Buletin Informativ Nr. 16
I. Activitățile de informare și instruire efectuate de CNPDCP
În ultimul trimestru al anului 2023 (octombrie – decembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.
În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 25 ianuarie 2023. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.
Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:
- 03 octombrie – Inspectoratul de poliție Telenești al IGP;
- 10 octombrie – Inspectoratul de Poliție Taraclia al IGP;
- 07 noiembrie – DAI, DCPI Interpolal IGP, DPC și DPI al IGP;
- 27 noiembrie – Inspectoratul de Poliție Centru al Direcției de Poliție;
- 05 decembrie – Direcția de Poliție a municipiului Chișinău.
În acest context, au fost instruiți circa 200 de reprezentanți din cadrul subdiviziunilor IGP.
Totodată, au fost continuate cursurile de instruire pentru instituțiile medicale. La data de 03 noiembrie a avut loc cursul de instruire cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal” pentru reprezentanții IMPS de Ftiziopneumologie „Chiril Draganiuc”, având drept scop de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentului au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind sănătatea; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind sănătatea; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. În cadrul evenimentului au fost instruiți circa 80 de reprezentanți ai IMPS de Ftiziopneumologie „Chiril Draganiuc”.
În perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei, a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Cursul de instruire a fost organizat la data de 07 decembrie, pentru instituția Publică Liceul Teoretic „Dante Alighieri” din Chișinău. Evenimentul a avut loc în cadrul orei de Dezvoltare personală, publicul țintă fiind elevii clasei a V-a “B”. În acest context, au fost instruiți 37 de elevi.
În ultimul trimestru a anului 2023, de altfel ca pe întreg parcursul anului, CNPDCP a manifestat deschidere și spirit de colaborare, organizând multiple cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. Cursurile de instruire au avut drept scop familiarizarea funcționarilor publici cu aspectele ce țin de domeniul protecției datelor cu caracter personal în serviciul public, reglementarea procedurilor de prelucrare, precum și cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu legislația în vigoare.
În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO), precum și obligațiile și sarcinile acestuia; aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor (DPIA), precum și etapele efectuării unei DPIA, etc. Astfel, cursurile de instruire au fost organizate pentru următoarele instituții:
- 02 octombrie – Inspectoratul General de Carabinieri;
- 06 octombrie – Centrul de Instrucție al Inspectoratului General de Carabinieri;
- 11 octombrie – Direcţia regională „Centru” al Inspectoratului General de Carabinieri;
- 12 octombrie – Agenția de Administrare a Instanțelor Judecătorești, regiunea Nord;
- 13 octombrie – Agenția de Administrare a Instanțelor Judecătorești, regiunea Centru;
- 18 octombrie – Direcţia regională „Centru” al Inspectoratului General de Carabinieri;
- 20 octombrie – Direcţia regională „SUD” al Inspectoratului General de Carabinieri;
- 25 octombrie – Direcţia regională „NORD” al Inspectoratului General de Carabinieri;
- 31 octombrie – Ministerul Energiei;
- 01 noiembrie – Direcția Generală Educație, Tineret și Sport a Consiliului Municipal Chișinău;
- 09 noiembrie – Autoritatea Națională de Integritate;
- 16 noiembrie – Cancelaria de Stat;
- 17 noiembrie – Directorii instituțiilor de educație timpurie din municipiul Chișinău;
- 22 noiembrie – Directorii instituțiilor de învățământ din municipiul Chișinău;
- 23 noiembrie – Ministerul Infrastructurii și Dezvoltării Regionale;
- 28 noiembrie – Ministerul Muncii și Protecției Sociale;
- 29 noiembrie – Centrul Republican de Asistență Psihopedagogică;
- 06 decembrie – Serviciul de Protecție și Pază de Stat;
- 08 decembrie – Ministerul Agriculturii și Industriei Alimentare;
- 18 decembrie – Agenţia Naţională pentru Siguranţa Alimentelor.
În acest context au fost instruiți circa 1200 de reprezentanți ai instituțiilor publice.
