1.  Activități de informare și instruire efectuate de CNPDCP

–     La data de 17,18 și 19 februarie, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a instruit autoritățile locale din nordul, centrul și sudul Republicii Moldova. Cursul de instruire a avut drept scop familiarizarea participanților asupra supravegherii video și transmiterii online a ședințelor consiliilor locale. Participanții la curs au obținut informații cu privire la: cum ar urma să fie transmise online ședințele consiliilor locale, cine este responsabil de transmiterea online a acestora și cum urmează a fi furnizată informația. Instruirea a avut loc online și au participat 300 de persoane.

–     La începutul lunii martie, studenții facultății de Drept de la Universitatea de Stat din Moldova au fost familiarizați cu misiunea Centrului Național pentru Protecția Datelor cu Caracter Personal. Evenimentul a avut loc online pe platforma zoom unde au fost prezenți peste 50 de studenți. Angajații CNPDCP le-au explicat care sunt cele mai frecvent utilizate date cu caracter personal. Este vorba de prenumele, numele, adresa, numărul de telefon, adresa electronică, datele de localizare, adresa IP, starea civilă, fotografia feței, obiceiurile și preferințele, identificatorii online și orice alte date ce țin de identitatea fizică, fiziologică, economică, culturală sau socială care pot fi utilizate pentru identificarea directă sau indirectă a unei persoane fizice. Totodată, reprezentanții CNPDCP le-au vorbit studenților despre legislația și experiența statelor UE cu privire la protecția datelor, cazuri constatate de prelucrare a datelor cu caracter personal, procedurile aferente înregistrării operatorului de date cu caracter personal și despre cauzele contravenționale și consecințele prelucrării neconforme a datelor cu caracter personal.

–     La data de 11 martie, CNPDCP a oferit un curs de instruire pentru 50 de avocați din Republica Moldova, în domeniul protecției datelor cu caracter personal. Instruirea a fost făcută în cadrul întâlnirii online a organizației HELP a Consiliului Europei. Subiectele abordate în cadrul evenimentului au vizat: protecția datelor cu caracter personal și drepturile subiecților de date din Uniunea Europeană, dar și legislația Republicii Moldova care vizează protecția datelor. Anterior,  CNPDCP a elaborat aspecte practice care vizează protecția datelor cu caracter personal de către avocați, fiind publicate pe pagina web www.datepersonale.md: ”Aspecte privind practica de a depune la materialele dosarelor examinate de instanțele de judecată, a documentelor ce integrează date cu caracter personal ale persoanelor fizice, care nu sunt vizate în cazul examinat”. Aceste recomandări au drept scop asigurarea aplicării de către avocați a  principiului pertinenței și neexcesivității, care constă în limitarea volumului de date cu caracter personal la datele personale care prezintă relevanță pentru cauzele examinate, cu depersonalizarea datelor care sunt irelevante, excesive pentru caz, potrivit prevederilor art. 31 a Legii nr. 133/2011 privind protecția datelor cu caracter personal.

–     La data de 16 martie, CNPDCP, a oferit un curs de instruire în domeniul protecţiei datelor cu caracter personal angajaţilor Companiei Naţionale pentru Asigurări în Medicină la solicitarea instituţiei. La eveniment au participat circa 100 de persoane. Subiectele abordate în cadrul trainingului au vizat: principiile de protecţie a datelor cu caracter personal, drepturile subiecţilor de date, recomandările privind identificarea sistemelor de evidenţă în care are loc prelucrarea datelor cu caracter personal, cadrul normativ aferent protecţiei datelor şi implementarea cerinţelor legale din domeniul respectiv. Orice subiect al datelor cu caracter personal are dreptul de a obţine de la operator sau persoana împuternicită de către acesta, la cerere şi în mod gratuit: rectificarea, actualizarea, blocarea sau ştergerea datelor cu caracter personal a căror prelucrare contravine legii, în special datorită caracterului incomplet sau inexact al datelor şi notificarea terţilor cărora le-au fost dezvăluite datele cu caracter personal despre operaţiunile efectuate, exceptând cazurile când această notificare se dovedeşte a fi imposibilă sau presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat. Participaţii la curs au primit răspuns la întrebările ce țin de aplicarea în practică a legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv privind asigurarea legalităţii prelucrării datelor cu caracter personal în sistemele informaţionale gestionate de CNAM.

