Buletin Informativ Nr. 19
I. Activitățile de informare și instruire efectuate de CNPDCP
În trimestru trei al anului 2024 (iulie – septembrie), Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), a continuat să înregistreze progrese în partea ce ține de activitățile de informare și sensibilizare a publicului larg cu domeniul protecției datelor cu caracter personal.
În perioada de referință, s-a continuat organizarea cursurilor de instruire pentru subdiviziunile Inspectoratului General al Poliției (IGP), conform planului de instruiri aprobat și semnat de către conducătorii CNPDCP și IGP, la data de 26 ianuarie 2024. Scopul acestora a fost de a spori gradul de percepție a angajaților subdiviziunilor IGP asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. În cadrul evenimentelor au fost abordate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; modalitatea legală de prelucrare a datelor cu caracter personal în activitatea desfășurată de către angajații subdiviziunilor IGP; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; obligațiile organului de poliție în calitate de operator de date în raport cu subiectul de date; procedura corectă de accesare a datelor cu caracter personal prin intermediul sistemelor informaționale de stat, precum și ducerea evidenței corecte a auditului acestor accesări; asigurarea securității și confidențialității datelor cu caracter personal prelucrate, etc.
Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:
-
24 iulie – Inspectoratul de poliție Hâncești;
-
07 august – Inspectoratul de poliție Centru;
-
14 august – Inspectoratul de poliție Buiucani;
-
21 august – Inspectoratul de poliție Botanica;
-
29 august – Inspectoratul de poliție Râșcani al Direcției de poliție municipiul Chișinău;
-
10 septembrie – Direcția de poliție a UTA Găgăuzia;
-
10 septembrie – Inspectoratul de poliție Comrat;
-
18 septembrie – Inspectoratul de poliție Ciadîr-Lunga;
-
25 septembrie – Inspectoratul de poliție Vulcănești.
În acest context, au fost instruiți circa 420 de reprezentanți din cadrul subdiviziunilor IGP.
La data de 21 februarie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Inspectoratului General al Poliției de Frontieră (IGPF), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru personalul Poliției de Frontieră. În perioada de referință, cursuri de instruire au fost organizate pentru angajații Sectorului Poliției de Frontieră (SPF) în contextul elaborării / implementării de către IGPF a „Conceptului privind autonomia funcțională și decizională a patrulei Poliției de Frontieră în activitatea de supraveghere a frontierei de stat”. Scopul acestora a fost de a spori gradul de percepție a angajaților SPF care supraveghează frontiera în scopul combaterii migrației ilegale, a traficului de persoane și a criminalității transfrontaliere, asupra principiilor de protecție a datelor cu caracter personal, precum și asupra asigurării aplicării corecte a prevederilor legale din domeniu, în activitatea pe care o desfășoară. Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:
-
19 septembrie – SPF Briceni al Direcției regionale Nord;
-
24 septembrie – SPF Sculeni al Direcției regionale Vest.
În acest context, au fost instruiți circa 90 de reprezentanți din cadrul subdiviziunilor IGPF.
La data de 08 iulie 2024, a fost aprobat și semnat de către conducătorii CNPDCP și Casei Naționale de Asigurări Sociale (CNAS), Planul de instruiri în domeniul protecției datelor cu caracter personal pentru angajații din cadrul subdiviziunilor structurale CNAS. Scopul cursurilor de instruire a fost de a spori gradul de percepție a angajaților CNAS asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare. În cadrul evenimentelor au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; aspecte ce țin de desemnarea Responsabilului cu protecția datelor (DPO); aspecte ce țin de Evaluarea Impactului asupra Protecției Datelor; asigurarea securității și confidențialității datelor cu caracter personal de către angajații CNAS, etc.