II. Activitatea de control
În perioada octombrie – decembrie 2023, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 85 de cazuri. În perioada de referință, au fost emise 89 decizii, dintre care în 43 cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 42 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. CNPDCP a examinat plângerea unui subiect de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, materializată prin stocarea și utilizarea frauduloasă a datelor cu caracter personal ce îi aparțin (nume, prenume, data/luna/anul nașterii, IDNP).
În cadrul investigației, CNPDCP a constatat că datele cu caracter personal ce vizează subiectul de date au fost transmise anterior de către petentă, către proprietarul unui magazin, în vederea oferirii suportului la achitarea unei amenzi, prin intermediul terminalului RunPay, din sediul localului unde acesta își desfășoară activitatea.
Ulterior, datele cu caracter personal ale subiectului de date au mai fost utilizate în vederea depunerii unei cereri de obținere a unui credit prin introducerea în terminal a IDNP-ului și data/luna/anul nașterii. Deși, proprietarul magazinului a invocat faptul că din greșeală a introdus datele de identitate ale petentei, (considerând că a introdus datele cu caracter personal ale fiicei ultimului), CNPDCP nu a determinat existența unei justificări privind introducerea datei, lunii și anului nașterii în cererea de solicitare a creditului, or, orice părinte cunoaște data de naștere a copilului său.
În mod imperios, urmează a fi precizat că potrivit art. 11 al Legii privind protecția datelor cu caracter personal condițiile şi termenele de stocare a datelor cu caracter personal sunt prevăzute de legislaţie, ţinându-se cont de prevederile art. 4 alin. (1) lit. e). La încheierea operațiunilor de prelucrare a datelor cu caracter personal, dacă subiectul acestor date nu şi-a dat consimțământul pentru o altă destinație sau pentru o prelucrare ulterioară, acestea vor fi distruse.
Întrucât, subiectul de date nu și-a dat acordul la o prelucrare ulterioară a datelor cu caracter personal, înscrisul cu datele de identificare ale petentei urma a fi distrus imediat după ce a fost achitată amenda prin intermediul terminalului.
Astfel, CNPDCP verificând întrunirea elementelor obligatorii care implică conformitatea și legalitatea operațiunilor de prelucrare a datelor cu caracter personal, a reținut lipsa unui scop și temei legal care să justifice acțiunile proprietarului magazinului de stocare și utilizare ulterioară a datelor cu caracter personal ale subiectului de date, manifestată prin transmiterea acestora către o companie de creditare, acțiuni contrare prevederilor art. 4 alin. (1) lit. a) și e), art. 5 alin. (1), precum și art. 11 ale Legii privind protecția datelor cu caracter personal.
II. CNPDCP a examinat sesizarea unei Autorități publice remisă conform competenței, prin care a fost solicitată verificarea legalității prelucrării datelor cu caracter personal ale unui subiect de date și a copilului acestuia, manifestate prin accesarea/consultarea/extragerea informației cu caracter personal stocate în o resursă informațională de stat.
În cadrul investigației s-a determinat că, de la un cont de utilizator ce a fost atribuit unui fost angajat al autorității, care a demisionat în anul 2019, utilizându-se calculatorul de serviciu al unui actual angajat, a fost dată în căutare informația privind traversarea frontierei de stat de către subiectul de date, fiind salvată informația în format PDF, ulterior, fiind printată, a fost transmisă persoanelor terțe.
Astfel, s-a reținut că, contul de utilizator al fostului angajat era activ și după 3 ani de la demisionarea angajatului, fiind deconectat doar după două luni de la accesarea vizată în sesizare.
Subsecvent, s-a determinat că, calculatorul de serviciu care a fost utilizat pentru operațiunea de prelucrare a datelor cu caracter personal a subiectului de date se regăsea în biroul de serviciu comun pentru mai mulți angajați, iar la data efectuării accesării, angajatul care avea în gestiune calculatorul vizat, nu se afla la locul de muncă. Totodată, s-a stabilit că sub IP-dispozitivului (utilizator VPN de la distanța) erau conectate și alte calculatoare de serviciu, iar biroul de
serviciu unde se află calculatorul de serviciu servește ca sediu comun pentru toți funcționarii secției, accesul fizic la calculator nefiind restricționat.
