Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ, comunică despre participarea conducerii Centrului Național Pentru Protecția Datelor cu Caracter Personal la cea de-a 48-a Ședință Plenară a Comitetului European pentru Protecția Datelor (CEPD), care a avut loc la online, la data de 13 aprilie, curent.

În cadrul Plenarei, CEPD a adoptat mai multe documente, printre care:

• două Avize cu privire la Proiectele de decizii de adecvare din Marea Britanie (Avizul 14/2021 care se bazează pe prevederile legale din GDPR și Avizul 15/2021 care se bazează pe Directiva privind protecția datelor în materie de asigurare a respectării legii). CEPD remarcă faptul că există domenii-cheie de puternică aliniere între cadrul legal privind protecția datelor din UE și Marea Britanie cu privire la anumite dispoziții de bază, cum ar fi:  temei pentru o prelucrare legală și echitabilă în scopuri legitime; limitarea scopului; calitatea și proporționalitatea datelor; păstrarea datelor, securitate și confidențialitate; transparență; categorii speciale de date; și privind luarea deciziilor și profilarea automată.
• Linii Directorii privind aplicarea articolului 65 alineatul (1) litera (a) din GDPR, având drept scop de a delimita etapele principale ale procedurii și de a clarifica competența CEPD atunci când adoptă o decizie obligatorie din punct de vedere juridic în temeiul articolului menționat. Liniile Directorii vor fi supuse consultării publice pentru o perioadă de șase săptămâni.
• Versiunea finală a Liniilor Directorii privind direcționarea utilizatorilor de social media, în urma consultării publice, scopul acestora fiind de a clarifica rolurile și responsabilitățile furnizorilor de social media și ale persoanelor vizate.
• Declarația privind acordurile internaționale, inclusiv transferurile. CEPD invită statele membre ale UE să evalueze și, acolo unde este necesar, să își revizuiască acordurile internaționale care implică transferuri internaționale de date cu caracter personal în scopul alinierii acestora la legislația UE privind protecția datelor.

CNPDCP, în calitate de autoritatea națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra importanței participării Republicii Moldova în cadrul Sesiunilor Plenare organizate de către CEPD, cât și despre ponderea documentelor adoptate în cadrul acestora.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda în valoare de 475 000 EUR aplicată de către Autoritatea Olandeză pentru Protecția Datelor (APD) companiei Booking.com pentru întârzierea raportării încălcării securității datelor cu caracter personal.

Prin intermediul unei escrocherii telefonice vizând 40 de hoteluri din Emiratele Arabe Unite (EAU) în decembrie 2018, infractorii au convins personalul hotelului să dezvăluie detaliile de conectare pentru conturile lor într-un sistem Booking.com. În acest fel, infractorii au obținut acces la datele cu caracter personal a 4.109 de persoane care rezervaseră o cameră de hotel în EAU. Datele includeau numele, adresele și numerele de telefon, precum și detalii despre rezervarea acestora.

Totodată, infractorii au putut accesa informațiile despre cardul de credit a 283 de persoane, iar în 97 de cazuri, a fost obținut și codul de securitate al acestuia. Infractorii au încercat, de asemenea, să obțină informațiile despre cardul de credit ale altor victime, dându-se drept personalul companiei  Booking.com în e-mailuri sau la telefon.

Compania Booking.com a fost informată despre încălcarea securității datelor cu caracter personal la 13 ianuarie 2019, dar nu a raportat-o ​​către APD până pe 7 februarie, care este cu 22 de zile mai târziu: încălcările securității de date trebuie raportate în termen de 72 de ore. Ancheta privind încălcarea comisă de către compania Booking.com a avut o amploare internațională, fiind vizați clienți dintr-o serie de țări. Sediul global al Booking.com se află în Olanda, motiv pentru care DPA olandeză a efectuat ancheta, aceasta fiind coordonată cu alte autorități europene de supraveghere a protecției datelor.

Autoritatea Olandeză pentru Protecția Datelor a avertizat că observă o creștere explozivă a furtului de date cu caracter personal, care în 2020 a fost cu 30% mai mare decât în ​​anul precedent.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.

Centrul Național pentru Protecția Datelor cu Caracter Personal, cu titlu informativ, comunică despre participarea Directorului Centrului Național Pentru Protecția Datelor cu Caracter Personal la cea de-a 47-a Sesiune Plenară a Comitetului European pentru Protecția Datelor, care a avut loc online.

