Buletin Informativ Nr. 13
1. Activitățile de informare și instruire efectuate de CNPDCP
Pe parcursul trimestrului IV al anului 2022, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a organizat 8 cursuri de instruire pentru autoritățile publice locale (APL) la care au participat circa 226 de persoane și 5 cursuri de instruire pentru autoritățile publice centrale (APC) și alte entități unde au fost instruiți circa 425 de reprezentanți, precum și 125 de participanți din cadrul Academiei de Administrare Publică și Mobiasbanca (OTP Bank).
Pentru APL instruirile au fost desfășurate după cum urmează:
– 11 octombrie – Consiliul Raional Cimișlia;
– 27 octombrie – Consiliul Raional Șoldănești;
– 04 noiembrie – Consiliul Raional Cantemir;
– 25 noiembrie – Consiliul Raional Ștefan Vodă;
– 18 noiembrie – Consiliul Raional Ocnița;
– 2 decembrie – Consiliul Raional Basarabeasca;
– 9 decembrie – Consiliul Raional Criuleni și Dubăsari;
– 20 decembrie – Consiliul Raional Taraclia.
În ceea ce privește alte entități, CNPDCP a organizat instruiri pentru:
– reprezentanții Băncii Naționale a Moldovei la data de 10 și 17 octombrie;
– Academia de Administrare Publică – la data de 18 octombrie;
– Mobiasbanca (OTP Bank) – la data de 22 și 24 noiembrie;
– Serviciului Vamal – la data de 17 octombrie, precum și în perioada 19-21 decembrie.
Astfel, în perioada menționată, CNPDCP a reușit să instruiască un număr semnificativ de persoane din întreaga țară.
Mai mult, este de menționat că pe parcursul anului 2022 a fost asigurată instruirea tuturor APL-urilor din Republica Moldova.
De asemenea, în aceeași perioadă, în vederea diseminării domeniului protecției datelor cu caracter personal, CNPDCP a organizat un Atelier de lucru pentru elevii claselor a V-VI-a din IPLT „Gheorghe Asachi” mun. Chișinău. Atelierul de lucru a avut drept scop de a informa și sensibiliza elevii cu domeniul protecției datelor cu caracter personal și siguranța copiilor în mediul on-line prin promovarea responsabilizării celor mai bune practici de intervenție și sprijin.
2. Activitatea de control
În perioada octombrie-decembrie 2022, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 53 cazuri. În perioada de referință, au fost emise 57 decizii, dintre care în 17 cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 31 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
3. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
I. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, stocate în Registrul bunurilor imobile și efectuate de către o persoană fizică.
În cadrul investigației s-a constatat că, operațiunile de accesare a bunului imobil, ce-i aparține cu drept de proprietate subiectului de date, a fost efectuată cu scopul de a cumpăra un bun imobil ce se află în aceeași zonă, însă, careva probe ce ar confirma cele invocate nu au fost prezentate de către operator.
Totodată, CNPDCP a constatat faptul că, în speță, operatorul de date cu caracter personal, nu a oferit declarații ce ar justifica, în mod special, necesitatea accesării efectuate în raport cu datele cu caracter personal ale subiectului de date și a demonstrării legăturii de cauzalitate dintre datele cu caracter personal ale proprietarului bunului și scopul accesării acestuia.
În context, prin decizie s-a constatat că operațiunea de accesare a datelor cu caracter personal privind bunul imobil a subiectului de date a fost efectuată cu încălcarea art. 4 alin. (1) lit. a), b) și art. 5 ale Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, de către o persoană fizică, în lipsa unui scop determinat, explicit și legitim.
II. În adresa CNPDCP a parvenit plângerea unui subiect de date cu caracter personal, care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce-l vizează, efectuate de către 8 (opt) entități (în continuare – operatori de date), manifestate prin accesarea datelor cu caracter personal stocate în mai multe sisteme de evidență automatizate (RSP, RST, RBI, etc.), fiind peste 400 de accesări, precum și nerealizarea dreptului de acces la datele cu caracter personal ce vizează petentul.
