BULETIN INFORMATIV NR. 7
BULETIN INFORMATIV NR. 7
(1 noiembrie 2020 – 31 ianuarie 2021)
1. Activități de informare și instruire efectuate de CNPDCP
La data de 26-28 ianuarie 2021, Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (CNPDCP) în colaborare cu experţii proiectului TAIEX au organizat atelierul de lucru on-line – „Prelucrarea și protecția datelor cu caracter personal în domeniul sănătății publice în contextul unor eventuale provocări la nivel global” (pandemia COVID – 19). Scopul atelierului a fost de a consolida și a spori abilitățile reprezentanților din domeniul sănătății publice cu privire la eventualele provocări care pot apărea la nivel global (în contextul pandemiei de COVID – 19), respectând totodată drepturile și libertățile fundamentale ale persoanelor fizice la protecția datelor cu caracter personal atunci când prelucrarea este necesară din motive de interes public în domeniul sănătății publice precum și adoptarea bunelor practici pe baza jurisprudenței relevante; stabilirea unui echilibru între prelucrarea, păstrarea și divulgarea datelor cu caracter personal referitoare la sănătate precum și dreptul la confidențialitatea vieții private; promovarea clarității și analiza specializată, orientată spre prevederile Legii privind protecția datelor cu caracter personal în domeniul specific de aplicare – cel al sănătății; familiarizarea reprezentanților din domeniul medical cu noile provocări ce țin de prelucrarea datelor cu caracter personal. Atelierul a fost moderat de experți în protecția datelor cu caracter personal din Croația, Slovacia și reprezentanți din cadrul CNPDCP și a fost organizat pentru trei regiuni ale ţării: centru, nord şi sud. În cadrul evenimentului au participat aproximativ 200 de persoane.
2. Activitatea de control
În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 48 de investigații. Din cele 48 de investigații: 8 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; în 20 de cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 25 de procese verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
3. Activitatea de supraveghere
Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 292 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 164 de decizii de autorizare și 128 de decizii de refuz. Astfel, circa 141 de operatori de date și 164 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal.
4. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. CNPDCP a fost sesizat de un subiect de date (persoană cu funcție de demnitate publică), care a reclamat acțiunile pretins ilegale ale unui activist civic, manifestate privind publicarea pe profilul personal de pe rețeaua de socializare “Facebook”, în lipsa consimțământului, a înregistrărilor video ce conțin categoria obișnuită de date cu caracter personal – nume, prenume, funcția deținută și instituția publică în care activează subiectul de date cu caracter personal, precum și adresa de domiciliu.
În cadrul examinării cauzei s-a constatat, că profilul persoanei ce a publicat înregistrările video pe rețeaua de socializare “Facebook”, este accesibil oricărui utilizator al rețelei în cauză, în cadrul acestuia fiind diseminate în acces public nerestricționat imagini cu adresa de domiciliu a subiectului de date – strada și numărul casei de locuit, fără consimțământul acestuia. Or, aceasta nu intră în categoria informației publice, spre deosebire de celelalte date cu caracter personal – nume, prenume, funcția deținută și instituția publică în care activează subiectul de date, ce ar putea fi considerate informații publice odată ce subiectul de date este funcționar public/persoană cu funcție de demnitate publică/persoană publică.
În linii generale, este de menționat că atunci când abordăm subiectul privind persoanele care exercită anumite funcții publice, gradul de ingerință în inviolabilitatea vieții private este mult mai mare, comparativ cu persoanele care nu dispun de un asemenea statut. Cu atât mai mult, acest grad de ingerință se extinde în ipoteza unor circumstanțe publice/fapte publice și în cazul existenței unor subiecte care pot prezenta interes public. Totuși, trebuie de avut în vedere faptul că, statul are obligația pozitivă de a legifera mecanisme legale de protecție a inviolabilității vieții private chiar și în cazul persoanelor publice care exercită funcții, care sunt implicate în circumstanțe/fapte publice și/sau vizate în subiecte de ordin public. Or, este categoric inadmisibil faptul ca această categorie de subiecți de date cu caracter personal să fie lipsită de garanții juridice și mecanisme care să le asigure protecția dreptului lor constituțional – inviolabilitatea vieții private.
