tehnice necesare pentru protecția datelor cu caracter personal stocate în această resursă informațională de stat, fapt ignorat de către aceasta la etapa corespunzătoare.
Pornind de la circumstanțele descrise, CNPDCP a constatat încălcarea prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal de către utilizatorul autorizat, de către ONG-ul vizat și de către ASP.
- CNPDCP a examinat plângerea unui subiect de date cu caracter personal, prin care a fost solicitată verificarea legalității acțiunilor efectuate de către un operator de date, manifestate prin plasarea pe rețeaua de socializare ,,Facebook”, a unei postări însoțită de pozele actelor de identitate a petentului.
În cadrul investigației s-a determinat că, operatorul de date este administratorul contului de Facebook unde au fost publicate doua imagini a actelor de identitate (buletinul de identitate și pașaportul), însă postarea a fost publicată nu de dânsul, ci de o altă persoană care se află în relații de rudenie, căruia i-a oferit accesul la contul său. În cadrul efectuării controlului, operatorul de date (administratorul contului de Facebook), și-a recunoscut vina și a conștientizat că a fost săvârșită o abatere de la normele privind protecția datelor cu caracter personal.
În context, CNPDCP, prin Decizie a constatat că, operațiunea de prelucrare a datelor cu caracter personal manifestate prin postarea/publicarea actelor de identitate, pe rețeaua de socializare ,,Facebook”, efectuate de către operatorul de date, constituie o încălcare a prevederilor art. 4 alin (1) lit a), art. 9 și art. 29 alin (1) ale Legii nr. 133 din 08.07.2011, la prelucrarea datelor cu caracter personal a subiectului de date, fără a avea un temei legal în acest sens, fără a garanta confidențialitatea datelor prelucrate și fără consimțământul petentului.
- CNPDCP a examinat plângerea unui subiect de date prin care se solicita intervenția autorității de control, conform competențelor atribuite prin Legea privind protecția datelor cu caracter personal, pentru a stabili și a sancționa persoana-(le) din cadrul entități publice ce se fac responsabile de răspândirea cu bună-știință a informațiilor confidențiale, ocrotite de lege, care au transmis prin intermediul e-mail-ului de serviciu către toți angajații documente ce conțin informații personale, inclusiv informații privind starea de sănătate a subiectului de date. Prin urmare, subiectul datelor cu caracter personal consideră că de către persoana-(le) responsabile din cadrul entității publice au fost comise acțiuni ilegale, prin diseminarea informațiilor confidențiale, în lipsa consimțămîntului acesteia, fiindu-i grav încălcat dreptul la protecția datelor privind starea de sănătate.
În rezultatul soluționării plângerii subiectului datelor cu caracter personal, CNPDCP a constatat prin decizie că, angajata din cadrul entității publice a acționat în mod individual stabilind scopul şi mijlocele de prelucrare a datelor privind starea de sănătate a subiectului vizat, fără a ține cont de instrucțiunile/dispozițiile conducerii entității, a stabilit transmiterea/dezvăluirea către toți angajații a informațiilor conținute în certificatul medical eliberat pe numele subiectului de date, în lipsa unei obligații legale/temei legal, fără a asigura confidențialitatea datelor cu caracter personal, acțiune ce contravine condițiilor de drept prevăzute de art. 4 alin. (1) lit. a), art. 6 alin. (1) și art. 29 alin. (1) din Legea privind protecția datelor cu caracter personal.
IV. Activitatea de supraveghere
În perioada de referință, CNPDCP a venit cu mai multe precizări și recomandări atât pentru subiecții de date, cât și cu recomandări pentru autoritățile publice:
- În atenția utilizatorilor aplicației Yandex Go
În contextul informațiilor mediatizate, vizând accesul la datele cu caracter personal prelucrate prin intermediul aplicației „Yandex Go” (cum ar fi: datele dispozitivelor mobile ale utilizatorilor, numele, numărul de telefon, adresa de e-mail, date bancare și adresele călătoriilor cu taxiul), CNPDCP a îndemnat subiecții de date să fie prudenți și să se informeze, în prealabil instalării aplicației Yandex Go pe dispozitivele mobile, asupra condițiilor stipulate în Politica de confidențialitate Yandex, deoarece, odată instalată această aplicație, prelucrarea datelor cu caracter personal se efectuează pe baza consimțământului subiectului de date cu caracter personal.
