Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 450.000 EUR, aplicată de către Comisia pentru Protecția Datelor din Irlanda (DPC) companiei Twitter International pentru încălcarea articolului 33 (1) și 33 (5) din GDPR.

Ancheta Comisiei pentru protecția datelor din Irlanda a început în ianuarie 2019, după recepționarea unei notificări de încălcare de la compania Twitter, constatând încălcarea articolului 33 (1) și 33 (5) din GDPR în ceea ce privește nerespectarea obligației de notificare a încălcării la timp către DPC precum și nerespectarea documentării adecvate a încălcării. DPC a impus o amendă administrativă de 450.000 EUR companiei Twitter ca măsură eficientă, proporțională și descurajantă.

Proiectul de decizie în această anchetă, care a fost înaintat altor autorități de supraveghere vizate în conformitate cu articolul 60 din GDPR în luna mai a acestui an, a fost primul care a trecut prin procesul articolului 65 („soluționarea litigiilor”) de la introducerea GDPR și a fost primul proiect de decizie într-un caz al „giganților tehnologici”, asupra căruia au fost consultate toate autoritățile de supraveghere ale UE.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenzi în valoare de 100 milioane EUR și 35 milioane EUR aplicate de către Autoritatea pentru Protecția Datelor din Franța (CNIL), companiilor Google și Amazon pentru încălcarea reglementărilor privind „cookies”. Amenzile au rezultat din două investigații separate efectuate de CNIL în legătură cu utilizarea cookie-urilor pe site-urile franceze Google și Amazon.

CNIL a amendat Google LLC cu 60 de milioane de euro și Google Ireland Ltd (Google sediu central) cu 40 de milioane de euro. Combinate, aceste amenzi sunt cele mai mari sancțiuni pronunțate vreodată de CNIL. Atât Google LLC, cât și Google Ireland Ltd au fost considerate responsabile pentru utilizarea cookie-urilor, prin exercitarea  puterii de decizie în ceea ce privește prelucrarea datelor cu caracter personal privind utilizatorii aflați în Franța.

De asemenea, CNIL a amendat Amazon Europe Core, o companie înregistrată în Luxemburg și aparținând grupului Amazon, cel mai mare retailer online, cu 35 de milioane de euro, pentru încălcarea legislației locale privind ”cookies”.

Autoritatea pentru Protecţia Datelor din Franța a precizat că site-urile franceze ale companiilor Google şi Amazon nu au cerut consimțământul vizitatorilor înainte ca aceste cookie-uri să fie salvate pe dispozitivele acestora și nu au furnizat utilizatorilor de internet informații clare privind modul în care cele două companii intenționează să folosească rezultatele navigărilor pe site-uri şi modul în care vizitatorii site-urilor franceze ar putea refuza folosirea cookie-urilor.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 300.000 SEK, aplicată de către Autoritatea Suedeză pentru Protecția Datelor unei asociații de proprietari pentru supravegherea video ilegală într-un bloc de apartamente.

Autoritatea Suedeză pentru Protecția Datelor a primit o plângere privind supravegherea video într-un bloc de apartamente aparținând asociației de proprietari Uppsalahem. Zona de monitorizare a camerei video cuprindea în mod clar două uși ale apartamentului, dintre care una aparține reclamantului și cealaltă aparține unui rezident care a fost supus perturbărilor și hărțuirii.

Asociația de locatari afirmă că scopul supravegherii video a fost de a rezolva perturbările survenite în scara blocului de-a lungul timpului. „Chiar dacă asociația de locatari avea un interes legitim pentru supravegherea video, acesta a fost depășit de dreptul rezidenților la viața privată „, spune Gustav Linder, consilier juridic al Autorității Suedeze pentru Protecția Datelor.

În decizia sa, Autoritatea Suedeză pentru Protecția Datelor concluzionează că supravegherea video în cauză, monitorizează persoanele în mediul lor familial, încălcându-le dreptul la confidențialitate. Din acest motiv, Autoritatea Suedeză pentru Protecția Datelor impune asociației de proprietari o amendă de 300.000 SEK și dispune încetarea supravegherii video în cauză.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.

În contextul reacției societății civile, precum și a unor autorități publice locale, care au tratat greșit opinia expusă în legătură cu înregistrarea și transmiterea în direct prin intermediul internetului a ședințelor consiliilor locale, Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPDCP) ține să precizeze că nu intenționează să restricționeze înregistrarea și transmiterea în direct prin intermediul internetului a ședințelor consiliilor locale, iar anumite raționamente expuse anterior asupra subiectului dat au fost rupte din context și interpretate într-o manieră eronată.

