Buletinul informativ al CNPDCP Nr.2

Buletinul informativ al CNPDCP Nr.2
pentru perioada august-octombrie 2019

1. Activități de informare și instruire efectuate de CNPDCP

În perioada August – Octombrie 2019, CNPDCP a organizat sesiuni de instruire dedicate domeniului protectiei datelor cu caracter personal. În același timp, reprezentanții CNPDCP au participat, împreună cu experți europeni din cadrul Proiectului Twinning UE „Consolidarea Capacitatii Centrului National pentru Protecția Datelor cu Caracter Personal”, în calitate de formatori în cadrul mai multor cursuri de instruire.
Aceste reuniuni dețin un rol important în activitatea de popularizare a domeniului protecției datelor cu caracter personal, a regulilor și principiilor aplicabile prelucrărilor de date cu caracter personal.

Astfel, redăm mai jos câteva dintre programele de instruire oferite de reprezentantii CNPDCP, inclusiv în comun cu experții din cadrul Proiectului UE Twinning:
 domeniul resurse umane și domeniul financiar – cu participarea 285 de funcționari publici;
 acțiuni stradale de sensibilizare „Ai grija de datele tale!” – fiind informate 250 de persoane din raioanele Cahul și Rezina;
 instruire pentru 147 de reprezentanți din cadrul Ministerului Apărării, Ministerului Educației, Culturii și Cercetării și din cadrul Direcției generale urmărire penală din Chișinău;
 campanii de informare „Te informam în orașul tău” – instruire pentru 75 de cadre didactice din localitățile raioanelor Cahul și Rezina, care predau disciplina „Dezvoltarea personală”.

În cadrul acestor acțiuni de instruire, reprezentanții CNPDCP au prezentat regulile generale privind protecția datelor cu caracter personal, principiile de prelucrare a datelor cu caracter personal, precum și o serie de recomandări care să ajute operatorii de date să se conformeze cu prevederile legale în materie de protecție a datelor cu caracter personal. Astfel, reprezentanții CNPDCP au subliniat următoarele recomandări:
 necesitatea asigurarii unui nivel adecvat de securitate și confidentialitate a datelor cu caracter personal;
 necesitatea informarii elevilor cu privire la protecția datelor cu caracter personal în mediul online, în special pe rețele de socializare (Facebook, Twitter, Instagram etc.);
 necesitatea elaborării și implementării de măsuri corespunzătoare în vederea instituirii mecanismului de păstrare a evidenței operațiunilor de prelucrarea a datelor cu caracter personal (obligație nouă înclusă în proiectul de Lege privind protecția datelor cu caracter personal);
 necesitatea respectării principiului reducerii la minimum a datelor, respectiv minimizarea categoriilor și volumului de date cu caracter personal prelucrate la cele strict necesare îndeplinirii scopului/scopurilor pentru care au fost colectate.

În același timp, merită menționat faptul că – 6 reprezentanți ai CNPDCP și 6 reprezentanți ai organelor de ocrotire a legii au primit certificate de formatori în cadrul sesiunilor de instruire „Train de Trainers ToT – Formare de formatori”, organizate și moderate de experți ai Proiectului Twinning UE.

2. Activitatea de control a CNPDCP

CNPDCP a efectuat un număr de 91 investigatii la operatori de date atât din sectorul privat, cât și din sectorul public, in vederea verificarii conditiilor de legalitate ale prelucrarilor de date cu caracter personal efectuate. Din cele 91 de investigații – 8 proceduri de investigații au fost inițiate ca urmare a autosesizarii CNPDCP în legătură cu o presupusă prelucrare a datelor cu caracter personal neconformă cu normele în domeniul protecției datelor cu caracter personal. Ca urmare a acestor controale, în cazurile finalizate cu constatarea încălcării prevederilor legale, au fost aplicate amenzi administrative operatorilor investigați.