–     La data de 30 martie, CNPDCP a instruit, angajații Secretariatului Parlamentului Republicii Moldova întru asigurarea implementării conforme a prevederilor legislației privind protecția datelor cu caracter personal în cadrul sistemelor informaționale de evidență a datelor. Subiectele abordate în cadrul instruirii au vizat: noțiunile generale privind protecția datelor cu caracter personal, principiile de protecție a datelor cu caracter personal, asigurarea securității și confidențialității datelor cu caracter personal în cadrul sistemelor informaționale de evidență a datelor, aspecte generale ale securități datelor cu caracter personal, măsuri simple și esențiale de securitate și drepturile subiecților de date. Instruirea a avut loc online la solicitarea Secretariatului Parlamentului la care au participat 51 de angajați.

2.  Activitatea de control

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 97 de investigații. Din cele 97 de investigații: 16 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; în 45 de cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 68 de procese verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

3.1. CNPDCP a fost sesizat de subiectul de date privind încălcarea principiilor de protecție a datelor cu caracter personal ale petentului de către o companie de asigurări din Republica Moldova, prin intermediul plicului cu fereastră (chenar transparent) folosit în corespondență.

În urma examinării cauzei s-a determinat că, prin practica neconformă de a introduce în antetul reclamațiilor/scrisorilor a unui volum excesiv de date cu caracter personal, în raport cu scopul declarat, care ulterior sunt divulgate prin chenarul transparent al scrisorilor folosite de către operator, se favorizează accesul unui număr nedeterminat de persoane străine la datele cu caracter personal, fapt ce nu poate fi considerată o prelucrare ,,conformă” în sensul Legii nr.133/2011 privind protecția datelor cu caracter personal, or, legislația privind protecția datelor cu caracter personal a stabilit rigori clare privitor la implementarea măsurilor tehnice și organizatorice adecvate și eficace pentru protecția datelor cu caracter personal, de asigurare a confidențialității și securității datelor cu caracter personal.

Pe acest caz, CNPDCP a constatat încălcarea prevederilor legislației privind protecția datelor cu caracter personal și a dispus revizuirea/ajustarea informațiilor incluse în antetul reclamațiilor la cerințele statuate în Legea nr.133/2011 privind protecția datelor cu caracter personal, și anume, excluderea volumului excesiv de date cu caracter personal, precum și elaborarea/ aprobarea/ actualizarea instrumentului intern (regulament/ instrucțiune), în care să fie reglementată o procedura clară privind ținerea lucrărilor de secretariat, cu descrierea măsurilor tehnice și organizatorice necesare pentru protecția datelor cu caracter personal.

3.2. Ținând cont de caracterul repetat/continuu a plângerilor/sesizărilor adresate CNPDCP în ultima perioadă, vizând neconformitatea publicării actelor administrative cu caracter individual în Registrul de stat al actelor locale, în special fiind deplânse aspectele de nedepersonalizare sau depersonalizare incorectă a acestor acte, CNPDCP a adoptat decizia prin care a constatat încălcarea prevederilor legale din domeniul protecției datelor cu caracter personal. Totodată, CNPDCP a dispus Cancelariei de Stat, de comun cu autoritățile publice locale, de a întreprinde măsurile necesare în vederea instituirii unui mecanism de depersonalizare a actelor locale ce urmează a fi plasate în Registru.

3.3 CNPDCP a recepționat plângerea unui subiect de date, privind verificarea legalității prelucrării datelor cu caracter personal ce-l vizează, manifestată prin transmiterea certificatului de cazier judiciar unei persoane terțe, fără consimțământul subiectului de date.

În urma examinării cauzei s-a determinat că, operațiunea de prelucrare a datelor cu caracter personal, manifestată prin eliberarea cazierului judiciar ce conține date cu caracter personal a subiectului de date cu caracter personal, unei persoane neîmputernicite, nu a fost justificată din punct de vedere legal, fiind realizată în mod incorect și contrar prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Pe acest caz, CNPDCP a constatat încălcarea prevederilor art. 4 alin. (1) lit. a), art. 5 alin. (1), art. 6 alin. (1), art. 8 alin. (1), art. 29 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

3.4. CNPDCP, în contextul examinării demersului unei subdiviziuni al Ministerului Afacerilor Interne al RM, în temeiul art. 27 alin. (4) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, s-a autosesizat în partea ce ține de neconformitățile admise de către un colaborator al MAI  la prelucrarea/accesarea datelor cu caracter personal, fără un scop și temei legal de accesare, ale unui subiect de date cu caracter personal, prin intermediul Sistemului informațional – ”EDATA MAI”.

În rezultatul examinării materialelor de control, CNPDCP a constatat încălcarea prevederilor art. 4 alin. (1) lit. a) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, de către colaboratorul MAI, manifestată prin accesarea/consultarea datelor cu caracter personal ce vizează subiectul de date.