În contextul cazului examinat s-a constatat că activistul civic – operator de date în sensul art. 3 al Legii privind protecția datelor cu caracter personal, urma să asigure confidențialitatea datelor cu caracter personal, în special a adresei de domiciliu, prin prisma obligativității prevăzute la art. 29 al Legii privind protecția datelor cu caracter personal.
Prin urmare, Centrul a constatat că publicarea/dezvăluirea pe profilul de pe rețeaua de socializare „Facebook”, a datelor cu caracter personal a subiectului de date, în special, a adresei de domiciliu, în lipsa consimțământului acestuia este contrară prevederilor art. 4 alin. (1) lit. a), art. 5 alin. (1) și art. 29 alin. (1) ale Legii privind protecția datelor cu caracter personal, fiind întocmit proces – verbal cu privire la contravenție în temeiul art. 741 alin. (4) Cod contravențional.
II. CNPDCP a recepționat plângerea unui subiect de date, referitor la pretinsa prelucrare ilegală a datelor cu caracter personal de către un organ de drept (MAI) manifestată prin accesarea și extragerea datelor sale cu caracter personal stocate în RSP, precum și a membrilor familiei acestuia (imprimarea fișei personale).
În context, potrivit explicației reprezentantului organului de drept, datele cu caracter personal ale subiectului de date stocate în RSP au fost accesate și extrase (imprimată fișa personală) în vederea identificării acestuia, cu scopul de a fi audiat în cadrul unei cauze penale în calitate de martor.
În context, a fost reliefat că fișa personală din RSP conține informații cu privire la locul și data naşterii, numele, prenumele, patronimicul, cetăţenia, rudele, locul de domiciliu la moment și în trecut, studiile, aspect confirmat de către însuși reprezentantul organului de drept, care a declarat că fișa personală a subiectului de date extrasă din RSP conține informațiile respective.
Prin urmare, în rezultatul examinării cazului, CNPDCP a constatat caracterul pertinent în partea ce ține de accesarea (vizualizarea) datelor cu caracter personal a subiectului de date, totodată, fiind reținut caracterul excesiv al prelucrării datelor cu caracter personal a subiectului de date, manifestată prin extragerea și stocarea la materialele unui dosar penal a fișei personale a subiectului de date ce conține un volum impunător de date cu caracter personal ale acestuia precum și a rudelor acestuia, care nu au o calitate procesuală.
La caz, CNPDCP urmează a interveni prin prisma calității de agent constatator, în temeiul art. 741 alin. (4) Cod contravențional.
5. Știri internaționale și europene
v La data de 10 noiembrie 2020 în cadrul celei de-a 41-a sesiune plenară, Comitetul European pentru Protecția Datelor (EDPB) a adoptat cu o majoritate de 2/3 din membrii săi prima sa decizie de soluționare a litigiilor în temeiul art. 65 din GDPR. Decizia obligatorie urmărește să soluționeze litigiul apărut în urma unui proiect de decizie emis de Autoritatea de Supraveghere Irlandeză ca autoritate de supraveghere principală (LSA) cu privire la compania internațională Twitter.
La data de 11 noiembrie, EDPB a adoptat recomandări cu privire la măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal, precum și recomandări privind garanțiile esențiale europene pentru măsurile de supraveghere. Ambele documente au fost adoptate ca urmare a hotărârii CJUE „Schrems II”. Recomandările urmăresc să ajute operatorii și persoanele împuternicite de operatori care acționează ca exportatori de date de a identifica și implementa măsuri suplimentare adecvate acolo unde sunt necesare pentru a asigura un nivel adecvat de protecție echivalent cu cel al datelor pe care le transferă către țări terțe.
