1.      Activități de informare și instruire efectuate de CNPDCP

La data de 28 ianuarie, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) în colaborare cu experții proiectului TAIEX, au organizat conferința națională „Transferuri transfrontaliere – Provocări ale transferului transfrontalier de date din perspectiva Convenției 108 + și GDPR”. Scopul conferinței a fost de a prezenta informații, exemple de bune practici și soluții inovatoare privind sensibilizarea şi informarea sectorului public despre provocările transferului transfrontalier de date cu caracter personal. Conferința a fost moderată de experți în protecția datelor cu caracter personal din Italia, Germania, Austria și reprezentanți din cadrul Comisiei Europene. Printre temele abordate de experți au fost: transferurile transfrontaliere de date cu caracter personal din perspectiva Convenției 108+ și tendințe globale, prezentare generală a temeiurilor privind  transferurile transfrontaliere de date cu caracter personal în temeiul GDPR și tipul de garanții necesare, provocările transferului transfrontalier de date cu caracter personal din perspectiva autorităților de supraveghere din UE, transferuri transfrontaliere de date în domeniul cooperării cu organele de ocrotire a legii, informații generale referitoare la conceptul de caracter adecvat al nivelului de protecție a datelor cu caracter personal și aspecte esențiale și procedurale ale deciziilor de adecvare. În cadrul evenimentului au participat circa 70 de reprezentanți ai sectorului public.

Totodată, la data de 26 ianuarie, a fost desfășurată Acțiunea stradală – ”Protejează datele cu caracter personal”, organizată de reprezentanții CNPDCP în contextul celebrării Zilei Europene a Protecției Datelor. În acest context, mai mulți angajați ai CNPDCP au distribuit trecătorilor, în preajma Scuarului Catedralei, materiale informative, cetățenii fiind sensibilizați despre noțiunea de date cu caracter personal, drepturile subiecților de date, măsurile de securitate și confidențialitate a datelor, precum și despre principiile de protecție a datelor cu caracter personal. Totodată, aceștia au fost informați cu privire la posibilele situații în care datele cu caracter personal nu sunt prelucrate în conformitate cu prevederile legislației naționale din domeniu, oferindu-le îndrumări și recomandări practice care ar trebui întreprinse în astfel de situații.

În perioada de referință, CNPDCP a înregistrat o evoluție remarcabilă la capitolul activități de instruire și sensibilizare desfășurate. A fost continuat șirul de instruiri organizate pentru reprezentanții autorităților publice locale (APL) din raionale Republicii Moldova, acestea având drept scop de a consolida capacitățile reprezentaților APL-urilor prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. Subiectele abordate în cadrul instruirilor au vizat: definirea datelor cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal; filmarea și transmiterea online a ședințelor consiliilor locale; aprobarea politicii de securitate și a instrucțiunilor privind sistemele informaționale, etc. Totodată, cu titlu separat, au fost discutate aspectele legate de depersonalizarea corectă a datelor cu caracter personal ce se conțin în actele administrative ale autorităților publice locale publicate în Registrul de stat al actelor locale. Evenimentele, moderate de experți naționali în domeniul protecției datelor din cadrul CNPDCP, au fost organizate pentru aproximativ a câte 50 de primari, consilieri raionali și secretari ai consiliilor locale din fiecare centru raional în parte. Cursurile de instruire au fost desfășurate:

·        La data de 27 ianuarie – Consiliul Raional Ialoveni;

·        La data de 04 februarie – Consiliul Raional Telenești;

·        La data de 11 februarie – Consiliul Raional Edineț;

·        La data de 25 februarie – Consiliul Raional Drochia;

·        La data de 11 martie – Consiliul Raional Dondușeni;

·        La data de 25 martie – Consiliul Raional Soroca.

2.      Activitatea de control

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 53 de investigații. Din cele 53 de investigații: 47 de cazuri finalizate, în 27 cazuri s-a constatat încălcarea prevederilor legale. Totodată, au fost încheiate 18 procese-verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3.      Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

I.   Încălcarea drepturilor subiectului de date cu caracter personal: dreptul de acces la datele cu caracter personal, dreptul de intervenție asupra datelor cu caracter personal și dreptul de opoziție.

CNPDCP, în cadrul examinării unei petiții depuse de către un subiect de date, a emis o decizie prin care s-a constatat încălcarea prevederilor art. 13 alin. (1) și art. 14 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal de către un agent economic, la prelucrarea datelor cu caracter personal ale petiționarului, manifestată prin ignorarea cererii subiectului de date, prin care, ultimul a solicitat, inclusiv, un răspuns care să demonstreze că operatorul de date a șters datele cu caracter personal ce îl vizează, astfel, realizându-și dreptul de intervenție asupra datelor cu caracter personal.

Astfel, subiectul de date cu caracter personal și-a realizat dreptul de acces și dreptul de intervenție la datele cu caracter personal ce îl vizează, înaintând o cerere către operatorul de date cu caracter personal, fiind solicitate informații referitoare la modalitatea asigurării protecției datelor cu caracter personal ale clienților, care sunt scopurile în care sunt utilizate aceste date, care sunt garanțiile că datele cu caracter personal nu sunt folosite în scopuri personale.

În urma examinării cauzei s-a determinat că, operatorul de date cu caracter personal, a ignorat cererea subiectului de date, nerealizându-i dreptul de acces și dreptul de intervenție la datele cu caracter personal ce vizează subiectul de date, prevăzut de art. 13 alin. (1) și art. 14 ale Legii privind protecția datelor cu caracter personal.

Respectiv, agentului economic i-a fost întocmit proces-verbal cu privire la contravenție în baza art. 741 alin. (3) Cod contravențional.

II. Încălcarea regulilor de prelucrare și stocare a datelor cu caracter personal, prin intermediul unui sistem de supraveghere video

CNPDCP, în cadrul examinării unei petiții depuse de către un subiect de date, a emis o decizie prin care s-a constatat încălcarea prevederilor art. 4 alin. (1) lit. a), b), c), art. 5 alin. (1) ale Legii nr. 133/2011, la prelucrarea datelor cu caracter personal ale petiționarului, în legătură cu colectarea/înregistrarea vocii persoanei vizate, fără consimțământul acesteia, prin intermediul camerei de supraveghere video, instalate pe un pilon electric, ce cuprindea atât proprietatea gestionarului sistemului de supraveghere video, cât și o porțiune din spațiul ce nu-i aparținea ultimului, fără a fi identificat scopul determinat, explicit și legitim, legătura de cauzalitate dintre scop și datele prelucrate ale petiționarului, proporționalitatea, corectitudinea și concordanța cu normele legale în domeniul protecției datelor cu caracter personal. Așadar, ținând cont de cele sus-indicate, Centrul a reținut că, înainte de instalarea unui sistem de supraveghere video, operatorul de date trebuie întotdeauna să examineze critic dacă această măsură este, în primul rând, adecvată pentru îndeplinirea obiectivului dorit și, în al doilea rând, proporțională și necesară pentru scopurile sale, în raport cu interesele sau drepturile și libertățile fundamentale ale subiectului de date. Prin urmare, înregistrarea audiovizuală de către operatorul de date  în cauză, prin intermediul camerei de supraveghere video, fără consimțământul persoanei vizate, constituia o măsură excesivă și disproporționată în raport cu scopul declarat, la caz, asigurarea securității proprietății.

Respectiv, operatorului de date cu caracter personal i-a fost întocmit proces-verbal cu privire la contravenție în baza art. 741 alin. (1) Cod contravențional.

4.      Activitatea de supraveghere

În conformitate cu prevederile Legii nr. 175 din 11 noiembrie 2021 pentru modificarea unor acte normative, care a intrat în vigoare la data de 10 ianuarie 2022, a fost instituită obligația desemnării persoanei responsabile cu protecția datelor cu caracter personal.

În acest sens, CNPDCP a recepționat peste douăzeci de scrisori, prin care este informat despre faptul desemnării persoanei responsabile cu protecția datelor cu caracter personal din partea entităților respective. Totodată, CNPDCP a intervenit, după caz, cu recomandări în vederea înlăturării discrepanțelor identificate.

Simultan, au fost elaborate și plasate pe pagina CNPDCP mai multe comunicate referitor la: modificările survenite la legislația din domeniul protecției datelor cu caracter personal; necesitatea desemnării persoanei responsabile cu protecția datelor cu caracter personal; obligativitatea operatorilor de date de a plasa această informație pe pagina web și obligativitatea operatorilor de date de a efectua evaluarea impactului asupra protecției datelor, etc.

