Retrospectivă asupra Raportului Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal emis pentru anul 2020

Article Raportul ANSPDPC pe anul 2020

La 2 ani de la intrarea în vigoare a Regulamentului privind Protecția Datelor cu Caracter Personal (numit în continuare “Regulamentul”), respectarea reglementărilor europene se află într-o perioadă de consolidare, grație aplicabilității directe începând cu 25 mai 2018.

Un factor important îl reprezintă informarea și luarea la cunoștință de către persoanele vizate a drepturilor și posibilităților de exercitare a acestora, activitatea responsabilului cu protecția datelor, precum și activitatea operatorilor din mediul public și privat de aplicare a regulilor de prelucrare a datelor cu caracter personal. 

În procesul de asigurare a unor standarde în domeniul protecției datelor, activitatea Autorității presupune:

Efectuarea de investigații pe baza plângerilor și sesizărilor primite sau din oficiu;

Informarea publică a persoanelor fizice, operatorilor și mass-mediei cu privire la regulile de prelucrare a datelor;

Colaborarea cu toate instituțiile și entitățile, inclusiv cu societatea civilă, în vederea asigurării unei corecte aplicări a Regulamentului.

Raportul este împărțit pe 5 capitole, astfel:

1. Capitolul I- Prezentare generală a principalelor activități desfășurate;

2. Capitolul II- Informații privitoare la activitatea de reglementare, avizare, consultare și informare publică;

3. Capitolul III- Prezentare a principalelor aspecte din activitatea de monitorizare și control;

4. Capitolul IV- Prezintă activitatea de relaţii externe a Autorităţii;

5. Capitolul V-  Conţine informaţii privind managementul economic al instituției.

În continuare vom aborda capitolele din Raport, punând accentul pe aspectele pe care le considerăm ca având importanță ridicată și care prezintă interes pentru cititorii și clienții noștri, având în vedere și raportul privitor la anul 2019.

Activitatea de reglementare

În data de 10.09.2020, Autoritatea națională de supraveghere a publicat pe site-ul propriu proiectul privind Cerințele suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679, supus dezbaterii publice. Ulterior, documentul a fost transmis către Comitetul European pentru Protecția Datelor, în vederea obținerii avizului acestui for European.

Avizarea actelor normative

În anul 2020, Autoritatea naţională de supraveghere a emis avize asupra unui număr de 65 de proiecte de acte normative elaborate de instituţii şi autorităţi publice care implicau aspecte complexe privind prelucrarea datelor cu caracter personal.

 

Proiecte de acte normative avizate

grafic proiecte legislative autoritate gdpr

 

Printre cele mai importante proiecte de acte normative avizate menționăm:

Ministerul Afacerilor Interne – Inspectoratul General al Poliției Române a transmis în vederea avizării proiectul de ”Dispoziția Inspectorului General al Inspectoratului General al Poliției Române privind stabilirea regulilor de utilizare a înregistratoarelor audio-video portabile de tip Body Worn Camera”;

Secretariatul General al Guvernului - Departamentul pentru Relația cu Parlamentul a transmis în vederea exprimării opiniei Autorității naționale de supraveghere, Propunerea legislativă pentru transparentizarea informaţiilor de interes public şi uşurarea accesului cetăţenilor prin modificarea şi completarea Legii nr. 544/2001 privind liberul acces la informaţii de interes public (Bp. 410/2020);

Ministerul Afacerilor Interne a solicitat un punct de vedere privind propunerile Ministerului Justiției pentru cel de-al doilea Decret al Președintelui României privind instituirea stării de urgenţă pe teritoriul României. 

Puncte de vedere cu privire la anumite chestiuni ce țin de protecția datelor

Pe parcursul anului anterior, Autoritatea a primit 1151 de solicitări de puncte de vedere cu privire la aspect ce țin de protecția datelor cu caracter personal. Față de anul precedent, 2019, numărul solicitărilor a crescut cu 45 de cereri, potrivit graficului de mai jos.