4. Activitatea de supraveghere

Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare –717  notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 262 de decizii de autorizare și 271 de decizii de refuz. Astfel, circa 184 de operatori de date și 262 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal.

5. Știri internaționale și europene

La data de 2 februarie, a avut loc cea de-a 45 Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul Ședinței au fost adoptate o serie de documente:

–         Recomandările 01/2021 cu privire la criteriile de referință privind caracterul adecvat al nivelului de protecție în temeiul Directivei privind protecția datelor în materie de aplicare a legii;

–         Aviz cu privire la proiectul Aranjamentului administrativ pentru transferurile de date cu caracter personal între Haut Conseil du Commissariat aux Comptes (H3C) și Comitetul de supraveghere a contabilității companiilor publice (PCAOB);

–         Declarație privind noile proiecte de dispoziții ale celui de-al doilea protocol suplimentar la Convenția Consiliului Europei privind criminalitatea informatică (Convenția de la Budapesta);

–         Răspunsul CEPD) la chestionarul Comisiei Europene privind prelucrarea datelor cu caracter personal pentru cercetare științifică, concentrându-se pe cercetarea în domeniul sănătății;

–         Ghidul privind art. 36 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.

La data de 10 martie,  în cadrul celei de-a 46 Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line, au fost adoptate o serie de documente:

–         CEPD și-a adoptat Programului de lucru pentru anii 2021-2022, în conformitate cu articolul 29 din Regulamentul de procedură al CEPD;

–         A fost adoptată Declarația privind proiectul Regulamentului ePrivacy;

–         A fost adoptat Ghidul nr. 2/2021 privind asistența vocală virtuală. Aceste linii directorii au scopul de a identifica unele dintre cele mai relevante provocări de conformitate pentru VVA și de a oferi recomandări părților interesate relevante cu privire la modul de abordare a acestora. Documentul a fost supus consultărilor publice pentru o perioadă de șase săptămâni;

–         A fost adoptată versiune finală a Ghidului nr. 1/2020 privind vehicule conectate, în urma consultării publice. Ghidul se concentrează pe prelucrarea datelor cu caracter personal în legătură cu utilizarea neprofesională a vehiculelor conectate de către subiecții de date;

–         A fost emisă Opinia comună cu EDPS nr. 3/2021 referitoare la propunerea de Regulament a Parlamentului European și Consiliului privind guvernanța datelor;

–         A fost adoptat în urma consultărilor publice Ghidul nr. 9/2020 privind obiecție relevantă și motivată;

–         Totodată, în cadrul CEPD au fost discutate proiectele de decizii privind conformitatea Regatului Unit, care au fost primite de la Comisia Europeană.

La data de 30 martie,  a avut loc cea de-a 47 Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line.

În cadrul Ședinței, Comitetul European pentru Protecția Datelor (EDPB) și Autoritatea Europeană pentru Protecția Datelor (EDPS) au adoptat Declarația comună  privind Propunerile pentru Certificatul Verde Digital. Certificatul Verde Digital are ca scop facilitarea exercitării dreptului la libera circulație în UE în timpul pandemiei COVID-19 prin stabilirea unui cadru comun pentru eliberarea, verificarea și acceptarea certificatelor de vaccinare, testare și vindecare în urma unui episod de COVID-19. Prin intermediul Declarației adoptate, EDPB și EDPS invită colegislatorii să se asigure că Certificatul Verde Digital este în conformitate cu legislația UE privind protecția datelor cu caracter personal și subliniază faptul că utilizarea acestuia nu poate duce, în niciun fel, la discriminarea directă sau indirectă a cetățenilor și trebuie să fie pe deplin în conformitate cu principiile fundamentale de necesitate, proporționalitate și eficacitate.

La data de 13 aprilie, în cadrul celei de-a 48 Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line, au fost adoptate o serie de documente, printre care:

–         două Avize cu privire la Proiectele de decizii de adecvare din Marea Britanie (Avizul 14/2021 care se bazează pe prevederile legale din GDPR și Avizul 15/2021 care se bazează pe Directiva privind protecția datelor în materie de asigurare a respectării legii). CEPD remarcă faptul că există domenii-cheie de puternică aliniere între cadrul legal privind protecția datelor din UE și Marea Britanie cu privire la anumite dispoziții de bază, cum ar fi:  temei pentru o prelucrare legală și echitabilă în scopuri legitime; limitarea scopului; calitatea și proporționalitatea datelor; păstrarea datelor, securitate și confidențialitate; transparență; categorii speciale de date; și privind luarea deciziilor și profilarea automată;