La data de 19 noiembrie, în cadrul celei de-a 42-a sesiune plenară, Comisia Europeană a prezentat două noi seturi de proiecte de clauze contractuale standard (SCC): un set de SCC-uri pentru contractele între operatori și persoanele împuternicite de operatori, elaborat în conformitate cu art. 28 (7) din GDPR și art. 29 (7) din Regulamentul 2018/1725 și altul pentru transferurile de date în afara UE, în conformitate cu art. 46 (2) (c) din GDPR. EDPB a adoptat o declarație referitor la viitorul regulament privind confidențialitatea electronică și rolul autorităților de supraveghere și al EDPB în acest context.
La data de 15 decembrie, EDPB s-a întrunit pentru cea de-a 43-a sesiune plenară, în cadrul căreia a fost discutată o gamă largă de subiecte:
– EDPB și-a adoptat Strategia 2021-2023, care stabilește obiectivele strategice ale Consiliului, grupate în jurul a patru piloni, precum și trei acțiuni cheie pe pilon pentru a contribui la atingerea acestor obiective. Cei patru piloni principali ai strategiei EDPB sunt:
· avansarea armonizării și facilitarea conformității;
· sprijinirea aplicării efective și a cooperării eficiente între autoritățile naționale de supraveghere;
· abordarea drepturilor fundamentale a noilor tehnologii și;
· dimensiunea globală.
– EDPB a emis o declarație cu privire la sfârșitul perioadei de tranziție Brexit, în care descrie principalele implicații ale sfârșitului acestei perioade pentru operatorii de date și persoanele împuternicite de operator.
– EDPB a înaintat spre consultări publice Liniile directorii privind restricțiile prevăzute la articolul 23 din GDPR, având drept scop de a reaminti condițiile din jurul utilizării acestor restricții în lumina Cartei drepturilor fundamentale și a GDPR.
– În urma consultărilor publice, EDPB a adoptat versiunea finală a Liniilor directorii referitor la interacțiunea Directivei 2 privind serviciile de plată (PSD2) și GDPR. Liniile directorii vizează să ofere îndrumări suplimentare cu privire la aspectele privind protecția datelor în contextul PSD2, în special cu privire la relația dintre dispozițiile relevante din GDPR și PSD2.
– De asemenea, în urma consultării publice, EDPB a adoptat versiunea finală a Liniilor directorii privind articolele 46 (2) (a) și 46 (3) (b) din Regulamentul 2016/679 pentru transferurile de date cu caracter personal între SEE și autoritățile publice din afara SEE. Aceste articole abordează transferurile de date cu caracter personal de la autoritățile sau organismele publice ale SEE către organismele publice din țări terțe, în cazul în care aceste transferuri nu sunt acoperite de o decizie de adecvare.
– EDPB a adoptat, de asemenea, o declarație privind protecția datelor cu caracter personal prelucrate în legătură cu prevenirea utilizării sistemului financiar în scopul spălării banilor și finanțării terorismului.
– EDPB a adoptat un aviz la art. 64 referitor la proiectul de decizie privind regulile corporative obligatorii ale operatorului (BCR) Equinix, prezentat Consiliului de administrație de către AS olandeză.
La data de 15 ianuarie 2020, EDPB și AEPD au adoptat avize comune cu privire la două seturi de clauze contractuale (CSC): o opinie cu privire la SCC-urile pentru contractele între operatori și persoane împuternicite de operatori și una cu privire la SCC-urile pentru transferul de date cu caracter personal către țări terțe.
La data de 18 ianuarie, EDPB a adoptat Linii directorii cu privire la exemple privind notificarea încălcării securității datelor. Aceste orientări completează orientările WP 29 privind notificarea încălcării securității datelor prin introducerea mai multor recomandări orientate spre practică. Acestea urmăresc să ajute operatorii de date să decidă cum să gestioneze încălcările de securitate a datelor și ce factori să ia în considerare în timpul evaluării riscurilor. Documentul este supus consultărilor publice până la data de 02.03.2021.