Totodată, în perioada august – octombrie 2019, CNPDCP a primit un număr de 225 plangeri care au condus la efectuarea de investigații în vederea soluționării acestora. La fel ca în perioada anterioară, plângerile au vizat, în principal, următoarele:
 prelucrarea datelor cu caracter personal prin intermediul sistemului de supraveghere video;
 prelucrarea datelor cu caractar personal fără a notifica sistemele de evidență ce conțin date cu caracter personal la CNPDCP;
 accesul neautorizat la datele cu caracter personal prin intermediul registrelor informaționale de stat;
 dezvăluirea datelor cu caracter personal pe rețele de socializare.

În perioada de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 385 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 239 de decizii de autorizare și 146 decizii de refuz.

Astfel, în perioada August – Octombrie 2019 – 192 de operatori de date și 239 de sisteme de evidență a datelor cu caracter personal au fost înregistrați în Registrul de evidență a operatorilor de date cu caracter personal, ceea ce denotă un interes sporit al operatorilor de date de a se conforma regulilor stabilite prin Legea nr. 133 din 8 iulie 2011 privind protecția datelor cu caracter personal.

3. Știri la nivel european și internațional

A. În data de 10 septembrie 2019 a avut loc cea de-a 13-a reuniune Plenară a Comitetului European pentru Protecția Datelor. În cadrul acestui eveniment au fost abordate o serie de subiecte:
 ghidul privind drepturile persoanelor vizate
 portabilitatea datelor și remunerarea persoanelor vizate/utilizatorilor de aplicații în schimbul datelor lor cu caracter personal
 proceduri de certificare și acreditare.
Mai multe informații sunt disponibile la adresa: https://edpb.europa.eu/news/news_en.

B. În perioada 8-9 octombrie 2019, a avut loc Plenara Comitetului European pentru Protecția Datelor. În cadrul acestei reuniuni au fost adoptate, în principal, următoarele documente:

 Ghidul privind legalitatea prelucrării în baza contractului în cazul serviciilor furnizate online – art. 6 alin. (1) lit. b) din Regulamentul (UE) 2016/679
Comitetul a adoptat forma finală a acestui ghid destinat să clarifice aplicabilitatea art. 6 alin (1) lit. b) din Regulamentul (UE) 2016/679 în contextul serviciilor societății informaționale. Documentul cuprinde atât aspecte generale referitoare la posibilitatea utilizării acestei condiții de prelucrare a datelor cu caracter personal în cazul executării unui contract, cât și numeroase exemple utile în activitatea operatorilor. De asemenea, sunt prezentate situații în care aplicabilitatea art. 6 alin. (1) lit. b) interferează cu alte temeiuri de legalitate a prelucrării prevăzute de art. 6 din Regulamentul (UE) 2016/679.

 Opinie privind proiectul de decizie referitor la Equinix Reguli Corporatiste Obligatorii (BCR), în temeiul art. 64 din Regulamentul (UE) 2016/679
Ca urmare a solicitării transmise de autoritatea pentru protecția datelor din Marea Britanie (Information Commissioner’s Office), Comitetul European pentru Protecția Datelor a adoptat o opinie prin care se apreciază că regulile coroporatiste obligatorii prezentate de Equinix conțin elementele și garanțiile necesare prevăzute de art. 47 din Regulamentul (UE) 2016/679.

 Adresa de răspuns către Sophie in’t Veld in ceea ce priveste proiectul de acord PNR cu Canada
Comitetul European pentru Protecția Datelor a adoptat adresa de răspuns la scrisoarea transmisă de europarlamentul Sophie in’t Veld cu privire la proiectul de acord PNR renegociat cu Canada și impactul său asupra altor acorduri PNR. În răspunsul său, Comitetul observă că proiectul de acord nu a fost încă transmis spre analiză, dar că este pregătit să emită un aviz pe marginea acestuia. De asemenea, adresa de răspuns face referire și la adresa anterioară transmisă de Grupul de Lucru Art. 29 către Comisia Europeană ca urmare a Hotarârii Curții de Justiție a Uniunii Europene (CJUE) cu privire la primul proiect de acord PNR cu Canada.
Mai multe informații sunt disponibile la adresa: https://edpb.europa.eu/news/news_en

La reuniunile Comitetului European pentru Protecția Datelor, Centrul Național pentru Protecția Datelor cu Caracter Personal este reprezentat de conducerea CNPDCP.