–         Linii Directorii privind aplicarea articolului 65 alineatul (1) litera (a) din GDPR, având drept scop de a delimita etapele principale ale procedurii și de a clarifica competența CEPD atunci când adoptă o decizie obligatorie din punct de vedere juridic în temeiul articolului menționat. Liniile Directorii au fost supuse consultării publice pentru o perioadă de șase săptămâni;

–         Versiunea finală a Liniilor Directorii privind direcționarea utilizatorilor de social media, în urma consultării publice, scopul acestora fiind de a clarifica rolurile și responsabilitățile furnizorilor de social media și ale persoanelor vizate;

–         Declarația privind acordurile internaționale, inclusiv transferurile. CEPD invită statele membre ale UE să evalueze și, acolo unde este necesar, să își revizuiască acordurile internaționale care implică transferuri internaționale de date cu caracter personal în scopul alinierii acestora la legislația UE privind protecția datelor.

La data de 19 mai a avut loc cea de-a 49-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), care s-a desfășurat online. În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care:

–         Două avize cu privire la Codurile de Conduită Transnaționale prezentate de către Autoritatea de Protecție a Datelor din Belgia (avizul cu privire la Codul de conduită al UE CLOUD, adresat furnizorilor de servicii cloud) și Autoritatea de Protecție a Datelor din Franța (avizul cu privire la Codul de conduită CISPE, adresat furnizorilor de servicii de infrastructură cloud). Aceste Coduri urmăresc să ofere îndrumări practice și să definească cerințe specifice (Art. 28 din GDPR) pentru persoanele împuternicite de operatori din UE care fac obiectul acestor Coduri. Acestea nu trebuie utilizate în contextul transferurilor internaționale de date cu caracter personal. CEPD este de părere că ambele proiecte de coduri de conduită sunt în conformitate  cu GDPR și îndeplinesc cerințele prevăzute la art. 40 și 41 din GDPR.

–         Declarația Legii privind guvernanța datelor (DGA) în lumina evoluțiilor din procesul legislativ. CEPD reiterează faptul că, fără garanții solide de protecție a datelor, există riscul ca încrederea în economia digitală să nu fie durabilă, subliniind, totodată, necesitatea de a asigura coerența DGA cu acquis-ul UE privind protecția datelor și îndeamnă colegiuitorii să acorde atenție anumitor aspecte, cum ar fi interacțiunea dintre DGA și GDPR și importanța asigurării faptului că noile definiții și concepte nu sunt incompatibile cu GDPR.

–         Recomandări cu privire la baza legală pentru stocarea datelor de pe cardurile de credit, în scopul de a facilita tranzacțiile online suplimentare. Recomandările acoperă situațiile în care subiecții de date cumpără un produs sau plătesc pentru un serviciu prin intermediul unui site web sau al unei aplicații și furnizează datele de pe cardul de credit pentru a încheia o tranzacție unică. Consimțământul oferit în conformitate cu art. 6 (1) (a) din GPDR ar trebui considerată singura bază legală adecvată pentru stocarea datelor de pe cardul de credit după achiziție.

La data de 18 iunie a avut loc cea de-a 50-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), care a avut loc online. În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care:

–         Versiunea finală a Recomandărilor privind măsurile suplimentare în urma consultării publice. Recomandările au fost adoptate pentru prima dată în noiembrie 2020 în urma hotărârii CJUE Schrems II. Acestea urmăresc să asiste operatorii și persoanele împuternicite de operatori care acționează ca exportatori de date pentru a identifica și implementa măsurile suplimentare adecvate acolo unde sunt necesare pentru a asigura un nivel adecvat de protecție a datelor pe care le transferă către țări terțe.

–         O scrisoare adresată instituțiilor UE cu privire la aspectele ce țin de confidențialitatea și protecția datelor unui posibil euro digital. În scrisoare, CEPD subliniază că un standard ridicat de confidențialitate și protecție a datelor este crucial pentru a consolida încrederea utilizatorilor finali și ar trebui considerat un element distinctiv în oferirea unui euro digital, reprezentând un factor cheie al succesului. Totodată, CEPD indică că este pregătit să ofere consultanță BCE sau altor instituții ale UE.

–         A desemnat trei reprezentanți în cadrul Sistemului European de Informații și de Autorizare privind Călătoriile (ETIAS), care au sarcina de a evalua impactul prelucrării cererilor și va juca un rol important în asigurarea conformității sistemului cu drepturile fundamentale în special în ceea ce privește confidențialitatea și protecția datelor cu caracter personal.

