protectia datelor

PROTECȚIA DATELOR ÎN MARTIE 2021

De Mugurel Olariu, RPD protectie date

Organismele de protecția datelor de la nivel european – CEPD și de la nivel național – ANSPDCP au depus eforturi pentru continuarea reglementării domeniului și respectiv, de supraveghere a activității operatorilor.

Astfel, CEPD a desfășurat două ședințe plenare la distanță, la datele de 09 și 30/31 martie.
✔ În ședința din 09.03.2021, au fost adoptate în principal·1 următoarele documente:
■ Ghidul nr. 9/2020 privind obiecție relevantă și motivată (forma definitivă după consultare publică)
■ Ghidul nr. 1/2020 privind vehicule conectate (forma definitivă după consultare publică)
■ Ghidul nr. 2/2021 privind asistența vocală virtuală (forma pentru consultare publică până la data de 23.04.2021)
■ Opinia comună cu AEPD nr. 3/2021 referitoare la propunerea de Regulament a Parlamentului European și Consiliului privind guvernanța datelor
■ Declarație privind proiectul Regulamentului ePrivacy.
✔ În ședința din 30/31.03.2021, a fost adoptat de autoritățile europene, CEPD împreună cu Autoritatea Europeană pentru Protecția Datelor – AEPD, Avizul comun cu privire la propunerile de Certificat Verde Digital.
Conducătorii celor două autorități Europene, au adoptat o Declarație de presă comună, postată pe site-ul CEPD la 06.04.2021·2, care arată în principal următoarele:
”Certificatul Verde Digital are scopul de a facilita exercitarea dreptului la libera circulație în interiorul UE în timpul pandemiei COVID-19 prin stabilirea unui cadru comun pentru eliberarea, verificarea și acceptarea certificatelor interoperabile de vaccinare, testare și recuperare COVID-19.
Cu acest aviz comun, CEPD și AEPD invită colegislatorii să se asigure că certificatul verde digital este pe deplin în conformitate cu legislația UE privind protecția datelor cu caracter personal. Comisarii pentru protecția datelor din toate țările UE și din Spațiul Economic European evidențiază necesitatea de a atenua riscurile pentru drepturile fundamentale ale cetățenilor și rezidenților UE care ar putea rezulta din emiterea certificatului verde digital, inclusiv posibilele sale utilizări secundare neintenționate. CEPD și AEPD subliniază faptul că utilizarea certificatului verde digital nu poate duce, în niciun fel, la discriminarea directă sau indirectă a persoanelor și trebuie să fie pe deplin în conformitate cu principiile fundamentale de necesitate, proporționalitate șI eficacitate. Având în vedere natura măsurilor propuse de propunere, CEPD și AEPD consideră că introducerea certificatului verde digital ar trebui să fie însoțită de un cadru juridic cuprinzător.
Andrea Jelinek, președintele CEPD, a declarat: „Un certificat verde digital care este acceptat în toate statele membre poate fi un pas important în reluarea călătoriilor pe teritoriul UE. Orice măsură adoptată la nivel național sau la nivelul UE care implică prelucrarea datelor personale datele trebuie să respecte principiile generale de eficacitate, necesitate și proporționalitate. Prin urmare, CEPD și AEPD recomandă ca orice utilizare ulterioară a certificatului verde digital de către statele membre să aibă o bază legală adecvată în statele membre și toate garanțiile necesare trebuie să fie la locul lor”.
Wojciech Wiewiórowski, AEPD, a declarat: Trebuie clarificat faptul că propunerea nu permite – și nu trebuie să conducă – la crearea oricărui tip de bază de date centrală de date cu caracter personal la nivelul UE. În plus, trebuie să ne asigurăm că datele cu caracter personal nu sunt prelucrate mai mult decât este strict necesar și că accesul și utilizarea acestor date nu sunt premise după încheierea pandemiei. Am subliniat întotdeauna că măsurile luate în lupta împotriva COVID-19 sunt temporare și este de datoria noastră să ne asigurăm că acestea nu sunt aici pentru a rămâne după criză.”