În aceste circumstanțe, nu a fost posibil de a identifica cert persoana/operatorul care a prelucrat date cu caracter personal ale subiecților de date, ordine în care CNPDCP a constatat in rem că prelucrarea datelor cu caracter personal ale subiecților de date vizați a fost efectuată contrar prevederilor art. 4 alin. (1) lit. a), b), c) și art. 5 alin. (1) și alin. (3) ale Legii privind protecția datelor cu caracter personal, în lipsa unui temei legal și fără consimțământul subiectului de date, întrucât incidentul de securitate a fost generat din cauza gestionării şi organizării necorespunzătoare a sarcinilor stabilite pentru personalul din interiorul instituției, care prin acțiuni rău intenționate sau chiar erori sau neglijență în utilizarea resurselor informaționale a generat incidentul dat, or operatorul era obligat să revizuiască drepturile de acces ale utilizatorilor la intervale regulate, precum: – analizarea drepturilor de acces a utilizatorului SIIV – o dată în 6 luni și după fiecare modificare care a survenit în activitatea utilizatorului, iar analiza acordării drepturilor de acces a rolurilor privilegiate – o dată în 3 luni.
Totodată, Centru a determinat că entitatea se face responsabilă de încălcarea prevederilor art. 30 alin. (1) al Legii privind protecția datelor cu caracter personal, deoarece nu a asigurat măsurile organizatorice și tehnice necesare pentru protecția datelor cu caracter care au fost puse la dispoziția sa, ceea ce a dus în consecință la prelucrarea ilegală a datelor cu caracter personal ale subiecților de date.
III. CNPDCP a recepționat, conform competenței, un demers din partea poliției, care viza solicitarea unei persoane fizice privind verificarea legalității prelucrării datelor cu caracter personal.
În fapt, subiectul de date a sesizat că a recepționat numeroase apeluri telefonice de la diferite companii de creditare din Republica Moldova, care l-au informat despre examinarea cererilor de acordare a creditelor în baza datelor cu caracter personal ale acestuia, prezentate prin intermediul cererilor online aplicate.
Urmare acțiunilor desfășurate în cadrul controlului, prin prisma Legii nr. 133/2011 privind protecția datelor cu caracter personal, CNPDCP a identificat persoana care a prelucrat datele cu caracter personal, astfel încadrându-se în noțiunea de operator de date și fiind responsabil pentru operațiunile de prelucrare a datelor cu caracter personal, precum și de asigurarea confidențialității și securității datelor cu caracter personal.
În context, Autoritatea de protecție datelor cu caracter personal a constatat că, prelucrarea datelor cu caracter personal ale subiectului de date, efectuată de către operatorul de date, prin divulgarea numelui, prenumelui, numărului de identificare de stat (IDNP) și datele de contact ale petentei către companiile de creditare, a avut loc contrar prevederilor legale statuate la art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1), art. 9 și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.
IV. CNPDCP a fost sesizat de un grup de inițiativă, care au invocat că, prin Legea nr. 356/2022 pentru modificarea unor acte normative au fost aduse modificări la Legea nr. 93/1998 cu privire la patenta de întreprinzător, ce ar fi creat condiții pentru încălcarea prevederilor legale privind protecția datelor cu caracter personal ale titularilor de patente de întreprinzători.
Astfel, întreprinzătorii care activează în piețe și care s-au conformat noului regim fiscal, au constatat că în bonurile fiscale eliberate cumpărătorilor se regăsesc date cu caracter personal, în special, numărul de identificare de stat, indicat la câmpul codul fiscal – C. F.
Din prevederile stipulate, s-a determinat că legislația fiscală reglementează evidența obligațiilor fiscale ale persoanelor fizice în baza codurilor fiscale atribuite în ordinea prevăzută, reieșind din exercițiul unei activități economice independente.
Examinând temeiurile de drept existente în vigoare, în special – art. 5 pct. 28), art. 162 alin. (1) lit. b), art. 163 din Codul fiscal, pct. 10 lit. i) din Instrucțiunea privind evidența contribuabililor, pct. 24 din Regulamentul cu privire la Registrul unic al echipamentelor de casă și de control, care încadrează faptul prelucrării IDNP-ului persoanelor fizice, în contextul desfășurării activității independente, supuse din 01 iulie 2023 documentării comercializării bunurilor și utilizării doar a echipamentului de casă și de control conectat la Sistemul informațional automatizat „Monitorizarea electronică a vânzărilor”, în coroborare cu prevederile art. 5 alin. (5) lit. b), art. 9 lit. b) ale Legii nr. 133/2011, operațiunile de prelucrare a datelor cu caracter personal în speța sesizată sunt efectuate pentru îndeplinirea unei obligații care îi revine operatorului conform legii.
