BULETIN INFORMATIV NR. 9
589 Views
1. Activități de informare și instruire efectuate de CNPDCP
În perioada de referință, CNPDCP a înregistrat o evoluție remarcabilă la capitolul activități de instruire și sensibilizare desfășurate. Au fost continuate șirul de instruiri organizate pentru reprezentanții autorităților publice locale (APL) din raionale Republicii Moldova, acestea având drept scop de a consolida capacitățile reprezentaților APL-urilor prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. Subiectele abordate în cadrul instruirilor au vizat: definirea datelor cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal; filmarea și transmiterea online a ședințelor consiliilor locale; aprobarea politicii de securitate și a instrucțiunilor privind sistemele informaționale, etc. Totodată, cu titlu separat, au fost discutate aspectele legate de depersonalizarea corectă a datelor cu caracter personal ce se conțin în actele administrative ale autorităților publice locale publicate în Registrul de stat al actelor locale. Evenimentele, moderate de experți naționali în domeniul protecției datelor din cadrul CNPDCP, au fost organizate pentru aproximativ a câte 50 de primari, consilieri raionali și secretari ai consiliilor locale din fiecare centru raional în parte, reieșind din măsurile de protecție impuse în contextul pandemiei de COVID – 19. Cursurile de instruire au fost desfășurate:
· La data de 07 octombrie – în cadrul Consiliului Raional Căușeni;
· La data de 05 noiembrie – în cadrul Consiliului Raional Râșcani;
· La data de 11 noiembrie – în cadrul Consiliului Raional Fălești;
· La data de 19 noiembrie – în cadrul Consiliului Raional Briceni;
· La data de 26 noiembrie – în cadrul Consiliului Raional Glodeni;
· La data de 3 decembrie – în cadrul Consiliului Raional Cahul.
Totodată, la data de 19 noiembrie, a fost desfășurată Acțiunea publică – ”Protejează datele cu caracter personal”, organizată de reprezentanții CNPDCP. Publicul țintă – locuitorii raionului Ialoveni, au fost sensibilizați cu privire la importanța protecției datelor cu caracter personal. Acțiunea s-a desfășurat în preajma Consiliului Raional Ialoveni, iar cetățenii au fost informați despre noțiunea de date cu caracter personal, drepturile subiecților de date, măsurile de securitate și confidențialitate a datelor, precum și despre principiile protecției datelor cu caracter personal. Scopul acestei acțiuni a fost de a educa, motiva și încuraja cetățenii Republicii Moldova să acorde o atenție sporită protecției datelor cu caracter personal ce îi vizează.
2. Activitatea de control
În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 55 de investigații. Din cele 55 de investigații: 5 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; din 41 de cazuri finalizate, în 19 cazuri s-a constatat încălcarea prevederilor legale. Totodată, au fost încheiate 22 de procese verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
3. Constatări ale CNPDCP
3.1 Pe parcursul perioadei de referință, CNPDCP a recepționat plângerea unui subiect de date cu caracter personal, privind pretinsa încălcare a dreptului de opoziție al acestuia, de către un agent economic, manifestată prin ignorarea cererii subiectului de date, depusă prin prisma art. 16 alin (1) al Legii privind protecția datelor cu caracter personal, prin care, ultimul a solicitat ștergerea datelor cu caracter personal ce-l vizează, stocate în baza de date a societății și încetarea expedierii mesajelor cu caracter comercial, la numărul de telefon ce-i aparține. În urma examinării cauzei s-a determinat că, agentul economic, ignorând cererea subiectului de date, nu i-a realizat dreptul de opoziție, fapt recunoscut de către operatorul de date cu caracter personal drept omisiune.
În acest caz, CNPDCP a constatat încălcarea prevederilor art. 16 alin. (1) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, fiind pornit proces contravențional în privința agentului economic prin prisma art. 74 1 alin. (3) Cod contravențional.
