PROTECȚIA DATELOR ÎN SEPTEMBRIE 2023
De Mugurel Olariu, RPD protectie date
La nivelul instituțiilor specializate, națională – ANSPDCP *1 și europeană – CEPD *2, au fost desfășurate activități, adoptate instrumente de lucru și dispuse sancțiuni, dintre care menționăm:
În plan național, ANSPDCP a publicat Raportul de activitate pe anul 2022 *3, prin care prezintă activitatea desfășurată, astfel:
Raportul anual conține o prezentare sintetică a activității Autorității, fiind structurat în concordanță cu principalele competențe, în următoarele capitole: Capitolul I – Prezentare generală, Capitolul II – Activitatea de reglementare, avizare, consultare și informare publică, Capitolul III – Activitatea de monitorizare și control, Capitolul IV – Activități în domeniul relațiilor internaționale, Capitolul V – Managementul economic al Autorității și Capitolul VI – Propuneri de lege ferenda.
De asemenea, Raportul de activitate aferent anului 2022 conține prezentarea unor cazuri din investigațiile efectuate, precum și cele mai relevante puncte de vedere emise, care reflectă complexitatea activității desfășurate, prin raportare la atribuțiile instituției noastre.
Referitor la activitatea de monitorizare și control, în anul 2022 Autoritatea a primit un număr total de 4260 plângeri, sesizări și notificări privind incidente de securitate, pe baza cărora au fost deschise 629 investigații.
Ca urmare a investigațiilor, au fost aplicate 69 de amenzi în cuantum total de 1.058.863 lei. De asemenea, au fost aplicate 134 de avertismente și au fost dispuse 93 de măsuri corective.
Totodată, precizăm că, pe parcursul anului 2022, a fost adresat Autorității naţionale de supraveghere un număr de 948 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a Regulamentului (UE) 679/2016, de către operatori și împuterniciții acestora, din domeniul public și privat, de către alte entități, precum și de către persoane fizice.
De asemenea, Autoritatea a emis avize asupra unui număr de 107 de proiecte de acte normative elaborate de instituţii şi autorităţi publice care implicau diverse aspecte privind prelucrarea datelor cu caracter personal, în temeiul art. 57 alin. (1) lit. c) din Regulamentul (UE) 2016/679.
În ceea ce privește activitatea de reprezentare în faţa instanţelor de judecată, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a gestionat în anul 2022 un număr de 108 dosare aflate pe rolul instanțelor de judecată în diferite stadii procesuale.
De asemenea, Autoritatea a publicat în site-ul propriu, în secțiunea Știri, rezultatele unor investigații finalizate în luna septembrie, fiind aplicate o serie de sancțiuni următorilor operatori:
✔ UAT Comuna Albeni - s-a constatat încălcarea dispozițiilor: art. 58 alin. (1) lit. a) și lit. e) din Regulamentul (UE) 2016/679 și art. 14 alin. (5) lit. e) din Legea nr. 190/2018; și art. 13, art. 14 și art. 32 din Regulamentul (UE) 2016/679.
Operatorul a fost sancționat contravențional cu amendă în cuantum de 10000 lei pentru faptul că nu a adus la îndeplinire măsurile dispuse anterior de Autoritate printr-un plan de remediere și pentru că nu a răspuns solicitărilor Autorității și cu avertisment pentru lipsa informării persoanelor vizate cu privire la drepturile acestora prevăzute de Regulamentul (UE) 2016/679, precum și pentru neadoptarea unor măsuri de securitate și confidențialitate adecvate pentru protecția datelor personale prelucrate prin intermediul sistemului de supraveghere video.
✔ RESTART ENERGY ONE S.A. - s-a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și lit. d), coroborat cu art. 32 alin. (2) din Regulamentul (UE) 2016/679, precum și a art. 4 alin. (5) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, modificată și completată.
Ca atare, operatorul a fost sancționat contravențional cu: amendă în cuantum de 124.150 lei, echivalentul a 25.000 EURO, pentru încălcarea art. 32 alin. (1) lit. b) și d), coroborat cu art. 32 alin. (2) din Regulamentul (UE) 2016/679; și cu amendă în cuantum de 40.000 lei pentru încălcarea art. 4 alin. (5) din Legea nr. 506/2004.
✔ Cez Vânzare S.A. - s-a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și art. 32 alin. (2) din Regulamentul (UE) 2016/679. Ca atare, operatorul a fost sancționat contravențional cu amendă în cuantum de 4.969,70 lei (echivalentul a 1 000 de EURO).