În perioada de referință, CNPDCP a elaborat și publicat în Monitorul Oficial și pe pagina web a instituției Lista Statelor care asigură un nivel adecvat de protecție a datelor cu caracter personal, în contextul modificărilor art. 32 din Legea nr. 133 privind protecția datelor cu caracter personal.

Totodată, a fost elaborată și urmează a fi publicată pe pagina web a CNPDCP lista tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor cu caracter personal.

Suplimentar, CNPDCP intenționează să publice ghidul privind evaluarea impactului asupra protecției datelor cu caracter personal cu scop de recomandare.

În scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 391 consultații telefonice și 34 de răspunsuri prin intermediul poștei electronice.

5.      Știri internaționale și europene

–       La data de 18 ianuarie a avut loc cea de-a 59-a ședință plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care:

·        Linii directorii privind dreptul de acces. Liniile directorii au ca scop analizarea diferitelor aspecte ale dreptului de acces și oferirea unor orientări mai precise cu privire la modul în care trebuie pus în aplicare dreptul de acces în diferite situații.

·        Răspuns la scrisorile care solicită o interpretare coerentă a consimțământului pentru cookie-uri.

·        Actualizarea Liniilor directorii privind consimțământul. Acestea au ca scop asigurarea unei abordări armonizate a condiționalității consimțământului și indicarea neechivocă a solicitării.

–       La data de 22 februarie a avut loc cea de-a 61-a ședință plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care:

·        CEPD a adoptat o scrisoare ca răspuns la Comisia pentru libertăți civile, justiție și afaceri interne (LIBE) a Parlamentului European cu privire la cel de-al doilea protocol adițional la Convenția privind criminalitatea informatică și având în vedere cele două propuneri de decizii ale Comisiei Europene care autorizează statele membre să semneze și să ratifice protocolul.

·        În urma unei consultări publice, CEPD a adoptat versiunea finală a Orientărilor privind codurile de conduită ca instrument pentru transferuri, luând în considerare feedback-ul primit de la părțile interesate. Scopul principal al orientărilor este de a clarifica aplicarea articolelor 40 alineatul (3) și 46 alineatul (2) litera (e) din GDPR.

·        CEPD a adoptat o scrisoare privind răspunderea pentru Inteligența Artificială.

–       La data de 14 martie a avut loc cea de-a 62-a ședință plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. În cadrul sesiunii menționate au fost discutate mai multe subiecte, printre care:

·        Linii directorii privind art. 60 din GDPR. Elaborarea acestor linii directorii fac parte din Strategia și Programul de Lucru 2021-2022 al CEPD, având drept scop de a sprijini aplicarea efectivă a legii și cooperarea eficientă între autoritățile naționale de supraveghere.

·        Linii directorii privind modelele întunecate în interfețele platformelor de social media. Acestea oferă recomandări practice designerilor și utilizatorilor platformelor de social media cu privire la modul de evaluare și evitare a așa-numitelor „modele întunecate” în interfețele de social media care încalcă cerințele GDPR.

·        Un set de instrumente privind garanțiile esențiale de protecție a datelor pentru cooperare în materie de aplicare a legii între autoritățile de supraveghere din SEE și cele din țările terțe. Aceasta contribuie la una dintre acțiunile-cheie ale Strategiei și Programului de Lucru al CEPD 2021-2022 și vizează facilitarea angajamentului dintre membrii CEPD și SA din țări terțe. Setul de instrumente acoperă subiecte cheie, cum ar fi drepturile executorii ale subiecților de date, conformitatea cu principiile de protecție a datelor și căile de atac judiciare.

·        Un aviz comun CEPD-AEPD cu privire la propunerile de extindere a certificatului digital COVID cu până la 12 luni. Subiectul va continua a fi analizat și la următoarea Ședință.

–       La data de 23-25 martie a avut loc cea de-a 55-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:

·        Convenția 108+, ratificările și aderările actuale;

·        Mecanismul de evaluare și urmărire în temeiul Convenției 108+;

·        Identitatea digitală;

·        Schimburi inter-statale de date pentru Combaterea Spălării Banilor și a Finanțării Terorismului și scopuri fiscale;

·        Clauze contractuale în contextul fluxurilor transfrontaliere de date;

·        Cooperarea cu alte organisme și entități ale Consiliului Europei.

6.      Alte autorități pentru protecția datelor

·        La data de 28 ianuarie, Autoritatea pentru Protecția Datelor din Grecia (APDG) a impus o amendă totală în valoare de 9.250.000 de euro, companiilor de telecomunicații COSMOTE și OTE pentru scurgerea datelor cu caracter personal și prelucrarea ilegală a acestora. În cursul cercetării cauzei s-a constatat că, COSMOTE a încălcat principiile legalității și transparenței din cauza furnizării unor informații neclare și insuficiente abonaților. De asemenea, compania a fost considerată responsabilă pentru evaluarea slabă a impactului asupra protecției datelor, anonimizarea insuficientă, măsurile de securitate inadecvate luate și nerepartizarea rolurilor celor două companii (COSMOTE / OTE) în legătură cu prelucrarea în cauză. În plus, s-a constatat că ΟΤΕ a încălcat articolul 32 din GDPR, din cauza măsurilor de securitate inadecvate luate în legătură cu infrastructura utilizată în contextul încălcării. APDG, pe de o parte, a amendat COSMOTE cu suma totală de 6.000.000 de euro și a dispus încetarea  prelucrării și distrugerea datelor prelucrate ilegal, iar, pe de altă parte, a amendat OTE cu suma totală de 3.250.000 de euro.

·        La data de 10 februarie, Autoritatea Italiană pentru Protecția Datelor (AIPD)  a impus amendă în valoare de 20 milioane de euro companiei Clearview AI pentru prelucrarea ilegală a datelor cu caracter personal. În urma investigației inițiate din propria inițiativă, AIPD a constatat că datele cu caracter personal deținute de companie, inclusiv informațiile biometrice și de localizare geografică, au fost prelucrate ilegal, fără un temei juridic adecvat. În plus, compania a încălcat câteva principii fundamentale ale GDPR-ului, cum ar fi transparența, limitarea scopului și limitarea stocării. În acest context AIPD a impus interzicerea oricărei colectări ulterioare, prin intermediul tehnicilor de web scraping, a imaginilor și a metadatelor relevante referitoare la persoane aflate pe teritoriul Italiei și a prelucrării ulterioare ale acestora, precum și a dispus ștergerea datelor, inclusiv a datelor biometrice, prelucrate de sistemul său de recunoaștere facială.

·        La data de 15 martie, Autoritatea Irlandeză pentru Protecția Datelor (AIPD) a impus o amenda administrativă în valoare de 17 milioane euro companiei Meta Platforms (fostă Facebook) pentru încălcarea articolelor 5(2) și 24(1) din GDPR. În urma investigațiilor, AIPD a constatat că Meta Platforms nu a reușit să pună în aplicare măsuri tehnice și organizatorice adecvate, care i-ar permite să demonstreze cu ușurință măsurile de securitate pe care le-a implementat în practică pentru a proteja datele utilizatorilor din UE, în contextul celor douăsprezece încălcări ale datelor cu caracter personal.

1.      Activități de informare și instruire efectuate de CNPDCP

În perioada de referință, CNPDCP a înregistrat o evoluție remarcabilă la capitolul activități de instruire și sensibilizare desfășurate. Au fost continuate șirul de instruiri organizate pentru reprezentanții autorităților publice locale (APL) din raionale Republicii Moldova, acestea având drept scop de a consolida capacitățile reprezentaților APL-urilor prin familiarizarea, sensibilizarea și informarea acestora cu domeniul protecției datelor cu caracter personal. Subiectele abordate în cadrul instruirilor au vizat: definirea datelor cu caracter personal; temeiuri legale de prelucrare a datelor cu caracter personal; filmarea și transmiterea online a ședințelor consiliilor locale; aprobarea politicii de securitate și a instrucțiunilor privind sistemele informaționale, etc. Totodată, cu titlu separat, au fost discutate aspectele legate de depersonalizarea corectă a datelor cu caracter personal ce se conțin în actele administrative ale autorităților publice locale publicate în Registrul de stat al actelor locale. Evenimentele, moderate de experți naționali în domeniul protecției datelor din cadrul CNPDCP, au fost organizate pentru aproximativ a câte 50 de primari, consilieri raionali și secretari ai consiliilor locale din fiecare centru raional în parte, reieșind din măsurile de protecție impuse în contextul pandemiei de COVID – 19. Cursurile de instruire au fost desfășurate:

·         La data de 07 octombrie – în cadrul Consiliului Raional Căușeni;

·         La data de 05 noiembrie – în cadrul Consiliului Raional Râșcani;

·         La data de 11 noiembrie – în cadrul Consiliului Raional Fălești;

·         La data de 19 noiembrie – în cadrul Consiliului Raional Briceni;

·         La data de 26 noiembrie – în cadrul Consiliului Raional Glodeni;

·         La data de 3 decembrie – în cadrul Consiliului Raional Cahul.