–         Un aviz comun CEPD-AEPD cu privire la propunerea Comisiei pentru un regulament de stabilire a normelor armonizate referitor la inteligența artificială (AI).

În perioada 24-26 martie a avut loc cea de-a 52-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal, care a avut online. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:

–       Convenția 108+, ratificările și aderările actuale;

–       Mecanismul de evaluare și urmărire în temeiul Convenției 108+;

–       Accesul  transfrontalier la datele cu caracter personal al organelor de ocrotire a legii;

–       Identitatea digitală;

–       Prelucrarea datelor cu caracter personal de către și pentru campaniile politice;

–       Schimbul automat de date;

–       Cooperarea cu alte organisme și entități ale Consiliului Europei;

–       Evoluții și activități majore în domeniul protecției datelor cu caracter personal, etc.

Totodată, în cadrul Ședinței a fost abordat un subiect de importanță majoră ce ține de certificatele de vaccinare COVID-19. În acest sens un aport considerabil l-au avut reprezentanții Comitetului pentru Bioetică (DH-BIO), precum și reprezentanții Secretariatului. În acest context, va fi prezentată delegațiilor Declarația „Covid-19 Vaccinarea, atestările digitale și protecția datelor ”.

6. Alte autorități pentru protecția datelor

–         Amendă în valoare de 10,4 mil. de euro aplicată de către Comisarul de stat pentru Protecția Datelor, Barbara Thiel din Saxonia Inferioară, companiei Notebooksbilliger.de AG, care se ocupa cu supravegherea video a potențialilor hoți fără nici o justificare legală. Camerele video erau instalate în spațiile de lucru, departamentul vânzărilor, depozite și camerele pentru personal. Potrivit companiei, camerele video au fost instalate pentru a preveni și investiga potențiale infracțiuni și pentru a urmări fluxul de mărfuri în depozite. Totodată, mai multe înregistrări au fost stocate mai mult de 60 de zile, contrar legislației. Amenda de 10,4 milioane de euro este cea mai mare sancțiune care a fost aplicată vreodată de Comisarul de stat pentru protecția datelor din Saxonia Inferioară în temeiul Regulamentului general pentru protecția datelor (GDPR). GDPR permite autorităților de supraveghere să impună amenzi de până la 20 de mil. euro – sau până la 4% din cifra de afaceri anuală totală a unei companii la nivel mondial.

–         Amenda administrativă în valoare de 250 000 de euro aplicată de către Autoritatea Suedeză pentru Protecția Datelor, Autorității de Poliție, pentru folosirea ilegală a aplicației de recunoaștere facială Clearview AI, în scopul identificării persoanelor.

În urma anchetei efectuate de către Autoritatea Suedeză pentru Protecția Datelor s-a concluzionat că Clearview AI a fost folosită de către câțiva angajați fără nicio autorizație prealabilă. Autoritatea de Poliție nu a implementat suficiente măsuri organizatorice pentru a asigura și a putea demonstra că prelucrarea datelor cu caracter personal în acest caz a fost efectuată în conformitate cu Codul Penal, prelucrând în mod ilegal date biometrice pentru recunoașterea facială, precum și nu a efectuat o evaluare a impactului asupra protecției datelor care ar fi fost necesară în acest caz. Suplimentar amenzii menționate supra, Autoritatea de Poliție va organiza cursuri de instruire pentru angajați în scop de a evita orice viitoare prelucrare ilegală a datelor cu caracter personal.

–         Amenda totală în valoare de 6.000.000 euro aplicată de către Autoritatea Spaniolă pentru Protecția Datelor (AEPD) companiei CAIXABANK, S.A pentru prelucrarea ilegală a datelor cu caracter personal ale clienților (4.000.000 euro) și pentru nefurnizarea de informații suficiente cu privire la prelucrarea datelor cu caracter personal (2.000.000 euro). Autoritatea Spaniolă pentru Protecția Datelor a considerat că compania CAIXABANK nu a oferit suficiente informații cu privire la categoriile de date cu caracter personal vizate, scopurile prelucrării datelor cu caracter personal, precum și legalitatea prelucrării acestora, în special activitățile de prelucrare bazate pe interesul legitim al companiei. În consecință, AEPD a constatat încălcarea prevederilor stipulate la articolele 13 și 14 din GDPR, fiind impusă o amendă de 2.000.000 euro. Totodată, Autoritatea Spaniolă pentru Protecția Datelor a constatat că CAIXABANK nu a furnizat niciun mecanism de colectare a consimțământului subiectului de date, iar activitățile de prelucrare a datelor bazate pe interesul legitim al companiei nu au fost suficient justificate. AEPD a concluzionat că aceasta a constituit o încălcare a articolului 6 din GDPR și, în conformitate cu articolul 83 alineatul (5) a din GDPR, a fost impusă o amendă administrativă în valoare de 4.000.000 euro. La stabilirea cuantumului amenzii administrative, AEPD a ținut cont de natura, gravitatea și durata încălcării, domeniul de activitate a companiei ce implică prelucrarea datelor cu caracter personal, precum și cifra de afaceri a acesteia. În plus față de amenda administrativă, cea mai mare impusă vreodată de APD spaniolă, AEPD a dispus companiei CAIXABANK să își aducă operațiunile de prelucrare a datelor în conformitate cu articolele 6, 13 și 14 din GDPR în următoarele șase luni.