La data de 28 ianuarie, cu ocazia celei de-a 15-a ediție a celebrării Zilei Protecției Datelor, membrii EDPB au prezentat un mesaj comun de felicitare.
v În perioada 16-18 decembrie, s-a desfășurat ce-a de-a 51-a ședință a Biroului Comitetului Consultativ al Convenției pentru Protecția Persoanelor cu privire la Prelucrarea Automatizată a Datelor cu Caracter Personal. Ședința a fost una de totalizare și analizare a unor aspecte care nu au reușit a fi închise pe parcursul anului 2020 și anume:
• Biroul a luat act de informația prezentată de Secretariat privind:
a) Actualele 33 de semnături și 10 ratificări (cea mai recentă de la ultima ședință plenară fiind Finlanda, la 10 decembrie 2020) a Convenției 108+ la doi ani de la deschiderea pentru semnare a Protocolului de modificare. Cinci state (Bulgaria, Cipru, Estonia, Lituania și Norvegia) au menționat despre aplicarea articolului 37.3 din Protocolul de modificare și au declarat aplicarea provizorie a Convenției 108+ în așteptarea intrării sale în vigoare;
b) obiectivul de a avea cel puțin 38 de ratificări până la 10 octombrie 2023 pentru a permite o intrare parțială în vigoare a Convenției 108+ conform articolului 37.2 din Protocolul de modificare;
c) revizuirea semestrială a Comitetului Miniștrilor privind starea semnăturilor și ratificarea modificării Protocolului în conformitate cu decizia adoptată în sesiunea ministerială din mai 2018, etc.
6. Alte autorități pentru protecția datelor
· Amendă în valoare de 12.250.000 EUR aplicată de către Autoritatea Italiană pentru protecția datelor cu caracter personal (Garante per la protezione dei dati personali), operatorului de telefonie mobilă, Vodafone, pentru prelucrarea ilegală a datelor cu caracter personal ale milioane de utilizatori în scopuri de telemarketing. Această decizie marchează ultimul pas într-o procedură complexă inițiată de Autoritatea Italiană pentru protecția datelor cu caracter personal, în urma a sute de plângeri și semnalări trimise de utilizatori împotriva apelurilor telefonice nesolicitate efectuate de Vodafone și / sau rețeaua de telemarketing a operatorului pentru a promova serviciile de telefonie și Internet.
· Amenda administrativă în valoare de 300.000 SEK, aplicată de către Autoritatea Suedeză pentru Protecția Datelor unei asociații de proprietari pentru supravegherea video ilegală într-un bloc de apartamente. Autoritatea Suedeză pentru Protecția Datelor a primit o plângere privind supravegherea video într-un bloc de apartamente aparținând asociației de proprietari Uppsalahem. Zona de monitorizare a camerei video cuprindea în mod clar două uși ale apartamentului, dintre care una aparține reclamantului și cealaltă aparține unui rezident care a fost supus perturbărilor și hărțuirii. În decizia sa, Autoritatea Suedeză pentru Protecția Datelor concluzionează că supravegherea video în cauză, monitorizează persoanele în mediul lor familial, încălcându-le dreptul la confidențialitate
· Autoritatea Norvegiană pentru Protecția Datelor a impus amendă administrativă în sumă de 750.000 NOK spitalului Østfold HF pentru stocarea extraselor de rapoarte din dosarele pacienților în afara zonei de siguranță, în perioada 2013-2019. Dosarele în care au fost stocate extrasele nu au avut acces controlat, iar activitatea din dosare nu a fost înregistrată. Extrasele de raport au fost, de asemenea, stocate pe o perioadă mult prea mare de timp după ce listele nu mai erau necesare.