Astfel, cursurile de instruire au fost organizate pentru următoarele subdiviziuni:
-
08 august – Aparatului central al Casei Naționale de Asigurări Sociale (două cursuri de instruire);
-
09 august – Casa Teritorială de Asigurări Sociale, mun. Chișinău (două cursuri de instruire);
-
17 septembrie – Casa Teritorială de Asigurări Sociale, regiunea Nord (două cursuri de instruire);
-
30 septembrie – Casa Teritorială de Asigurări Sociale, regiunea Centru (două cursuri de instruire).
În acest context, au fost instruiți circa 775 de reprezentanți din cadrul subdiviziunilor CNAS.
În perioada de referință, CNPDCP a manifestat deschidere și spirit de colaborare, organizând cursuri de instruire pentru reprezentanții instituțiilor publice, la solicitarea acestora. La data de 13 august au fost instruiți reprezentanții Centrului pentru Comunicare Strategică și Combatere a Dezinformării (Centrul). Scopul cursului de instruire a fost de a spori gradul de percepție a angajaților Centrului asupra principiilor de protecție a datelor cu caracter personal, precum și familiarizarea acestora cu regimul de confidențialitate și securitate a datelor cu caracter personal în conformitate cu prevederile legislației în vigoare. În cadrul evenimentului au fost discutate subiecte de importanță, cum ar fi: definirea noțiunilor generale aferente domeniului protecției datelor cu caracter personal; principii și temeiuri legale pentru prelucrarea datelor cu caracter personal; drepturile subiecților de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; cerințele privind protecția datelor cu caracter personal, în exercitarea atribuțiilor de serviciu; asigurarea securității și confidențialității datelor cu caracter personal prelucrate etc.
În perioada de referință au fost organizate cursuri de instruire pentru instituțiile medicale. La data de 26 septembrie a avut loc cursul de instruire cu genericul „Prevederi legale în domeniul protecției datelor cu caracter personal” pentru reprezentanții Spitalului Clinic de Psihiatrie, având drept scop de a consolida capacitățile personalului medical prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. În cadrul evenimentului au fost abordate subiecte, cum ar fi: definirea datelor cu caracter personal privind starea de sănătate; prelucrarea categoriilor obișnuite de date cu caracter personal; prelucrarea categoriilor speciale de date cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal privind starea de sănătate; principii de prelucrare a datelor cu caracter personal; drepturile pacienților; obligativitatea caracterului secret a datelor cu caracter personal; confidențialitatea și secretul profesional; divulgarea datelor cu caracter personal privind starea de sănătate; obligativitatea de asigurare a confidențialității și securității datelor cu caracter personal; reducerea la minimum a datelor și limitarea stocării, etc. În cadrul evenimentului au fost instruiți circa 60 de reprezentanți ai Spitalului Clinic de Psihiatrie.
Totodată, în perioada de referință a fost continuată campania de informare și sensibilizare pentru comunitățile școlare cu genericul: „Protecția datelor cu caracter personal și siguranța copiilor în mediul on-line”. Scopul campaniei a fost de a oferi comunității școlare o vizibilitate ridicată cu privire la protecția datelor cu caracter personal și siguranța copiilor în mediul on-line la nivel local și național prin promovarea responsabilizării și a celor mai bune practici de intervenție și sprijin. Tematicile abordate în cadrul instruirilor au vizat: noțiuni generale privind datele cu caracter personal; utilizarea corectă a pozelor/video în mediul online; riscurile și amenințările în mediul online; comunicarea pe rețelele de socializare, etc. Cursul de instruire a fost organizat la data de 10 iulie, pentru Centrul Republican pentru Copii și Tineret „Artico”, fiind instruiți 53 de elevi.
II. Activitatea de control
În perioada iulie – septembrie 2024, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal în 86 de cazuri. În perioada de referință, au fost emise 87 decizii, dintre care în 36 de cazuri s-a constatat încălcarea prevederilor legale, fiind încheiate 40 procese-verbale cu privire la contravenție, care ulterior au fost remise instanței de judecată pentru soluționare.
III. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal
1. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, ce vizează pretinsele operațiuni neconforme de prelucrare a datelor cu caracter personal, efectuate de către o persoană, manifestate prin publicarea mai multor secvențe video cu prezența unor minore pe rețelele de socializare „Facebook” și „Instagram” în lipsa consimțământului subiectului de date și a reprezentantului legal al acestora, invocând că prin acțiunile deplânse a fost încălcat primordial dreptul la viața privată a copiilor, aceste postări fiind contrare intereselor superioare ale copiilor, fapt ce ar reprezenta inclusiv un abuz asupra valorilor familiale.
Chiar dacă operatorul/persoana care a publicat secvențele video a invocat că scopul plasării acestora ar fi unul nobil, și anume: de a prezenta dorința fetelor de a-l aduce acasă pe tatăl acestora și nedorința de a merge cu mama biologică, totuși în ceea ce privește publicarea de imagini și informații despre minori, părinții, tutorii și alte persoane responsabile trebuie să fie conștienți de consecințele pe termen lung ale publicării acestor imagini și să acorde prioritate protejării vieții private și demnității copiilor.
Astfel, CNPDCP subliniază importanța protejării dreptului la viață privată al copiilor, având în vedere vulnerabilitatea acestora și necesitatea de a le asigura un mediu sigur și protejat, inclusiv în mediul digital.
În context, prin decizie s-a constatat că, prelucrarea datelor cu caracter personal ce vizează minorele a fost efectuată cu încălcarea prevederilor art. 4 alin. (1) lit. a), b) și c) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.
Mai mult, având în vedere că speța implica minori, CNPDCP a reținut că, scopul invocat de operator putea fi atins prin utilizarea unor mijloace mai puțin intruzive în viața privată a acestora.
2. CNPDCP a examinat plângerea subiectului de date privind pretinsul fapt de prelucrare neconformă a datelor cu caracter personal, materializată prin dezvăluirea datelor cu caracter personal de către un consilier local, urmare a transmiterii live a ședinței consiliului local, fapt ce a dus la divulgarea datelor cu caracter personal a unei persoane despre care se discuta, pentru a-i oferi un ajutor material.
În cadrul investigației, CNPDCP a constatat că datele cu caracter personal ce vizează persoana în cauză, au fost publicate pe rețeaua de socializare ,,Facebook”, urmare a transmiterii live, de către un consilier a ședinței consiliului local cu scopul de a asigura transparența deciziilor luate de consiliu. Drept urmare, au fost divulgate numele, prenumele, boala de care suferă și cuantumul ajutorului. Totuși, potrivit art. 4 alin. (1) lit. a), b) și c) din Legea nr. 133/2011 privind protecția datelor cu caracter personal, datele cu caracter personal care fac obiectul prelucrării trebuie să fie prelucrate în mod corect şi conform prevederilor legii; colectate în scopuri determinate, explicite şi legitime, iar ulterior să nu fie prelucrate într-un mod incompatibil cu aceste scopuri, adecvate, pertinente şi neexcesive în ceea ce privește scopul pentru care sunt colectate şi/sau prelucrate ulterior. Or, consilierul local ar fi trebuit să înceteze transmisiunea live, imediat ce a fost informat că urmează să fie discutate informații ce conțin date sensibile cu caracter personal ale unor persoanele fizice, în special conștientizând că informația privind starea de sănătate constituie categorie specială de date cu caracter personal.
În context, în cadrul soluționării plângerii, CNPDCP a constatat prin decizie încălcări ale prevederilor art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1), art. 7 și art. 29 alin. (1) ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către consilierul local, la divulgarea datelor cu caracter personal ale subiectului de date.
3. CNPDCP a examinat plângerea unui subiect de date cu caracter personal, prin care a solicitat verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal ce îi aparțin de către o persoană necunoscută, acțiuni ce s-au manifestat prin anexarea copiei fișei buletinului de identitate ce îi aparține, la dosarul civil al unei alte persoane.