De altfel, în cazul utilizării unor sisteme/platforme străine, gestionate/create de operatori nerezidenți, serverele cărora se află în afara țării, survine implicit situația de transmitere transfrontalieră a datelor cu caracter personal, colectate/prelucrate prin intermediul acestor sisteme/platforme, fapt care determină aplicabilitatea obligatorie a prevederilor art. 32 al Legii 133/2011 privind protecția datelor cu caracter personal.
În aceste condiții, transmiterea transfrontalieră a datelor cu caracter personal către statele care nu asigură un nivel adecvat de protecție (cum ar fi spre ex. Federația Rusă), poate avea loc în condițiile statuate la art. 32 alin. (5) al Legii privind protecția datelor cu caracter personal.
Totodată, este de menționat că, în cazul unor platforme de management a comenzilor de taxi deținute de titulari nerezidenți, dar care își desfășoară activitatea și/sau produc efecte juridice pe teritoriul Republicii Moldova, autoritățile de stat competente vor întâmpina impedimente și/sau nu vor putea exercita un control efectiv asupra acțiunilor eventual prejudiciabile a acestora.
Mai mult, în circumstanțele expuse supra, inclusiv subiectul de date cu caracter personal va pierde controlul asupra datelor sale cu caracter personal și va fi în dificultate de a-și exercita drepturile consacrate de Legea privind protecția datelor cu caracter personal.
În contextul informațiilor menționate supra, precum și ținând cont de faptul că datele cu caracter personal, transferate tranfrontalier în state care nu asigură un nivel adecvat de protecție, ar putea fi utilizate în detrimentul subiecților de date sau în alte scopuri decât cele declarate de operator, prin avizul înaintat Guvernului asupra proiectului de inițiativă legislativă nr. 252 din 13.07.2023, CNPDCP a propus inclusiv:
… în contextul asigurării protecției eficiente a datelor cu caracter personal prelucrate, ar fi oportună examinarea posibilității instituirii normei vizând utilizarea sistemelor (platformelor) electronice de management gestionate/păstrate/stocate pe teritoriul Republicii Moldova. Or, ținând cont de prevederile art. 4 și art. 5 alin. (5) lit. b) ale Legii nr. 133/2011, obligațiile/regulile de prelucrare a datelor cu caracter personal (cum ar fi spre exemplu: utilizarea sistemelor/platformelor electronice de management naționale, precum și păstrarea serverelor pe teritoriul Republicii Moldova, fără a fi admisă transmiterea transfrontalieră de date cu caracter personal) trebuie să fie prevăzute de lege.
- În atenția subiecților de date! CNPDCP recomandă vigilență maximă la transmiterea/oferirea datelor cu caracter personal
Reieșind din multitudinea de cazuri mediatizate, precum și din specificul abordat în tot mai multe plângeri și sesizări aflate în examinare, CNPDCP a îndemnat subiecții de date să demonstreze precauție maximă la dezvăluirea, transmiterea, diseminarea datelor cu caracter personal ce îi vizează.
CNPDCP amintește că, actele de identitate (cum ar fi buletinele de identitate, pașapoartele), certificatele de stare civilă, carnetele de pensionar, cardurile bancare etc. consemnează o multitudine de date cu caracter personal, care necesită o protecție eficace din partea deținătorului/titularului acestora.
Astfel, oferirea/transmiterea de copii de pe aceste documente, precum și scrierea datelor cu caracter personal în diferite liste/acte de către subiectul de date, în alte scopuri decât cele expres prevăzute de lege, poate genera utilizarea ilegală a acestora, în scopuri contrare celor prevăzute inițial, în detrimentul subiectului de date. La fel, subiectul de date cu caracter personal ar putea pierde controlul asupra datelor sale cu caracter personal.
