Centrul Național pentru Protecția Datelor cu Caracter Personal informează în legătură cu aplicarea unei amenzi companiei H&M din Nurnberg în cuantum de 35,3 milioane euro pentru supravegherea ilegală a câtorva sute de angajați, de către autoritatea germană de protecție a datelor, care a constatat că firma avea evidențe „excesive” legate de familiile, religiile și bolile angajaților centrului de servicii de la Nürnberg https://stiri.md/article/international/handamp-m-amendata-cu-35-000-000-euro-colecta-date-personale-despre-angajati  .

Cu titlu de retrospectivă, aceasta este a doua cea mai mare amendă cu care s-a confruntat o singură companie pentru încălcarea normelor GDPR din UE. Anul precedent, autoritatea franceză de reglementare a datelor, CNIL, a amendat Google cu 50 de milioane de euro pentru încălcarea Regulamentului general privind protecția datelor.

Încălcările de confidențialitate ale H&M au inclus anchete extinse ale personalului, cu detalii despre sărbători, simptome medicale și diagnostice pentru boli, a arătat ancheta efectuată de Autoritatea pentru Protecția Datelor din Hamburg (HmbBfDI) timp de un an.

Unii manageri au căutat și alte detalii private în discuțiile informale, inclusiv probleme de familie sau credințe religioase, care au fost apoi stocate și utilizate pentru a evalua performanța muncii și a lua decizii de angajare.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legii.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și  aplicativ, comunică despre faptul că, în contextul deciziei Curții de Justiție a Uniunii Europene în cazul „Schrems II”, Alessandra Pierucci, Președinte al Comitetului Convenției 108 și Jean-Philippe Walter, Comisarul pentru protecția datelor din cadrul Consiliului Europei au publicat o Declarație comună prin care reamintesc relevanța și influența Convenției pentru protecția persoanelor cu privire la prelucrarea automatizată a datelor cu caracter personal (Convenția 108+) în contextul fluxurilor internaționale de date cu caracter personal.

Astfel, la 16 iulie 2020, Curtea de Justiție a Uniunii Europene a declarat nevalidă Decizia 2016/1250 privind nivelul adecvat al protecției datelor oferite de Scutul de confidențialitate UE-SUA. Motivul principal pentru această hotărâre este că legislația americană nu poate garanta un nivel adecvat al protecției datelor cu caracter personal transferate din UE, în special în ceea ce privește accesul serviciilor americane de informații la aceste date.

Reprezentanții Consiliului Europei menționează faptul că, de ani de zile, un număr tot mai mare de persoane solicită supravegherea democratică și eficientă a serviciilor de securitate și informații din întreaga lume pentru a putea asigura o mai bună protecție a drepturilor și libertăților fundamentale ale oamenilor.

Principiile Convenției 108+, precum și puținele excepții pe care le permite, în special în contextul securității și al informațiilor, sunt elemente puternice pentru a răspunde preocupărilor exprimate de către  Edward Snowden. Președintele Comitetului Convenției 108 și Comisarul pentru protecția datelor din cadrul Consiliului Europei consideră, de asemenea, că mandatul unic al Consiliului Europei, experiența sa în ceea ce privește drepturile omului, democrația și statul de drept, precum și deschiderea acestuia dincolo de hotarele europene (cu unele dintre instrumentele sale de referință, cum ar fi Convenția 108 și Convenția de la Budapesta), fac din Organizație un forum ideal pentru a realiza lucrări de cercetare la nivel internațional privind problema delicată a serviciilor naționale de securitate.

Declarația comună a Președintelui Comitetului Convenției 108 și Comisarului pentru protecția datelor din cadrul Consiliului Europei poate fi vizualizată accesînd următorul link: https://www.coe.int/en/web/data-protection/-/to-better-protect-us-when-our-personal-data-falls-into-the-intelligence-trap-

A N U N Ţ

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal anunţă despre reluarea concursurilor privind ocuparea funcţiilor publice vacante, suspendate din 13 iunie 2020, în legătură cu declararea stării de urgență în sanatate publică.

În acest context, candidații admiși la concursul pentru funcțiile de Șef Serviciu informare, comunicare cu mass-media și e-Transformare și Consultant în Serviciul resurse umane,  vor fi informați suplimentar despre data petrecerii probei scrise, iar pentru funcția publică de Auditor intern se stabilește perioada de depunere a dosarelor de concurs – de la 15 septembrie 2020 până la 04 octombrie 2020, inclusiv.

Comisia de concurs

Accesările noului site web pentru perioada mai-iulie 2020

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) informează că, noua pagină web, de la lansarea sa și până în prezent a adunat peste 26418 de vizitatori unici.