Astfel, în cadrul investigației s-a constatat că, operațiunile de prelucrare a datelor cu caracter personal efectuate de către operator (autoritate publică), au fost efectuate în vederea pregătirii dosarului personal la angajare a persoanei terțe, unde a fost solicitată și copia buletinului de identitate ce aparține subiectului de date, fapt ce nu este prevăzut în regulamente sau instrucțiuni aferente.
Ulterior, copia fișei buletinului de identitate ce aparține subiectului de date, a fost anexată, împreună cu alte acte ale persoanei terțe, la dosarul civil al acesteia.
În acest sens, urmează a menționa faptul că, conform art. 3 al Legii nr. 133/2011, calitatea de destinatar are orice persoană fizică sau persoană juridică de drept public ori de drept privat, inclusiv autoritatea publică şi subdiviziunile ei teritoriale, căreia îi sunt dezvăluite date cu caracter personal, indiferent dacă este sau nu terţ. Nu sunt considerate destinatari organele din domeniul apărării naţionale, securităţii statului şi ordinii publice, organele de urmărire penală şi instanţele judecătoreşti cărora li se comunică date cu caracter personal în cadrul exercitării competenţelor stabilite de lege.
În urma celor descrise supra, Centru, prin decizie, a determinat că operațiunile de prelucrare a datelor cu caracter ce aparțin subiectului de date contravin prevederilor art. 4 alin. (1), lit. a) și b) și art. 5 ale Legii privind protecția datelor, or, acestea au fost efectuate de către operatorul de date – la caz, autoritate publică, în lipsa unui scop de determinat, explicit și legitim.
IV. Activitatea de supraveghere
În perioada de referință, CNPDCP a venit cu unele precizări și recomandări pentru subiecții de date:
O nouă schemă frauduloasă! Atenție la furnizarea datelor cu caracter personal!
În contextul informațiilor mediatizate, privind colectarea datelor cu caracter personal de către pretinse persoane acreditate de către Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), autoritatea a venit cu următoarele precizări și recomandări pentru subiecții de date:
CNPDCP este o autoritate publică autonomă, independentă şi imparţială faţă de alte autorităţi publice, persoane fizice şi juridice, care îşi exercită atribuţiile ce îi sunt date în competenţă prin Legea privind protecţia datelor cu caracter personal.
În calitate de organ de control al prelucrărilor de datelor cu caracter personal, CNPDCP are o serie de atribuții, cum ar fi: monitorizează respectarea legislaţiei cu privire la protecţia informaţiei şi controlează aplicarea acesteia, în special dreptul la informare, de acces la date, de intervenţie asupra datelor şi de opoziţie; oferă subiecţilor datelor cu caracter personal informaţii referitoare la drepturile lor; dispune suspendarea sau încetarea prelucrării datelor cu caracter personal efectuate cu încălcarea prevederilor legale; efectuează controlul legalităţii prelucrărilor de date cu caracter personal; sesizează organele de drept în cazul existenţei unor indicii privind săvârşirea infracţiunilor legate de încălcarea drepturilor subiecţilor datelor cu caracter personal; constată contravenţii şi încheie procese-verbale conform Codului contravenţional al Republicii Moldova etc.
Angajații CNPDCP pot prelucra date cu caracter personal doar în scopul exercitării atribuțiilor de serviciu/competențelor menționate supra, solicitând informații concrete despre obiectul sesizării aflate în examinare sau controlului inițiat/desfășurat. Datele instituționale oficiale de contact, pot fi verificate pe pagina web a autorității.
Totodată, CNPDCP nu acreditează/autorizează persoane pentru a prelucra date cu caracter personal și/sau pentru a acționa în numele său. Mai mult, persoanele care solicită informații prin asemenea căi dubioase sunt escroci și cel mai probabil, scopul acestora este deposedarea de mijloace financiare, utilizând date cu caracter personal.