În cazul în care subiecților de date li se solicită prezentarea actelor de identitate și/sau oferirea copiilor de pe aceste acte, precum și prezentarea datelor personale precum: numele, prenumele, IDNP-ul, adresa de domiciliu, datele cardului bancar, venitul, cuantumul pensiei, etc. sub pretexte diferite de persoane terțe, aceștia urmează să se încredințeze de legalitatea colectării datelor personale și a utilizării ulterioare a acestor date.
Or, potrivit prevederilor Legii 133/2011 privind protecția datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.
Totodată, CNPDCP reliefează că, în condițiile oferirii/transmiterii benevole a datelor cu caracter personal, consemnate pe diferite acte sau prin înscrierea acestora în careva liste/documente, la baza colectării acestor date personale se invocă/determină existența consimțământului subiectului datelor cu caracter personal (art. 5 alin. (1) al Legii 133/2011), chiar dacă ulterioara utilizare a acestor date se adeverește a fi efectuată în alte scopuri/ în detrimentul subiectului de date vizat.
- În atenția subiecților de date! Recomandări privind publicarea datelor cu caracter pesonal pe rețelele de socializare
Odată cu apariția rețelelor de socializare, precum Twitter, Tumblr, Facebook, Telegram, Instagram, Linked In, Tik Tok, Snapchat etc., viața socială s-a schimbat radical, acestea devenind un instrument puternic pentru a socializa, a face noi prieteni și cunoștințe, a distribui imagini foto, video sau pentru a promova o informație. Persoanele împărtășesc cu ușurință știri, imagini, opinii personale și aproape orice se întâmplă în viața lor. Divulgarea datelor cu caracter personal creează un mediu favorabil pentru companiile de publicitate, persoanele care lansează apeluri pretins caritabile (strângeri false de fonduri în scop umanitar), persoanele ce intenționează să se răzbune, infractorii cibernetici, iar acest lucru ar putea presupune colectarea datelor sensibile despre activitățile, interesele, caracteristicile personale, opiniile politice, obiceiurile și comportamentele online ale persoanelor.
Astfel, utilizatorii rețelelor de socializare, trebuie să demonstreze precauție maximă ce date cu caracter personal publică, ce scriu în public, ce fotografii/înregistrări video sau audio plasează sau cui acordă încredere pe o rețea de socializare.
Totodată, CNPDCP atenționează că, colectarea și prelucrarea de date cu caracter personal pe rețelele de socializare, ca și orice prelucrare de date, trebuie să fie efectuată în strictă conformitate cu prevederile Legii privind protecția datelor cu caracter personal, iar datele cu caracter personal care fac obiectul prelucrării trebuie să fie: prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri; adecvate, pertinente şi neexcesive în ceea ce priveşte scopul pentru care sînt colectate şi/sau prelucrate ulterior.
Astfel, CNPDCP îndeamnă subiecții de date să-și protejeze confidențialitatea vieții private înainte de a publica sau a distribui anumite informații pe rețelele de socializare sau pe orice altă platformă online.
Este foarte important ca utilizatorii rețelelor de socializare să citească cu atenție și să înțelegă:
- Termenii de confidențialitate (de exemplu, conținutul care poate fi partajat cu o terță parte, posibilitatea de a șterge conținutul de pe site etc.);
- Caracteristicile site-ului (de exemplu, cine vă poate vedea mesajele, dacă vor fi doar destinatari specificați sau toți utilizatorii de pe platformă etc.);
- Ce informații biografice ar trebui furnizate (de exemplu, datele biografice, cum ar fi: numele complet, anul nașterii, vârsta sau adresa, ar trebui să fie utilizate doar la înregistrarea contului și nicidecum oferite altor utilizatori de pe rețelele de socializare),
- Informații despre cont (de exemplu, informațiile sensibile, cum ar fi: școala frecventată, afilierea politică, informații despre contul bancar, locul de trai/domiciliul etc., nu ar trebui furnizate niciodată);
- Cine sunt potențialii „Prieteni” (de exemplu, prin analiza profilului persoanelor respective, pentru a înțelege cine sunt, ce fac și ce fel de conținut distribuie);
- Necesitatea de a dezactiva funcțiile de partajare a locației gadgetului utilizat;
- Atenție maximă la postarea online a fotografiilor/înregistrărilor video sau audio (ar putea fi foarte dificil să fie șterse, cum ar fi în cazul metadatelor sau dacă cineva le-a copiat, le-a partajat sau le-a distribuit pe alte site-uri sau rețele de socializare) etc.