–         Amenda în valoare de 475 000 euro aplicată de către Autoritatea Olandeză pentru Protecția Datelor (APD) companiei Booking.com pentru întârzierea raportării încălcării securității datelor cu caracter personal. Prin intermediul unei escrocherii telefonice vizând 40 de hoteluri din Emiratele Arabe Unite (EAU) în decembrie 2018, infractorii au convins personalul hotelului să dezvăluie detaliile de conectare pentru conturile lor într-un sistem Booking.com. În acest fel, infractorii au obținut acces la datele cu caracter personal a 4.109 de persoane care rezervaseră o cameră de hotel în EAU. Datele includeau numele, adresele și numerele de telefon, precum și detalii despre rezervarea acestora. Totodată, infractorii au putut accesa informațiile despre cardul de credit a 283 de persoane, iar în 97 de cazuri, a fost obținut și codul de securitate al acestuia. Infractorii au încercat, de asemenea, să obțină informațiile despre cardul de credit ale altor victime, dându-se drept personalul companiei  Booking.com în e-mailuri sau la telefon. Autoritatea Olandeză pentru Protecția Datelor a avertizat că observă o creștere explozivă a furtului de date cu caracter personal, care în 2020 a fost cu 30% mai mare decât în ​​anul precedent.

–         Amendă totală în valoare de 1 258 478 EUR aplicată de către Autoritatea Suedeză pentru Protecția Confidențialității (IMY) companiilor Medhelp și Voice Integrate pentru apelurile telefonice înregistrate către serviciul de consultații medicale, 1177, care erau disponibile și neprotejate pe internet. Cauza incidentului a fost că o unitate de stocare atașată la rețea a fost configurată incorect și a fost astfel accesibilă pe internet publicului. În plus, unitatea nu a utilizat comunicații criptate. În consecință, o cantitate mare de apeluri a devenit disponibilă fără protecție prin parolă sau altă protecție de securitate. Singurul lucru care era necesar a cunoaște pentru a obține acces la fișierele cu apelurile telefonice era adresa IP a unității de stocare. În urma contravențiilor care au fost stabilite, IMY a emis o sancțiune administrativă de 12 milioane SEK (1 193 813 €) pentru Medhelp și o sancțiune administrativă pentru Voice Integrate în valoare de 650.000 SEK (64.665 €).

BULETIN INFORMATIV NR. 6

(1 august – 30 octombrie 2020)

1. Activități de informare efectuate de CNPDCP

În ultima perioadă,  Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPDCP) primește multiple adresări prin care se solicită opinia autorității în legătură cu înregistrarea și transmiterea în direct prin intermediul internetului a ședințelor consiliilor locale. În acest context, în perioada de referință CNPDCP a analizat subiectul abordat și a notat că prin publicarea pe internet a ședințelor consiliilor locale, se va oferi acces la anumite informații care sunt puse în discuție în cadrul ședințelor, nu doar părților interesate din localitatea respectivă, dar unui număr nelimitat de persoane. Opinia detaliată a CNPDCP poate fi accesată la următorul link: https://datepersonale.md/aspecte-privind-inregistrarea-si-transmiterea-on-line-a-sedintelor-consiliilor-locale/

2. Activitatea de control 

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 82 de investigații. Din cele 82 de investigații: 4 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; în 28 de cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 31 de procese verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3. Activitatea de supraveghere

Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 183 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 89 de decizii de autorizare și 94 de decizii de refuz. Astfel, circa 68 de operatori de date și 89 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal.