 

Solicitări de puncte de vedere

Solicitari puncte de vedere autoritatea de protectie a datelor

 

Astfel, putem observa o creștere a interesului operatorilor și împuterniciților acestora, atât din domeniul public, cât și din cel privat, în vederea lămuririi prevederilor din Regulament, pentru o aplicare corectă a acestora.

Subiectele asupra cărora s-au solicitat lămuriri au fost diverse, precum prelucrarea datelor minorilor, valabilitatea consimțământului online al părinților pentru prelucrarea datelor minorilor, anonimizarea datelor candidaților la concursuri, publicarea pe internet a unor documente ce conțin date cu caracter personal atât de instituțiile publice, cât și de cele private.

Ne oprim pentru a detalia câteva subiecte ce considerăm că sunt importante și relevante pentru dumneavoastră, în calitate de cititori și clienți ai noștri:

➲ Montarea unor camere video în perimetrul apartamentului propriu

Cu privire la acest subiect, Autoritatea menționează că în situația în care instalarea camerelor video se face în interes personal, în cadrul unei activități exclusiv domestice sau personale, dispozițiile Regulamentului nu se aplică.

 

montarea camerelor video gdpr

Dacă instalarea se face în scop comercial sau profesional, devin aplicabile dispozițiile RGPD. Astfel, dacă sistemul de supraveghere captează doar imaginea propriului imobil (bun exclusiv personal, este vizată sfera privată a proprietarului), se aplică dispozițiile art. 2, alin. 2, lit. c) din Regulament. Dacă sistemul captează și imagini din spațiul public, se aplică dispozițiile generale din Regulament- în spațiile comune monitorizate trebuie să existe o informare a prelucrării datelor prin sistemul CCTV, iar persoanei vizate trebuie să i se aducă la cunoștință toate datele relevante acelei prelucrări, precizate în art. 13 din RGPD.

De asemenea, Autoritatea națională de supraveghere a recomandat ca perioada de stocare a datelor cu caracter personal (imaginea) prelucrate ca urmare a instalării sistemului de supraveghere video să nu depăşească 30 de zile. 

 

➲ Aplicarea Regulamentului în procesul termoscanării persoanelor fizice

Întrucât mai multe persoane fizice au solicitat punctul de vedere al Autorității pe subiectul termoscanării la intrarea într-un spațiu închis, aceasta menționează următoarele aspecte: numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.

scanare termica

În plus, potrivit Anexei din Ordinul Nr. 874/81/2020 privind instituirea obligativității purtării măștii de protecție, a triajului epidemiologic și dezinfectarea obligatorie a mâinilor pentru prevenirea contaminării cu virusul SARS-CoV-2 pe durata stării de alertă, “[…] triajul epidemiologic nu implică înregistrarea datelor cu caracter personal [...]”.

➲ Prelucrarea datelor în contextul marketingului direct

Autorității de supraveghere i-a fost solicitat un punct de vedere cu privire la acordarea consimțământului în aspecte ce privesc marketingul direct. Astfel, aceasta menționează documentul intitulat ”Orientări asupra Consimțământului în temeiul Regulamentului 2016/679” redactat de Grupul de Lucru Art. 29, potrivit căruia pentru a fi un temei legal adecvat, consimțământul trebuie acordat în urma unei posibilități reale de a alege acceptarea sau respingerea termenilor, iar în ultima situație respingerea nu trebuie să fie urmată de existența vreunui prejudiciu. De asemenea, pentru a fi valabil, consimțământul nu trebuie acordat în urma unei constrângeri sau presiuni și trebuie precedat de o informare clară și într-un limbaj ușor de înțeles.

marketing direct si prelucrarea datelor

Nu în ultimul rând, operatorul trebuie să respecte principiile stabilite în Regulament și să asigure măsurile tehnice și organizatorice în conformitate cu GDPR.

Activitatea de reprezentare în fața instanțelor de judecată

Pe parcursul anului 2020 au fost înregistrate pe rolul instanțelor de judecată un număr de 29 de cereri noi de chemare în judecată, cu 2 mai puțin față de anul precedent.