În plan european, CEPD în ședința plenară din 19-20 septembrie, a adoptat și următoarele instrumente:
➢ Avizul comun CEPD-AEPD *4 01/2023 cu privire la propunerea de Regulament al Parlamentului European și al Consiliului privind regulile procedurale suplimentare pentru aplicarea Regulamentul (UE) 2016 / 679 *5;
➢ Ghidul 01/2023 privind articolul 37 din Directiva de aplicare a legii *6; versiunea 1.0 a ghidului se află în stadiul de consultare publică, între 27 septembrie până la 08 noiembrie;
➢ Contribuție comună CEPD-AEPD la consultarea publică privind proiectul de model referitor la descrierea tehnicilor de profilare a consumatorilor (articolul 15 DMA) *7.
Autoritatea de Supraveghere din Croația a aplicat o amendă administrativă operatorului de date – Agenția de colectare a creanțelor EOS Matrix în valoare de 5.470.000,00 EUR din cauza încălcării articolelor 5, 6, 9, 12, 13 și 32 din RGPD *8:
Originea cazului:
În 22 martie 2023, Autoritatea de Supraveghere (AS) croată a primit o petiție anonimă în care se afirma că a existat o prelucrare neautorizată a unui număr mai mare de date cu caracter personal ale persoanelor fizice (debitori) de către EOS Matrix doo, agenția de colectare a creanțelor (operator de date). Petiția a fost însoțită de un stick USB care conținea 181.641 date personale ale persoanelor fizice în structura numelui și prenumelui, data nașterii și numărul de identificare personală, care aveau datorii restante față de instituțiile de credit care au fost achiziționate de EOS Matrix doo în baza unor contracte de cesiune. În plus, în petiția în cauză se menționa că 294 de persoane fizice incluse în baza de date erau minori la momentul întocmirii bazei de date.
Descoperiri cheie:
✔ Operatorul de date nu a implementat suficiente măsuri tehnice în sistemul de prelucrare (baza de date principală în cadrul căreia sunt prelucrate datele cu caracter personal a aproximativ 370.000 de persoane vizate) care să poată identifica activități care se abate de la cele obișnuite (de exemplu, număr crescut de preluări de date în baza de date, transferul de date în afara sistemului, compromisul accesului utilizatorului etc.). S-a constatat că acest lucru este contrar articolului 32 din RGPD.
✔ S-a stabilit că operatorul de date a prelucrat și date cu caracter personal ale persoanelor fizice care nu sunt debitoare și nici reprezentanți legali ai moștenitorilor în raporturile debitor-creditor și pentru această prelucrare nu există temei legal conform art. 6(1) din RGPD.
✔ S-a stabilit că operatorul de date a înregistrat în mod activ comentarii referitoare la starea de sănătate a debitorului (a anumitor persoane vizate). În plus, starea de sănătate a subiecților în cauză a fost urmărită cu detaliile diagnosticelor individuale, care au inclus boli terminale și pentru care activitatea de prelucrare nu a existat nicio excepție aplicabilă în temeiul articolului 9 alineatul (2) din RGPD.
✔ Prin examinarea primelor trei politici de confidențialitate (care au fost în vigoare în perioada mai 2018 – octombrie 2020), s-a stabilit că operatorul de date a definit în aceste documente că nu prelucrează și nu vor prelucra date de sănătate. Prin urmare, prelucrarea datelor cu caracter personal a fost netransparentă, ceea ce nu este în conformitate cu articolul 12 alineatul (1) și cu articolul 13 alineatul (1) și cu articolul 13 alineatul (2) din RGPD.
✔ În plus, în perioada mai 2018 – ianuarie 2019, operatorul de date a prelucrat date referitoare la 49.850 de persoane vizate prin înregistrarea convorbirilor telefonice fără a fi stabilit temeiul juridic menționat la articolul 6 alineatul (1) din RGPD, ceea ce duce, de asemenea, la încălcarea articolului 5 alineatul (2) din RGPD
–––––––––––––––––––––––––––––––––––––-
1. ANSPDCP – Autoritatea de Supraveghere a Prelucrării Datelor cu Caracter Personal.
2. CEPD – Comitetul European pentru Protecția Datelor.
3. https://www.dataprotection.ro/?page=Rapoarte%20anuale&lang=ro
4. AEPD – Autoriteatea Europeană pentru Protecția Datelor.
5. https://edpb.europa.eu/ourwork-tools/our-documents/edpbedpsjoint-opinion/edpb-edps-joint-opinion-012023-proposal_ro
6. https://edpb.europa.eu/ourwork-tools/documents/public-consultations/2023/guidelines-012023-article-37-law-enforcement_ro
7. https://edpb.europa.eu/our-worktools/our-documents/other/joint-edpbedps-contribution-public-consultationdraft-template_ro
8. https://edpb.europa.eu/news/national-news/2023/croatian-sa-imposedadministrative-fine-data-controller-debtcollection_ro