Noua pagină a CNPDCP www.datepersonale.md a fost creată cu suportul proiectului UE Twinning „Consolidarea capacităților Centrului Național pentru Protecția Datelor cu Caracter Personal” și lansată la 31 ianuarie 2020. Aceasta are menirea de a promova o comunicare mai interactivă cu vizitatorii săi, precum și menirea de a eficientiza procesul de căutare a celor mai importante informații aferente domeniului protecției datelor cu caracter personal.

Astfel, de la lansarea acesteia și până în prezent – peste 26418 de utilizatori unici au accesat informațiile de pe noua pagină web, fapt ce denotă un interes sporit din partea vizitatorilor față de domeniul protecției datelor cu caracter personal.

Lunar, noua pagină web, a înregistrat un număr de până la 5554 de vizitatori unici și anume:

·        Pe parcursul lunii mai pagina web a fost vizualizată de 4401 de vizitatori unici;

·        Pe parcursul lunii iunie pagina web a fost vizualizată de 4842 de vizitatori unici;

·        Pe parcursul lunii iulie, pagina web a fost vizualizată de 5554 de vizitatori unici.

Cele mai vizualizate articole rămân a fi Buletinele informative ale activității CNPDCP precum și aspectele ce vizează conformarea diferitor instituții la prevederile legislației din domeniul protecției datelor.

Precizăm că o parte din informații pot fi vizualizate pe pagina web anterioară, accesând link-ul old.datepersonale.md

ANUNȚ

Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova Vă informează că, în luna august 2020, o parte din angajații Direcției prevenire, supraveghere și evidență, spre regret, au fost testați pozitiv cu noul tip de coronavirus, fapt care generează dificultăți în realizarea sarcinilor legate de examinarea notificărilor depuse/recepționate la Ghişeul unic al Centrului Naţional pentru Protecţia Datelor cu Caracter Personal în perioada sfîrșitul lunii iunie – august 2020. Reieșind din aceste circumstanțe, în conformitate cu prevederile art. 20 alin. (1) lit. f) și h), art. 24 alin. (4) ale Legii privind protecția datelor cu caracter personal, termenul de examinare a notificărilor depuse se prelungește cu 45 de zile.

Operatorii de date cu caracter personal vizați vor fi informați inclusiv prin intermediul înștiințărilor generate de Registrul de evidenţă al operatorilor de date cu caracter personal.

Ne cerem scuze pentru inconveniențe și Vă mulțumim pentru înțelegere.

Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPDCP) anunță despre inițierea consultărilor publice, începând cu data de 27 iulie 2020, asupra proiectului de Decizie privind stabilirea cazurilor de prelucrare a datelor cu caracter personal în care nu este necesară notificarea.

În conformitate cu Regulamentul Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, structurii, efectivului-limită şi a modului de finanţare a Centrului Naţional pentru Protecţia Datelor cu Caracter Personal, aprobat prin Legea nr.182/2008, Centrul Naţional pentru Protecţia Datelor cu Caracter Personal, este o autoritate publică autonomă, independentă şi imparțială față de alte autorități publice, persoane fizice şi juridice, care îşi exercită atribuțiile ce îi sunt date în competență prin Legea privind protecţia datelor cu caracter personal.

Reliefăm, că potrivit art. 1 din Legea nr. 133/2011 privind protecția datelor cu caracter personal, scopul actului normativ menționat este asigurarea protecţiei drepturilor şi libertăţilor fundamentale ale persoanei fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special a dreptului la inviolabilitatea vieţii intime, familiale şi private.

În acest sens, prin prismsa  a prevederilor statuate în legea menționată, Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (CNPDCP) monitorizează respectarea legislației în domeniu și verifică conformitatea prelucrării datelor cu caracter personal în corespundere cu cerințele legii.

Ținînd cont de competențele și atribuțiile acordate prin actele normative precitate, reieșind din necesitatea stringentă de a consolida capacitățile sale operaționale și funcționale, CNPDCP pune în vizor următoarele prevederi:

Potrivit art. 20 alin. (1) lit. b) din Legea privind protecția datelor cu caracter personal, CNPDCP autorizează prelucrările de date cu caracter personal în cazurile prevăzute de lege;

În conformitate cu normele stipulate la art. 23 alin. (5) din Legea privind protecția datelor cu caracter personal, notificarea nu este necesară în cazul în care prelucrarea are ca scop ținerea unui registru destinat informării publicului larg şi deschis spre consultare publicului sau oricărei persoane care probează un interes legitim, cu condiția ca prelucrarea să se limiteze la datele necesare ținerii registrului menționat;

În acord cu prevederile art. 23 alin. (6) din Legea privind protecția datelor cu caracter personal, CNPDCP poate stabili şi alte situații în care notificarea nu este necesară;

Art. 24 alin. (2) din Legea nr. 133/2011 privind protecția datelor cu caracter personal stabilește categoriile de operațiuni de prelucrare a datelor cu caracter personal care prezintă riscuri speciale pentru drepturile şi libertățile persoanelor;

În aceiași ordine de idei urmează a fi remarcată practica altor state.

