Buletinul informativ al CNPDCP Nr.3 pentru perioada noiembrie 2019 – ianuarie 2020
1128 Views
1. Activități de informare și instruire efectuate de CNPDCP
În perioada noiembrie 2019 – ianuarie 2020, CNPDCP a organizat în comun cu experții UE Twinning 20 de instruiri în domeniul protecției datelor cu caracter personal pentru un total de 680 de participanți din diferite autorități publice și entități private.
În acest context, vom enumera câteva dintre programele de instruire oferite de reprezentantii CNPDCP, inclusiv în comun cu experții din cadrul Proiectului UE Twinning:
Ministerul Finanțelor – 30 de funcționari publici;
Parlamentului Republicii Moldova – 40 de participanți;
Curtea de Apel Comrat – 23 de angajați;
Ministerul Sănătății, Muncii și Protecției Sociale – 60 de participanți;
Colegiul ” Alexei Mateevici” din Chișinău – 110 studenți;
Direcția generală, educație, tineret și sport, mun. Chișinău – 84 de participanți;
Judecătoria Chișinău – 30 participanți;
Ministerul Justiției – 23 de angajați;
Centrul Republican pentru Copii și Tineret ” ARTICO” – oră educativă pentru copii cu vârstele cuprinse între 7-14 ani – 40 de copii;
Universitatea Liberă Internațională din Moldova – 53 studenți, anul 3, Facultatea de Drept;
Eveniment de sensibilizare pentru părinți și copii – ”Protejează-ți copilul în mediul online!”, acțiune realizată în comun cu Inspectoratul General al Poliției al MAI, compania de telefonie mobilă ”Moldcell” și Asociația Obștească ”Părinți Solidari” – 66 de părinți participanți;
Eveniment de informare pentru studenți cu ocazia Zilei europene a protecției datelor – ”Dreptul de acces la informație și dreptul la viața privată” cu participarea studenților ultimului an de studii de la Facultatea de Drept, ULIM și Facultatea de Jurnalism, USM, inclusiv, participarea reprezentanților societății civile – Promo-Lex, Centrul de Resurse Juridice, Centrul de Investigații Jurnalistice, etc- 14 participanți;
Instruire pentru angajații companiei de telefonie mobilă ”Moldcell” – 45 de participanți;
Eveniment pentru sensibilizarea copiilor – ”Protecția datelor exprimată prin desen!” – 24 de copii de la ARTICO.
În cadrul acestor acțiuni de instruire, reprezentanții CNPDCP au specificat regulile generale privind protecția datelor cu caracter personal, principiile de prelucrare a datelor cu caracter personal, precum și o serie de recomandări:
necesitatea asigurarii unui nivel adecvat de securitate și confidentialitate a datelor cu caracter personal;
necesitatea protejării copiilor în mediul online și limitarea accesului acestora către rețele de socializare (Facebook, Twitter, Instagram etc.);
necesitatea elaborării și implementării de măsuri corespunzătoare în vederea instituirii mecanismului de păstrare a evidenței operațiunilor de prelucrarea a datelor cu caracter personal;
necesitatea respectării principiului reducerii la minimum a datelor, respectiv minimizarea categoriilor și volumului de date cu caracter personal prelucrate la cele strict necesare îndeplinirii scopului/scopurilor pentru care au fost colectate.
2. Activitatea de control a CNPDCP
În perioada vizată, CNPDCP a efectuat un număr de 109 investigații la operatori de date, atât din sectorul privat, cât și din sectorul public, în vederea verificarii condițiilor de legalitate ale prelucrărilor de date cu caracter personal efectuate. Din cele 109 de investigații – 8 proceduri de investigații au fost inițiate ca urmare a autosesizarii CNPDCP în legătură cu o presupusă prelucrare a datelor cu caracter personal neconformă cu normele în domeniul protecției datelor cu caracter personal. Din 109 investigații, pe 7 cazuri finalizate s-a constatat încălcarea prevederilor legale și au fost aplicate de către instanțele de judecată – amenzi contavenționale în sumă totală de 13 mii de lei. Celelalte cazuri se află încă în procedură de investigare.
