PROTECȚIA DATELOR

EVOLUȚII ÎN MECANISMELE DE PROTECȚIA DATELOR – OCTOMBRIE 2020

De Mugurel Olariu, RPD protectie date

Autoritățile specializate în materia protecției datelor au adoptat, în cursul lunii octombrie, instrumente noi de lucru și au luat măsuri de aplicare a prevederilor RGPD, atât la nivel european – CEPD, cât și la nivel național – ANSPDCP.

Comitetul European pentru Protecția Datelor – CEPD:
CEPD a desfășurat două sesiuni plenare on-line/la distanță, în datele de 8 și 20 octombrie, adoptând noi instrumente pentru mecanismele de protecția datelor, astfel:

În ședința din 8 octombrie, CEPD a adoptat Ghidul nr. 9/2020 privind conceptul de obiecție relevantă și motivată din perspectiva Regulamentului General privind Protecția Datelor (RGPD).
Prin acest Ghid s-a urmărit clarificarea noțiunii de obiecție relevantă și motivată, definită la art. 4 pct. 24 din Regulamentul General privind Protecția Datelor, în scopul asigurării unei aplicări adecvate în mecanismul de cooperare dintre autoritățile naționale de protecția datelor, stabilit prin art. 60 din acest Regulament. Precizăm faptul că, ghidul este în faza de consultare publică, până la data de 24.11.2020, fiind deschis pentru feedback.

În ședința din 20 octombrie, CEPD a adoptat Ghidul nr. 4/2019 privind Art. 25 din Regulamentul General privind Protecția Datelor – asigurarea protecției datelor din momentul conceperii și în mod implicit (privacy by design and by default).
În contextul evoluțiilor tehnologice accentuate, principiul asigurării protecției datelor din momentul conceperii și în mod implicit, consacrat de art. 25 din GDPR, constituie un aspect semnificativ în asigurarea respectării protecției datelor în societatea contemporană. Ghidul adoptat este destinat să vină în sprijinul operatorilor și persoanelor împuternicite de operator, în scopul asigurării unei aplicări unitare și efective a cerințelor subsumate acestui principiu, luând în considerare scopul, natura, contextul și riscurile prelucrărilor, prin raportare la necesitatea respectării efective și a celorlalte principii de prelucrare a datelor cu caracter personal. Acest instrument conține numeroase exemple practice și o secțiune de recomandări, raportate inclusiv la rolul responsabilului cu protecția datelor în cadrul operatorilor/persoanelor împuternicite. Versiunea 2.0 a Ghidului, este elaborată și adoptată, după faza de consultare publică lansată la 13.11.2019.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP:
Autoritatea națională a publicat o serie de Date statistice privind activitatea de control, din perioada ianuarie/septembrie 2020, dintre care selectăm în scop preventiv, cele mai importante aspecte pentru operatori, astfel:
Investigațiile au fost deschise ca urmare a primirii:
3952 de plângeri, 
176 sesizări și 
128 notificări privind incidente de securitate.

S-a reținut în sarcina operatorilor de date încălcarea prevederilor din RGPD:
art.5, Principii legate de prelucrarea datelor cu caracter personal;
art.6, Legalitatea prelucrării;
art.7, Condiții privind consimțământul;
art.9, Prelucrarea de categorii speciale de date cu caracter personal;
art.12, Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate;
art.14, Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată;
art.15, Dreptul de acces al persoanei vizate;
art.25, Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit și
art.32, Securitatea prelucrării.
De asemenea, a fost reținută și încălcarea prevederilor art. 13 Regimul sancționator din Legea nr. 506/2004

Au fost aplicate: 
22 amenzi în cuantum total de 68.900 euro și respectiv 10.000 lei, o amendă aplicată în temeiul Legii nr. 506/2004. De asemenea, au mai fost aplicate: 
46 de avertismente și au fost dispuse 
42 de măsuri corective, vizând:
respectarea cererilor persoanelor vizate prin care acestea și-au exercitat drepturile în temeiul RGPD; 
asigurarea conformitatății operaţiunilor de prelucrare cu dispoziţiile RGPD;
revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea operatorului, referitor la obligațiile ce îi revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal, în funcţie de specificul activităţii;
efectuarea unei evaluări privind riscul pentru drepturile și libertățile persoanelor care să cuprindă inclusiv încadrarea într-un grad de risc, ținând seama de natura, domeniul de aplicare, contextul şi scopurile prelucrării;
revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmarea a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal.