Instrumente de lucru adoptate de cepd și măsuri administrative la nivelul statelor membre UE
De Mugurel Olariu, RPD protectie date
Instrumente de lucru adoptate de CEPD
În cadrul ședinței Plenare din 02.092020, desfășurată on-line, CEPD a adoptat două instrumente de lucru, pentru consultare publică(1). Instrumentele se referă la:
✔ Orientările 07/2020 privind conceptele de operator și persoană împuternicită din RGPD(2).
Orientările 7/2020 urmăresc clarificarea conceptelor cheie în aplicarea regulilor de protecție a datelor personale, raportat la prevederile art. 4 din RGDP și în considerarea rolului acestora în stabilirea obligațiilor corespunzătoare, respectiv noțiunile de operator, operatori asociati și de persoană împuternicită de operator. Noile orientări constau în două părți principale: una care explică diferitele concepte; cealaltă, inclusiv îndrumări detaliate cu privire la principalele consecințe ale acestor concepte pentru controlere, procesoare și controlere comune. Liniile directoare includ o diagramă pentru a furniza îndrumări practice suplimentare.
✔ Orientările 8/2020 privind direcționarea către utilizatorii de social media(3).
Orientările 8/2020 prezintă situații concrete în scopul de a fi de un real folos companiilor în activitatea desfășurată. Scopul principal al orientărilor este de a clarifica rolurile și responsabilitățile furnizorului de social media și ale persoanei vizate. În acest scop, liniile directoare, printre altele, identifică riscurile potențiale pentru libertățile individuale, principalii actori și rolurile acestora, aplicarea cerințelor cheie de protecție a datelor, precum legalitatea, transparența, AIPD și elementele cheie ale aranjamentelor între furnizorii de social media și persoanele vizate. În plus, liniile directoare se concentrează pe diferitele mecanisme de direcționare, prelucrarea unor categorii speciale de date și obligația operatorilor comuni de a stabili un acord adecvat în conformitate cu articolul 26 RGPD.
Consultarea publică se desfășoară până cel mai târziu la data de 19 octombrie 2020, orice persoană interesată fiind în măsură să transmită propunerile sau observațiile pe care le consideră necesare. Precizăm că, acestea pot fi publicate de către CEPD, potrivit formularului de Declarație de confidențialitate specifică.
Măsuri administrative la nivelul Statelor Membre UE
Lunile de vară – iulie și august au venit cu măsuri administrative destul de consistente aplicate de Autoritățile Naționale de Supraveghere din Statele Membre UE, astfel cum reiese din secțiunea de știri naționale a CEPD(4).
Dintre acestea, am efectuat o selecție a celor mai importante măsuri, pentru a reuși să aducem în atenția operatorilor calificarea și importanța măsurilor tehnice și organizatorice care trebuie adoptate, în scop preventiv:
– 16 iulie – Autoritatea Națională de Supraveghere (ANS) din Belgia a aplicat o amendă de 600.000 EUR pentru Google Belgia pentru nerespectarea dreptului de a fi uitat de un cetățean belgian și pentru lipsa de transparență în formularul său de solicitare de radiere.
Un cetățean belgian a solicitat eliminarea linkurilor care conțin informații
negative despre el. Solicitarea a fost refuzată de Google. Camera de litigii a ANS belgiană a constatat că unele dintre aceste legături erau necesare pentru interesul public și nu ar trebui eliminate: cetățeanul joacă într-adevăr un rol în viața publică, iar legăturile priveau o presupusă relație cu un partid politic. Celelalte linkuri conțineau informații depășite nefondate și care ar putea afecta grav reputația cetățeanului. ANS belgiană consideră că aceste legături ar fi trebuit deci eliminate de la Google. Pentru ANS belgiană, este important de menționat că faptele cazului au fost clare, lăsând Google nici un spațiu rezonabil pentru a decide altfel. Mai mult, Google nu avea transparență în forma de radiere, precum și în răspunsul la persoana vizată. Din aceste motive, ANS belgiană a decis să impună o amendă de 600.000 EUR. Aceasta este cea mai mare amendă impusă vreodată de ANS belgiană.