Astfel, prin Decizia nr. 200 din 14 decembrie 2015, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal din România a stabilit cazurile de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea.

  În anul 2016, Parlamentul European și Consiliul a adoptat pachetul de reformă legislativă privind protecția datelor cu caracter personal, publicat în Jurnalul Oficial al Uniunii Europene pe data de 4 mai 2016, cu intrarea în vigoare începând cu 25 mai 2018. Se notează că pachetul legislativ menționat, vine cu o serie de modificări pe dimensiunea protecției datelor cu caracter personal, precum și exclude necesitatea notificării sistemelor de evidenta gestionate de către operatorii de date cu caracter personal.

Având în vedere raționamentele menționate supra CNPDCP a elaborat proiectul Deciziei privind stabilirea cazurilor de prelucrare a datelor cu caracter personal în care nu este necesară notificarea.

Documentul integral poate fi vizualizat pe pagina web a CNPDCP, în compartimentul Transparență decizională, accesând link-ul https://datepersonale.md/wp-content/uploads/2020/07/DECIZIE-scutire.pdf

Termenul limită pentru expunere – 10 august 2020

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și  aplicativ, comunică despre Decizia Curții de Justiție a Uniunii Europene prin care se declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, totodată menționând că Decizia 2010/87 a Comisiei privind clauzele contractuale tip pentru transferul de date cu caracter personal către persoanele împuternicite de către operator, stabilite în țări terțe, este validă.

Decizia a fost luată urmare a plângerii depuse de către un  resortisant austriac cu reședința în Austria, utilizator al Facebook din anul 2008. La fel ca în cazul celorlalți utilizatori cu reședința în UE, datele cu caracter personal ale acestuia sunt, în tot sau în parte, transferate de Facebook către servere situate pe teritoriul Statelor Unite ale Americii, unde fac obiectul unei prelucrări. Petentul susține că dreptul și practicile SUA nu oferă o protecție suficientă împotriva accesului autorităților publice la datele transferate către această țară.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE  prevede că transferul unor astfel de date către o țară terță, în principiu, se poate realiza numai dacă țara terță în cauză asigură un nivel de protecție adecvat în privința acestor date sau stabileşte condițiile în care se poate realiza un astfel de transfer în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate.

În cazul petentului, potrivit Curții, limitările protecției datelor cu caracter personal care decurg din reglementarea internă a SUA privind accesul și utilizarea de către autoritățile publice americane a unor astfel de date transferate din UE către această țară terță și pe care Comisia le-a evaluat în Decizia 2016/1250 nu sunt circumscrise astfel încât să îndeplinească cerințe în esență echivalente cu cele prevăzute în dreptul UE, de principiul proporționalității, în sensul că programele de supraveghere întemeiate pe această reglementare nu sunt limitate la strictul necesar. Totodată, mecanismul de tip Ombudsman prevăzut de decizia menționată nu furnizează acestor persoane o cale de atac în fața unui organ care oferă garanții în esență echivalente cu cele impuse de dreptul UE de natură să asigure atât independența Ombudsmanului prevăzut de acest mecanism, cât și existența unor norme care să abiliteze Ombudsmanul menționat să adopte decizii obligatorii în privința serviciilor americane de informații.

Pentru toate aceste motive, Curtea declară nevalidă Decizia 2016/1250.

Decizia integrală a Curții de Justiție a Uniunii Europene prin care se declară nevalidă Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, o puteți găsi accesând următorul link:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091ro.pdf

Declarații adoptate de Comitetul European pentru Protecția Datelor

În cadrul Plenarei Comitetului European pentru Protecția Datelor, desfășurată on-line pe 16 iunie 2020 s-au adoptat următoarele documente:

•        Declarație privind impactul pe care interoperabilitatea aplicațiilor de urmărire a contactelor îl are asupra protecției datelor;
        Declarația subliniază necesitarea respectării transparenței și legalității prelucrărilor implicate, drepturilor subiecților de date, respectarea principiului minimizării datelor și asigurării confidențialității acestora. De asemenea, interoperabilitatea nu ar trebui să fie folosită ca motiv pentru a extinde colectarea mai mult decât este necesar.

•        Declarație privind prelucrarea datelor cu caracter personal în contextul redeschiderii frontierelor în urma pandemiei de COVID-19.
      Declarația specifică măsurile care permit redeschiderea în siguranță a frontierelor prevăzute în prezent sau puse în aplicare de Statele Membre, incluzând testarea COVID-19, necesitând certificate eliberate de profesioniștii din domeniul sănătății și utilizarea unei aplicații de urmărire voluntară a contactelor. Totodată, în declarație, CEPD îndeamnă Statele Membre să adopte o abordare europeană comună atunci când decid ce prelucrare a datelor cu caracter personal este necesară în acest context.