· Amenzi în valoare de 100 milioane EUR și 35 milioane EUR aplicate de către Autoritatea pentru Protecția Datelor din Franța (CNIL), companiilor Google și Amazon pentru încălcarea reglementărilor privind „cookies”. Amenzile au rezultat din două investigații separate efectuate de CNIL în legătură cu utilizarea cookie-urilor pe site-urile franceze Google și Amazon. CNIL a amendat Google LLC cu 60 de milioane de euro și Google Ireland Ltd (Google sediu central) cu 40 de milioane de euro. Combinate, aceste amenzi sunt cele mai mari sancțiuni pronunțate vreodată de CNIL. Atât Google LLC, cât și Google Ireland Ltd au fost considerate responsabile pentru utilizarea cookie-urilor, prin exercitarea puterii de decizie în ceea ce privește prelucrarea datelor cu caracter personal privind utilizatorii aflați în Franța.
· Inspectoratul pentru Protecția Datelor din Estonia a aplicat amendă de 100.000 de euro pentru trei lanțuri de farmacii care permiteau vizualizarea în mediul de farmacii on-line a prescripțiilor medicale ale diferitor persoane fără acordul acestora în baza accesului la codul lor personal de identificare.
· Amenda administrativă în valoare de 450.000 EUR, aplicată de către Comisia pentru Protecția Datelor din Irlanda (DPC) companiei Twitter International pentru încălcarea articolului 33 (1) și 33 (5) din GDPR. Ancheta Comisiei pentru protecția datelor din Irlanda a început în ianuarie 2019, după recepționarea unei notificări de încălcare de la compania Twitter, constatând încălcarea articolului 33 (1) și 33 (5) din GDPR în ceea ce privește nerespectarea obligației de notificare a încălcării la timp către DPC precum și nerespectarea documentării adecvate a încălcării.
· Amenda administrativă în valoare de 250.000 EUR, aplicată de către Autoritatea de Protecție a Datelor din Polonia, companiei ID Finance Poland, pentru încălcarea principiului de confidențialitate și protecție a datelor cu caracter personal. În cadrul procedurilor de verificare, Președintele Oficiului pentru Protecția Datelor cu Caracter Personal (UODO), a stabilit că încălcarea a avut loc în urma eșecului de a restabili configurația de securitate adecvată după ce unul dintre serverele operate de către persoana împuternicită de operator a fost repornit. Operatorul de date a fost informat despre acest lucru de către unul dintre specialiștii săi în securitate cibernetică, care a detectat vulnerabilitatea și a indicat care sunt informațiile disponibile publicului. Compania ID Finance Poland nu a verificat imediat vulnerabilitățile identificate ale sistemului și drept urmare, câteva zile mai târziu, datele au fost furate de pe acest server.
· Amenda administrativă în valoare de 20 mii de euro, aplicată companiei de asigurări din Polonia, Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. pentru încălcarea prevederilor Regulamentului General privind Protecția Datelor. Oficiul pentru Protecția Datelor cu Caracter Personal polonez (UODO) a fost sesizat de o persoană terţă cu privire la încălcarea datelor cu caracter personal. Este vorba de un e-mail, care conţinea o poliță de asigurare, trimisă de agentul de asigurări al companiei, unui destinatar neautorizat. Documentul trimis conținea date cu caracter personal – numele, prenumele, adresa de reședință, numărul de identificare personal și informații referitoare la obiectul asigurării (autoturism).
· Amenda administrativă în valoare de 460 mii de euro aplicată de către Oficiului pentru Protecția Datelor cu Caracter Personal (UODO) companiei de telefonie mobilă din Polonia, Virgin Mobile Polska pentru lipsa măsurilor tehnice și organizatorice adecvate implementate pentru a asigura securitatea datelor prelucrate. UODO a declarat că operatorul de telefonie mobilă a încălcat principiile confidențialității și securităţii datelor cu caracter personal, nu a efectuat teste, măsurători și evaluări periodice și cuprinzătoare ale eficacității măsurilor tehnice și organizatorice aplicate pentru a asigura securitatea datelor prelucrate. În plus, vulnerabilitatea asociată schimbului de date în aceste sisteme a fost utilizată de o persoană neautorizată pentru a obține date de la unii dintre clienții companiei.