În aceste circumstanțe, CNPDCP a dispus examinarea legalității operațiunilor de prelucrare a datelor cu caracter personal ale subiectului de date efectuate de către fiecare operator în parte.
Astfel, în rezultatul investigațiilor, în privința a trei operatori de date CNPDCP a constatat că operatorii de date au prelucrat datele cu caracter personal ale subiectului de date respectând cerințele Legii nr.133/2011, pe când în privința a cinci operatori de date, CNPDCP a constatat încălcarea prevederilor Legii precitate, or, operatorii de date nu au putut justifica scopul și temeiul legal al operațiunilor de prelucrare a datelor cu caracter personal ale subiectului de date, fie nu au putut identifica datele utilizatorilor care au efectuat anumite operațiuni de consultare/vizualizare a datelor cu caracter personal ale subiectului de date și, respectiv, nu a fost posibil de identificat scopul prelucrării.
Totodată, în privința unui operator de date-persoană juridică, CNPDCP a stabilit că, deși petentul și-a realizat dreptul de acces la datele sale cu caracter personal prelucrate de către entitate, expediind o cerere în sensul art. 13 al Legii nr133/2011 în adresa operatorului, ultimul nu i-a oferit un răspuns la cele solicitate, contrar dispozițiilor legale precitate.
III. CNPDCP a examinat sesizarea parvenită de la Direcția inspectare efectiv a Inspectoratului General al Poliției prin care se reclamă pretinse fapte ilegale admise la prelucrarea datelor cu caracter personal ale unui subiect de date de către angajații poliției din cadrul unui Inspectorat de poliție teritorial.
În context, CNPDCP a determinat că, caracteristica și cazierul contravențional pe numele subiectului de date, documente ce reflectă datele cu caracter personal – anul nașterii, numărul de identificare de stat (IDNP), datele din certificatul de înmatriculare, situația familială, adresa de domiciliul/reședința, comportamentul (caracterizează persoana), datele personale referitoare la sancțiunile contravenționale aplicate au fost emise și eliberate de către persoana cu funcție de răspundere din cadrul autorității publice, în lipsa unui temei legal și a consimțământului subiectului de date, fără a avea o adresare/solicitare din partea subiectului vizat, a avocatului în interesele acestuia, inclusiv în lipsa solicitării înaintată de instanța de judecată de a fi eliberate aceste acte, acțiuni ce contravin condițiilor de drept prevăzute de art. 4 alin. (1) lit. a), art. 5, art. 8 și art. 9 din Legea nr. 133 din 8 iulie 2011 privind protecția datelor cu caracter personal.
4. Activitatea de supraveghere
În conformitate cu prevederile statuate la art. 25 alin. (6) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, operatorul sau persoana împuternicită de operator are obligația de a publica datele de contact ale persoanei responsabile cu protecția datelor și de a le comunica CNPDCP. Astfel, în perioada de referință, CNPDCP a recepționat 11 scrisori, prin intermediul cărora a fost informat despre faptul desemnării persoanei responsabile cu protecția datelor cu caracter personal din partea entităților respective, preponderent de la entitățile private.
Simultan, au fost elaborate și plasate pe pagina web oficială a CNPDCP, la compartimentul „Operator de date/Recomandările CNPDCP”, următoarele ghiduri/linii directorii: „Ghidul privind evaluarea impactului asupra protecției datelor cu caracter personal (DPIA)” și „Liniile directorii privind prelucrarea datelor cu caracter personal în cadrul sistemelor de supraveghere video”.
În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 204 consultații telefonice și 21 de răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorul de date.
5. Știri internaționale și europene
La data de 10 octombrie, a avut loc cea de-a 70-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), care a fost organizată la Bruxelles, Belgia.