Textul integral al Recomandărilor privind publicarea datelor cu caracter pesonal pe rețelele de socializare, pate fi vizualizat accesând următorul link:
- În atenția autorităților publice! CNPDCP recomandă întreprinderea măsurile necesare pentru protecția datelor cu caracter personal la accesarea registrelor/sistemelor informaționale de stat
Urmare a defășurării procedurilor de control asupra conformităţii prelucrării datelor cu caracter personal cu cerinţele Legii nr. 133/2011 privind protecția datelor cu caracter personal, inițiate în baza plângerilor recepționate din parte subiecților de date, CNPDCP a depistat următoarele neconformități: tendința de utilizare a credențialelor de acces (nume de utilizator și parola) a unui singur cont de utilizator autorizat de către mai mulți angajați ai entității beneficiare; deținerea/utilizarea numelui de utilizator și parolei de către persoane terțe; neactualizarea listei utilizatorilor autorizați după încetarea raporturilor de muncă, după schimbarea locului de muncă sau a funcției în entitate; neincluderea în listele de utilizatori a datelor personale ale utilizatorului autorizat (IDNP, numărul sau adresa de contact); neinformarea deținătorului sistemului informațional despre schimbarea administratorului responsabil de accesul la portalele informaționale menționate supra indicat în lista utilizatorilor; neactualizarea sistematică a parolelor de utilizator; lipsa evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal stocate în sistemele informaționale de stat, etc.
CNPDCP nu pune la îndoială și nu neagă dreptul autorității publice de a colecta/accesa/consulta sau verifica date cu caracter personal din diverse sisteme informaționale de stat, care sunt necesare pentru realizarea/executarea sarcinilor care rezultă din exercitarea prerogativelor de autoritate publică cu care este investită, însă, toate aceste potențiale operațiuni de prelucrare a datelor cu caracter personal urmează a fi efectuate cu respectarea tuturor condițiilor de prelucrare a datelor cu caracter personal statuate de Legea privind protecția datelor cu caracter personal, iar situațiile identificate generează riscuri iminente față de asigurarea confidențialității și securității datelor cu caracter personal prelucrate/stocate în registrele/sistemele informaționale de stat, care vizează practic toți cetățenii Republicii Moldova.
În acest context, reieșind din prevederile art. 20 alin. (1) lit. a), c), o), q) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, în vederea asigurării unui nivel adecvat de integritate, confidențialitate și securitate a datelor cu caracter personal și având ca scop de a preveni admiterea încălcărilor similare celor indicate, CNPDCP a venit cu recomandări față de autoritățile publice în vederea:
a) Revizuirii și actualizării cu regularitate a listei utilizatorilor autorizați anexate la contractele de prestări servicii încheiate în contextul acordării accesului la registrele/sistemele informaționale de stat, în special cele gestionate de ASP;
b) Instituirii unui mecanism de ținere de către utilizatorii autorizați a evidenței manuale și/sau electronice a accesării/consultării datelor cu caracter personal, precum și instruirii angajaților din subordine despre neadmiterea accesării/utilizării neautorizate a datelor cu caracter personal din sistemele de evidență.
Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 100 consultații telefonice și 5 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.
V. Știri internaționale și europene
- În perioada 01 iulie – 30 septembrie 2023, reprezentanții CNPDCP au participat la 2 ședințe plenare on-line și o ședință cu prezență fizică a Comitetului European pentru Protecția Datelor (EDPB). În cadrul plenarelor au fost discutate și adoptate în varianta finală mai multe documente, printre care:
- Nota informativă pentru persoanele și entitățile care transferă date în SUA în limitele Cadrului UE-SUA privind confidențialitatea datelor (DPF);
- Declarație privind prima revizuire a Deciziei de adecvare a Japoniei;
În cadrul ședinței plenare din 19-20 septembrie curent, conducerea și membrii EDPB s-au întâlnit cu reprezentanții autorităților de protecția datelor atât din țările Parteneriatului Estic cât și din țările Balcanilor de Vest, unde au fost prezentate structurat situația actuală și provocările/oportunitățile cheie privind protecția datelor în țările delegațiilor invitate.