Totodată, a fost identificat ca fiind vulnerabil aspectul că orice persoană fizică care practică activitate independentă este impusă, reieșind din cadrul juridic existent, în special cel ce vizează algoritmul de funcționare a echipamentelor de casă și de control, de a-și face public/cunoscut IDNP -ul în bonurile fiscale eliberate zilnic.
Or, reglementări similare au fost supuse controlului constituționalității de către Curtea Constituțională, care a apreciat obligația pozitivă a autorităților competente ca, și în cazul supus examinării de către CNPDCP, să asigure protejarea IDNP-ului subiecților de date ce practică activitatea independentă în mod eficient și similar.
În rezultat, CNPDCP a atestat existența cadrului legal defectuos care reglementează regimul juridic al evidenței fiscale a persoanelor fizice ce practică activități independente, și anume, faptul consemnării IDNP-ului în bonul fiscal eliberat de titularul de patentă fiecărui client, aduce ingerință vieții private a persoanei, fiind o măsură disproporțională în raport cu scopul urmărit.
Subsidiar s-a recomandat Ministerului Finanțelor/Serviciului Fiscal de Stat să instituie măsuri tehnice și organizatorice care să asigure protecția datelor cu caracter personal ale persoanelor ce practică activitate independentă, prin identificarea și implementarea mecanismelor adecvate și eficiente în vederea ținerii evidenței fiscale, fără a aduce prejudicii dreptului la protecția datelor cu caracter personal, spre exemplu: prin depersonalizarea IDNP-ului persoanei fizice ce practică activitate independentă consemnat în bonul fiscal sau prin atribuirea unui nou cod fiscal distinct de IDNP, în contextul circumstanțelor reliefate la pct. II din partea constatatoare a prezentei decizii, cu informarea CNPDCP despre acțiunile întreprinse în acest sens.
IV. Activitatea de supraveghere
În perioada de referință, CNPDCP a continuat organizarea cursurilor de instruire pentru persoanele desemnate de către operator sau persoana împuternicită de către operator, în calitate de Responsabil cu Protecția Datelor. Această obligație este statuată de prevederile Legii nr.133/2011 privind protecția datelor cu caracter personal, prin care este instituită sarcina operatorului și a persoanei împuternicite de operator de a desemna un Responsabil cu protecția datelor cu caracter personal, în cazurile prevăzute de art. 25 al legii precitate.
Scopul cursului de instruire, care a avut loc în data de 21 decembrie, a constat în dezvoltarea cunoștințelor teoretice în domeniul protecției datelor cu caracter personal și a deprinderilor practice privind aplicarea actelor normative și cerințelor legislației din domeniu. În cadrul evenimenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; asigurarea securității și confidențialității datelor cu caracter personal prelucrate; aspecte ce țin de Responsabilul cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor, etc. În cadrul evenimentului au fost instruiți circa 10 DPO atât din cadrul sectorului public, cât și a mediului privat.
Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 50 de consultații telefonice și 15 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.
V. Știri internaționale și europene
- La data de 17 octombrie 2023, reprezentanții CNPDCP au participat la Conferința “GDPR4BUSINESS”, organizată de către Asociația Națională a Companiilor din domeniul TIC în cadrul Proiectului ABA Rule of Law Initiative “Protecția datelor cu caracter personal – drepturi și obligații în Republica Moldova” în parteneriat cu Asociația Businessului European (EBA Moldova).
Expertul CNPDCP a abordat tematica „Persoana Responsabilă cu Protecția Datelor” (RPD), punctând cele mai noi și importante aspecte impuse de prevederile Legii 133/2011 privind protecția datelor cu caracter personal: desemnarea RPD; funcția RPD; sarcinile RPD.