În cadrul Plenarei, CEPD au fost adoptate mai multe documente, printre care:
· Unul din principalele subiecte s-a referit la adoptarea de către CEPD a unei liste de aspecte din dreptul procedural național pe care dorește să le armonizeze la nivelul UE pentru a facilita aplicarea GDPR-ului. Această așa numită „listă de dorințe” este una dintre acțiunile-cheie stabilite în declarația de la Viena a CEPD privind cooperarea în materie de aplicare a legislației.
· Un aviz privind aprobarea de către Comitet a criteriilor de certificare Europrivacy prezentate de autoritatea luxemburgheză pentru protecția datelor. Acest aviz marchează aprobarea primului sigiliu european pentru protecția datelor de către CEPD, în conformitate cu art. 42 paragraful (5) din GDPR. Mecanismul de certificare Europrivacy este un sistem general care vizează o gamă largă de operațiuni de prelucrare diferite efectuate atât de operatori, cât și de persoane împuternicite de către operatori din diverse sectoare. Mecanismul include criterii specifice care îl fac scalabil și aplicabil la anumite operațiuni de prelucrare sau sectoare de activitate.
· O declarație privind euro digital. În declarația sa, CEPD a reiterat importanța asigurării confidențialității și a protecției datelor prin concepție și implicit în cadrul acestui proiect, recomandând ca euro digital să fie disponibil atât online, cât și offline de-a lungul unui prag sub care nu este posibilă urmărirea, pentru a permite anonimatul deplin al tranzacțiilor zilnice.
În perioada 19 – 20 octombrie, la Bruxelles, Belgia, a avut loc reuniunea Subcomitetului RM – UE pentru Libertate, Securitate și Justiție (Subcomitetul LSJ).
În cadrul reuniunii au fost discutate subiecte ce vizează evoluția în domeniul protecției datelor cu caracter personal, reforma sectorului justiției, prevenirea și combaterea crimei organizate a corupției și a altor activități ilegale, spălarea banilor și finanțarea terorismului.
De asemenea, în cadrul reuniunii au fost prezentate progresele înregistrate în domeniile sus-menționate de la ultima reuniune care a avut loc în perioada 12-13 octombrie 2021, în regim online. Reuniunea a întrunit inclusiv reprezentanți ai mai multor autorități din Republica Moldova, precum: Centrul Național Anticorupție; Procuratura Generală; Autoritatea Națională de Integritate; Ministerul Afacerilor Interne; Institutul Național al Justiției; Serviciul Prevenirea și Combaterea Spălării Banilor.
În perioada 9 – 11 noiembrie, Misiunea OSCE în Moldova, în colaborare cu Misiunea OSCE pentru prevenirea conflictelor din Viena, a continuat proiectul intitulat „Grupul Comun de Lucru al Experților” început anul trecut. Evenimentul s-a desfășurat la Viena, Austria și a avut drept scop consolidarea capacităților pentru persoanele de gen feminin ce dețin poziții de conducere. Obiectivul proiectului, a fost de a permite femeilor copreședinți și femeilor ce dețin posturi cheie să participe mai eficient la activitatea grupurilor de lucru mixte de experți în procesul de reglementare transnistreană, prin îmbunătățirea competențelor tehnice și prin consolidarea de relații personale între reprezentanții părților. În cadrul evenimentului au fost abordate mai multe subiecte, printre care: dinamica de gen; analiza conflictelor în funcție de gen; comportamente în negociere; lărgirea spațiului de manevră în procesele de negociere, etc.
La data de 14 noiembrie, a avut loc cea de-a 71-a Ședință Plenară a Comitetului European pentru Protecția Datelor, care s-a desfășurat on-line.
În cadrul ședinței plenare, CEPD a adoptat Recomandări privind cererea de aprobare și elementele/principiile care trebuie să se regăsească în regulile corporative obligatorii pentru operatori (BCR-C). BCR-C reprezintă un instrument de transfer care poate fi utilizat de un grup de întreprinderi, angajate într-o activitate economică comună, pentru a transfera date cu caracter personal în afara Spațiului Economic European către operatori sau persoane împuternicite de către operator din cadrul aceluiași grup. BCR-urile creează drepturi executorii și stabilesc angajamente în vederea stabilirii unui nivel de protecție a datelor echivalent, în esență, cu cel prevăzut de GDPR.