4. Știri internaționale și europene

La 2 septembrie curent a avut loc cea de-a 36-a sesiune plenară a Comitetului European pentru Protecția Datelor. În cadrul acestei ședințe Comitetul a adoptat Liniile directorii privind conceptele de operator și persoană împuternicită din RGPD și Liniile directorii orientate spre utilizatorii de social media. În plus, CEPD a creat un grup de lucru pentru reclamații ca urmare a hotărârii CEJ Schrems II și un grup de lucru dedicat măsurilor suplimentare pe care exportatorii și importatorii de date pot fi obligați să le ia pentru a asigura o protecție adecvată la transferul de date în contextul hotărârii CEJ Schrems II.

https://edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-seventh-plenary-session-guidelines-controller_en

La 7 octombrie  s-a desfășurat cea de-a 39-a sesiune plenară a Comitetului European pentru Protecția Datelor. În cadrul  ședinței au fost adoptate Liniile directorii privind conceptul de obiecție relevantă și motivată. Liniile directorii vor contribui la o interpretare unificată a conceptului, care va ajuta la implimentarea art. 65 din RGPD. Liniile directorii vizează stabilirea unei înțelegeri comune a noțiunii „relevant și motivat”, inclusiv ceea ce ar trebui luat în considerare atunci când se evaluează dacă o obiecție „demonstrează în mod clar semnificația riscurilor prezentate de proiectul de decizie” (articolul 4 (24) RGPD).

La 20 octombrie, CEPD s-a întrunit pentru cea de-a 40-a sesiune plenară. În timpul plenului, a fost discutată o gamă largă de subiecte.

În urma consultării publice, CEPD a adoptat o versiune finală a Ghidului privind protecția datelor din momentul conceperii și implicit. Liniile directorii se concentrează asupra obligației de protecție a datelor din momentul conceperii și implicit, astfel cum este prevăzut la art. 25 RGPD. Obligația de bază consacrată la articolul 25 constă în implementarea efectivă a principiilor de protecție a datelor și a drepturilor și libertăților persoanelor vizate din momentul conceperii și implicit. Aceasta înseamnă că operatorii trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate și măsurile de protecție necesare, concepute pentru a stabili principiile de protecție a datelor în practică și pentru a proteja drepturile și libertățile persoanelor vizate. În plus, operatorii ar trebui să poată demonstra că măsurile implementate sunt eficiente.

Tot în cadrul acestei ședințe CEPD a decis să înființeze un cadru coordonat de aplicare (CEF). CEF oferă o structură pentru coordonarea activităților anuale recurente de către autoritățile de supraveghere ale CEPD. Obiectivul CEF este de a facilita acțiunile comune într-o manieră flexibilă și coordonată, variind de la creșterea conștientizării comune și colectarea de informații până la verificările de aplicare și anchete comune. Scopul acțiunilor coordonate anuale recurente este de a promova conformitatea, de a împuternici persoanele vizate să își exercite drepturile și să sensibilizeze. La această ședință CEPD a adoptat o scrisoare ca răspuns la Europäische Akademie für Informationsfreiheit und Datenschutz cu privire la implicațiile privind protecția datelor din articolul 17 din Directiva drepturilor de autor, în special cu privire la filtrele de încărcare a fișierelor. În scrisoare, CEPD afirmă că orice prelucrare a datelor cu caracter personal în scopul filtrelor de încărcare trebuie să fie proporțională și necesară și că, pe cât posibil, nu ar trebui prelucrate date cu caracter personal atunci când se aplică art. 17 din Directiva privind drepturile de autor. În cazul în care este necesară prelucrarea datelor cu caracter personal, cum ar fi pentru mecanismul de recurs, aceste date ar trebui să se refere doar la datele necesare pentru acest scop specific, aplicând în același timp toate celelalte principii ale RGPD. CEPD a subliniat că în continuare face schimb de informații cu Comisia Europeană pe această temă și că și-a manifestat disponibilitatea pentru o colaborare ulterioară.

 În perioada 28-30 septembrie a avut loc cea de-a 50-a reuniune a Biroului Comitetului Convenției 108, care s-a întrunit on-line. Peste 50 de experți în protecția datelor care reprezintă statele părți la Convenția 108, precum și observatori  s-au conectat zilnic la platformă, pentru a discuta subiectele agendei. Participanții au dus discuții pe teme prioritare ale Comitetului Convenției, cum ar fi recunoașterea facială, datele cu caracter personal prelucrate în contextul sistemelor de învățământ, profilarea, identitatea digitală precum și prelucrarea datelor cu caracter personal în contextul campaniilor politice.

Consiliul Europei publică raportul „Soluții digitale pentru combaterea COVID-19”, care analizează impactul asupra drepturilor la confidențialitate și protecția datelor a măsurilor luate pentru a preveni răspândirea pandemiei COVID-19 în cele 55 state africane, țările americane și europene părți la Convenția 108. Include o revizuire aprofundată și tehnică a utilizării aplicațiilor digitale de urmărire a contactelor și a instrumentelor de monitorizare.