În aceste circumstanțe este necesar a pune în evidență următoarele:

– Transparența și accesul la informații reprezintă una dintre componentele esențiale ale oricărui sistem democratic. Pentru ca cetățenii să se poată implica în treburile publice, să participe în procesele de luare a deciziilor, să monitorizeze felul în care autoritățile își respectă atribuțiile iar persoanele alese promisiunile, aceștia trebuie să aibă acces la informațiile veridice despre faptele celor din urmă, iar autoritățile să asigure transparența în procesul decizional.

– Pe același palier de idei urmează a fi notat că potrivit alin. (1) art. 3 din Legea privind statutul alesului local nr. 768-XIV din 02 februarie 2000, în unitatea administrativ-teritorială respectivă, alesul local este persoană oficială/publică, el fiind reprezentantul autorității deliberative sau executive din administrația publică locală. Persoanele publice trebuie să accepte anumite ingerințe în viața lor privată în mai mare măsură decât persoanele obișnuite. Astfel, anumite informații, inclusiv datele cu caracter personal ce vizează un ales local ar putea deveni informații de interes public în măsură în care acestea sunt legate de exercitarea funcției publice de către persoana dată, ținându-se cont de existența dreptului la respectarea vieții sale private şi de familie.

– În acord prevederile art. 17 alin. (1) al Legii nr. 436-XVI din 28 decembrie 2006 privind administrația publică locală, ședințele consiliului local sunt publice. Alin. (2) al aceluiași articol, menționează că orice persoană interesată poate asista la ședințele consiliului local. Totuși, remarcăm că actul normativ prenotat nu instituie dreptul/obligația acestora de a înregistra și plasa ședințele consiliilor locale în spațiul on-line. Chiar dacă prevederile art. 17 alin. (3) al legii prenotate, prescriu obligativitatea asigurării transparenței ședințelor consiliului local, aceasta urmează a fi realizată, inclusiv în conformitate cu prevederile legislației privind protecția datelor cu caracter personal, care reclamă respectarea anumitor cerințe/principii în acest sens.

– Subliniem că, caracterul deschis al anumitor date cu caracter personal trebuie să fie prevăzut de actele normative care reglementează anumite raporturi juridice. Precizăm, că chiar și potrivit  prevederilor pct. 30 al  Regulamentului cu privire la modul de ținere a Registrului de stat al actelor locale, aprobat prin Hotărârea Guvernului nr. 672 din 28 august 2017, deciziile cu caracter individual emise/adoptate de autoritățile administrației publice locale  pot fi vizualizate public doar în formă depersonalizată. Aceiași abordare este necesar a fi pusă și la baza asigurării transparenței ședințelor consiliilor locale, urmare a înregistrării și transmiterii în direct prin intermediul internetului a subiectelor puse în discuție în cadrul acestora, în special în partea ce vizează adoptarea deciziilor cu caracter individual.

– Nu în ultimul rând, urmează a menționa că adesea, ținând cont de sarcinile de interes public sau care rezultă din exercitarea prerogativelor de autoritate publică cu care este investit consiliul local, în cadrul ședințelor sunt puse în discuție nu doar aspecte ce țin de comunitatea locală sau activitatea administrativă a autorității, dar și aspecte ce țin de viața privată a unor persoane concrete, care ar putea să dezvăluie, spre exemplu, informații/date despre apartenența socială a persoanelor (familii, copii, persoane în vârstă aflate în dificultate), datele privind starea de sănătate etc.

În aceste circumstanțe, precum și în scopul asigurării unui echilibru între dreptul la libertatea de exprimare și dreptul de acces la informații, pe de o parte și dreptul la protecția datelor cu caracter personal, pe de altă parte, CNPDCP a intervenit cu anumite recomandări în legătură cu înregistrarea și transmiterea în direct prin intermediul internetului a ședințelor consiliilor locale.

Respectiv, s-a recomandat ca consiliile locale să vină cu reglementări clare, prin acte normative, ce subiecte urmează a fi plasate public, ce categorii de date cu caracter personal vor fi dezvăluite în acest sens, modalitatea de informare a persoanelor despre plasarea în spațiul internet a ședințelor, oferirea posibilității realizării drepturilor în calitate de subiecți de date cu caracter personal, asigurarea măsurilor de securitate și confidențialitate a datelor cu caracter personal, stabilirea unui termen concret pentru care informațiile vor fi lăsate publice, mecanismul de ștergere a acestor înregistrări etc. Actul normativ trebuie să stabilească clar care ședințe/parte a ședințelor urmează a fi înregistrate și plasate în spațiul public, cine sunt persoanele desemnate/autorizate pentru înregistrarea ședințelor și difuzarea acestora în spațiul public, în condițiile legale.