Scopul acestor recomandări este de a:
· furniza un formular standard actualizat de cerere pentru aprobarea BCR-C;
· să clarifice conținutul necesar al BCR-C și să ofere explicații suplimentare;
· să facă o distincție între ceea ce trebuie să fie inclus într-un BCR-C și ceea ce trebuie prezentat autorității principale de protecție a datelor în cererea BCR;
Un al doilea set de recomandări pentru persoanele care prelucrează BCR este în curs de elaborare.
În perioada 16-18 noiembrie, a avut loc cea de-a 43 Ședință Plenară a Comitetului Consultativ al Convenției 108 pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal, la Strasbourg, Franța. Evenimentul, organizat cu prezența fizică, după trei ani de întâlniri online/hibride, a adunat aproximativ 80 de participanți din toate regiunile lumii, timp de trei zile pentru a lucra și a face schimb de opinii cu privire la diverse aspecte de actualitate ce țin de domeniul protecției datelor cu caracter personal și pentru a contribui la dezvoltarea unor politici comune.
Printre temele discutate în cadrul acestei sesiuni au fost:
· Identitatea digitală;
· Model de clauză contractuală pentru transferul de date cu caracter personal;
· Cooperarea cu alte organisme și entități ale Consiliului Europei;
· Comitetul a organizat alegerile și au ales noul Birou;
· Observatori – Comitetul a examinat și a aprobat două cereri de participare la reuniunile Comitetului introduse de Organizația Statelor Americane și, respectiv, de Autoritatea pentru protecția datelor din Burkina Faso;
· Următoarele reuniuni 2022 și 2023 – Comitetul a comunicat despre datele următoarelor reuniuni plenare, care vor avea loc la 14-16 iunie 2023 și 15-17 noiembrie 2023, precum și de următoarele reuniuni ale Biroului din 15- 16 decembrie 2022, 22-24 martie 2023, 27-29 septembrie 2023 și 12-14 decembrie 2023;
· Premiul Stefano Rodotà – Cei doi câștigători ai Premiului Rodotà 2022 și-au prezentat lucrările în fața Comitetului și au primit premiile.
În perioada 18-19 noiembrie, la Tbilisi, Georgia, reprezentanții CNPDCP au participat la Atelierul European de gestionare a cazurilor 2022.
Evenimentul s-a axat pe probleme de actualitate în domeniul protecției datelor cu caracter personal și confidențialitate, în special cum ar fi:
· Etapele parcurse în cadrul investigațiilor de către angajații autorităților;
· Protecția datelor sociale indicații și excepții în legislația națională;
· Transmiterea internațională de date cu caracter personal;
· Date personale și inteligență artificială;
· Principalele provocări cu care se confruntă autoritățile de supraveghere a datelor, etc.
Prezenți la eveniment, reprezentanții CNPDCP au abordat tematica – „Experiența Republicii Moldova și metodologia de examinare a plângerilor subiecților de date ce vizează copiii”. Invitația de participare la Atelier a venit din partea Serviciului de Protecție a Datelor cu Caracter Personal din Georgia, care desfășoară controlul legalității prelucrării datelor cu caracter personal din anul 2013. Evenimentul a întrunit circa 50 de participanți din 26 de țări europene.