3.2 Totodată, CNPDCP a constatat prelucrarea neconformă a datelor cu caracter personal de către primarul unei localități. Prelucrarea neconformă a datelor cu caracter personal a subiectului de date a fost materializată prin accesarea multiplă de către edilul localității, a datelor conținute în Registrul bunurilor imobile, fără a avea un scop și temei legal, precum și în lipsa consimțământului subiectului de date.
În cadrul examinării auditului accesărilor datelor cu caracter personal de către primar, CNPDCP a constatat că, edilul a efectuat 134 de accesări a datelor cu caracter personal, de pe 10 adrese IP diferite, dintre care multiple accesări fiind efectuate în afara programului de muncă și în zilele de odihnă. Astfel în urma efectuării controlului celor sesizate s-a constatat încălcarea art. 4, art. 5 și art. 29 din Legea 133/2011 privind protecția datelor cu caracter personal. Prin urmare, CNPDCP a inițiat procesul contravențional în raport cu edilul vizat prin prisma contravenției prevăzute de art. 74 1 alin. (4) Cod contravențional.
3.3 La 22 decembrie, Curtea Supremă de Justiție a respins recursul Ministerului Afacerilor Interne și a menținut decizia CNPDCP din 16 noiembrie 2018, prin care a constatat prelucrarea neconformă a datelor cu caracter personal cu cerințele legislației în domeniul protecției datelor cu caracter personal de către Ministerul Afacerilor Interne (MAI), în Sistemul Informațional Automatizat „Registrul informației criminalistice și criminologice”.
Decizia CNPDCP vizează necesitatea radierii informațiilor care au fost colectate/obținute de la autoritățile/instituțiile nerecunoscute din regiunea transnistreană în perioada anilor 1991 – 2005. Urmează a sublinia că, prelucrarea în mod automatizat a datelor cu caracter personal ale cetățenilor statului Republicii Moldova în baza unor informații parvenite de la structurile neconstituționale, care de fapt nu pot fi considerate autentice/veridice, precum și utilizarea acestora în detrimentul subiectului de date cu caracter personal vizat, reprezintă o încălcare gravă a drepturilor și libertăților omului. În acest sens, urmează a remarca Hotărârea Consiliului Superior al Magistraturii (CSM) nr. 209/14 din 10 aprilie 2012 “cu privire la demersul domnului Oleg Efrim, ministru al Justiției, referitor la opinia asupra adresării domnului Eugen Carpov, viceprim-ministru, pe marginea abordării unor probleme de natură juridică”, prin care CSM a constatat: “că orice act emis de autoritățile autoproclamate din această parte a Republicii Moldova contravin din capul locului Constituției, faptul referindu-se în egală măsură şi asupra oricăror hotărâri, decizii, sentințe pronunțate de judecătoriile instituite în regiunea dată ilegal. Astfel, Consiliul consideră ca fiind inacceptabile orice colaborări, conlucrări în aspect juridic şi propuneri de soluții juridice cu structurile din regiunea transnistreană.”
În consecință, în jurisprudența ce vizează Republica Moldova, Curtea Europeană a Drepturilor Omului în numeroase cazuri (Ilaşcu şi alţii vs. Moldova şi Rusia; Eriomenco c. Republicii Moldova și Federației Ruse; Mozer c. Republicii Moldova și Federației Ruse; Catan alții c. Republicii Moldova și Rusiei) a constatat ilegalitatea actelor adoptate de entități nerecunoscute și neconstituționale din stânga Nistrului.
Accentuăm, că potrivit Declarațiilor depuse odată cu instrumentul de ratificare al Convenției nr. 108 pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, Republica Moldova nu a declarat rezerve asupra dispozițiilor Convenției, în ce privește aplicarea acesteia asupra teritoriului din regiunea transnistreană. Astfel, Republica Moldova are obligația de a asigura protecția drepturilor și libertăților fundamentale ale cetățenilor săi în ceea ce privește prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieții intime, familiale și private, pe întreg teritoriul său.