În acest context, CNPDCP recomandă cetățenilor:
-
Nu accesați link-uri din mesaje sau anunțuri publicitare suspecte;
-
Evitați înregistrarea și completarea sondajelor online dubioase;
-
Nu furnizați informații ce conțin date cu caracter personal pe site-uri neverificate;
-
Nu răspundeți la mesajele suspicioase și marcați-le ca SPAM;
-
Descărcați aplicații numai din surse oficiale;
-
Nu introduceți date cu caracter personal, la cerere, chiar dacă vi se propun câștiguri fabuloase;
-
Nu oferiți persoanelor necunoscute acces de la distanță la dispozitive prin aplicații specializate (de exemplu, AnyDesk și TeamViewer);
-
Nu comunicați nimănui datele cardului bancar;
-
Nu transferați bani persoanelor necunoscute și nu transmiteți nimănui mijloace bănești prin intermediul persoanelor terțe necunoscute, indiferent de scop.
Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 45 de consultații telefonice și 8 răspunsuri prin intermediul poștei electronice, fiind propuse recomandări în vederea înlăturării discrepanțelor identificate de către operatorii de date cu caracter personal.
5. Știri internaționale și europene
-
În perioada 09-13 septembrie, reprezentanții CNPDCP au participat în cadrul Academiei pentru Protecția Datelor din Balcanii de Vest și Regiunea Parteneriatului Estic, care a avut loc la Bruxelles, Belgia.
Academia pentru Protecția Datelor este un proiect creat de Comisia Europeană (DG JUST) care oferă suport și instruire pentru Autoritățile de Protecție a Datelor (DPA) din țările din afara UE, oferind acestora o platformă pentru a face schimb de opinii, bune practici și lecții învățate cu omologii lor din UE.
Scopul evenimentului a fost de a prezenta experiența instituțiilor și organismelor relevante ale UE în procesul de implementare a GDPR-ului, oferind o imagine de ansamblu cuprinzătoare și practică a provocărilor apărute în procesul de aplicare a acestuia.
În cadrul Academiei pentru Protecția Datelor din Balcanii de Vest și Regiunea Parteneriatului Estic au fost abordate subiecte de importanță, cum ar fi:
-
Aspecte cheie din domeniul protecției datelor începând cu septembrie 2023, cu accent pe legislație, implementare și cooperare internațională;
-
Principii ale administrației publice, cu accent pe furnizarea de servicii și sfera digitală, rolul confidențialității și al protecției datelor cu caracter personal;
-
Rolul unei Autorități Independente de Protecție a Datelor în ecosistemul de protecție a datelor;
-
Rolul Responsabililor cu protecția datelor;
-
Protecția datelor în era digitalizării serviciilor și a inteligenței artificiale;
-
Asigurarea echilibrului între cerințele legale privind protecția datelor și legislația privind libertatea de informare;
-
Protecția datelor în contextul acordurilor de colaborare cu EUROPOL și Eurojust;
-
Regulamentul digital al UE: interacțiunea dintre GDPR și noile reglementări europene privind datele (DSA, DMA, DGA, Data Act);
-
Transferurile internaționale și reglementarea fluxurilor globale de date, etc.
Evenimentul, organizat de Comisia Europeană, în colaborare cu programul SIGMA, Fondul regional al Parteneriatului estic pentru reformele administrației publice al GIZ, Consiliul de Cooperare Regională și Școala Regională de Administrație Publică, a reunit reprezentanți ai Autorităților de Protecție a Datelor din 10 țări, cum ar fi: Albania, Armenia, Bosnia și Herzegovina, Georgia, Kosovo, Moldova, Muntenegru, Macedonia de Nord, Serbia și Ucraina.