Totodată, având în vedere interesul ridicat față de acest subiect, autoritatea își propune organizarea, cu susținerea Congresului Autorităților Locale în Moldova a unor instruiri cu primarii/secretarii primăriilor din Republica Moldova, în cadrul cărora vor fi puse în discuție aspecte ce țin de condițiile/cerințele necesar a fi respectate la prelucrarea datelor cu caracter personal de către autoritățile publice locale care rezultă din exercitarea atribuțiilor ce le revin, inclusiv aspecte ce țin de înregistrarea și transmiterea prin intermediul internetului a ședințelor consiliilor locale, iar, în eventuala necesitate, formularea unor recomandări în partea ce vizează elaborarea actelor normative care vor reglementa această procedură.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și  aplicativ, comunică despre amenda în sumă de 12.250.000 EUR aplicată de către Autoritatea Italiană pentru protecția datelor cu caracter personal (Garante per la protezione dei dati personali), operatorului de telefonie mobilă, Vodafone, pentru prelucrarea ilegală a datelor cu caracter personal ale milioane de utilizatori în scopuri de telemarketing.

Această decizie marchează ultimul pas într-o procedură complexă inițiată de Autoritatea Italiană pentru protecția datelor cu caracter personal, în urma a sute de plângeri și semnalări trimise de utilizatori împotriva apelurilor telefonice nesolicitate efectuate de Vodafone și / sau rețeaua de telemarketing a operatorului pentru a promova serviciile de telefonie și Internet.

Investigațiile efectuate de Autoritatea Italiană pentru protecția datelor cu caracter personal au evidențiat puncte critice majore de natură „structurală” legate de încălcarea nu numai a cerințelor în ceea ce privește consimțământul, ci și a principiilor cheie, cum ar fi obligația de protecție a datelor începând cu momentul conceperii și în mod implicit, așa cum sunt stabilite în GDPR.  

În cele din urmă, Autoritatea Italiană pentru protecția datelor cu caracter personal, a impus operatorului de telefonie mobilă, Vodafone, nu doar amendă în sumă de 12.250.000 EUR, dar a interzis prelucrarea datelor cu caracter personal în scopuri de telemarketing, în cazul în care aceste date sunt achiziționate de la terți care nu au obținut consimțământul acordat în mod liber, specific și informat al utilizatorilor pentru divulgarea datelor cu caracter personal.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (CNPDCP) a oferit, în data de 17 noiembrie, un training despre protecţia datelor cu caracter personal la solicitarea Centrului de Instruire în Domeniul Relaţiilor de Muncă. La eveniment au participat circa 150 de persoane – directori de şcoli, grădiniţe, gimnazii, dar şi angajaţi din domeniul medical.

Subiectele abordate în cadrul trainingului au vizat: principiile de protecţie a datelor cu caracter personal, drepturile subiecţilor, înregistrarea întreprinderii/instituţiei ca operator de date cu caracter personal, recomandări privind identificarea sistemelor de prelucrare a datelor cu caracter personal la întreprinderi/instituţii şi cerinţele privind protecţia datelor cu caracter personal privind sistemele de supraveghere video.

Denis Coțofan, șef adjunct interimar al Direcției Juridice de la CNPDCP a declarat că: „în cazul în care datele cu caracter personal sunt colectate direct de la subiectul datelor și cel târziu în momentul primei dezvăluiri, acestuia trebuie să i se furnizeze următoarele informaţii, identitatea operatorului/persoanei împuternicite de către operator, scopul prelucrării datelor colectate, destinatarii datelor cu caracter personal, existenţa drepturilor de acces la date, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care acestea pot fi exercitate şi dacă răspunsurile la întrebările cu ajutorul cărora se colectează datele sunt obligatorii sau voluntare, precum şi consecinţele posibile ale refuzului de a răspunde”.

Orice subiect al datelor cu caracter personal are dreptul de a obţine de la operator sau persoana împuternicită de către acesta, la cerere şi în mod gratuit: rectificarea, actualizarea, blocarea sau ştergerea datelor cu caracter personal a căror prelucrare contravine prezentei legi. Este vorba în special datorită caracterului incomplet sau inexact al datelor şi notificarea terţilor cărora le-au fost dezvăluite datele cu caracter personal despre operaţiunile efectuate, exceptând cazurile când această notificare se dovedeşte a fi imposibilă sau presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.

Daniela Movilă, controlor de stat superior în cadrul Direcției prevenire, supraveghere și evidență a vorbit în cadrul seminarului despre procedura de notificare a sistemelor de evidenţă gestionate de operatorii de date cu caracter personal. „Fiecare operator de date cu caracter personal, reieşind din specificul activităţii, elaborează şi organizează implementarea prevederilor documentului care stabileşte politica de securitate a datelor cu caracter personal, inclusiv procedurile şi măsurile legate de realizarea acestei politici, cu aplicarea soluţiilor practice cu un nivel de detalizare şi complexitate proporţional, în partea ce ţine de identificarea şi autentificarea utilizatorilor; de reacţionare la incidentele de securitate; de protecţie a TI şi comunicaţiilor; de asigurare a integrităţii informaţiei care conţine date cu caracter personal şi TI; de administrare a accesului; de audit şi asigurare a evidenţei”.