Comitetul European pentru Protecția Datelor este un organism european independent, care contribuie la aplicarea consecventă a normelor de protecție a datelor în întreaga Uniune Europeană și promovează cooperarea între autoritățile UE de protecție a datelor.
- În perioada 03 – 07 iulie 2023, în cadrul proiectelor regionale GIZ „Reingineria serviciilor publice în EaP” și „E-Guvernare și digitalizare în EaP”, a fost organizată prima întâlnire de rețea dedicată doar autorităților de protecția datelor din cadrul țărilor Parteneriatului Estic. Autoritatea de Protecție a Datelor cu Caracter Personal din Georgia a fost co-gazdă și co-organizator al acestei întâlniri de lucru.
În cadrul acestei întrevederi au fost discutate următoarele subiecte:
- Lansarea primului eveniment de rețea și prezentarea cadrului legal, a proceselor de lucru a autorităților de protecție a datelor;
- Organizarea întâlnirii pregătitoare pentru viitorul eveniment la nivel înalt;
- Prezentarea priorităților, activităților comune în curs a țărilor Parteneriatului estic și planificarea de comun a noilor activități pentru anul 2024;
- Discutarea despre conferința internațională a autorităților de protecția datelor, programată pentru anul 2024 în Georgia.
- În perioada 04-08 septembrie, la Tbilisi, Georgia, a fost organizată cea de-a III-a Academie cu genericul ”Sistemele de management al calității și cultura calității” găzduită de Agenția de Dezvoltare a Serviciului Public din Georgia.
Au fost abordate următoarele subiecte de discuție:
- Managementul calității totale (TQM);
- Managementul proceselor;
- Re-inginerie;
- Cadrul comun de evaluare (CAF);
- Evaluarea organizațională și planul de îmbunătățire.
Această serie de Academii este un efort de colaborare între Programul SIGMA și proiectele GIZ, „Re-ingineria serviciilor publice în Parteneriatul Estic” și „Guvernare electronică și digitalizare în țările Parteneriatului Estic”, făcând parte din cadrul GIZ „Fondul Regional pentru Reformele Administrației Publice al Parteneriatului Estic”. În cadrul acestei Academii au participat reprezentanții CNPDCP, Agenției Servicii Publice și Agenției de Guvernare Electronică.
- În perioada 18-22 septembrie, la Bruxelles, Belgia, a avut loc „Evenimentul la nivel înalt în domeniul protecției datelor” organizat de OECD-SIGMA și Fondul Regional pentru Parteneriatul Estic (GiZ) în strânsă colaborare cu Autoritatea Europeană pentru Protecția Datelor și diferite instituții ale UE (DGJUST, DGNEAR și Parlamentul European).
Scopul evenimentului a fost de a permite crearea de rețele și de a face schimb de experiență între instituțiile de protecție a datelor cu caracter personal din regiunea Parteneriatului Estic și Balcanii de Vest, precum și de a consolida relațiile cu instituțiile UE responsabile de domeniul protecției datelor.
Pe parcursul sesiunilor de lucru, au fost abordate subiecte de actualitate din domeniul protecției datelor, precum:
- Necesitatea protecției datelor cu caracter personal. Provocări și oportunități pentru regiunea Balcanii de Vest și Parteneriatului Estic;
- Activitatea Unității de politici și consultare, evoluțiile legislative recente ale UE / Ghidul digital;
- Sensibilizarea și informarea publicului larg privind provocările și problemele legate de protecția datelor, creșterea gradului de conștientizare și crearea de legături între transformarea digitală și protecția datelor;
- Provocările și necesitățile protecției datelor cu caracter personal în era digitală.