La nivel național – ANSPDCP, a prezentat pe site-ul propriu·3, la rubrica Știri, sancțiunile și măsurile corective aplicate, în cazul a patru operatori. Pentru latura preventivă a aplicării RGPD de către operatorii din industrie, redăm în continuare, cele mai importante circumstanțe ale cauzelor prezentate de autoritate, după cum urmează:
➤ La 04.03.2021, O persoană fizică, în calitate de operator, a fost sancționată contravențional cu amendă în cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO). Investigația a fost demarată ca urmare a primirii unei sesizări prin care s-a reclamat faptul că pe o rețea de socializare, pe pagina personală a unei persoane fizice ce deținea funcția de Secretar General în cadrul unei filiale de sector a unui partid politic, a fost publicată o listă cuprinzând 10 poziții cu persoane semnatare/susținători pentru alegerea Consiliului General și a Primarului Municipiului București, în cadrul căreia datele cu caracter personal ale acestora sunt accesibile, fiind dezvăluite numele și prenumele, semnătura, cetățenia, data nașterii, adresa, seria și numărul actului de identitate, opțiunea politică a persoanelor semnatare/susținătorilor.
➤ La 18.03.2021, operatorul BNP Paribas Personal Finance SA Paris Sucursala București a fost sancționat contravențional cu amendă în cuantum de 10 000 lei. Investigația a fost demarată ca urmare a unei plângeri transmise de persoana vizată cu privire la faptul că pe numărul său de telefon a primit un mesaj comercial de tip SMS din partea BNP Paribas Personal Finance S.A. Paris Sucursala București. În urma investigației s-a constatat că operatorul nu a făcut dovada existenței consimțământului prealabil al persoanei respective, conform art. 12 din Legea nr. 506/2004, modificată și completată, deși petenta își exercitase anterior, în repetate rânduri, dreptul de opoziție față de prelucrarea datelor sale în scop de marketing.
➤ La 23.03.2021, operatorul S.C. Medicover S.R.L. a fost sancționat contravențional cu amendă în cuantum de 9.749,6 lei (echivalentul a 2000 EURO). Investigația a fost demarată ca urmare a transmiterii de către operator a unor notificări succesive de încălcare a securității datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizată și accesul neautorizat la datele cu caracter personal precum: nume și prenume, CNP, serie și nr. CI, adresă CI, adresa de corespondență, telefonul de contact și e-mail, respectiv nume și date privind starea de sănătate, transmise altor persoane fizice decât destinatarii, la adresa de e-mal sau adresa poștală. În urma investigației, autoritatea de supraveghere a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, fapt ce a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decât destinatarii, la adresa de e-mail sau adresa poștală.
➤ La 30.03.2021, operatorul TELEKOM ROMÂNIA MOBILE COMMUNICATIONS S.A. a fost sancționat contravențional:
■ cu amendă în cuantum de 48.748,00 lei (echivalentul a 10.000 EURO), pentru încălcarea art. 32 alin. (1) și alin. (2) din Regulamentul General privind Protecția Datelor;
■ cu amendă în cuantum de 15.000 lei, pentru săvârșirea contravenției prevăzută de art. 13 alin. (1) lit. a) din Legea nr. 506/2004
În investigația efectuată s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, ceea ce a condus la divulgarea neautorizată și/sau accesul neautorizat la datele cu caracter personal, precum: client ID, cod client, nume și prenume, CNP, data nașterii, sex, număr telefon, e-mail, adresă (țară, oraș, stradă), valoarea debitelor asociate codului de client ale unui număr de 99.210 persoane vizate/clienți. Astfel, adresele de facturare ale acestora au fost introduse eronat în baza de date cu clienți persoane fizice, transmisă unui partener contractual în baza unui contract de cesiune creanțe, ceea ce a determinat expedierea către adrese greșite a notificărilor transmise clienților. De asemenea, s-a constatat că operatorul nu a luat măsuri tehnice și organizatorice adecvate în vederea asigurării securității prelucrării datelor cu character personal, de natură să protejeze datele cu caracter personal stocate sau transmise împotriva stocării, prelucrării, accesării ori divulgării ilicite, ceea ce a condus la accesul neautorizat la datele personale din conturile MyAccount (numele titularului de cont; data nașterii; numere de telefon utilizate; adresa de domiciliu; adresa e-mail; codul de abonat; serviciile contractate; extraopțiuni active pe cont; istoricul facturilor simple) ale unui număr de 413 persoane vizate/clienți Telekom România. Subliniem că, operatorul avea obligația de a garanta că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile menționate de lege, încălcându-se astfel prevederile art. 3 alin. (1) și alin. (3) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată.

————————————————————————–
1. Mai multe informații pot fi regăsitela adresa: https://edpb.europa.eu/news/news_en
2. A se vedea la https://edpb.europa.eu/news/news/2021/eu-data-protection-authorities-adopt-joint-opinion-digital-green-certificate_ro
3. A se vedea la https://www.dataprotection.ro/