Buletin Informativ Nr. 5

BULETIN INFORMATIV NR. 5

 

1. Activități de informare și instruire efectuate de CNPDCP

 

În perioada mai – iulie 2020, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat o serie de ședințe de lucru,  a participat la webinare ce țin de domeniul protecției datelor cu caracter personal organizate pentru diferite autorități publice și entități private. Totodată, este de menționat că, în temeiul Hotărârii Nr. 6 a Comisiei naționale extraordinare de sănătate publică a Republicii Moldova din 10.03.2020, urmare a evoluției situației epidemiologice la nivel național, în scopul asigurării protecției vieții și sănătății angajaților și a vizitatorilor instituției, precum și în vederea prevenirii răspândirii virusului COVID-19, CNPDCP, la fel ca și alte instituții de stat, a activat în regim special de muncă, astfel limitându-se doar la activitățile strict necesare.

·   La 19 mai 2020, la sediul CNPDCP, a fost organizată o ședință de lucru cu participarea conducerii Serviciului Vamal a Republicii Moldova și a Autorității naționale de protecție a datelor cu caracter personal. În cadrul ședinței de lucru au fost discutate unele aspecte ce vizează conformarea Serviciului Vamal a Republicii Moldova la prevederile legislației din domeniul protecției datelor cu caracter personal, inclusiv notificarea sistemului de evidență supraveghere video și a altor sisteme de evidență a datelor cu caracter personal gestionate de către entitatea vizată, în special a Sistemului Informaţional Integrat Vamal.

·  La 04 iunie 2020, la invitația conducerii Congresului Autorităților Locale din Moldova (CALM)”, reprezentanții CNPDCP au avut o alocuțiune în cadrul webinarului, pentru secretarii consiliilor locale, membri ai Rețelei Secretarilor din cadrul CALM, cu tema: „Elaborarea politicii de securitate și a Regulamentului de prelucrare a datelor cu caracter personal în cadrul APL”.  La webinar au participat circa 85 de secretari ai consiliilor locale.

·  La 04 iunie 2020, la sediul CNPDCP, a fost organizată o ședință de lucru cu participarea conducerii Î.C.S. Metro Cash&Carry Moldova S.R.L. și a Autorității naționale de protecție a datelor cu caracter personal. În cadrul ședinței de lucru au fost discutate unele aspecte ce vizează conformarea Î.C.S. Metro Cash&Carry Moldova S.R.L. la prevederile legislației din domeniul protecției datelor cu caracter personal, inclusiv notificarea sistemului de evidență supraveghere video.

·   La 27 iulie 2020, la solicitarea Î.S. Centrul de Instruire in Domeniul Relațiilor de Muncă, reprezentantul CNPDCP a participat în calitate de formator, moderând un seminar privind protecția datelor cu caracter personal în cadrul căruia au fost abordate următoarele subiecte:

l) noțiuni generale de date cu caracter personal;

2) înregistrarea angajatorului (întreprinderii) în calitate de operator de date cu caracter personal;

3) protecţia datelor cu caracter personal ale angajaților.

La seminar au participat circa 90 de angajatori şi reprezentanți ai angajatorilor cum ar fi contabili, directori, juriști, șefi de secții, precum și specialiști din domeniul resurse umane.

·  La  31 iulie 2020, la invitația echipei de experți ai proiectului USAID Moldova Structural Reforms Program, reprezentanții CNPDCP au participat în cadrul discuțiilor on-line cu instituțiile din domeniul protecției datelor cu caracter personal, protecția consumatorilor și protecției concurenței. Scopul discuțiilor tematice și consultărilor în cauză a fost efectuarea unui studiu complex al realităților comerțului electronic în Republica Moldova, pe toate palierele, dar și adresarea recomandărilor punctuale pentru dinamizarea e-comerțului.

În contextul instanțelor de judecată, pe parcursul perioadei de referință (20 mai 2020), Curtea Supremă de Justiție a decis în mod irevocabil menținerea în vigoare a deciziei CNPDCP din 16 noiembrie 2018, prin care a constatat prelucrarea neconformă a datelor cu caracter personal cu cerințele legislației în domeniul  protecției datelor cu caracter personal de către Ministerul Afacerilor Interne, în Sistemul Informațional Automatizat „Registrul informației criminalistice şi criminologice”, ultimul fiind obligat să distrugă informațiile ce conțin date cu caracter personal referitoare la subiectul de date vizat de această prelucrare, care au fost colectate/obținute de la autoritățile/instituțiile nerecunoscute din regiunea transnistreană.