Totodată, la data de 19 noiembrie, a fost desfășurată Acțiunea publică – ”Protejează datele cu caracter personal”, organizată de reprezentanții CNPDCP.  Publicul țintă – locuitorii raionului Ialoveni, au fost sensibilizați cu privire la importanța protecției datelor cu caracter personal. Acțiunea s-a desfășurat în preajma Consiliului Raional Ialoveni, iar cetățenii au fost informați despre noțiunea de date cu caracter personal, drepturile subiecților de date, măsurile de securitate și confidențialitate a datelor, precum și despre principiile protecției datelor cu caracter personal. Scopul acestei acțiuni a fost de a educa, motiva și încuraja cetățenii Republicii Moldova să acorde o atenție sporită protecției datelor cu caracter personal ce îi vizează.

2.      Activitatea de control

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 55 de investigații. Din cele 55 de investigații: 5 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; din 41 de cazuri finalizate, în 19 cazuri s-a constatat încălcarea prevederilor legale. Totodată, au fost încheiate 22 de procese verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3. Constatări ale CNPDCP

3.1  Pe parcursul perioadei de referință, CNPDCP a recepționat plângerea unui subiect de date cu caracter personal, privind pretinsa încălcare a dreptului de opoziție al acestuia, de către un agent economic, manifestată prin ignorarea cererii subiectului de date, depusă prin prisma art. 16 alin (1) al Legii privind protecția datelor cu caracter personal, prin care, ultimul a solicitat ștergerea datelor cu caracter personal ce-l vizează, stocate în baza de date a societății și încetarea expedierii mesajelor cu caracter comercial, la numărul de telefon ce-i aparține. În urma examinării cauzei s-a determinat că, agentul economic, ignorând cererea subiectului de date, nu i-a realizat dreptul de opoziție, fapt recunoscut de către operatorul de date cu caracter personal drept omisiune.

În acest caz, CNPDCP a constatat încălcarea prevederilor art. 16 alin. (1) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, fiind pornit proces contravențional în privința agentului economic prin prisma art. 74 1 alin. (3) Cod contravențional.

3.2  Totodată, CNPDCP a constatat prelucrarea neconformă a datelor cu caracter personal de către primarul unei localități. Prelucrarea neconformă a datelor cu caracter personal a subiectului de date a fost materializată prin accesarea multiplă de către edilul localității, a datelor conținute în Registrul bunurilor imobile, fără a avea un scop și temei legal, precum și în lipsa consimțământului subiectului de date.

În cadrul examinării auditului accesărilor datelor cu caracter personal de către primar, CNPDCP a constatat că, edilul a efectuat 134 de accesări a datelor cu caracter personal, de pe 10 adrese IP diferite, dintre care multiple accesări fiind efectuate în afara programului de muncă și în zilele de odihnă. Astfel în urma efectuării controlului celor sesizate s-a constatat încălcarea art. 4, art. 5 și art. 29 din Legea 133/2011 privind protecția datelor cu caracter personal. Prin urmare, CNPDCP a inițiat procesul contravențional în raport cu edilul vizat prin prisma contravenției prevăzute de art. 74 1 alin. (4) Cod contravențional.

3.3  La 22 decembrie, Curtea Supremă de Justiție a respins recursul Ministerului Afacerilor Interne și a menținut decizia CNPDCP din 16 noiembrie 2018, prin care a constatat prelucrarea neconformă a datelor cu caracter personal cu cerințele legislației în domeniul protecției datelor cu caracter personal de către Ministerul Afacerilor Interne (MAI), în Sistemul Informațional Automatizat „Registrul informației criminalistice și criminologice”.

Decizia CNPDCP vizează necesitatea radierii informațiilor care au fost colectate/obținute de la autoritățile/instituțiile nerecunoscute din regiunea transnistreană în perioada anilor 1991 – 2005. Urmează a sublinia că, prelucrarea în mod automatizat a datelor cu caracter personal ale cetățenilor statului Republicii Moldova în baza unor informații parvenite de la structurile neconstituționale, care de fapt nu pot fi considerate autentice/veridice, precum și utilizarea acestora în detrimentul subiectului de date cu caracter personal vizat, reprezintă o încălcare gravă a drepturilor și libertăților omului. În acest sens, urmează a remarca Hotărârea Consiliului Superior al Magistraturii (CSM) nr. 209/14 din 10 aprilie 2012 “cu privire la demersul domnului Oleg Efrim, ministru al Justiției, referitor la opinia asupra adresării domnului Eugen Carpov, viceprim-ministru, pe marginea abordării unor probleme de natură juridică”, prin care CSM a constatat: “că orice act emis de autoritățile autoproclamate din această parte a Republicii Moldova contravin din capul locului Constituției, faptul referindu-se în egală măsură şi asupra oricăror hotărâri, decizii, sentințe pronunțate de judecătoriile instituite în regiunea dată ilegal. Astfel, Consiliul consideră ca fiind inacceptabile orice colaborări, conlucrări în aspect juridic şi propuneri de soluții juridice cu structurile din regiunea transnistreană.”

În consecință, în jurisprudența ce vizează Republica Moldova, Curtea Europeană a Drepturilor Omului în numeroase cazuri (Ilaşcu şi alţii vs. Moldova şi Rusia;  Eriomenco c. Republicii Moldova și Federației Ruse; Mozer c. Republicii Moldova și Federației Ruse; Catan alții c. Republicii Moldova și Rusiei) a constatat ilegalitatea actelor adoptate de entități nerecunoscute și neconstituționale din stânga Nistrului.

Accentuăm, că potrivit  Declarațiilor depuse odată cu instrumentul de ratificare al Convenției nr. 108 pentru protecția persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, Republica Moldova nu a declarat rezerve asupra dispozițiilor Convenției, în ce privește aplicarea acesteia asupra teritoriului din regiunea transnistreană. Astfel, Republica Moldova are obligația de a asigura protecția drepturilor și libertăților fundamentale ale cetățenilor săi în ceea ce privește prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieții intime, familiale și private, pe întreg teritoriul său.

4.      Activitatea de supraveghere

Pe parcursul perioadei de referință, reieșind din imposibilitatea, din motive de ordin tehnic, de a emite și semna decizii automatizate prin intermediul Registrului de evidență al operatorilor de date cu caracter personal, CNPDCP a expediat 204 scrisori de informare în vederea conformării operatorilor de date și/sau persoanelor împuternicite de operator cu prevederile art. 23-25 ale Legii nr. 133 privind protecția datelor cu caracter personal.

Concomitent, în conformitate cu prevederile Legii nr. 175 din 11 noiembrie 2021 pentru modificarea unor acte normative, care va intra în vigoare la data de 10 ianuarie 2022, se exclude obligația operatorilor de date cu caracter personal de a notifica Centrul Național pentru Protecția Datelor cu Caracter Personal, precum și se abrogă art. 28 al Legii nr. 133 din 08.07.2011 privind protecția datelor cu caracter personal, fapt care determină lichidarea Registrului de evidență al operatorilor de date cu caracter personal, prin nimicirea ireversibilă a documentelor și informațiilor stocate pe suport de hârtie și a celor stocate în format electronic, în condițiile prevăzute de lege.

Totodată, în scopul oferirii suportului metodologic și consultativ operatorilor de date cu caracter personal și/sau persoanelor împuternicite de operator, au fost oferite peste 405 consultații telefonice și 178 de răspunsuri prin intermediul poștei electronice.

5. Știri internaționale și europene

–        La data de 13 octombrie a avut loc cea de-a 56-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul Plenarei au fost discutate mai multe subiecte, printre care:

·         Mecanism de coerență și linii directorii;

·         Linii directorii privind restricțiile prevăzute la art. 23 din GDPR (în urma consultării publice);

·         Linii directorii privind datele copiilor – cerere de mandat.

–        La data de 18 noiembrie a avut loc cea de-a 57-a Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată cu prezența fizică la Brussels, Belgia. În cadrul Plenarei au fost discutate mai multe subiecte, printre care:

·         Linii Directorii privind interacțiunea dintre art. 3 și capitolul V din GDPR. Liniile directorii vor fi supuse consultării publice până la sfârșitul lunii ianuarie.

·         Declarația privind pachetul de servicii digitale și strategia de date a Comisiei Europene.