În cadrul Ședinței, Comitetul European pentru Protecția Datelor (EDPB) și Autoritatea Europeană pentru Protecția Datelor (EDPS) au adoptat Declarația comună  privind Propunerile pentru Certificatul Verde Digital. Certificatul Verde Digital are ca scop facilitarea exercitării dreptului la libera circulație în UE în timpul pandemiei COVID-19 prin stabilirea unui cadru comun pentru eliberarea, verificarea și acceptarea certificatelor de vaccinare, testare și vindecare în urma unui episod de COVID-19.

Prin intermediul Declarației adoptate, EDPB și EDPS invită colegislatorii să se asigure că Certificatul Verde Digital este în conformitate cu legislația UE privind protecția datelor cu caracter personal și subliniază faptul că utilizarea acestuia nu poate duce, în niciun fel, la discriminarea directă sau indirectă a cetățenilor și trebuie să fie pe deplin în conformitate cu principiile fundamentale de necesitate, proporționalitate și eficacitate.

Totodată, Declarația comună include recomandări specifice pentru clarificări suplimentare cu privire la categoriile de date vizate de Propunere, stocarea datelor, obligațiile de transparență și identificarea operatorilor și persoanelor împuternicite de operator pentru prelucrarea datelor cu caracter personal.

Urmare a constatărilor Centrului pentru Protecția Datelor cu Caracter Personal (CNPDCP), o companie imobiliară din Republica Moldova a încălcat regulile de protecție a datelor cu caracter personal în raport cu unul dintre clienții săi.

CNPDCP a fost sesizat printr-o plângere care invocă încălcarea principiilor de protecție a datelor cu caracter personal. Angajatul companiei imobiliare a publicat pe Facebook contractul de prestări servicii, în care se conțineau date cu caracter personal ale petentei (nume, prenume, IDNP, adresa de domiciliu, număr de telefon), astfel, acestea au devenit publice.

În urma acțiunilor întreprinse de CNPDCP, s-a constatat că între petentă și compania imobiliară a fost încheiat un contract de prestări servicii. Ulterior, au apărut divergențe pe marginea executării obligațiunilor contractuale, ceea ce a generat un schimb de replici pe Facebook. Ulterior, angajatul companiei imobiliare a publicat  contractul încheiat între părți.

CNPDCP a constatat că prin publicarea contractului în care se regăsesc datele cu caracter personal ale petentei s-a urmărit scopul de a dezvălui această situație pentru a putea fi supusă unor dezbateri/opinii publice, în condițiile în care conflictul înregistrat, în esență, nu reprezintă un eveniment de interes public.

În această ordine, analizând materialele acumulate în cadrul examinării cazului, CNPDCP a emis o decizie prin care a constatat încălcarea prevederilor art. 4 alin. (1) lit. a), b) și art. 5 ale Legii privind protecția datelor cu caracter personal, de către angajatul companiei imobiliare.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a instruit, în data de 30 martie curent, angajații Secretariatului Parlamentului Republicii Moldova întru asigurarea implementării conforme a prevederilor legislației privind protecția datelor cu caracter personal în cadrul sistemelor informaționale de evidență a datelor.

Subiectele abordate în cadrul instruirii au vizat: noțiunile generale privind protecția datelor cu caracter personal, principiile de protecție a datelor cu caracter personal, asigurarea securității și confidențialității datelor cu caracter personal în cadrul sistemelor informaționale de evidență a datelor, aspecte generale ale securități datelor cu caracter personal, măsuri simple și esențiale de securitate și drepturile subiecților de date.

Angajații Secretariatului Parlamentului au fost instruiți de șeful adjunct interimar al Direcției Juridice a CNPDCP, Denis Coțofan, care a menționat în cadrul evenimentului despre principalele aspecte ce vizează legalitatea prelucrării datelor cu caracter personal. În context, Coțofan a specificat un set de reguli pe care un operator de date ar trebui să le aplice, și anume: prelucrarea datelor cu caracter personal în baza unei obligații legale; scopul și temeiul legal al prelucrării datelor trebuie fie argumentat într-o formă clară și precisă; subiecții de date trebuie să fie informați că la baza prelucrării datelor cu caracter personal este legea și că ar putea exista restricții în exercitarea drepturilor ce îi vizează.

Instruirea a avut loc online la solicitarea Secretariatului Parlamentului la care au participat 51 de angajați.

Centrul Naţional pentru Protecţia Datelor cu Caracter Personal (CNPDCP) a oferit, în data de 16 martie, un training în domeniul protecţiei datelor cu caracter personal angajaţilor Companiei Naţionale pentru Asigurări în Medicină la solicitarea instituţiei. La eveniment au participat circa 100 de persoane.