Totodată, în cadrul conferinței au fost prezentate practici cu conținut aplicativ pentru mediul de afaceri și reprezentanți ai autorităților publice, cum ar fi:
- aspecte cheie din Proiectul de lege cu privire la Protecția Datelor cu Caracter Personal;
- experiența internațională și regională în aplicarea GDPR-ului;
- soluții și răspunsuri la situații, spețe și provocări cu care se confruntă business-ul și autoritățile publice în implementarea cadrului legal armonizat.
În cadrul evenimentului, în calitate de vorbitori, au participat funcționari și demnitari de stat, experți naționali și internaționali de specialitate.
- În perioada 18–19 octombrie 2023, reprezentanții CNPDCP au efectuat vizita de studiu „Reconcilierea dreptului de acces la informație și protecția datelor cu caracter personal”. Evenimentul a fost găzduit de Comisia Națională pentru Informatică și Libertăți din Franța (CNIL) (Commission Nationale de l’Informatique et des Libertés).
Scopul evenimentului a constat în preluarea celor mai bune practici legale și operaționale de către CNPDCP privind mecanismele de reconciliere a dreptului de acces la informație și protecția datelor cu caracter personal.
Pe parcursul vizitei de studiu, moderată de către experți în domeniul protecției datelor cu caracter personal din cadrul CNIL și CADA – Comisia pentru Acces la Documentele Administrative, au fost analizate în profunzime subiecte de importanță, cum ar fi: protecția datelor cu caracter personal în cadrul exercitării dreptului de acces la informație; reconcilierea dreptului de acces la informație și a dreptului la protecția datelor cu caracter personal; cerere de acces la documente administrative sau exercitarea dreptului de acces de către subiectul de date, cum să le distingem și care este impactul; publicarea și reutilizarea datelor de interes public; reutilizarea datelor de interes public în scopuri de cercetare științifică, etc.
Vizita de studiu a fost organizată cu suportul proiectului UE TAIEX – Instrument de asistență tehnică și schimb de informații, gestionat și finanțat de Direcția Generală Politica Europeană de Vecinătate și Negocieri privind Extinderea (DG NEAR) a Comisiei Europene.
- În perioada 01 – 03 noiembrie 2023, reprezentantul CNPDCP a participat la evenimentul Internet Freedom Summit 2023, care a avut loc la Ohrid, Macedonia de Nord.
În cadrul evenimentului au avut loc sesiuni interactive, ateliere de lucru, mese rotunde și sesiuni de formare, axându-se pe probleme de actualitate în domeniul protecției datelor cu caracter personal și confidențialitate, cum ar fi:
- Confidențialitatea într-o lume conectată: Navigarea și provocările legate de protecția datelor în era digitală;
- Standardele internaționale de protecție a datelor și importanța armonizării pentru transferuri transfrontaliere eficiente de date;
- Echilibrul între confidențialitate și inovare tehnologică;
- Rolul organismelor de reglementare în promovarea unei culturi a inovației care ține cont de confidențialitate;
- Strategii de monitorizare și aplicare a reglementărilor privind protecția datelor pe platformele online;
- Rolul autorităților de protecție a datelor în asigurarea conformității și abordarea încălcărilor depistate;
- Viitorul confidențialității: Tehnologii și tendințe emergente, etc.
La eveniment, reprezentantul CNPDCP a abordat tematica – „Echilibrul între confidențialitate și protecția datelor din perspectiva Europei de Sud-Est”. Totodată, participanții și-au împărtășit opiniile cu privire la strategiile de monitorizare și aplicare a reglementărilor privind protecția datelor pe platformele online, în special, cu privire la viitorul confidențialității într-o eră a inteligenței artificiale, a blockchain și a altor tehnologii noi cu impact asupra confidențialității.
Evenimentul, organizat de ABA ROLI, a reunit reprezentanți ai societății civile, profesori universitari, avocați, jurnaliști din Macedonia de Nord, România, Moldova și Serbia.
- În perioada 08-09 noiembrie, reprezentanții CNPDCP au participat la Atelierul European de gestionare a cazurilor 2023, care a avut loc în Berna, Elveția, un eveniment, care se organizează anual, reprezentând astfel un forum de dialog participativ între Autoritățile de Protecție a Datelor cu privire la provocările cu care se confruntă și la soluțiile pe care le aplică în practica lor cotidiană.