·         CEPD a nominalizat doi reprezentanți ai autorităților de Protecție a Datelor din Belgia și Germania pentru a participa la cea de-a șasea Revizuire Comună a acordului UE-SUA privind finanțarea în scopuri teroriste (TFTP).

–        La data de 14 decembrie a avut loc cea de-a 58-a Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line. În cadrul Plenarei au fost discutate mai multe subiecte, printre care:

·         CEPD și Autoritățile de Supraveghere (AS) individuale au contribuit la evaluarea și revizuirea Directivei privind protecția datelor în materie de asigurare a respectării legii (LED), realizată de Comisia Europeană în conformitate cu art. 62 LED. LED-ul urmărește să ofere un nivel armonizat de protecție a datelor pentru persoanele fizice în domeniul aplicării legii în UE;

·         Ca parte a implementării Strategiei CEPD 2021-2023 și ca urmare a înființării unui grup de experți de sprijin (SPE), CEPD a convenit asupra planului de proiect al SPE;

·         CEPD a adoptat un răspuns pentru europarlamentarul Ujhelyi privind piratarea programelor spion Pegasus;

·         CEPD a adoptat versiunea finală a Liniilor Directorii privind notificarea încălcării securității datelor cu caracter personal. Acestea urmăresc să ajute operatorii de date să decidă cum să gestioneze încălcările de date și ce factori să ia în considerare în timpul evaluării riscurilor.

–        La data de 20-21 decembrie a avut loc cea de-a 54-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:

·         Convenția 108+, ratificările și aderările actuale;

·         Mecanismul de evaluare și urmărire în temeiul Convenției 108+;

·         Identitatea digitală;

·         Schimburi inter-statale de date pentru Combaterea Spălării Banilor și a Finanțării Terorismului și scopuri fiscale;

·         Interpretarea articolului 11 din Convenția 108+;

·         Clauze contractuale în contextul fluxurilor transfrontaliere de date.

În contextul colaborării CNPDCP cu Autoritățile Europene de Protecție a Datelor, la 18 noiembrie, Centrul Național pentru Protecția Datelor cu Caracter Personal și Biroul Comisarului pentru Informații și Protecția Datelor din Malta, au semnat un Acord de colaborare în domeniul protecției datelor cu caracter personal. Acordul prevede dezvoltarea relațiilor de cooperare între cele două instituții pe aspectul obținerii unor progrese constante în domeniul protecției datelor, precum și promovarea bunelor practici care vor crea condiții favorabile pentru asigurarea protecției eficiente a datelor cu caracter personal ale cetățenilor Republicii Malta și Republicii Moldova.

6. Alte autorități pentru protecția datelor

–        La data de 14 octombrie, Autoritatea de Protecție a Datelor din Polonia (UODO) a aplicat  amendă  în valoare de 80.000 EURO, companiei Bank Millennium SA pentru încălcarea Articolului 33 (1), și Articolului 34 (1) din GDPR. UODO a aflat despre încălcarea securității datelor cu caracter personal dintr-o plângere depusă împotriva băncii. Plângerea a vizat pierderea de către o firmă de curierat a corespondenței care conținea date cu caracter personal, precum: nume, prenume, număr personal de identificare (număr PESEL), adresă înregistrată, numere de cont bancar, număr de identificare atribuit clienților băncii. În urma anchetei s-a constatat că operatorul de date nu a comunicat această încălcare Autorității de Supraveghere și nu și-a respectat în totalitate obligația de a informa subiecții de date despre aceasta.

–        La data de 24 noiembrie, Autoritatea de Protecție a Datelor din Islanda (DPA), a emis amendă administrativă în valoare de 7,5 milioane ISK (aproximativ 50.800 EURO) Ministerului Industriilor și Inovării iar compania YAY ehf. a fost amendată cu 4 milioane ISK (aprox. 27.100 EURO) pentru încălcarea Articolului 7, 9, 12, 13, 24, 25, 28 (3) și 32 din GDPR. Din cauza dificultăților economice din Islanda cauzate de pandemia COVID-19, guvernul islandez a decis, să impulsioneze sectorul turismului și întreprinderile mici prin emiterea unui certificat digital de 5000 ISK (aproximativ 34 de euro) oferit cadou tuturor islandezilor cu vârsta de peste 18 ani. În urma anchetei, DPA islandeză a constatat colectarea ilegală și inutilă a unui volum impunător de date cu caracter personal, cerințele privind consimțământul pentru prelucrare nu au fost îndeplinite, iar informațiile pe care subiecții de date le-au primit atunci când s-au conectat la aplicație au fost inadecvate. În plus, operatorul și persoana împuternicită de operator nu au asigurat securitatea corespunzătoare a datelor cu caracter personal.

–        La data de 13 decembrie, Autoritatea Norvegiană pentru Protecția Datelor a impus o amendă administrativă în valoare de 6,5 milioane EURO, companiei Grindr LLC pentru încălcarea Articolului 6 și Articolului 9 din GDPR. În 2020, Consiliul Norvegian al Consumatorilor a depus o plângere împotriva Grindr LLC, susținând partajarea ilegală a datelor cu caracter personal cu terți în scopuri de marketing. Datele partajate erau locația GPS, adresa IP, ID-ul de publicitate, vârsta, sexul și faptul că utilizatorul în cauză se afla pe Grindr. Autoritatea Norvegiană pentru Protecția Datelor a concluzionat că Grindr LLC a dezvăluit terților date cu caracter personal fără un temei legal. Mai mult, informațiile despre partajarea datelor cu caracter personal nu au fost comunicate în mod corespunzător utilizatorilor, iar acest lucru a fost contrar cerințelor legale specificate în GDPR referitor la consimțământul valid.

1.  Activități de informare și instruire efectuate de CNPDCP

–     La data de 17,18 și 19 februarie, Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a instruit autoritățile locale din nordul, centrul și sudul Republicii Moldova. Cursul de instruire a avut drept scop familiarizarea participanților asupra supravegherii video și transmiterii online a ședințelor consiliilor locale. Participanții la curs au obținut informații cu privire la: cum ar urma să fie transmise online ședințele consiliilor locale, cine este responsabil de transmiterea online a acestora și cum urmează a fi furnizată informația. Instruirea a avut loc online și au participat 300 de persoane.

–     La începutul lunii martie, studenții facultății de Drept de la Universitatea de Stat din Moldova au fost familiarizați cu misiunea Centrului Național pentru Protecția Datelor cu Caracter Personal. Evenimentul a avut loc online pe platforma zoom unde au fost prezenți peste 50 de studenți. Angajații CNPDCP le-au explicat care sunt cele mai frecvent utilizate date cu caracter personal. Este vorba de prenumele, numele, adresa, numărul de telefon, adresa electronică, datele de localizare, adresa IP, starea civilă, fotografia feței, obiceiurile și preferințele, identificatorii online și orice alte date ce țin de identitatea fizică, fiziologică, economică, culturală sau socială care pot fi utilizate pentru identificarea directă sau indirectă a unei persoane fizice. Totodată, reprezentanții CNPDCP le-au vorbit studenților despre legislația și experiența statelor UE cu privire la protecția datelor, cazuri constatate de prelucrare a datelor cu caracter personal, procedurile aferente înregistrării operatorului de date cu caracter personal și despre cauzele contravenționale și consecințele prelucrării neconforme a datelor cu caracter personal.

–     La data de 11 martie, CNPDCP a oferit un curs de instruire pentru 50 de avocați din Republica Moldova, în domeniul protecției datelor cu caracter personal. Instruirea a fost făcută în cadrul întâlnirii online a organizației HELP a Consiliului Europei. Subiectele abordate în cadrul evenimentului au vizat: protecția datelor cu caracter personal și drepturile subiecților de date din Uniunea Europeană, dar și legislația Republicii Moldova care vizează protecția datelor. Anterior,  CNPDCP a elaborat aspecte practice care vizează protecția datelor cu caracter personal de către avocați, fiind publicate pe pagina web www.datepersonale.md: ”Aspecte privind practica de a depune la materialele dosarelor examinate de instanțele de judecată, a documentelor ce integrează date cu caracter personal ale persoanelor fizice, care nu sunt vizate în cazul examinat”. Aceste recomandări au drept scop asigurarea aplicării de către avocați a  principiului pertinenței și neexcesivității, care constă în limitarea volumului de date cu caracter personal la datele personale care prezintă relevanță pentru cauzele examinate, cu depersonalizarea datelor care sunt irelevante, excesive pentru caz, potrivit prevederilor art. 31 a Legii nr. 133/2011 privind protecția datelor cu caracter personal.