Subiectele abordate în cadrul trainingului au vizat: principiile de protecţie a datelor cu caracter personal, drepturile subiecţilor, recomandările privind identificarea sistemelor de evidenţă în care are loc prelucrarea datelor cu caracter personal, cadrul normativ aferent protecţiei datelor şi implementarea cerinţelor legale din domeniul respectiv.

„În cazul în care datele cu caracter personal sunt colectate direct de la subiectul datelor și cel târziu în momentul primei dezvăluiri, acestuia trebuie să i se furnizeze următoarele informaţii, identitatea operatorului, scopul prelucrării datelor colectate, destinatarii datelor cu caracter personal, existenţa drepturilor de acces la date, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care acestea pot fi exercitate şi dacă răspunsurile la întrebările cu ajutorul cărora se colectează datele sunt obligatorii sau voluntare, precum şi consecinţele posibile ale refuzului de a răspunde”, a explicat Denis Coțofan, șef adjunct interimar al Direcției Juridice a CNPDCP.

Orice subiect al datelor cu caracter personal are dreptul de a obţine de la operator sau persoana împuternicită de către acesta, la cerere şi în mod gratuit: rectificarea, actualizarea, blocarea sau ştergerea datelor cu caracter personal a căror prelucrare contravine legii, în special datorită caracterului incomplet sau inexact al datelor şi notificarea terţilor cărora le-au fost dezvăluite datele cu caracter personal despre operaţiunile efectuate, exceptând cazurile când această notificare se dovedeşte a fi imposibilă sau presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat.

Participaţii la training au adresat întrebări privind aplicarea în practică a legislaţiei din domeniul protecţiei datelor cu caracter personal, inclusiv privind asigurarea legalităţii prelucrării datelor cu caracter personal în sistemele informaţionale gestionate de CNAM.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a oferit, în data de 11 martie curent, un curs instruire, pentru 50 de avocați din Republica Moldova, în domeniul protecției datelor cu caracter personal. Instruirea a fost făcută în cadrul întâlnirii online a organizației HELP a Consiliului Europei.

Subiectele abordate în cadrul evenimentului au vizat: protecția datelor cu caracter personal și drepturile subiecților de date din Uniunea Europeană, dar și legislația Republicii Moldova care vizează protecția datelor.

Denis Coțofan, șef adjunct interimar al Direcției Juridice a CNPDCP s-a referit, în cadrul evenimentului, la principiile generale ale legislației naționale privind protecția datelor cu caracter personal.

„În cazul în care datele cu caracter personal sunt colectate direct de la subiectul datelor și cel târziu în momentul primei dezvăluiri, acestuia trebuie să i se furnizeze următoarele informaţii: identitatea operatorului/persoanei împuternicite de către operator, scopul prelucrării datelor colectate, destinatarii datelor cu caracter personal, existența drepturilor de acces la date, de intervenţie asupra datelor şi de opoziţie, precum şi condiţiile în care acestea pot fi exercitate şi dacă răspunsurile la întrebările cu ajutorul cărora se colectează datele sunt obligatorii sau voluntare, precum şi consecinţele posibile ale refuzului de a realiza drepturile subiecților de date”, a menționat Coțofan.

În cadrul evenimentului s-a vorbit și despre faptul că orice prelucrare de date cu caracter personal poate avea loc doar în scopuri bine determinate, explicite și legitime; adecvate, pertinente și neexcesive prin raportare la scopul pentru care sunt colectate și ulterior prelucrate. Informațiile acumulate sunt destinate utilizării de către avocat pentru scopuri profesionale și pot fi comunicate, în funcție de natura asistenței juridice, următorilor destinatari: părților contractante, notarilor publici, instanțelor de judecată și co-participanților în procese judiciare, instituțiilor publice, instituțiilor bancare, registrelor publice, precum și altor tipuri de persoane și instituții direct vizate, care urmăresc în interes legitim stabilit.

Menționăm că CNPDCP a abordat anterior aspecte practice care vizează protecția datelor cu caracter personal de către avocați, inclusiv publicând pe pagina web www.datepersonale.md: ”Aspecte privind practica de a depune la materialele dosarelor examinate de instanțele de judecată, a documentelor ce integrează date cu caracter personal ale persoanelor fizice, care nu sunt vizate în cazul examinat”. Aceste recomandări au drept scop asigurarea aplicării de către avocați a  principiului pertinenței care constau în limitarea volumului de date cu caracter personal la datele personale care prezintă relevanță pentru cauzele examinate, cu depersonalizarea datelor care sunt irelevante excesive pentru caz, potrivit prevederilor art. 31 a Legii nr. 133/2011 privind protecția datelor cu caracter personal.