Participaţii la training au adresat întrebări reprezentanţilor CNPDCP privind aplicarea în practică a legislaţiei din domeniul protecţiei datelor cu caracter personal, identificarea sistemelor de prelucrare a datelor cu caracter personal dar şi despre paşii care ar trebui urmaţi în prelucrarea datelor.

În cadrul celei  de-a 40-a Sesiune Plenară a Comitetului European pentru Protecția Datelor a fost adoptată, în urma consultărilor publice, versiunea finală a Liniilor directorii privind asigurarea protecției datelor începând cu momentul conceperii și în mod implicit.

Liniile directorii se concentrează asupra obligației de protecție a datelor începând cu momentul conceperii și în mod implicit, astfel cum este prevăzut la articolul 25 din Regulamentul General privind Protecția Datelor (GDPR). Aceasta înseamnă că operatorii trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate, precum și măsuri de protecție necesare, concepute pentru a implementa principiile de protecție a datelor în practică și pentru a proteja drepturile și libertățile persoanelor fizice. În plus, operatorii ar trebui să poată demonstra că măsurile implementate sunt eficiente.

Liniile directorii conțin, de asemenea, îndrumări cu privire la modul de implementare eficientă a principiilor de protecție a datelor prevăzute la articolul 5 din GDPR, enumerând elementele cheie  începând cu momentul conceperii și în mod implicit, precum și cazuri practice pentru ilustrare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și  aplicativ, comunică despre amenda administrativă în valoare de 15.000 EUR, aplicată Administrației Municipiului Vilnius de către Inspectoratul de Stat pentru Protecția Datelor din Republica Lituania, pentru încălcarea Regulamentului General privind Protecția Datelor (GDPR). Amenda a fost aplicată pentru încălcarea articolului 5 alineatul (1) litera (d) și a articolului 5 alineatul (1) litera (f) din GDPR, adică a eșecului de a pune în aplicare măsuri tehnice și organizatorice adecvate, prin urmare, neasigurându-se exactitatea datelor cu caracter personal prelucrate ale părinților unui copilul adoptat.

După efectuarea unei investigații, Inspectoratul de Stat pentru Protecția Datelor din Republica Lituania a stabilit că, atunci când a fost completată o cerere cu privire la educație a copilului adoptat în Sistemul centralizat de depunere a cererilor și  informații privind populația al Administrației Municipiului, solicitantul a indicat date cu caracter personal, date actualizate automat lunar. În momentul actualizării automate, datele de contact ale solicitantul au fost înlocuite cu datele de contact (adresa de e-mail) ale unuia dintre părinții biologici ai copilului disponibile în Registrul de stat al populației din Republica Lituania.

Atunci când sunt prelucrate date cu caracter personal, Administrația Municipalității trebuie să respecte principiul exactității care prevede că datele trebuie să fie corecte și, acolo unde este necesar, actualizate; trebuie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere (articolul 5 alineatul (1) litera (d) din GDPR) și principiul integrității și confidențialității care prevăd că datele cu caracter personal trebuie prelucrate într-un mod care să asigure securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale, împotriva pierderii, distrugerii sau deteriorării accidentale, utilizând măsuri tehnice sau organizatorice adecvate (alineatul (1) litera (f) din GDPR).

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și  aplicativ, comunică despre amenda aplicată de către Autoritatea Norvegiană pentru Protecția Datelor, municipalității Bergen, pentru prelucrarea neconformă a informațiilor ce conțin date cu caracter personal din sistemul de comunicare dintre școală și casă.

În octombrie 2019, Autoritatea pentru Protecția Datelor a fost notificată cu privire la o încălcare a prelucrării datelor cu caracter personal de către municipalitatea Bergen, cu privire la noul instrument al comunității pentru comunicarea dintre școală și casă. Vigilo, conținea un modul prin intermediul căruia școala și părinții puteau comunica printr-un portal sau o aplicație. Municipalitatea nu a stabilit și nici nu a comunicat liniile directorii necesare pentru a securiza informațiile ce conțin date cu caracter personal ale copiilor și părinților cu o adresă confidențială înainte ca instrumentul să fie folosit. Astfel, o listă de contacte cu informații despre „adresa confidențială” a fost distribuită părinților la nivel de clasă.

Amenda administrativă, în sumă de 276.000 EUR,  a fost impusă deoarece municipalitatea nu a implementat măsuri tehnice și organizatorice pentru a asigura un nivel adecvat de securitate a datelor cu caracter personal, precum și confidențialitatea acestora.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.