–     La data de 16 martie, CNPDCP, a oferit un curs de instruire în domeniul protecţiei datelor cu caracter personal angajaţilor Companiei Naţionale pentru Asigurări în Medicină la solicitarea instituţiei. La eveniment au participat circa 100 de persoane. Subiectele abordate în cadrul trainingului au vizat: principiile de protecţie a datelor cu caracter personal, drepturile subiecţilor de date, recomandările privind identificarea sistemelor de evidenţă în care are loc prelucrarea datelor cu caracter personal, cadrul normativ aferent protecţiei datelor şi implementarea cerinţelor legale din domeniul respectiv. Orice subiect al datelor cu caracter personal are dreptul de a obţine de la operator sau persoana împuternicită de către acesta, la cerere şi în mod gratuit: rectificarea, actualizarea, blocarea sau ştergerea datelor cu caracter personal a căror prelucrare contravine legii, în special datorită caracterului incomplet sau inexact al datelor şi notificarea terţilor cărora le-au fost dezvăluite datele cu caracter personal despre operaţiunile efectuate, exceptând cazurile când această notificare se dovedeşte a fi imposibilă sau presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat. Participaţii la curs au primit răspuns la întrebările ce țin de aplicarea în practică a legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv privind asigurarea legalităţii prelucrării datelor cu caracter personal în sistemele informaţionale gestionate de CNAM.

–     La data de 30 martie, CNPDCP a instruit, angajații Secretariatului Parlamentului Republicii Moldova întru asigurarea implementării conforme a prevederilor legislației privind protecția datelor cu caracter personal în cadrul sistemelor informaționale de evidență a datelor. Subiectele abordate în cadrul instruirii au vizat: noțiunile generale privind protecția datelor cu caracter personal, principiile de protecție a datelor cu caracter personal, asigurarea securității și confidențialității datelor cu caracter personal în cadrul sistemelor informaționale de evidență a datelor, aspecte generale ale securități datelor cu caracter personal, măsuri simple și esențiale de securitate și drepturile subiecților de date. Instruirea a avut loc online la solicitarea Secretariatului Parlamentului la care au participat 51 de angajați.

2.  Activitatea de control

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 97 de investigații. Din cele 97 de investigații: 16 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; în 45 de cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 68 de procese verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3. Constatări ale Centrului Național pentru Protecția Datelor cu Caracter Personal

3.1. CNPDCP a fost sesizat de subiectul de date privind încălcarea principiilor de protecție a datelor cu caracter personal ale petentului de către o companie de asigurări din Republica Moldova, prin intermediul plicului cu fereastră (chenar transparent) folosit în corespondență.

În urma examinării cauzei s-a determinat că, prin practica neconformă de a introduce în antetul reclamațiilor/scrisorilor a unui volum excesiv de date cu caracter personal, în raport cu scopul declarat, care ulterior sunt divulgate prin chenarul transparent al scrisorilor folosite de către operator, se favorizează accesul unui număr nedeterminat de persoane străine la datele cu caracter personal, fapt ce nu poate fi considerată o prelucrare ,,conformă” în sensul Legii nr.133/2011 privind protecția datelor cu caracter personal, or, legislația privind protecția datelor cu caracter personal a stabilit rigori clare privitor la implementarea măsurilor tehnice și organizatorice adecvate și eficace pentru protecția datelor cu caracter personal, de asigurare a confidențialității și securității datelor cu caracter personal.

Pe acest caz, CNPDCP a constatat încălcarea prevederilor legislației privind protecția datelor cu caracter personal și a dispus revizuirea/ajustarea informațiilor incluse în antetul reclamațiilor la cerințele statuate în Legea nr.133/2011 privind protecția datelor cu caracter personal, și anume, excluderea volumului excesiv de date cu caracter personal, precum și elaborarea/ aprobarea/ actualizarea instrumentului intern (regulament/ instrucțiune), în care să fie reglementată o procedura clară privind ținerea lucrărilor de secretariat, cu descrierea măsurilor tehnice și organizatorice necesare pentru protecția datelor cu caracter personal.

3.2. Ținând cont de caracterul repetat/continuu a plângerilor/sesizărilor adresate CNPDCP în ultima perioadă, vizând neconformitatea publicării actelor administrative cu caracter individual în Registrul de stat al actelor locale, în special fiind deplânse aspectele de nedepersonalizare sau depersonalizare incorectă a acestor acte, CNPDCP a adoptat decizia prin care a constatat încălcarea prevederilor legale din domeniul protecției datelor cu caracter personal. Totodată, CNPDCP a dispus Cancelariei de Stat, de comun cu autoritățile publice locale, de a întreprinde măsurile necesare în vederea instituirii unui mecanism de depersonalizare a actelor locale ce urmează a fi plasate în Registru.

3.3 CNPDCP a recepționat plângerea unui subiect de date, privind verificarea legalității prelucrării datelor cu caracter personal ce-l vizează, manifestată prin transmiterea certificatului de cazier judiciar unei persoane terțe, fără consimțământul subiectului de date.

În urma examinării cauzei s-a determinat că, operațiunea de prelucrare a datelor cu caracter personal, manifestată prin eliberarea cazierului judiciar ce conține date cu caracter personal a subiectului de date cu caracter personal, unei persoane neîmputernicite, nu a fost justificată din punct de vedere legal, fiind realizată în mod incorect și contrar prevederilor Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Pe acest caz, CNPDCP a constatat încălcarea prevederilor art. 4 alin. (1) lit. a), art. 5 alin. (1), art. 6 alin. (1), art. 8 alin. (1), art. 29 ale Legii nr. 133/2011 privind protecția datelor cu caracter personal.

3.4. CNPDCP, în contextul examinării demersului unei subdiviziuni al Ministerului Afacerilor Interne al RM, în temeiul art. 27 alin. (4) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, s-a autosesizat în partea ce ține de neconformitățile admise de către un colaborator al MAI  la prelucrarea/accesarea datelor cu caracter personal, fără un scop și temei legal de accesare, ale unui subiect de date cu caracter personal, prin intermediul Sistemului informațional – ”EDATA MAI”.

În rezultatul examinării materialelor de control, CNPDCP a constatat încălcarea prevederilor art. 4 alin. (1) lit. a) al Legii nr. 133/2011 privind protecția datelor cu caracter personal, de către colaboratorul MAI, manifestată prin accesarea/consultarea datelor cu caracter personal ce vizează subiectul de date.

4. Activitatea de supraveghere

Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare –717  notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 262 de decizii de autorizare și 271 de decizii de refuz. Astfel, circa 184 de operatori de date și 262 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal.

5. Știri internaționale și europene

La data de 2 februarie, a avut loc cea de-a 45 Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), desfășurată on-line. În cadrul Ședinței au fost adoptate o serie de documente:

–         Recomandările 01/2021 cu privire la criteriile de referință privind caracterul adecvat al nivelului de protecție în temeiul Directivei privind protecția datelor în materie de aplicare a legii;

–         Aviz cu privire la proiectul Aranjamentului administrativ pentru transferurile de date cu caracter personal între Haut Conseil du Commissariat aux Comptes (H3C) și Comitetul de supraveghere a contabilității companiilor publice (PCAOB);

–         Declarație privind noile proiecte de dispoziții ale celui de-al doilea protocol suplimentar la Convenția Consiliului Europei privind criminalitatea informatică (Convenția de la Budapesta);

–         Răspunsul CEPD) la chestionarul Comisiei Europene privind prelucrarea datelor cu caracter personal pentru cercetare științifică, concentrându-se pe cercetarea în domeniul sănătății;

–         Ghidul privind art. 36 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.

La data de 10 martie,  în cadrul celei de-a 46 Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line, au fost adoptate o serie de documente:

–         CEPD și-a adoptat Programului de lucru pentru anii 2021-2022, în conformitate cu articolul 29 din Regulamentul de procedură al CEPD;

–         A fost adoptată Declarația privind proiectul Regulamentului ePrivacy;

–         A fost adoptat Ghidul nr. 2/2021 privind asistența vocală virtuală. Aceste linii directorii au scopul de a identifica unele dintre cele mai relevante provocări de conformitate pentru VVA și de a oferi recomandări părților interesate relevante cu privire la modul de abordare a acestora. Documentul a fost supus consultărilor publice pentru o perioadă de șase săptămâni;

–         A fost adoptată versiune finală a Ghidului nr. 1/2020 privind vehicule conectate, în urma consultării publice. Ghidul se concentrează pe prelucrarea datelor cu caracter personal în legătură cu utilizarea neprofesională a vehiculelor conectate de către subiecții de date;

–         A fost emisă Opinia comună cu EDPS nr. 3/2021 referitoare la propunerea de Regulament a Parlamentului European și Consiliului privind guvernanța datelor;

–         A fost adoptat în urma consultărilor publice Ghidul nr. 9/2020 privind obiecție relevantă și motivată;

–         Totodată, în cadrul CEPD au fost discutate proiectele de decizii privind conformitatea Regatului Unit, care au fost primite de la Comisia Europeană.