4. Activitatea de supraveghere
Pe parcursul perioadei de referință, reieșind din imposibilitatea, din motive de ordin tehnic, de a emite și semna decizii automatizate prin intermediul Registrului de evidență al operatorilor de date cu caracter personal, CNPDCP a expediat 204 scrisori de informare în vederea conformării operatorilor de date și/sau persoanelor împuternicite de operator cu prevederile art. 23-25 ale Legii nr. 133 privind protecția datelor cu caracter personal.
Concomitent, în conformitate cu prevederile Legii nr. 175 din 11 noiembrie 2021 pentru modificarea unor acte normative, care va intra în vigoare la data de 10 ianuarie 2022, se exclude obligația operatorilor de date cu caracter personal de a notifica Centrul Național pentru Protecția Datelor cu Caracter Personal, precum și se abrogă art. 28 al Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, fapt care determină lichidarea Registrului de evidență al operatorilor de date cu caracter personal, prin nimicirea ireversibilă a documentelor și informațiilor stocate pe suport de hârtie și a celor stocate în format electronic, în condițiile prevăzute de lege.
Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 405 consultații telefonice și 178 de răspunsuri prin intermediul poștei electronice.
5. Știri internaționale și europene
– La data de 13 octombrie a avut loc cea de-a 56-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul Plenarei au fost discutate mai multe subiecte, printre care:
· Mecanism de coerență și linii directorii;
· Linii directorii privind restricțiile prevăzute la art. 23 din GDPR (în urma consultării publice);
· Linii directorii privind datele copiilor – cerere de mandat.
– La data de 18 noiembrie a avut loc cea de-a 57-a Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată cu prezența fizică la Brussels, Belgia. În cadrul Plenarei au fost discutate mai multe subiecte, printre care:
· Linii Directorii privind interacțiunea dintre art. 3 și capitolul V din GDPR. Liniile directorii vor fi supuse consultării publice până la sfârșitul lunii ianuarie.
· Declarația privind pachetul de servicii digitale și strategia de date a Comisiei Europene.
· CEPD a nominalizat doi reprezentanți ai autorităților de Protecție a Datelor din Belgia și Germania pentru a participa la cea de-a șasea Revizuire Comună a acordului UE-SUA privind finanțarea în scopuri teroriste (TFTP).
– La data de 14 decembrie a avut loc cea de-a 58-a Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. În cadrul Plenarei au fost discutate mai multe subiecte, printre care:
· CEPD și Autoritățile de Supraveghere (AS) individuale au contribuit la evaluarea și revizuirea Directivei privind protecția datelor în materie de asigurare a respectării legii (LED), realizată de Comisia Europeană în conformitate cu art. 62 LED. LED-ul urmărește să ofere un nivel armonizat de protecție a datelor pentru persoanele fizice în domeniul aplicării legii în UE;
· Ca parte a implementării Strategiei CEPD 2021-2023 și ca urmare a înființării unui grup de experți de sprijin (SPE), CEPD a convenit asupra planului de proiect al SPE;
· CEPD a adoptat un răspuns pentru europarlamentarul Ujhelyi privind piratarea programelor spion Pegasus;
· CEPD a adoptat versiunea finală a Liniilor Directorii privind notificarea încălcării securității datelor cu caracter personal. Acestea urmăresc să ajute operatorii de date să decidă cum să gestioneze încălcările de date și ce factori să ia în considerare în timpul evaluării riscurilor.
– La data de 20-21 decembrie a avut loc cea de-a 54-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:
· Convenția 108+, ratificările și aderările actuale;
· Mecanismul de evaluare și urmărire în temeiul Convenției 108+;
· Identitatea digitală;
· Schimburi inter-statale de date pentru Combaterea Spălării Banilor și a Finanțării Terorismului și scopuri fiscale;
· Interpretarea articolului 11 din Convenția 108+;
· Clauze contractuale în contextul fluxurilor transfrontaliere de date.
