BULETIN INFORMATIV NR. 4
BULETIN INFORMATIV NR. 4
1. Activități de informare și instruire efectuate de CNPDCP
În perioada februarie 2020 – aprilie 2020, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat o serie de instruiri, ședințe de lucru, ședințe interinstituționale precum și a participat la Conferințe Internaționale în domeniul protecției datelor cu caracter personal organizate pentru diferite autorități publice și entități private. Totodată, este de menționat că, în temeiul Hotărârii Nr. 6 a Comisiei naționale extraordinare de sănătate publică a Republicii Moldova din 10.03.2020, urmare a evoluției situației epidemiologice la nivel național, în scopul asigurării protecției vieții și sănătății angajaților și a vizitatorilor instituției, precum și în vederea prevenirii răspândirii virusului COVID-19, CNPDCP, la fel ca și alte instituții de stat, a activat în regim special de muncă, astfel limitându-se doar la activitățile strict necesare.
• La 4 februarie 2020, reprezentanții CNPDCP, au participat la Conferința Internațională Date cu caracter personal – Practica implementării în afaceri, eveniment organizat de Asociația Business-ului European din Moldova (EBA) în parteneriat cu Asociația Privind Dreptul la Viață Privată. Scopul evenimentului a fost de a împărtăși cele mai bune practici în contextul transpunerii legislației europene în domeniul protecției datelor cu caracter personal. În cadrul Conferinței au fost discutate aspecte practice ce țin de protecția datelor cu caracter personal implementate de instituțiile statului și mediul privat, reprezentat de către ofițeri de protecție a datelor din cadrul companiilor europene multinaționale din domeniul bancar, retail, sănătate și telecomunicații (din Moldova, România, Ungaria și Slovacia).
• La 07 februarie 2020 a fost organizată o ședință interinstituțională cu reprezentanții CNPDCP și Ministerului Justiției. Dialogul a fost centrat pe subiectul autorizării transmiterii transfrontaliere de date cu caracter personal, conform art. 32 al Legii Nr. 133 din 08-07-2011 privind protecţia datelor cu caracter personal și fortificarea relațiilor de cooperare între instituțiile vizate pe segmentul dat, în vederea operaționalizării procesului de autorizare a transmiterii transfrontaliere de date cu caracter personal.
• La 14 februarie 2020 a avut loc o ședință de lucru, în contextul elaborării proiectului Deciziei protocolare privind mecanismul de întoarcere la locul de trai permanent a copiilor, identificați fără reprezentanți legali, cu participarea reprezentanților din cadrul Biroului Politici de Reintegrare și Ministerului Sănătății, Muncii și Protecției Sociale. În cadrul întrevederii au fost abordate aspecte privind situația minorilor identificați fără reprezentanți legali și necesitatea asigurării revenirii/întoarcerii lor la locul de trai permanent și identificarea mecanismului de transmitere, în această situație, a datelor cu caracter personal în adresa autorităților transnistrene, în baza deciziei protocolare prenotate.
• Adițional, la 14 februarie 2020 a mai avut loc o întrevedere cu șeful Secretariatului Consiliului Economic pe lângă Prim-ministrul RM (Consiliul Economic), în cadrul căreia au fost puse în discuție aspecte privind rolul Consiliului Economic în soluționarea situațiilor problematice cețin de activitatea mediului de afaceri, precum și necesitatea respectării de către sectorul privat a cerințelor legale la prelucrarea datelor cu caracter personal. Astfel, cooperarea în domeniul protecției datelor cu caracter personal şi asigurarea unui nivel ridicat de protecție a datelor cu caracter personal în conformitate cu standardele Uniunii Europene sunt obiective la care tind atât CNPDCP, cât și Consiliul Economic.
• La 27 februarie 2020, la invitația Centrului Cooperare Polițienească Internațională, angajații CNPDCP, au desfășurat o ședință de instruire internă cu colaboratorii Centrului Cooperare Polițienească Internațională. În cadrul discuțiilor, au fost abordate subiecte precum: cadrul juridic internațional și național ce reglementează domeniul protecției datelor cu caracter personal, principiile de prelucrare a datelor cu caracter personal, drepturile subiecților de date, protecția informației ce conține date cu caracter personal, aspecte ce țin de prelucrarea datelor cu caracter personal în sectorul polițienesc, consecințele unei prelucrări ilegale, aspecte practice ș.a.
• Totodată, pe parcursul perioadei de referință, CNPDCP a emis opinia instituțională privind Prelucrarea datelor cu caracter personal în contextul pandemiei de coronavirus (COVID-19) în Republica Moldova. CNPDCP accentuează asupra riscurilor și provocărilor privind protecția persoanelor în partea ce vizează prelucrarea datelor cu caracter personal în contextul combaterii COVID-19, în special, a datelor privind starea de sănătate a pacienților.
2. Activitatea de control a CNPDCP
În perioada vizată, CNPDCP a efectuat un număr de 44 investigații la operatori de date, atât din sectorul privat, cât și din sectorul public, în vederea verificării condițiilor de legalitate ale prelucrărilor de date cu caracter personal efectuate. Din cele 44 de investigații – 6 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal. Din 44 investigații, pe 5 cazuri finalizate s-a constatat încălcarea prevederilor legale și au fost aplicate de către instanțele de judecată – amenzi contravenționale în sumă totală de 22 mii de lei. Celelalte cazuri se află încă în procedură de investigare.