La data de 30 martie,  a avut loc cea de-a 47 Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line.

În cadrul Ședinței, Comitetul European pentru Protecția Datelor (EDPB) și Autoritatea Europeană pentru Protecția Datelor (EDPS) au adoptat Declarația comună  privind Propunerile pentru Certificatul Verde Digital. Certificatul Verde Digital are ca scop facilitarea exercitării dreptului la libera circulație în UE în timpul pandemiei COVID-19 prin stabilirea unui cadru comun pentru eliberarea, verificarea și acceptarea certificatelor de vaccinare, testare și vindecare în urma unui episod de COVID-19. Prin intermediul Declarației adoptate, EDPB și EDPS invită colegislatorii să se asigure că Certificatul Verde Digital este în conformitate cu legislația UE privind protecția datelor cu caracter personal și subliniază faptul că utilizarea acestuia nu poate duce, în niciun fel, la discriminarea directă sau indirectă a cetățenilor și trebuie să fie pe deplin în conformitate cu principiile fundamentale de necesitate, proporționalitate și eficacitate.

La data de 13 aprilie, în cadrul celei de-a 48 Ședință Plenară a Comitetului European pentru Protecția Datelor, desfășurată on-line, au fost adoptate o serie de documente, printre care:

–         două Avize cu privire la Proiectele de decizii de adecvare din Marea Britanie (Avizul 14/2021 care se bazează pe prevederile legale din GDPR și Avizul 15/2021 care se bazează pe Directiva privind protecția datelor în materie de asigurare a respectării legii). CEPD remarcă faptul că există domenii-cheie de puternică aliniere între cadrul legal privind protecția datelor din UE și Marea Britanie cu privire la anumite dispoziții de bază, cum ar fi:  temei pentru o prelucrare legală și echitabilă în scopuri legitime; limitarea scopului; calitatea și proporționalitatea datelor; păstrarea datelor, securitate și confidențialitate; transparență; categorii speciale de date; și privind luarea deciziilor și profilarea automată;

–         Linii Directorii privind aplicarea articolului 65 alineatul (1) litera (a) din GDPR, având drept scop de a delimita etapele principale ale procedurii și de a clarifica competența CEPD atunci când adoptă o decizie obligatorie din punct de vedere juridic în temeiul articolului menționat. Liniile Directorii au fost supuse consultării publice pentru o perioadă de șase săptămâni;

–         Versiunea finală a Liniilor Directorii privind direcționarea utilizatorilor de social media, în urma consultării publice, scopul acestora fiind de a clarifica rolurile și responsabilitățile furnizorilor de social media și ale persoanelor vizate;

–         Declarația privind acordurile internaționale, inclusiv transferurile. CEPD invită statele membre ale UE să evalueze și, acolo unde este necesar, să își revizuiască acordurile internaționale care implică transferuri internaționale de date cu caracter personal în scopul alinierii acestora la legislația UE privind protecția datelor.

La data de 19 mai a avut loc cea de-a 49-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), care s-a desfășurat online. În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care:

–         Două avize cu privire la Codurile de Conduită Transnaționale prezentate de către Autoritatea de Protecție a Datelor din Belgia (avizul cu privire la Codul de conduită al UE CLOUD, adresat furnizorilor de servicii cloud) și Autoritatea de Protecție a Datelor din Franța (avizul cu privire la Codul de conduită CISPE, adresat furnizorilor de servicii de infrastructură cloud). Aceste Coduri urmăresc să ofere îndrumări practice și să definească cerințe specifice (Art. 28 din GDPR) pentru persoanele împuternicite de operatori din UE care fac obiectul acestor Coduri. Acestea nu trebuie utilizate în contextul transferurilor internaționale de date cu caracter personal. CEPD este de părere că ambele proiecte de coduri de conduită sunt în conformitate  cu GDPR și îndeplinesc cerințele prevăzute la art. 40 și 41 din GDPR.

–         Declarația Legii privind guvernanța datelor (DGA) în lumina evoluțiilor din procesul legislativ. CEPD reiterează faptul că, fără garanții solide de protecție a datelor, există riscul ca încrederea în economia digitală să nu fie durabilă, subliniind, totodată, necesitatea de a asigura coerența DGA cu acquis-ul UE privind protecția datelor și îndeamnă colegiuitorii să acorde atenție anumitor aspecte, cum ar fi interacțiunea dintre DGA și GDPR și importanța asigurării faptului că noile definiții și concepte nu sunt incompatibile cu GDPR.

–         Recomandări cu privire la baza legală pentru stocarea datelor de pe cardurile de credit, în scopul de a facilita tranzacțiile online suplimentare. Recomandările acoperă situațiile în care subiecții de date cumpără un produs sau plătesc pentru un serviciu prin intermediul unui site web sau al unei aplicații și furnizează datele de pe cardul de credit pentru a încheia o tranzacție unică. Consimțământul oferit în conformitate cu art. 6 (1) (a) din GPDR ar trebui considerată singura bază legală adecvată pentru stocarea datelor de pe cardul de credit după achiziție.

La data de 18 iunie a avut loc cea de-a 50-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), care a avut loc online. În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care:

–         Versiunea finală a Recomandărilor privind măsurile suplimentare în urma consultării publice. Recomandările au fost adoptate pentru prima dată în noiembrie 2020 în urma hotărârii CJUE Schrems II. Acestea urmăresc să asiste operatorii și persoanele împuternicite de operatori care acționează ca exportatori de date pentru a identifica și implementa măsurile suplimentare adecvate acolo unde sunt necesare pentru a asigura un nivel adecvat de protecție a datelor pe care le transferă către țări terțe.

–         O scrisoare adresată instituțiilor UE cu privire la aspectele ce țin de confidențialitatea și protecția datelor unui posibil euro digital. În scrisoare, CEPD subliniază că un standard ridicat de confidențialitate și protecție a datelor este crucial pentru a consolida încrederea utilizatorilor finali și ar trebui considerat un element distinctiv în oferirea unui euro digital, reprezentând un factor cheie al succesului. Totodată, CEPD indică că este pregătit să ofere consultanță BCE sau altor instituții ale UE.

–         A desemnat trei reprezentanți în cadrul Sistemului European de Informații și de Autorizare privind Călătoriile (ETIAS), care au sarcina de a evalua impactul prelucrării cererilor și va juca un rol important în asigurarea conformității sistemului cu drepturile fundamentale în special în ceea ce privește confidențialitatea și protecția datelor cu caracter personal.

–         Un aviz comun CEPD-AEPD cu privire la propunerea Comisiei pentru un regulament de stabilire a normelor armonizate referitor la inteligența artificială (AI).

În perioada 24-26 martie a avut loc cea de-a 52-a Reuniune a Biroului Comitetului Consultativ al Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal, care a avut online. În cadrul Ședinței au fost discutate mai multe subiecte, printre care:

–       Convenția 108+, ratificările și aderările actuale;

–       Mecanismul de evaluare și urmărire în temeiul Convenției 108+;

–       Accesul  transfrontalier la datele cu caracter personal al organelor de ocrotire a legii;

–       Identitatea digitală;

–       Prelucrarea datelor cu caracter personal de către și pentru campaniile politice;

–       Schimbul automat de date;

–       Cooperarea cu alte organisme și entități ale Consiliului Europei;

–       Evoluții și activități majore în domeniul protecției datelor cu caracter personal, etc.

Totodată, în cadrul Ședinței a fost abordat un subiect de importanță majoră ce ține de certificatele de vaccinare COVID-19. În acest sens un aport considerabil l-au avut reprezentanții Comitetului pentru Bioetică (DH-BIO), precum și reprezentanții Secretariatului. În acest context, va fi prezentată delegațiilor Declarația „Covid-19 Vaccinarea, atestările digitale și protecția datelor ”.

6. Alte autorități pentru protecția datelor

–         Amendă în valoare de 10,4 mil. de euro aplicată de către Comisarul de stat pentru Protecția Datelor, Barbara Thiel din Saxonia Inferioară, companiei Notebooksbilliger.de AG, care se ocupa cu supravegherea video a potențialilor hoți fără nici o justificare legală. Camerele video erau instalate în spațiile de lucru, departamentul vânzărilor, depozite și camerele pentru personal. Potrivit companiei, camerele video au fost instalate pentru a preveni și investiga potențiale infracțiuni și pentru a urmări fluxul de mărfuri în depozite. Totodată, mai multe înregistrări au fost stocate mai mult de 60 de zile, contrar legislației. Amenda de 10,4 milioane de euro este cea mai mare sancțiune care a fost aplicată vreodată de Comisarul de stat pentru protecția datelor din Saxonia Inferioară în temeiul Regulamentului general pentru protecția datelor (GDPR). GDPR permite autorităților de supraveghere să impună amenzi de până la 20 de mil. euro – sau până la 4% din cifra de afaceri anuală totală a unei companii la nivel mondial.