În contextul colaborării CNPDCP cu Autoritățile Europene de Protecție a Datelor, la 18 noiembrie, Centrul Național pentru Protecția Datelor cu Caracter Personal și Biroul Comisarului pentru Informații și Protecția Datelor din Malta, au semnat un Acord de colaborare în domeniul protecției datelor cu caracter personal. Acordul prevede dezvoltarea relațiilor de cooperare între cele două instituții pe aspectul obținerii unor progrese constante în domeniul protecției datelor, precum și promovarea bunelor practici care vor crea condiții favorabile pentru asigurarea protecției eficiente a datelor cu caracter personal ale cetățenilor Republicii Malta și Republicii Moldova.
6. Alte autorități pentru protecția datelor
– La data de 14 octombrie, Autoritatea de Protecție a Datelor din Polonia (UODO) a aplicat amendă în valoare de 80.000 EURO, companiei Bank Millennium SA pentru încălcarea Articolului 33 (1), și Articolului 34 (1) din GDPR. UODO a aflat despre încălcarea securității datelor cu caracter personal dintr-o plângere depusă împotriva băncii. Plângerea a vizat pierderea de către o firmă de curierat a corespondenței care conținea date cu caracter personal, precum: nume, prenume, număr personal de identificare (număr PESEL), adresă înregistrată, numere de cont bancar, număr de identificare atribuit clienților băncii. În urma anchetei s-a constatat că operatorul de date nu a comunicat această încălcare Autorității de Supraveghere și nu și-a respectat în totalitate obligația de a informa subiecții de date despre aceasta.
– La data de 24 noiembrie, Autoritatea de Protecție a Datelor din Islanda (DPA), a emis amendă administrativă în valoare de 7,5 milioane ISK (aproximativ 50.800 EURO) Ministerului Industriilor și Inovării iar compania YAY ehf. a fost amendată cu 4 milioane ISK (aprox. 27.100 EURO) pentru încălcarea Articolului 7, 9, 12, 13, 24, 25, 28 (3) și 32 din GDPR. Din cauza dificultăților economice din Islanda cauzate de pandemia COVID-19, guvernul islandez a decis, să impulsioneze sectorul turismului și întreprinderile mici prin emiterea unui certificat digital de 5000 ISK (aproximativ 34 de euro) oferit cadou tuturor islandezilor cu vârsta de peste 18 ani. În urma anchetei, DPA islandeză a constatat colectarea ilegală și inutilă a unui volum impunător de date cu caracter personal, cerințele privind consimțământul pentru prelucrare nu au fost îndeplinite, iar informațiile pe care subiecții de date le-au primit atunci când s-au conectat la aplicație au fost inadecvate. În plus, operatorul și persoana împuternicită de operator nu au asigurat securitatea corespunzătoare a datelor cu caracter personal.
– La data de 13 decembrie, Autoritatea Norvegiană pentru Protecția Datelor a impus o amendă administrativă în valoare de 6,5 milioane EURO, companiei Grindr LLC pentru încălcarea Articolului 6 și Articolului 9 din GDPR. În 2020, Consiliul Norvegian al Consumatorilor a depus o plângere împotriva Grindr LLC, susținând partajarea ilegală a datelor cu caracter personal cu terți în scopuri de marketing. Datele partajate erau locația GPS, adresa IP, ID-ul de publicitate, vârsta, sexul și faptul că utilizatorul în cauză se afla pe Grindr. Autoritatea Norvegiană pentru Protecția Datelor a concluzionat că Grindr LLC a dezvăluit terților date cu caracter personal fără un temei legal. Mai mult, informațiile despre partajarea datelor cu caracter personal nu au fost comunicate în mod corespunzător utilizatorilor, iar acest lucru a fost contrar cerințelor legale specificate în GDPR referitor la consimțământul valid.