Totodată, în aceeași perioadă de referință, CNPDCP a primit un număr de 231 plângeri care au condus la efectuarea de investigații în vederea soluționării acestora. În general, plângerile au vizat,următoarele aspecte:
• realizarea drepturilor subiecților de date – 45 de sesizări;
• prelucrarea datelor cu caracter personal prin intermediul sistemului de supraveghere video – 39 sesizări;
• prelucrarea datelor cu caracter personal în lipsa consimțământului subiectului de date – 32 de sesizări;
• prelucrarea datelor cu caracter personal prin dezvăluire în rețelele de socializare – 24 sesizări;
• prelucrarea datelor cu caracter personal în activitatea polițienească – 23 de sesizări;
• prelucrarea datelor cu caracter personal prin publicarea hotărârilor judecătorești fără depersonalizare –17 sesizări;
• prelucrarea datelor cu caracter personalîn sectorul financiar-bancar – 16 sesizări;
• etc.
Suplimentar, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 443 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 282 de decizii de autorizare și 161 decizii de refuz. Astfel, circa 241 de operatori de date și 282 de sisteme de evidență a datelor cu caracter personal au fost înregistrați în Registrul de evidență a operatorilor de date cu caracter personal, ceea ce denotă un interes sporit al operatorilor de date de a se conforma regulilor stabilite prin Legea nr. 133 din 8 iulie 2011 privind protecția datelor cu caracter personal, comparativ cu perioada anterioară.
3. Știri la nivel european și internațional
În perioada 12 – 13 noiembrie 2019, a avut loc a 15 – a reuniune plenară a Comitetului European pentru Protecția Datelor, în cadrul căruia au fost abordate următoarele subiecte:
• A treia revizuire anuală a Scutului de Confidențialitate
• Orientări privind domeniul de aplicare teritorială
• Orientări privind asigurarea protecției datelor începând cu momentul conceperii și în mod implicit
• Protocolul adițional la Convenția de la Budapesta privind criminalitatea informatică
Mai multe detalii sunt disponibile la adresa:
În perioada 2 – 3 decembrie 2019, a avut loc a 16 – a reuniune plenară a Comitetului European pentru Protecția Datelor, în cadrul căruia au fost abordate următoarele subiecte:
• Aviz în temeiul articolului 64 din RGPD cu privire la cerințele autorității britanice de supraveghere și acreditare a organismelor de monitorizare a codurilor de conduită.
CEPD și-a adoptat avizul cu privire la proiectul de decizie al Autorității britanice de supraveghere privind Cerințele de acreditare a organismelor de monitorizare a codurilor de conduită. Avizul urmărește să asigure consecvența și aplicarea corectă a acestor cerințe în cadrul autorităților de supervizare din SEE.
• Răspuns la solicitarea de recomandări a OAREC referitoare la revizuirea orientărilor care vizează regulile privind neutralitatea internetului.
CEPD și-a adoptat răspunsul la solicitarea de orientări formulată de Organismul Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (OAREC) cu privire la cadrul UE curent de protecție a datelor.
• Orientări cu privire la „Criteriile dreptului de a fi uitat față de motoarele de căutare în aplicarea RGPD” (partea 1).
Comitetul a adoptat proiectul de orientări cu privire la „Criteriile dreptului de a fi uitat față de motoarele de căutare în aplicarea RGPD”. Orientările prezintă o interpretare a articolului 17 din RGPD cu privire la temeiurile și excepțiile pentru cererile de eliminare de pe listă înaintate furnizorilor de motoare de căutare și reprezintă o actualizare a orientărilor din 2014 privind implementarea deciziei din cauza Costeja emise de Grupul de Lucru „Articolul 29” (WP29).
În perioada 11 – 13 decembrie 2019, a avut loc cea de-a 49-a ședință a Biroului Comitetului Consultativ al Convenției 108 pentru protecția persoanelor în ceea ce privește prelucrarea automatizată a datelor. În cadrul ședinței au fost discutate următoarele subiecte:
• Ratificarea de către Bulgaria a Protocolului (CETS nr. 223) de modificare a Convenției 108;
• Comitetul ad-hoc pentru inteligență artificială (CAHAI) care își începe activitatea, privind studiul de fezabilitate al unui cadru legal internațional privind inteligența artificială (IA), referitor la cartografierea ultimelor tendințe în ceea ce privește datele de tip IA.