6. Alte autorități pentru protecția datelor
-
La data de 26 iulie, a fost publicată decizia Autorității Lituaniane pentru Protecția Datelor privind aplicarea amenzii administrative în valoare de 2 385 276 euro operatorului platformei online de comercializare și schimb de haine second-hand – Vinted, UAB pentru încălcarea articolului 5 – Principii referitoare la prelucrarea datelor cu caracter personal, articolului 6 – Legalitatea prelucrării, articolului 12 – Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate și articolului 83 – Condiții generale pentru impunerea amenzilor administrative, din GDPR.
SA Lituaniană a inițiat o investigație în urma plângerilor reclamanților (utilizatori ai platformei Vinted) transmise de SA Franceză și SA Poloneză în 2021 și, respectiv, 2022, susținând că compania nu a pus în aplicare în mod corespunzător cererile acestora cu privire la dreptul de ștergere („dreptul de a fi uitat”) și dreptul de acces.
În urma investigațiilor, SA Lituaniană a constatat că, compania în răspunsurile sale la solicitările de ștergere a datelor cu caracter personal, a declarat că nu va acționa în baza unei cereri specifice, deoarece solicitantul în cauză nu a identificat un motiv specific în temeiul articolului 17 alineatul (1) din GDPR și nu a identificat toate scopurile pentru care datele cu caracter personal specifice ale solicitanților ar continua să fie prelucrate după depunerea cererii.
Totodată, compania pentru a asigura securitatea platformei și a utilizatorilor săi, a aplicat în mod ilegal „shadow blocking” (prelucrarea datelor cu caracter personal cu intenția ca o persoană care se presupune că încalcă principiile de funcționare ale platformei Vinted să părăsească platforma fără a fi conștientă de această prelucrare a datelor sale cu caracter personal) în ceea ce privește unii dintre solicitanți, cu încălcarea principiilor echității și transparenței, iar punerea în aplicare necorespunzătoare a acestor principii au afectat negativ capacitatea utilizatorilor platformei de a-și exercita alte drepturi și de a solicita despăgubiri în temeiul GDPR.
În plus, compania nu a asigurat suficiente măsuri tehnice și organizatorice pentru punerea în aplicare a principiului responsabilității și pentru a putea demonstra că a luat (sau a refuzat în mod rezonabil să ia) măsuri cu privire la dreptul de acces.
În acest context, SA Lituaniană a decis să impună o amendă administrativă în valoare de 2 385 276 euro companiei Vinted, UAB. Atunci când a decis cuantumul amenzii, SA Lituaniană s-a bazat pe Orientările 04/2022 din 24 mai 2023 ale Comitetului European pentru Protecția Datelor privind calcularea amenzilor administrative în temeiul GDPR și a luat în considerare domeniul de aplicare transfrontalier al prelucrării efectuate de companie, faptul că încălcările au afectat un număr mare de persoane vizate și au durat o perioadă lungă de timp.
-
La data de 02 septembrie, a fost publicată decizia Autorității Suedeze pentru Protecția Datelor privind amenda administrativă în valoare de 1 300 000 euro aplicată companiei Avanza Bank AB pentru încălcarea articolului 5 Principii legate de prelucrarea datelor cu caracter personal, articolul 32 Securitatea prelucrării și articolului 83 Condiții generale pentru impunerea amenzilor administrative din GDPR.
O bancă suedeză a raportat către SA Suedeză o încălcare a securității datelor cu caracter personal. Notificarea precizează că banca a utilizat pixelul Facebook (acum Meta Pixel) pe site-ul său web și în aplicația sa pentru a optimiza marketingul băncii pe Facebook. O setare incorectă a Meta Pixel a însemnat că datele cu caracter personal au fost transferate către Meta pe o perioadă mai lungă de timp. Notificarea băncii precizează că, în perioada 15 noiembrie 2019 – 2 iunie 2021, datele cu caracter personal ale până la un milion de clienți au fost transferate în mod eronat către Meta.