2. Activitatea de control a CNPDCP

În perioada vizată, CNPDCP a efectuat un număr de 92 investigații la operatori de date, în vederea verificării condițiilor de legalitate ale prelucrărilor de date cu caracter personal efectuate. Din cele 92 de investigații – 12 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal. Din 92 investigații, pe 38 cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 52 de procese verbale cu privire la contravenție, fiind ulterior remise instanței de judecată pentru soluționare.

3. Activitatea de supraveghere a CNPDCP

Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 268 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 131 de decizii de autorizare și 137 de decizii de refuz. Astfel, circa 98 de operatori de date și 131 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal, ceea ce denotă un interes sporit al operatorilor de date de a se conforma regulilor stabilite prin Legea nr. 133 din 8 iulie 2011 privind protecția datelor cu caracter personal, comparativ cu perioada anterioară.

4. Știri la nivel european și internațional

În perioada mai –iulie 2020 au fost desfășurate mai multe ședințe plenare ale Comitetului European pentru Protecția Datelor. Ședințele au avut loc la distanță, fiecare dintre acestea  abordând unul sau doua subiecte. Printre cele mai importante se pot menționa: cea de-a 25-a  și 26-a ședințe plenare, care s-au axat pe scrisoarea CEPD privind alegerile prezidențiale poloneze prin vot poștal și Decretele guvernului ungar în legătură cu coronavirusul în timpul stării de urgență. Ce-a de-a 28-a  ședință plenară, care a pus în discuție subiecte precum: scrisoarea de la Amazon către președintele CEPD cu privire la proiectul COVID-19, prelucrarea datelor cu caracter personal în scopul redeschiderii frontierelor UE în contextul COVID-19, site-ul web al CEPD – rezumatele disponibile public ale art. 60. Ce-a de-a 34-a ședință, unde s-a discutat: Decizia SCHREMS II a Curții Europene de Justiție, Decizia Consiliului de stat francez cu privire la liniile directoare privind cookie-urile CNIL, Decizia Consiliului de stat francez privind sancțiunea Google. Fuziunea GOOGLE / FITBIT, transparența proceselor verbale ale  CEPD.

5.  Alte autorități pentru protecția datelor

Pe parcursul perioadei sus-menționate mai multe autorități europene pentru protecția datelor  au desfășurat investigații care au condus la aplicarea de amenzi administrative operatorilor de date din diferite sectoare de activitate. Printre acestea se pot menționa:

–   O amendă administrativă de 120 000 Coroane suedeze (aprox. 11 000 de euro) a fost aplicată de către Autoritatea Suedeză pentru Protecția Datelor  Comitetului de Sănătate din Regiunea Örebro County, pentru publicarea greșită pe site-ul web al regiunii a datelor cu caracter personal sensibile despre un pacient internat într-o clinică de psihiatrie medico-legală.

–  O amendă de 50.000 de Coroane daneze  a fost aplicată de către Autoritatea Daneză pentru Protecția Datelor  companiei daneze de recrutare JobTeam pentru nerespectarea cerințelor de bază ale Regulamentului general privind protecția datelor (GDPR), conform căreia datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent.

–   O amendă administrativă de 72.000 de euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor împotriva Taksi Helsinki pentru prelucrarea datelor cu caracter personal ale șoferilor, personalului și clienților șoferilor săi cu un sistem de supraveghere, care înregistrează atât video cât și audio, care nu era în conformitate cu principiul GDPR de minimizare a datelor.

–    O amendă de 5.000 de euro  a fost aplicată de Camera de Litigii a Autorității pentru Protecția Datelor din Belgia unui candidat la alegerile locale pentru utilizarea registrului de personal al unei municipalități pentru a trimite propagandă electorală (sub formă de scrisoare)  personalului.

–    O amendă de 10 000 de euro aplicată de către Autoritatea pentru Protecția Datelor din Belgia unui operator pentru trimiterea directă a unui mesaj de marketing către persoana greșită și pentru că nu a răspuns în mod adecvat la solicitarea ulterioară a subiectului de date de a  accesa  datele sale.

–     O amendă de 800 000 de euro aplicată de către Autoritatea olandeză de protecție a datelor împotriva unei organizații olandeze pentru că nu a respectat dreptul de acces al subiectului de date. În mod specific, entitatea în cauză percepea o sumă anuală pentru accesarea datelor respective online, iar, dacă vroiau să primească prin poștă informațiile respective, solicitanții puteau să le obțină gratis, însă doar o dată pe an.

–     O amendă de 600 000 de euro aplicată de către Autoritatea pentru Protecția Datelor din Belgia împotriva Google Belgium pentru nerespectarea dreptului de a fi uitat a unui cetățean belgian și lipsa de transparență  în solicitarea sa de a fi șters.