C. În perioada 21-24 octombrie 2019 a avut loc cea de-a 41-a Conferință internațională a Comisarilor în domeniul protecției datelor și a vieții private. Evenimentul a fost organizat de Autoritatea pentru Protecția Datelor din Albania. Ca urmare a acestei reuniuni, au fost adoptate următoarele rezoluții:
 rezoluția privind direcția strategică a Conferinței,
 rezoluția privind promovarea de instrumente practice noi și pe termen lung, precum și continuarea eforturilor legale pentru o cooperare eficientă,
 rezoluția privind viața privată ca drept fundamental și precondiție pentru exercitarea altor drepturi fundamentale,
 rezoluție pentru sprijinirea și faciliarea cooperării dintre autoritățile pentru protecția datelor și autoritățile pentru protecția consumatorilor și competiție pentru a atinge standarde înalte de protecție a datelor într-o economie digitală,
 rezoluție pentru a aborda rolul erorii umane în ceea ce privește încălcările de securitate a datelor cu caracter personal,
 rezoluție privind social – media și conținutul violent extremist în mediul online.
Mai multe informații sunt disponibile la adresa: https://privacyconference2019.info/closed-session-documents/.

4. Alte autorități pentru protecția datelor

Pe parcursul acestei perioade mai multe autorități pentru protecția datelor din Uniunea Europeană au desfășurat investigații care au condus la aplicarea de amenzi administrative operatorilor de date din diferite sectoare de activitate. Dintre acestea evidențiem următoarele:
• amendă de 200000 SEK (aproximativ 20,000 euro) aplicată de autoritatea pentru protecția datelor din Suedia pentru folosirea tehnologiei de recunoaștere facială pentru monitorizarea prezentei studenților la școala;
• amendă de 55,000 euro aplicată de autoritatea pentru protecția datelor în Austria unui operator din sectorul medical pentru: operatorul nu a numit niciun Responsabil cu protecţia a datelor (DPO), nu a publicat datele de contact ale acestuia şi nici nu le-a raportat autorităţii de supraveghere, operatorul a obligat persoanele vizate să îşi dea consimţământul pentru o prelucrare a datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiţii privind consimţământul şi-a încălcat datoria de a furniza informaţii în conformitate cu art. 13, 14 GDPR.
• amendă de 10,000 euro aplicată de autoritatea pentru protecția datelor din Belgia pentru utilizarea disproporționată a cardului de identitate electronic pentru crearea unui card de fidelitate;
• amenda de 645,000 euro aplicată de autoritatea pentru protecția datelor din Polonia pentru măsuri organizatorice și tehnice insuficiente;
• amendă de 200,000 euro aplicată de autoritatea pentru protecția datelor din Grecia unui furnizor de servicii de telefonie pentru încălcarea principiului exactității și protecției datelor încă din momentul proiectării (privacy by design) din GDPR;
• amendă de 30,000 euro aplicată de autoritatea pentru protecția datelor din Spania în ceea ce privește politica de cookies folosită pe website;
• amendă de 18 milioane euro aplicată de autoritatea pentru protecția datelor din Austria operatorului Serviciul Postal din Austria pentru încălcarea prevederilor Regulamentului (UE) 2016/679 prin prelucrarea datelor cu caracter personal despre presupusa afinitate politică a persoanelor vizate;
• amendă de 150,000 de euro aplicată de autoritatea pentru protecția datelor din România unei instituții bancare pentru că nu a implementat măsuri tehnice și organizatorice corespunzatoare care să asigure un nivel de protecție adecvat și nu a evaluat riscurile prezentate de prelucrare.

Mai multe informații sunt disponibile la adresa: https://edpb.europa.eu/news/national-news_en