Scopul evenimentului a fost axarea pe probleme de actualitate în domeniul protecției datelor cu caracter personal și confidențialitate, în special cum ar fi:
- Gestionarea în mod vădit a solicitărilor nefondate sau excesive – conform art. 57 (4) din GDPR;
- Garanțiile esențiale de protecție a datelor cu caracter personal pentru cooperarea în materie de aplicare a legii între autoritățile de protecție a datelor din SEE;
- Urmărirea prin GPS în cadrul relațiilor de muncă;
- Recunoașterea și detectarea facială prin prisma protecției datelor cu caracter personal;
- Conceptul de prejudicii legate de protecția datelor cu caracter personal aduse subiecților de date, etc.
În cadrul Atelierul European de gestionare a cazurilor 2023 au participat 82 de reprezentanți din 29 de țări și 37 de Autorități de Protecție a Datelor.
- În perioada 15-17 noiembrie curent, reprezentanții CNPDCP au participat la cea de-a 45-a ședință plenară a Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenția 108), care a avut loc la Strasbourg, Franța.
În cadrul Ședinței au fost discutate subiecte de importanță, printre care:
- Convenția 108+, ratificările și aderările actuale;
- Clauze contractuale în contextul fluxurilor transfrontaliere de date;
- Interpretarea articolului 11 din Convenția 108 modernizată;
- Protecția datelor cu caracter personal în cadrul procesul electoral;
- Cooperarea cu alte organisme și entități ale Consiliului Europei;
- Evoluții și activități majore în domeniul protecției datelor, etc.
Delegația CNPDCP s-a expus cu privire la stadiul ratificării Protocolului de modificare CETS 223 la Convenția 108, indicând că proiectul de lege privind ratificarea Protocolului de modificare a Convenției nr. 108 pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal și documentele aferente au fost transmise Ministerului Justiției pentru efectuarea procedurilor ce se impun în vederea asigurării înaintării acestuia de către Guvernul RM spre aprobare, ulterior va fi înaintat Parlamentului spre ratificare. Ce ține de revizuirea legislativă în domeniul protecției datelor cu caracter personal, la moment, Republica Moldova este în proces de a asigura transpunerea Regulamentului (UE) 2016/679 și a Directivei (UE) 2016/680 în legislația națională.
Totodată, delegația RM a menționat și despre evoluțiile și activitățile în domeniul protecției datelor la nivel național.
VI. Alte autorități pentru protecția datelor
- La data de 05 octombrie, a fost emisă decizia Autorității Croate pentru Protecția Datelor privind aplicarea amenzii administrative în valoare de 5 470 000 euro Agenției de colectare a creanțelor EOS Matrix pentru încălcarea articolelor 5, 6, 9, 12, 13 și 32 din GDPR.
Investigația a fost demarată urmare a unei petiții anonime în care se afirma că a existat o prelucrare neautorizată a unui număr mai mare de date cu caracter personal ale persoanelor fizice (debitori) de către EOS Matrix (operator de date). Petiția a fost însoțită de un stick USB care conținea 181641 date cu caracter personal ale persoanelor fizice cum ar fi: numele, prenumele, data nașterii și numărul de identificare personală care aveau datorii restante față de instituțiile de credit. În plus, în petiția în cauză se menționa că 294 de persoane fizice incluse în baza de date erau minori la momentul întocmirii acesteia.
În urma investigației s-a constatat că:
- Agenția de colectare a creanțelor EOS Matrix nu a implementat suficiente măsuri tehnice în sistemul de prelucrare – baza de date principală în cadrul căreia sunt prelucrate datele cu caracter personal a aproximativ 370 000 subiecți de date, contrar prevederilor stipulate la art. 32 din GDPR.
- Operatorul de date a prelucrat și date cu caracter personal ale unor persoane fizice care nu sunt debitori și nici reprezentanți legali ai moștenitorilor în relații debitor-creditor, contrar prevederilor stipulate la art. 6 alineatul (1) din GDPR.