La evenimentul menționat supra au participat reprezentanți din 11 țări ale parteneriatului Estic și din regiunile Balcanii de Vest precum: Albania, Armenia, Azerbaidjan, Bosnia și Herțegovina, Georgia, Kosovo, Muntenegru, Macedonia de Nord, Moldova, Serbia și Ucraina.
VI. Alte autorități pentru protecția datelor
- La data de 21 august, a fost anunțată decizia finală a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal din România (ANSPDCP) din 18 iulie 2023, cu privire la impunerea sancțiunii contravenționale cu o amendă în cuantum de 346.598 lei, echivalentul sumei de 70.000 de euro aplicată companiei UIPATH SRL pentru încălcarea prevederilor art. 25 și art. 32 din GDPR.
Investigația a fost demarată ca urmare a transmiterii de către operator a unei notificări de încălcare a securității datelor cu caracter personal în temeiul GDPR-ului. Astfel, UiPath SRL a notificat o încălcare a confidențialității datelor cu caracter personal, constând în publicarea datelor cu caracter personal a unui număr semnificativ de utilizatori ai Platformei Academy pe un website accesibil la o adresa URL.
În cadrul investigației, ANSPDCP a constatat că UiPath SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continuă ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodică ale eficacității măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. Acest fapt a condus la divulgarea și accesul neautorizat la datele cu caracter personal (numele și prenumele utilizatorului, identificatorul unic al fiecărui utilizator, adresa de e-mail, numele companiei la care utilizatorul este angajat, țara și detalii despre nivelul de cunoștințe obținut în cadrul cursurilor UiPath ACADEMY) a circa 600.000 de utilizatori ai Platformei Academy aparținând operatorului UiPath, pentru o perioadă de aproximativ 10 zile.
ANSPDCP a considerat că această încălcare a prelucrării datelor cu caracter personal este de natură să aducă persoanelor vizate prejudicii fizice, materiale sau morale, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau pierderea confidențialității datelor cu caracter personal.
În urma investigației efectuate, ANSPDCP a informat celelalte autorități de supraveghere implicate, în cadrul unei proceduri de consultare informală, bazată pe art. 60 din Regulamentul (UE) 2016/679, cu privire la concluziile rezultate din investigațiile efectuate în acest caz cu impact transfrontalier și măsurile propuse.
În același timp, în temeiul art. 58 alin. (2) lit. d) din GDPR, ANSPDCP a dispus față de operator măsura corectivă de a implementa un mecanism aplicat la intervale regulate de timp, privind testarea, evaluarea și aprecierea periodică a eficacității măsurilor adoptate, ținând cont de riscul prezentat de prelucrare, în vederea asigurării unui nivel de securitate corespunzător și evitării pe viitor a unor incidente de securitate similare.
- La data de 28 august, a fost emisă decizia Autorității Suedeze pentru Protecția Datelor (IMY) privind aplicarea amenzii administrative în valoare de 5 000 000 euro companiei Spotify AB pentru încălcarea articolului 15 – Dreptul de acces la date, articolului 12.1, articolului 12.3, articolului 58 și articolului 83 – Condiții generale pentru impunerea amenzilor administrative, din GDPR.
IMY a auditat modul în care Spotify gestionează dreptul clienților de acces la datele cu caracter personal. IMY a constatat că Spotify furnizează persoanelor fizice datele cu caracter personal pe care compania le prelucrează, la solicitare, dar că aceștia nu sunt informați suficient de clar despre modul în care aceste date sunt utilizate de companie. Totodată, IMY a constatat anumite deficiențe în activitatea companiei Spotify.
Având în vedere acest lucru, numărul de utilizatori înregistrați și cifra de afaceri a Spotify, IMY a emis o amendă administrativă de aproximativ 5 milioane euro (58 milioane SEK), companiei Spotify pentru că nu a furnizat informații suficient de clare subiecților de date.
Totodată, IMY a constatat că Spotify nu a reușit să gestioneze solicitările de acces legate de plângerile examinate. Decizia în această parte include încălcarea articolelor 12.1, 12.3, 15.3 și 15.1 a-h și 15.2 din GDPR. În legătură cu aceste încălcări, IMY a emis o mustrare și un ordin de conformare referitor la cererea de acces a unui reclamant.