Studenții facultății de Drept de la Universitatea de Stat din Moldova au fost familiarizați cu misiunea  Centrului Național pentru Protecția Datelor cu Caracter Personal. Evenimentul a avut loc online pe platforma zoom unde au fost prezenți peste 50 de studenți.

Angajații CNPDCP le-au explicat care sunt cele mai frecvent utilizate date cu caracter personal. Este vorba de prenumele, numele, adresa, numărul de telefon, adresa electronică, datele de localizare, adresa IP, starea civilă, fotografia feței, obiceiurile și preferințele, identificatorii online și orice alte date ce țin de identitatea fizică, fiziologică, economică, culturală sau socială care pot fi utilizate pentru identificarea directă sau indirectă a unei persoane fizice.

Reprezentanții CNPDCP le-au vorbit studenților despre legislația și experiența statelor UE cu privire la protecția datelor, cazuri constate de prelucrare a datelor cu caracter personal, procedurile aferente înregistrării operatorului de date cu caracter personal și despre cauzele contravenționale și consecințele prelucrării neconforme a datelor cu caracter personal.

Studenții au adresat întrebări angajaților CNPDCP privind protecția datelor de către operatorii de telefonie mobilă, aplicațiile mobile, dar și privind diferite situații, care vizează posibilitatea legală de a divulga datele personale ale altor persoane și de a transmite datele personale către alte persoane fie terți / destinatari.

CNPDCP informează că datele personale ale altor persoane pot fi prelucrate, dacă aceste date sunt necesare pentru realizarea unui scop legal. Poți transmite datele personale de sine stătător atunci când acest lucru este necesar pentru îndeplinirea unor obligații, sau când acest fapt este prevăzut de lege. Spre exemplu, oferi adresa de domiciliu unui magazin online pentru livrarea comenzii, buletinul de identitate pentru confirmarea vârstei atunci când cumperi alcool într-un magazin, oferi datele personale unui spital pentru a primi tratament. Totodată, poți transmite date personale către instanța de judecată pentru a-ți  apăra drepturile. În general, volumul și categoriile datelor transmise nu trebuie să depășească scopul stabilit.

CNPDCP efectuează investigații privind cazurile de încălcare a legislației privind protecția datelor cu caracter personal, cu sau fără ieșirea la fața locului, determină corespunderea conformității prelucrării datelor cu caracter personal, supraveghează respectarea legislației privind protecția datelor cu caracter personal, sesizează organele de drept în cazul existenței unor indicii privind săvârșirea infracțiunilor legate de încălcarea drepturilor subiecților de date cu caracter personal și aplică sancțiuni conform competențelor și atribuțiilor stabilite de lege.

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda totală în valoare de 6.000.000 EUR aplicată de către Autoritatea Spaniolă pentru Protecția Datelor (AEPD) companiei CAIXABANK, S.A pentru prelucrarea ilegală a datelor cu caracter personal ale clienților (4.000.000 EUR) și pentru nefurnizarea de informații suficiente cu privire la prelucrarea datelor cu caracter personal (2.000.000 EUR).

Autoritatea Spaniolă pentru Protecția Datelor a considerat că compania CAIXABANK nu a oferit suficiente informații cu privire la categoriile de date cu caracter personal vizate, scopurile prelucrării datelor cu caracter personal, precum și legalitatea prelucrării acestora, în special activitățile de prelucrare bazate pe interesul legitim al companiei. În consecință, AEPD a constatat încălcarea prevederilor stipulate la articolele 13 și 14 din GDPR, fiind impusă o amendă de 2.000.000 EUR.

Totodată, Autoritatea Spaniolă pentru Protecția Datelor a constatat că CAIXABANK nu a furnizat niciun mecanism de colectare a consimțământului subiectului de date, iar activitățile de prelucrare a datelor bazate pe interesul legitim al companiei nu au fost suficient justificate. AEPD a concluzionat că aceasta a constituit o încălcare a articolului 6 din GDPR și, în conformitate cu articolul 83 alineatul (5) a din GDPR, a fost impusă o amendă administrativă în valoare de 4.000.000 EUR.

La stabilirea cuantumului amenzii administrative, AEPD a ținut cont de natura, gravitatea și durata încălcării, domeniul de activitate a companiei ce implică prelucrarea datelor cu caracter personal, precum și cifra de afaceri a acesteia. În plus față de amenda administrativă, cea mai mare impusă vreodată de APD spaniolă, AEPD a dispus companiei CAIXABANK să își aducă operațiunile de prelucrare a datelor în conformitate cu articolele 6, 13 și 14 din GDPR în următoarele șase luni.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt în conformitate cu legislația în vigoare.