În perioada 12 – 14 decembrie, a avut loc reuniunea organizată în cadrul proiectul Cyber East: Acțiune privind criminalitatea cibernetică pentru reziliență în regiunea Parteneriatului Estic și a cuprins două evenimente majore, precum, ce-a de-a 6-ea ședință a Comitetului Director al Proiectului CyberEast EU-CoE și Ședința regională privind raportarea cibernetică și schimbul de date prin care se propune de a sprijini țările din Parteneriatului estic în construirea și menținerea parteneriatelor cu entitățile din sectorul privat, în principal furnizori de servicii Internet (ISP), pentru consolidarea mecanismelor de cooperare și încredere între sectorul privat, cetățeni și autoritățile de justiție penală, la Tbilisi, Georgia. În cadrul reuniunii au fost abordate mai multe subiecte, printre care:
· Raportarea crimelor cibernetice/securității cibernetice. Provocări legate de raportare;
· Clasificarea incidentelor cibernetice/crimelor cibernetice. Utilizarea taxonomiilor și necesitatea acestora;
· Exemple de sisteme de raportare: idei de îmbunătățire pentru sistemele naționale;
· SOPs naționale și segregarea atribuțiilor;
· Cooperarea între sectorul public și cel privat în Ucraina: accent pe noua legislație procedurală și utilizarea procedurilor/modelelor;
· Ce tipuri de date și cum pot fi împărtășite de CSIRT-uri.
În perioada 13 – 14 decembrie, a avut loc cea de-a 73-a Ședință Plenară a Comitetului European pentru Protecția Datelor, care a fost organizată la Bruxelles, Belgia. În cadrul Ședinței, CEPD a adoptat o declarație cu privire la recenta hotărâre C-817/19 a Curții de Justiție a Uniunii Europene (CJUE) privind utilizarea datelor din fișa cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, în temeiul Directivei PNR 2016/681. În declarația sa, CEPD solicită statelor membre ale UE să ia toate măsurile necesare la nivel legislativ și/sau administrativ pentru a se asigura că transpunerea și punerea în aplicare la nivel național a Directivei PNR sunt în conformitate cu Carta Drepturilor Fundamentale a UE, astfel cum a fost interpretată de CJUE. În acest sens, CEPD ia act de faptul că autoritățile de protecție a datelor sunt pe deplin competente să investigheze conformitatea cu cerințele UE în materie de protecție a datelor la nivel național.
În perioada 15 – 16 decembrie, a avut loc cea de-a 57-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:
· Convenția 108+, ratificările și aderările actuale;
· Identitatea digitală;
· Schimburi inter-statale de date pentru Combaterea Spălării Banilor și a Finanțării Terorismului și scopuri fiscale;
· Clauze contractuale în contextul fluxurilor transfrontaliere de date;
· Interpretarea articolului 11 din Convenția 108 modernizată;
· Evoluții și activități majore în domeniul protecției datelor;
· Cooperarea cu alte organisme și entități ale Consiliului Europei.
6. Alte autorități pentru protecția datelor La data de 19 octombrie, Autoritatea Franceză pentru Protecția Datelor (CNIL) a emis o amendă administrativă în valoare de 20 milioane de euro companiei Clearview AI pentru încălcarea articolelor 6, 12, 15, 17 și 31 din GDPR.
CNIL a primit numeroase plângeri de la persoane fizice cu privire la software-ul de recunoaștere facială Clearview AI și a inițiat o anchetă.
În urma investigațiilor, CNIL a constatat mai multe încălcări, cum ar fi:
· Prelucrarea ilegală a datelor cu caracter personal (încălcarea articolului 6 din GDPR);
· Nerespectarea drepturilor subiecților de date (articolele 12, 15 și 17 din GDPR);
· Lipsa de cooperare cu CNIL (articolul 31 din GDPR).
Pe baza informațiilor care i-au fost aduse la cunoștință, CNIL a decis să impună o sancțiune financiară maximă de 20 de milioane de euro, în conformitate cu articolul 83 din GDPR.
În ceea ce privește riscurile foarte grave pentru drepturile fundamentale ale subiecților de date care rezultă din prelucrarea efectuată de companie, CNIL a dispus Clearview AI să înceteze colectarea și prelucrarea datelor cu caracter personal a persoanelor fizice rezidente în Franța fără un temei juridic și să șteargă datele acestor persoane pe care le-a colectat deja, în termen de două luni, adăugând la această somație o penalitate de 100 000 de euro pe zi de întârziere dincolo de aceste două luni.