Suplimentar, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 259 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 151 de decizii de autorizare și 108 decizii de refuz. Astfel, circa 95 de operatori de date și 151 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal, ceea ce denotă un interes sporit al operatorilor de date de a se conforma regulilor stabilite prin Legea nr. 133 din 8 iulie 2011 privind protecția datelor cu caracter personal, comparativ cu perioada anterioară.
3. Știri la nivel european și internațional
În perioada 18 – 19 februarie 2020, a avut loc cea de-a optsprezecea sesiune plenară a Comitetului European pentru Protecția Datelor (CEPD). În cadrul plenului, a fost discutată o gamă largă de subiecte:
Evaluarea și revizuirea de către CEPD și autoritățile naționale de supraveghere a aplicării RGPD în primele 20 de luni.
CEPD a analizat posibilitatea elaborării proiectelor de linii directorii pentru a oferi clarificări suplimentare cu privire la aplicarea articolelor 46.2 litera (a) și 46.3 (b) din RGPD.
Un alt aspect discutat în cadrul acestei plenare a fost Declarația privind implicațiile privind confidențialitatea fuziunilor.
Au fost adoptate următoarele documente:
ü Contribuția CEPD la evaluarea RGPD în conformitate cu articolul 97.
ü Linii directorii privind articolul 46 alineatul (2) litera (a) și 46 (3) litera (b) pentru transferurile de date cu caracter personal între SEE, autoritățile și organismele publice din afara SEE.
ü Declarație privind implicațiile privind confidențialitatea fuziunilor.
Detaliile sunt disponibile accesând linkul: https://edpb.europa.eu/news/news/2020/eighteenth-plenary-session-adopted documents_en
La 19 martie 2020, Comitetul European pentru Protecția Datelor a adoptat o Declarație oficială privind prelucrarea datelor cu caracter personal în contextul focarului COVID-19 prin procedura scrisă. Declarația completă este disponibilă la adresa: https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en
La 7 aprilie 2020 a avut loc cea de-a 20 ședința Plenară a Comitetului European pentru Protecția Datelor. Această ședință a fost organizată de la distanță.
Subiectele discutate au fost:
ü Prelucrarea datelor cu caracter personal pentru combaterea COVID-19;
ü Cerere de mandat privind instrumentele și practicile de prelucrare în contextul pandemiei COVID-19;
ü Solicitare de mandat privind prelucrarea COVID-19 a datelor referitoare la sănătate în scopuri de cercetare în contextul focarului COVID-19;
La 21 aprilie 2020, în cadrul Plenarei Comitetului European pentru Protecția Datelor, desfășurată online, s-au adoptat, următoarele documente:
ü Ghidul nr. 3/2020 privind prelucrarea datelor de sănătate în scop de cercetare științifică în contextul pandemiei Covid-19. Prin acest Ghid s-a urmărit clarificarea aspectelor privind utilizarea datelor de sănătate, în special temeiul legal al prelucrării, utilizarea ulterioară a datelor în scop de cercetare științifică, inclusiv sub aspect transfrontalier, precum și asigurarea drepturilor persoanelor vizate.
ü Ghidul nr. 4/2020 privind utilizarea datelor de localizare și a instrumentelor de depistare în contextul pandemiei Covid-19. Documentul urmărește evidențierea condițiilor și principiilor de utilizare proporțională a datelor de localizare în scopul monitorizării răspândirii virusului, respectiv a instrumentelor de depistare pentru a anunța persoanele aflate în apropierea altor persoane depistate ca infectate. Cu acest prilej, Comitetul subliniază că utilizarea acestor date trebuie să se facă voluntar de fiecare persoană și să nu se ajungă la monitorizarea deplasărilor persoanei respective, iar principiile necesității și proporționalității trebuie să fie respectate în stabilirea măsurilor din această perioadă.
4. Alte autorități pentru protecția datelor
Pe parcursul acestei perioade mai multe autorități pentru protecția datelor din Uniunea Europeană au desfășurat investigații care au condus la aplicarea de amenzi administrative operatorilor de date din diferite sectoare de activitate. Dintre acestea evidențiem următoarele:
· Amendă de 27.802.496 EUR aplicată de Autoritatea de protecție a datelor din Italia (Garante per la protezione dei dati personali) pentru mai multe cazuri de prelucrare ilegală a datelor în scopuri de marketing. Încălcările date vizează milioane de persoane.
· Amendă de 75 milioane SEK aplicată de Autoritatea de protecție a datelor din Suedia pentru nerespectarea RGPD. Amenda a fost aplicată unui operator de motoare de căutare care nu și-a îndeplinit obligațiile cu privire la dreptul de a solicita eliminarea.
· Amendă de 20 000 PLN aplicată de Autoritatea de protecție a datelor din Polonia în legătură cu încălcarea privind prelucrarea datelor biometrice ale copiilor atunci când folosesc cantina școlară.
· Amendă de 200.000 SEK aplicată de Autoritatea de protecție a datelor din Suedia unui operator în legătură cu încălcarea datelor cu caracter personal privind o eroare în sistemul IT pentru administrarea salariului. Eroarea a implicat posibilitatea accesului neautorizat la datele cu caracter personal atât ale personalului autorităților care utilizează sistemul, cât și al terților.