• Semnăturile recente (de modificare a Protocolului CETS nr. 223 a Convenției 108+) de către Elveția, Serbia și Macedonia de Nord. Pînă în prezent numărul total de semnături este de 38;
În perioada 22-23 ianuarie 2020, a avut loc cea de-a șaptesprezecea sesiune plenară a CEPD. În cadrul plenului, a fost discutată o gamă largă de subiecte, cum ar fi:
• adoptarea avizelor privind cerințele de acreditare pentru organismele de monitorizare a codurilor de conduită prezentate autorităților de supraveghere (SA) belgiene, spaniole și franceze. Aceste avize urmăresc să asigure coerența și aplicarea corectă a criteriilor în rândul autorităților SEE.
• adoptarea proiectele de linii directoare privind vehiculele conectate. Pe măsură ce vehiculele devin din ce în ce mai conectate, cantitatea de date generate despre șoferi și pasageri de către aceste vehicule conectate crește rapid. Liniile directorii se concentrează pe prelucrarea datelor cu caracter personal în legătură cu utilizarea neprofesională a vehiculelor conectate de către subiecții de date
• adoptarea în versiune finală a Liniilor directorii privind prelucrarea datelor cu caracter personal prin dispozitive video în urma consultării publice. Liniile directorii urmăresc să clarifice modul în care RGPD se aplică prelucrării datelor cu caracter personal la utilizarea dispozitivelor video și să asigure aplicarea consecventă a RGPD în acest sens.
• Scrisoare către Consiliul Europei cu privire la Convenția privind criminalitatea informatică. În urma contribuției Comitetului la procesul de consultare privind negocierea celui de- al doilea protocol adițional la Convenția Consiliului Europei privind Criminalitatea informatică (Convenția de la Budapesta), mai mulți membri ai Comitetului au participat activ la Conferința Octopus a Comitetului pentru criminalitatea informatică ale Consiliului Europei (T-CY).
Mai multe detalii sunt disponibile la adresa .
4. Alte autorități pentru protecția datelor
Pe parcursul acestei perioade mai multe autorități pentru protecția datelor din Uniunea Europeană au desfășurat investigații care au condus la aplicarea de amenzi administrative operatorilor de date din diferite sectoare de activitate. Dintre acestea evidențiem următoarele:
• Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România a aplicat o amendă de 80.000 euro, constatând faptul că operatorul a încălcat prevederile art. 25 alin. (1) coroborat cu art. 5 alin. 1 lit. f) din RGPD. Operatorul nu a asigurat respectarea principiului protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor (privacy by design și privacy by default), întrucât nu a procedat la adoptarea de măsuri tehnice și organizatorice corespunzătoare, privind integrarea de garanții adecvate în sistemul automatizat de prelucrare a datelor în cadrul procesului de decontare al tranzacțiilor cu cardul, fiind afectat un număr de 225.525 de clienți ale căror operațiuni de plată au fost dublate în perioada 8-10.10.2018, raportat și la prevederile art. 32 alin. (1) lit. d) din RGPD.
• Autoritatea de Protecția Datelor din Norvegia a emis o amendă administrativă în valoare de 49.300 EUR pentru stocarea datelor despre pacienți din casele de bătrâni și centrele de sănătate în afara sistemului electronic de evidență medicală, din 2007 până în noiembrie 2018.
• Autoritatea Italiană de Supraveghere a aplicat două amenzi în valoare totală de 11,5 milioane EUR, privind prelucrarea ilicită a datelor cu caracter personal în contextul activităților de promovare și activare a contractelor nesolicitate. Amenzile au fost determinate în funcție de parametrii stabiliți în Regulamentul UE, incluzând gama largă de părți interesate implicate, gradul de comportare, durata încălcării și condițiile economice ale operatorilor. Mai multe informații sunt disponibile la adresa.