La data de 24 noiembrie, Autoritatea Franceză pentru Protecția Datelor (CNIL) a emis o amendă administrativă în valoare de 600 000 de euro aplicată companiei Élécricité de France (EDF) pentru încălcarea articolelor 7, 13, 14, 32 din GDPR, a Codului poștal și al comunicațiilor electronice.
CNIL, a primit numeroase plângeri privind dificultățile întâmpinate de persoanele fizice în ceea ce privește luarea în considerare a drepturilor lor de către compania EDF, care este primul producător de energie din Franța.
În urma investigațiilor, CNIL a constatat mai multe încălcări, cum ar fi:
· Omisiunea obligației de a colecta consimțământul persoanelor fizice pentru a primi prospecțiuni comerciale prin e-mail (articolele L. 34-5 din Codul poștal și al comunicațiilor electronice și 7 din GDPR);
· Nerespectarea obligației de informare și de exercitare a drepturilor subiecților de date (articolele 13 și 14 din GDPR);
· Neasigurarea securității datelor cu caracter personal (articolul 32 din GDPR).
Cuantumul amenzii a fost decis prin prisma încălcărilor constatate precum și a tuturor măsurilor luate de furnizorul francez de energie în cursul procedurii pentru a se conforma.
La data de 02 noiembrie, Autoritatea Portugheză pentru Protecția Datelor (CNPD) a emis o amendă în valoare de 4,3 milioane de euro companiei Portuguese National Statistics Institute (INI) pentru încălcarea art. 9 alin. (1); art. 12; art. 13; art. 28 alin. (1), (6) și (7); art. 35 alin. (1), (2) și (3) lit. b); art. 44; art. 46 și art. 83 din GDPR.
CNPD a primit mai multe plângeri cu privire la recensământul național. Pentru efectuarea recensământului, INE a utilizat serviciile CDN (rețea de livrare de conținut) ale unei companii americane, Cloudflare, Inc., cu peste 200 de centre de date răspândite în peste 100 de țări. În acel moment, aproximativ 2,5 milioane de formulare, care conțineau datele cu caracter personal a peste șase milioane de cetățeni cu reședința în Portugalia, fuseseră deja transmise către INE.
În urma anchetei ulterioare, CNPD a identificat cinci încălcări ale GDPR-ului în contextul prelucrării datelor recensământului din 2021, cu privire la următoarele aspecte:
· Lipsa legalității pentru prelucrarea categoriilor speciale de date cu caracter personal (art. 9 alin. (1) din GDPR);
· Nerespectarea obligațiilor de transparență (art. 12 și 13 din GDPR), în special în ceea ce privește furnizarea oricăror informații referitoare la operațiunile de prelucrare, de exemplu prin afișarea unei notificări privind confidențialitatea pe site-ul INE;
· Lipsa Evaluării Impactului asupra Protecției Datelor (art. 35 alin. (1), (2) și (3) lit. b) din GDPR);
· Lipsa diligenței necesare cu privire la alegerea persoanei împuternicite de către operator (art. 28 alin. (1), (6) și (7) din GDPR), și anume, prin acceptarea unui contract standard, care nu a fost evaluat în conformitate cu art. 28 alin. (3) din GDPR;
· Nerespectarea cerințelor legale pentru transferurile internaționale de date (art. 44 și art. 46 alin. (2) din GDPR), cum au fost interpretate de CJUE în Hotărârea Schrems II.
În acest context, urmare a faptelor și a raționamentului juridic, CNPD a stabilit că operatorul de date a încălcat diferite prevederi din GDPR referitor la prelucrarea datelor recensământului 2021 și, prin urmare, a decis, în temeiul articolului 58 alineatul (2) litera (i) și al articolului 83 din GDPR și al unor dispoziții naționale, să aplice operatorului de date o singură amendă în valoare de 4,3 milioane de euro. Această decizie este una finală, dar care poate fi contestată în instanțele naționale.