- În ceea ce privește prelucrarea datelor privind sănătatea, s-a stabilit că operatorul de date a înregistrat în mod activ comentarii legate de starea de sănătate a debitorului contrar prevederilor stipulate la art. 9 alineatul (2) din GDPR. Examinând primele trei politici de confidențialitate (care au fost în vigoare între mai 2018 și octombrie 2020), s-a stabilit că operatorul de date a specificat că nu prelucrează și nu va prelucra date privind sănătatea. Prin urmare, prelucrarea datelor cu caracter personal a fost netransparentă, ceea ce nu este în conformitate cu art. 12 alineatul (1) și cu art. 13 alineatele (1) și (2) din GDPR.
- În plus, în perioada mai 2018 – ianuarie 2019, operatorul de date a prelucrat date referitoare la 49 850 de persoane vizate prin înregistrarea convorbirilor telefonice fără a fi stabilit temeiul juridic menționat la articolul 6 alineatul (1) din GDPR, ceea ce a condus, de asemenea, la încălcarea articolului 5 alineatul (2) din GDPR.
- La data de 12 octombrie, a fost emisă decizia Autorității Franceze pentru Protecția Datelor (CNIL) privind aplicarea amenzii administrative în valoare de 600 000 euro operatorului GROUPE CANAL+ pentru încălcarea prevederilor legale stipulate în GDPR.
CNIL a primit numeroase plângeri referitoare la dificultățile întâmpinate de persoanele fizice în ceea ce privește luarea în considerare a drepturilor lor de către GROUPE CANAL+, care produce canale media și distribuie oferte de televiziune cu plată.
Pe baza constatărilor rezultate din investigații, CNIL a considerat că operatorul nu a respectat mai multe obligații prevăzute de GDPR și de Codul francez al poștei și comunicațiilor electronice (CPCE), cum ar fi:
- Nerespectarea obligației de a obține consimțământul persoanelor fizice pentru a primi prospectări comerciale prin mijloace electronice (articolele L. 34-5 din CPCE și 7 din GDPR);
- Nerespectarea obligației de a furniza informații (articolele 13 și 14 din GDPR) și nerespectarea exercitării drepturilor subiecților de date (articolele 12 și 15 din GDPR);
- Nerespectarea obligației de a oferi un cadru contractual pentru operațiunile de prelucrare efectuate de o persoană împuternicită de către operator (articolul 28.3 din GDPR);
- Nerespectarea obligației de asigurare a securității datelor cu caracter personal (articolul 32 din GDPR);
- Nerespectarea obligației de a notifica CNIL cu privire la o încălcare a securității datelor (articolul 33 din GDPR).
Cuantumul acestei amenzi a fost decis în funcție de încălcările identificate, precum și ținând cont de cooperarea operatorului de date și de toate măsurile pe care acesta le-a întreprins pentru a se conforma cu prevederile legale.
- La data de 11 decembrie, a fost anunțată decizia finală a Autorității norvegiene de supraveghere (Datatilsynet) din 06 februarie 2023, cu privire la impunerea amenzii administrative în valoare de 10 milioane de coroane norvegiene (aproximativ 850 de mii de euro) companiei SATS pentru încălcarea art. 5 Principii legate de prelucrarea datelor cu caracter personal, art. 6 Legalitatea prelucrării, art. 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, art. 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, art. 15 Dreptul de acces al persoanei vizate, art. 17 Dreptul la ștergerea datelor („dreptul de a fi uitat”) din GDPR.
Datatilsynet a primit mai multe plângeri cu privire la compania SATS în perioada 2018-2021. Aceste se referau la presupuse încălcări ale drepturilor reclamanților în temeiul Regulamentului general privind protecția datelor în calitate de clienți ai rețelei sălilor de fitness, precum și la nerespectare a cererilor de acces și ștergere de către societate.
SATS este cel mai mare lanț de centre de fitness din țările scandinave, cu săli de sport în Norvegia, Suedia, Danemarca și Finlanda. Compania are sediul central în Norvegia și, prin urmare, Datatilsynet s-a ocupat de acest caz în cooperare cu mai multe autorități de supraveghere, folosind mecanismul de Ghișeul Unic. În calitate de autoritate de supraveghere principală, Datatilsynet a fost principalul responsabil pentru investigarea, analiza și luarea unei decizii în acest caz, fiind autoritatea principală de supraveghere.