– 27 iulie – ANS din Italia a impus unor operatori de telefonie amenzi în cuantum de aproximativ 17 milioane EUR – companiei Wind Tre SpA și de 0,8 milioane EUR – companiei Iliad
În cadrul activităților de punere în aplicare a ANS italiene cu privire la operatorii de telefonie, Wind Tre SpA a fost amendată cu aproximativ 17 milioane EUR pe 9 iulie din cauza mai multor cazuri de prelucrare ilegală a datelor care au fost legate în principal de marketing. ANS italiană a emis deja o măsură prohibitivă împotriva companiei, din cauza unor încălcări similare care au avut loc atunci când legea anterioară privind protecția datelor era în vigoare. Amenda a fost aplicată în urma unor investigații și inspecții complexe. Au fost primite reclamații de la utilizatori împotriva comunicărilor de marketing nesolicitate făcute fără consimțământul lor prin mesaje text, e-mailuri, faxuri și apeluri telefonice automate. În mai multe cazuri, reclamanții au declarat că nu li s-a permis exercitarea dreptului de a retrage consimțământul sau de a obiecta la prelucrarea datelor lor în scopuri de marketing, parțial din cauza informațiilor de contact inexacte furnizate în notificările de informații. În alte cazuri, datele personale ale utilizatorilor au fost incluse în listele de telefonie publică, în ciuda obiecțiilor (uneori reiterate) formulate de acei utilizatori. Ancheta a arătat că aplicațiile MyWind și My3 au fost configurate în așa fel încât să solicite utilizatorului consimțământul, la fiecare acces, la prelucrarea în diferite scopuri, inclusiv marketing, profilare, comunicarea datelor către terți, îmbogățirea datelor și geolocalizarea; retragerea unui astfel de consimțământ a fost permisă după 24 de ore.
În cadrul ședinței sale din 9 iulie, ANS italiană a evaluat, de asemenea, constatările investigațiilor privind un alt operator de telefonie, adică Iliad; în acest caz, neajunsurile au fost detectate în diferite privințe, în special în ceea ce privește accesul angajaților la datele de trafic. În consecință, compania a fost amendată cu 800.000 EUR.
29 iulie – Comisarul de stat din Baden-Wuerttemberg pentru protecția datelor și libertatea informației impune amendă de 1.240.000 EUR, AOK Baden-Wuerttemberg
Din 2015 până în 2019, AOK Baden-Wuerttemberg a găzduit tombole la diferite ocazii. În acest context, AOK a colectat datele personale ale participanților, inclusiv datele de contact și afilierea la asigurările de sănătate. Între altele, AOK a dorit să utilizeze aceste date în scopuri publicitare, cu condiția ca participanții să fi consimțit în conformitate. Prin măsuri tehnice și organizaționale, care includeau orientări interne și instruiri privind protecția datelor, printre altele, AOK a dorit să se asigure că numai datele participanților la tombolă care și-au dat consimțământul prealabil și valid vor fi utilizate în scopuri publicitare. Aceste măsuri stabilite de AOK nu au respectat, însă, cerințele legale. Datele personale ale mai mult de 500 de participanți la tombolă au fost, prin urmare, utilizate în scopuri publicitare fără consimțământul lor.
Din cauza încălcării obligațiilor de prelucrare securizată a datelor (articolul 32 din Regulamentul general european privind protecția datelor, RGPD), Departamentul de amenzi al comisarului de stat din Baden-Wuerttemberg pentru protecția datelor și libertatea informației (LfDI) a emis o amendă de 1.240.000 € împotriva AOK Baden-Wuerttemberg. În același timp, Departamentul amenzilor, în colaborare constructivă cu AOK, a pregătit, de asemenea, calea pentru o îmbunătățire a măsurilor tehnice și organizatorice pentru protecția datelor cu caracter personal la AOK Baden-Wuerttemberg.
6 august – ANS olandeză a amendat cu 830.000 EUR Registrul național de credit (BKR) pentru taxele de acces la datele cu caracter personal
Registrul național de credit (BKR) din Olanda nu mai poate percepe taxe persoanelor care doresc să acceseze datele personale pe care le deține. În plus, dacă persoanele vizate doresc să primească o copie a datelor lor prin poștă, procedura trebuie să fie simplă și trebuie să poată solicita o nouă copie după ce a trecut o perioadă rezonabilă de timp. BKR a creat prea multe obstacole pentru persoanele care doresc să își acceseze datele. Conform legislației privind confidențialitatea, acest lucru nu este permis. Drept urmare, Autoritatea olandeză pentru protecția datelor (ANS olandeză) a emis BKR cu o amendă de 830.000 EUR.
18 august – ANS spaniolă a aplicat o amendă de 70.000 EUR pentru XFERA MOVILES pentru divulgarea datelor personale ale unui client către o terță parte.
Reclamantul a fost informat de un alt client al companiei Masmovil că, din cauza unei greșeli a unei companii, au fost acuzați de factura reclamantului și, astfel, aveau acces la datele lor personale (numele, numărul cărții de identitate și numărul de telefon personal). ANS a considerat că aceasta constituie o încălcare a principiului confidențialității, stabilit la articolul 5 alineatul (1) litera (f) din RGPD.
–––––––––––––––––––––––––––
1. A se vedea la https://edpb.europa.eu/news/news_en
2. A se vedea la https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en
3. A se vedea la https://edpb.europa
4. A se vedea la https://edpb.europa.eu/news/national-news_en