–         Amenda administrativă în valoare de 250 000 de euro aplicată de către Autoritatea Suedeză pentru Protecția Datelor, Autorității de Poliție, pentru folosirea ilegală a aplicației de recunoaștere facială Clearview AI, în scopul identificării persoanelor.

În urma anchetei efectuate de către Autoritatea Suedeză pentru Protecția Datelor s-a concluzionat că Clearview AI a fost folosită de către câțiva angajați fără nicio autorizație prealabilă. Autoritatea de Poliție nu a implementat suficiente măsuri organizatorice pentru a asigura și a putea demonstra că prelucrarea datelor cu caracter personal în acest caz a fost efectuată în conformitate cu Codul Penal, prelucrând în mod ilegal date biometrice pentru recunoașterea facială, precum și nu a efectuat o evaluare a impactului asupra protecției datelor care ar fi fost necesară în acest caz. Suplimentar amenzii menționate supra, Autoritatea de Poliție va organiza cursuri de instruire pentru angajați în scop de a evita orice viitoare prelucrare ilegală a datelor cu caracter personal.

–         Amenda totală în valoare de 6.000.000 euro aplicată de către Autoritatea Spaniolă pentru Protecția Datelor (AEPD) companiei CAIXABANK, S.A pentru prelucrarea ilegală a datelor cu caracter personal ale clienților (4.000.000 euro) și pentru nefurnizarea de informații suficiente cu privire la prelucrarea datelor cu caracter personal (2.000.000 euro). Autoritatea Spaniolă pentru Protecția Datelor a considerat că compania CAIXABANK nu a oferit suficiente informații cu privire la categoriile de date cu caracter personal vizate, scopurile prelucrării datelor cu caracter personal, precum și legalitatea prelucrării acestora, în special activitățile de prelucrare bazate pe interesul legitim al companiei. În consecință, AEPD a constatat încălcarea prevederilor stipulate la articolele 13 și 14 din GDPR, fiind impusă o amendă de 2.000.000 euro. Totodată, Autoritatea Spaniolă pentru Protecția Datelor a constatat că CAIXABANK nu a furnizat niciun mecanism de colectare a consimțământului subiectului de date, iar activitățile de prelucrare a datelor bazate pe interesul legitim al companiei nu au fost suficient justificate. AEPD a concluzionat că aceasta a constituit o încălcare a articolului 6 din GDPR și, în conformitate cu articolul 83 alineatul (5) a din GDPR, a fost impusă o amendă administrativă în valoare de 4.000.000 euro. La stabilirea cuantumului amenzii administrative, AEPD a ținut cont de natura, gravitatea și durata încălcării, domeniul de activitate a companiei ce implică prelucrarea datelor cu caracter personal, precum și cifra de afaceri a acesteia. În plus față de amenda administrativă, cea mai mare impusă vreodată de APD spaniolă, AEPD a dispus companiei CAIXABANK să își aducă operațiunile de prelucrare a datelor în conformitate cu articolele 6, 13 și 14 din GDPR în următoarele șase luni.

–         Amenda în valoare de 475 000 euro aplicată de către Autoritatea Olandeză pentru Protecția Datelor (APD) companiei Booking.com pentru întârzierea raportării încălcării securității datelor cu caracter personal. Prin intermediul unei escrocherii telefonice vizând 40 de hoteluri din Emiratele Arabe Unite (EAU) în decembrie 2018, infractorii au convins personalul hotelului să dezvăluie detaliile de conectare pentru conturile lor într-un sistem Booking.com. În acest fel, infractorii au obținut acces la datele cu caracter personal a 4.109 de persoane care rezervaseră o cameră de hotel în EAU. Datele includeau numele, adresele și numerele de telefon, precum și detalii despre rezervarea acestora. Totodată, infractorii au putut accesa informațiile despre cardul de credit a 283 de persoane, iar în 97 de cazuri, a fost obținut și codul de securitate al acestuia. Infractorii au încercat, de asemenea, să obțină informațiile despre cardul de credit ale altor victime, dându-se drept personalul companiei  Booking.com în e-mailuri sau la telefon. Autoritatea Olandeză pentru Protecția Datelor a avertizat că observă o creștere explozivă a furtului de date cu caracter personal, care în 2020 a fost cu 30% mai mare decât în ​​anul precedent.

–         Amendă totală în valoare de 1 258 478 EUR aplicată de către Autoritatea Suedeză pentru Protecția Confidențialității (IMY) companiilor Medhelp și Voice Integrate pentru apelurile telefonice înregistrate către serviciul de consultații medicale, 1177, care erau disponibile și neprotejate pe internet. Cauza incidentului a fost că o unitate de stocare atașată la rețea a fost configurată incorect și a fost astfel accesibilă pe internet publicului. În plus, unitatea nu a utilizat comunicații criptate. În consecință, o cantitate mare de apeluri a devenit disponibilă fără protecție prin parolă sau altă protecție de securitate. Singurul lucru care era necesar a cunoaște pentru a obține acces la fișierele cu apelurile telefonice era adresa IP a unității de stocare. În urma contravențiilor care au fost stabilite, IMY a emis o sancțiune administrativă de 12 milioane SEK (1 193 813 €) pentru Medhelp și o sancțiune administrativă pentru Voice Integrate în valoare de 650.000 SEK (64.665 €).

BULETIN INFORMATIV NR. 6

(1 august – 30 octombrie 2020)

1. Activități de informare efectuate de CNPDCP

În ultima perioadă,  Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPDCP) primește multiple adresări prin care se solicită opinia autorității în legătură cu înregistrarea și transmiterea în direct prin intermediul internetului a ședințelor consiliilor locale. În acest context, în perioada de referință CNPDCP a analizat subiectul abordat și a notat că prin publicarea pe internet a ședințelor consiliilor locale, se va oferi acces la anumite informații care sunt puse în discuție în cadrul ședințelor, nu doar părților interesate din localitatea respectivă, dar unui număr nelimitat de persoane. Opinia detaliată a CNPDCP poate fi accesată la următorul link: https://datepersonale.md/aspecte-privind-inregistrarea-si-transmiterea-on-line-a-sedintelor-consiliilor-locale/

2. Activitatea de control 

În perioada de referință, CNPDCP a declanșat verificarea conformității operațiunilor de prelucrare a datelor cu caracter personal, fiind astfel inițiate 82 de investigații. Din cele 82 de investigații: 4 proceduri de investigații au fost inițiate ca urmare a autosesizării CNPDCP în legătură cu o presupusă prelucrare neconformă a datelor cu caracter personal; în 28 de cazuri finalizate s-a constatat încălcarea prevederilor legale fiind încheiate 31 de procese verbale cu privire la contravenție,  care ulterior au fost remise instanței de judecată pentru soluționare.

3. Activitatea de supraveghere

Pe parcursul perioadei de referință, la „Ghișeul unic” al CNPDCP au fost înaintate spre examinare – 183 de notificări în vederea înregistrării operatorilor de date cu caracter personal și/sau sistemelor de evidență gestionate. Ca urmare a analizei respectivelor formulare de notificare, au fost emise 89 de decizii de autorizare și 94 de decizii de refuz. Astfel, circa 68 de operatori de date și 89 de sisteme de evidență a datelor cu caracter personal au fost înregistrate în Registrul de evidență a operatorilor de date cu caracter personal.

4. Știri internaționale și europene

La 2 septembrie curent a avut loc cea de-a 36-a sesiune plenară a Comitetului European pentru Protecția Datelor. În cadrul acestei ședințe Comitetul a adoptat Liniile directorii privind conceptele de operator și persoană împuternicită din RGPD și Liniile directorii orientate spre utilizatorii de social media. În plus, CEPD a creat un grup de lucru pentru reclamații ca urmare a hotărârii CEJ Schrems II și un grup de lucru dedicat măsurilor suplimentare pe care exportatorii și importatorii de date pot fi obligați să le ia pentru a asigura o protecție adecvată la transferul de date în contextul hotărârii CEJ Schrems II.

https://edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-seventh-plenary-session-guidelines-controller_en

La 7 octombrie  s-a desfășurat cea de-a 39-a sesiune plenară a Comitetului European pentru Protecția Datelor. În cadrul  ședinței au fost adoptate Liniile directorii privind conceptul de obiecție relevantă și motivată. Liniile directorii vor contribui la o interpretare unificată a conceptului, care va ajuta la implimentarea art. 65 din RGPD. Liniile directorii vizează stabilirea unei înțelegeri comune a noțiunii „relevant și motivat”, inclusiv ceea ce ar trebui luat în considerare atunci când se evaluează dacă o obiecție „demonstrează în mod clar semnificația riscurilor prezentate de proiectul de decizie” (articolul 4 (24) RGPD).

La 20 octombrie, CEPD s-a întrunit pentru cea de-a 40-a sesiune plenară. În timpul plenului, a fost discutată o gamă largă de subiecte.

În urma consultării publice, CEPD a adoptat o versiune finală a Ghidului privind protecția datelor din momentul conceperii și implicit. Liniile directorii se concentrează asupra obligației de protecție a datelor din momentul conceperii și implicit, astfel cum este prevăzut la art. 25 RGPD. Obligația de bază consacrată la articolul 25 constă în implementarea efectivă a principiilor de protecție a datelor și a drepturilor și libertăților persoanelor vizate din momentul conceperii și implicit. Aceasta înseamnă că operatorii trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate și măsurile de protecție necesare, concepute pentru a stabili principiile de protecție a datelor în practică și pentru a proteja drepturile și libertățile persoanelor vizate. În plus, operatorii ar trebui să poată demonstra că măsurile implementate sunt eficiente.

Tot în cadrul acestei ședințe CEPD a decis să înființeze un cadru coordonat de aplicare (CEF). CEF oferă o structură pentru coordonarea activităților anuale recurente de către autoritățile de supraveghere ale CEPD. Obiectivul CEF este de a facilita acțiunile comune într-o manieră flexibilă și coordonată, variind de la creșterea conștientizării comune și colectarea de informații până la verificările de aplicare și anchete comune. Scopul acțiunilor coordonate anuale recurente este de a promova conformitatea, de a împuternici persoanele vizate să își exercite drepturile și să sensibilizeze. La această ședință CEPD a adoptat o scrisoare ca răspuns la Europäische Akademie für Informationsfreiheit und Datenschutz cu privire la implicațiile privind protecția datelor din articolul 17 din Directiva drepturilor de autor, în special cu privire la filtrele de încărcare a fișierelor. În scrisoare, CEPD afirmă că orice prelucrare a datelor cu caracter personal în scopul filtrelor de încărcare trebuie să fie proporțională și necesară și că, pe cât posibil, nu ar trebui prelucrate date cu caracter personal atunci când se aplică art. 17 din Directiva privind drepturile de autor. În cazul în care este necesară prelucrarea datelor cu caracter personal, cum ar fi pentru mecanismul de recurs, aceste date ar trebui să se refere doar la datele necesare pentru acest scop specific, aplicând în același timp toate celelalte principii ale RGPD. CEPD a subliniat că în continuare face schimb de informații cu Comisia Europeană pe această temă și că și-a manifestat disponibilitatea pentru o colaborare ulterioară.

 În perioada 28-30 septembrie a avut loc cea de-a 50-a reuniune a Biroului Comitetului Convenției 108, care s-a întrunit on-line. Peste 50 de experți în protecția datelor care reprezintă statele părți la Convenția 108, precum și observatori  s-au conectat zilnic la platformă, pentru a discuta subiectele agendei. Participanții au dus discuții pe teme prioritare ale Comitetului Convenției, cum ar fi recunoașterea facială, datele cu caracter personal prelucrate în contextul sistemelor de învățământ, profilarea, identitatea digitală precum și prelucrarea datelor cu caracter personal în contextul campaniilor politice.

Consiliul Europei publică raportul „Soluții digitale pentru combaterea COVID-19”, care analizează impactul asupra drepturilor la confidențialitate și protecția datelor a măsurilor luate pentru a preveni răspândirea pandemiei COVID-19 în cele 55 state africane, țările americane și europene părți la Convenția 108. Include o revizuire aprofundată și tehnică a utilizării aplicațiilor digitale de urmărire a contactelor și a instrumentelor de monitorizare.

5. Alte autorități pentru protecția datelor

–         o amendă de 830,000 euro a fost aplicată de Autoritatea Olandeză pentru Protecția Datelor către Registrul Național de Credit, pentru taxarea subiecților de date pentru solicitarea accesului la datele lor în format digital. Registrul Național de Credit a creat prea multe obstacole pentru persoanele care doresc să-și acceseze datele. Conform legislației privind confidențialitatea datelor cu caracter personal, acest lucru nu este permis.

–         o amendă de 75,000 euro a fost aplicată de Autoritatea Spaniolă pentru Protecția Datelor către VODAFONE ESPAÑA, pentru prelucrarea numărului de telefon al reclamantului în scopuri de marketing, după ce ultimul și-a exercitat dreptul la ștergere a datelor cu caracter personal în 2015, cu toate acestea, subiectului de date i-a fost transmis un SMS publicitar. Autoritatea Spaniolă pentru Protecția Datelor a considerat că VODAFONE ESPAÑA a încălcat articolul 6 alineatul (1) din GDPR, prin prelucrarea datelor personale ale reclamantului fără niciun temei legal.

–         o amendă de 100.000 zloți polonezi a fost aplicată de Autoritatea Poloneză pentru Protecția Datelor împotriva Autorității Generale de Geodezie a Poloniei (AGGP), pentru încălcarea principiului legalității prelucrării datelor cu caracter personal și punerea la dispoziție în mod intenționat fără un temei legal pe GEOPORTAL2 (geoportal.gov.pl) a datelor cu caracter personal sub formă de numere de carte funciară obținute din registrele funciare și de proprietate. În plus, AGGP trebuie să adapteze prelucrarea datelor cu caracter personal la prevederile GDPR, întrerupând punerea la dispoziție pe portalul GEOPORTAL2 (www.geoportal.gov.pl) a datelor cu caracter personal.

–         o amendă de 37, 400 euro  a fost aplicată de Autoritatea Norvegiană pentru Protecția Datelor împotriva Administrației Norvegiene a Drumurilor Publice, pentru prelucrarea datelor cu caracter personal în scopuri incompatibile cu scopurile menționate inițial și pentru neasigurarea ștergerii înregistrărilor video după 7 zile. Administrația Norvegiană  a Drumurilor a folosit camerele video de drum pentru a monitoriza părțile contractante, angajații, subcontractanții și angajații subcontractanților. Această utilizare a înregistrărilor video a fost incompatibilă cu scopul declarat inițial.

–         o amendă de 35, 3 milioane euro a fost aplicată de Comisarul din Hamburg pentru Protecția Datelor și Libertatea Informației (HmbBfDI) împotriva Centrului de Servicii H&M din Nurnberg pentru monitorizarea ilegală a câtorva sute de angajați de către administrație. Managerii au dobândit informația despre viața privată, religie, simptome ale bolii și diagnosticul angajaților, care a fost stocată permanent pe o rețea pentru o evaluare meticuloasă a performanței individuale a muncii și pentru a obține un profil detaliat al angajaților pentru măsuri și decizii referitoare la munca lor. Colectarea datelor a devenit cunoscută prin faptul că datele au devenit accesibile la nivel de companie pentru câteva ore în octombrie 2019 din cauza unei erori de configurare. HmbBfDI a ordonat, conținutul rețelei să fie “înghețat” și ulterior a cerut să fie returnat.

–         o amendă de 276,000 euro a fost aplicată de Autoritatea Norvegiană pentru Protecția Datelor împotriva Municipalității Bergen pentru prelucrarea neconformă a informațiilor ce conțin date cu caracter personal din sistemul de comunicare dintre școală și casă. În octombrie 2019, Autoritatea pentru Protecția Datelor a fost notificată cu privire la o încălcare a prelucrării datelor cu caracter personal de către municipalitatea Bergen, cu privire la noul instrument al municipalității pentru comunicarea dintre școală și casă, unde școala și părinții puteau comunica printr-un portal sau o aplicație. Municipalitatea nu a stabilit liniile directorii necesare pentru a securiza informațiile ce conțin date cu caracter personal ale copiilor și părinților cu o adresă confidențială înainte ca instrumentul să fie pus în aplicare. Astfel, o listă de contacte cu informații despre „adresa confidențială” a fost distribuită părinților la nivel de clasă. Amenda administrativă a fost impusă deoarece municipalitatea nu a implementat măsuri tehnice și organizatorice pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal, precum și confidențialitatea acestora.