5. Alte autorități pentru protecția datelor

–         o amendă de 830,000 euro a fost aplicată de Autoritatea Olandeză pentru Protecția Datelor către Registrul Național de Credit, pentru taxarea subiecților de date pentru solicitarea accesului la datele lor în format digital. Registrul Național de Credit a creat prea multe obstacole pentru persoanele care doresc să-și acceseze datele. Conform legislației privind confidențialitatea datelor cu caracter personal, acest lucru nu este permis.

–         o amendă de 75,000 euro a fost aplicată de Autoritatea Spaniolă pentru Protecția Datelor către VODAFONE ESPAÑA, pentru prelucrarea numărului de telefon al reclamantului în scopuri de marketing, după ce ultimul și-a exercitat dreptul la ștergere a datelor cu caracter personal în 2015, cu toate acestea, subiectului de date i-a fost transmis un SMS publicitar. Autoritatea Spaniolă pentru Protecția Datelor a considerat că VODAFONE ESPAÑA a încălcat articolul 6 alineatul (1) din GDPR, prin prelucrarea datelor personale ale reclamantului fără niciun temei legal.

–         o amendă de 100.000 zloți polonezi a fost aplicată de Autoritatea Poloneză pentru Protecția Datelor împotriva Autorității Generale de Geodezie a Poloniei (AGGP), pentru încălcarea principiului legalității prelucrării datelor cu caracter personal și punerea la dispoziție în mod intenționat fără un temei legal pe GEOPORTAL2 (geoportal.gov.pl) a datelor cu caracter personal sub formă de numere de carte funciară obținute din registrele funciare și de proprietate. În plus, AGGP trebuie să adapteze prelucrarea datelor cu caracter personal la prevederile GDPR, întrerupând punerea la dispoziție pe portalul GEOPORTAL2 (www.geoportal.gov.pl) a datelor cu caracter personal.

–         o amendă de 37, 400 euro  a fost aplicată de Autoritatea Norvegiană pentru Protecția Datelor împotriva Administrației Norvegiene a Drumurilor Publice, pentru prelucrarea datelor cu caracter personal în scopuri incompatibile cu scopurile menționate inițial și pentru neasigurarea ștergerii înregistrărilor video după 7 zile. Administrația Norvegiană  a Drumurilor a folosit camerele video de drum pentru a monitoriza părțile contractante, angajații, subcontractanții și angajații subcontractanților. Această utilizare a înregistrărilor video a fost incompatibilă cu scopul declarat inițial.

–         o amendă de 35, 3 milioane euro a fost aplicată de Comisarul din Hamburg pentru Protecția Datelor și Libertatea Informației (HmbBfDI) împotriva Centrului de Servicii H&M din Nurnberg pentru monitorizarea ilegală a câtorva sute de angajați de către administrație. Managerii au dobândit informația despre viața privată, religie, simptome ale bolii și diagnosticul angajaților, care a fost stocată permanent pe o rețea pentru o evaluare meticuloasă a performanței individuale a muncii și pentru a obține un profil detaliat al angajaților pentru măsuri și decizii referitoare la munca lor. Colectarea datelor a devenit cunoscută prin faptul că datele au devenit accesibile la nivel de companie pentru câteva ore în octombrie 2019 din cauza unei erori de configurare. HmbBfDI a ordonat, conținutul rețelei să fie “înghețat” și ulterior a cerut să fie returnat.

–         o amendă de 276,000 euro a fost aplicată de Autoritatea Norvegiană pentru Protecția Datelor împotriva Municipalității Bergen pentru prelucrarea neconformă a informațiilor ce conțin date cu caracter personal din sistemul de comunicare dintre școală și casă. În octombrie 2019, Autoritatea pentru Protecția Datelor a fost notificată cu privire la o încălcare a prelucrării datelor cu caracter personal de către municipalitatea Bergen, cu privire la noul instrument al municipalității pentru comunicarea dintre școală și casă, unde școala și părinții puteau comunica printr-un portal sau o aplicație. Municipalitatea nu a stabilit liniile directorii necesare pentru a securiza informațiile ce conțin date cu caracter personal ale copiilor și părinților cu o adresă confidențială înainte ca instrumentul să fie pus în aplicare. Astfel, o listă de contacte cu informații despre „adresa confidențială” a fost distribuită părinților la nivel de clasă. Amenda administrativă a fost impusă deoarece municipalitatea nu a implementat măsuri tehnice și organizatorice pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal, precum și confidențialitatea acestora.