Atunci când banca a luat cunoștință de incident, pixelul Meta a fost dezactivat, iar datele cu caracter personal colectate prin intermediul pixelului au fost șterse de Meta. Totodată, banca și-a revizuit procedurile interne pentru a asigura prelucrarea corectă și sigură a datelor cu caracter personal.
Compania Avanza Bank AB a încălcat prevederile legale stipulate în GDPR, prin faptul că nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal ale vizitatorilor site-ului web și ale utilizatorilor aplicațiilor.
În acest context SA Suedeză a impus o amendă administrativă în valoare de 1 300 000 companiei Avanza Bank AB.
-
La data de 03 septembrie, a fost publicată decizia finală a Autorității Olandeze de Supraveghere cu privire la impunerea amenzii administrative în valoare de 30,5 milioane de euro companiei Clearview pentru încălcarea articolului 6 Legalitatea prelucrării, articolului 9 Prelucrarea de categorii speciale de date cu caracter personal, articolului 12 Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate, articolului 14 Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, articolului 15 Dreptul de acces al persoanei vizate, articolului 27 Reprezentanții operatorilor sau ai persoanelor împuternicite de operatori care nu își au sediul în Uniune și articolului 84 Sancțiuni.
Clearview este o companie americană care oferă servicii de recunoaștere facială. Clienții Clearview pot furniza imagini de pe camere pentru a afla identitatea persoanelor care apar în imagini. În acest scop, Clearview dispune de o bază de date cu mai mult de 30 de miliarde de fotografii ale persoanelor. Compania colectează automat aceste fotografii de pe internet și apoi le convertește într-un cod biometric unic pentru fiecare față fără ca aceste persoane să știe acest lucru și fără ca ele să își fi dat consimțământul în acest sens.
În urma investigațiilor, SA Olandeză a constatat că, în scopul serviciului său „Clearview for law-enforcement and public defenders” (Clearview pentru autoritățile de aplicare a legii și avocați din oficiu), compania prelucrează, fără a avea un temei juridic în acest sens, date cu caracter personal ale persoanelor vizate care se află pe teritoriul Țărilor de Jos, încălcând, astfel, articolul 5 alineatul (1) (a), coroborat cu articolul 6 alineatul (1) din GDPR. Totodată, Clearview încalcă articolul 9 alineatul (1) din GDPR prin prelucrarea unei categorii speciale de date cu caracter personal (date biometrice) ale persoanelor vizate care se află pe teritoriul Țărilor de Jos. SA Olandeză a determinat că Clearview nu informează în mod adecvat persoanele vizate, acționând, în acest caz contrar articolului 12 alineatul (1), coroborat cu articolul 14 alineatele (1) și (2) și contrar articolului 5 alineatul (1) (a) din GDPR. Nu în ultimul rând, Clearview a încălcat articolul 12 alineatul (3), coroborat cu articolul 15 din GDPR, prin faptul că nu a răspuns la două cereri de acces din partea persoanelor vizate și articolul 12 alineatul (2), coroborat cu articolul 15 din GDPR, întrucât Clearview nu facilitează persoanelor vizate de pe teritoriul Țărilor de Jos exercitarea dreptului lor de acces. Faptul că compania nu a desemnat un reprezentant în Uniunea Europeană în sensul articolului 4 alineatul (17) din GDPR, deși sunt obligați să facă acest lucru în temeiul articolului 27 alineatul (1) din GDPR, constituie, de asemenea, o încălcare a GDPR-ului.
În acest context, SA Olandeză a impus companiei Clearview o amendă administrativă în valoare de 30,5 milioane de euro și patru măsuri care fac obiectul unei sancțiuni pentru neconformitate, măsuri care se referă la încetarea încălcărilor încă în curs. Dacă Clearview nu reușește să facă acest lucru, compania va trebui să plătească penalități pentru nerespectare în valoare totală maximă de 5,1 milioane de euro pe lângă amendă.