Printre hotărârile definitive pronunțate în anul 2020, menționăm o hotărâre pronunțată într-un litigiu privind prelucrarea nelegală a datelor biometrice de către un operator din domeniul farmaceutic. Acesta utiliza sistemul de pontare electronică a angajaților pe baza amprentelor (care reprezintă date biometrice), deși s-a constatat că operatorul utiliza simultan 2 mijloace de atingere a aceluiași scop- și anume pontarea pe baza unui cod PIN atribuit fiecărui angajat. Curtea de Apel a menționat că “Măsura este una intruzivă și nu trece testul proporționalității, nefiind strict necesară pentru scopul declarat în vederea căruia a fost adoptată.”. Operatorul a fost sancționat contravențional și i-au fost aplicate și măsuri corective.

Activitatea de monitorizare și control

În anul 2020 au fost deschise 649 de investigații în urma a 5480 de plângeri, sesizări și notificări privind incidente de securitate. În anul 2019 s-au primit 6193 de astfel de cereri.

 

Numărul plângerilor, sesizărilor, notificărilor primite

Numărul plângerilor, sesizărilor, notificărilor primite

Ca urmare a investigațiilor, au fost aplicate 29 de amenzi în cuantum total de 892.115,95 lei. De asemenea, au mai fost aplicate 64 de avertismente și au fost dispuse 65 de măsuri corective. Comparativ cu 2020, în 2019 au fost aplicate 28 de amenzi în cuantum total de 2.339.291,75 lei.

➲ Investigații din oficiu

În cadrul investigațiilor efectuate din oficiu, în anul 2020 au fost aplicate 9 amenzi în cuantum total de 652.019,5 lei (139.000 Euro).

Potrivit Raportului, în ceea ce privește notificările încălcărilor de securitate, acestea au vizat în principal confidențialitatea/disponibilitatea/integritatea datelor cu caracter personal ca urmare a dezvăluirilor neautorizate ori ca urmare a unui software malițios (ransomware), accesul ilegal la datele cu caracter personal ale clienților din sistemul bancar, accesul neautorizat la sistemele de supraveghere video cu circuit închis (CCTV), dezvăluirea de date cu caracter personal în sistemul medical.

➲ Activitatea de soluționare a plângerilor

Autoritatea a primit, în anul 2020, un număr total de 5082 plângeri, pe baza cărora au fost demarate 296 de investigații.

Plângerile au fost în majoritate pe următoarele subiecte:

➲ Încălcarea drepturilor și a principiilor prevăzute de Regulamentul (UE) 2016/679;

➲ Dezvăluirea datelor cu caracter personal fără consimțământul persoanelor vizate;

➲ Prelucrarea imaginilor prin intermediul sistemelor de supraveghere video;

➲ Primirea de mesaje comerciale nesolicitate;

➲ Încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date personale prin neadoptarea de către operatori a măsurilor tehnice și organizatorice adecvate privind asigurarea securității prelucrărilor.

 

În continuare detaliem câteva investigații realizate de Autoritate, cu importanță ridicată: 

 

➲ Nerespectarea drepturilor persoanei vizate

Autoritatea națională de supraveghere a fost sesizată cu o situație de nerespectare a drepturilor persoanei vizate, și mai exact a exercitării dreptului de ștergere a datelor (“de a fi uitat”). În cauză, operatorului i s-a solicitat ștergerea datelor personale prelucrate, iar acesta nu a dat curs cererii, conform solicitării persoanei vizate și nici nu a transmis un răspuns la cererile prin care cel din urmă își exercita drepturile de acces și de ștergere. Operatorul a fost sancționat cu amendă și aplicarea unei măsuri corective- comunicarea unui răspuns către petent.

➲ Prelucrarea datelor prin utilizarea sistemelor de supraveghere (CCTV)

Autoritatea a fost sesizată cu privire la existența unui sistem CCTV montat de primărie, care nu respectă prevederile Regulamentului. Mai exact, una dintre camere era instalată pe un stâlp aflat în colțul proprietății reclamantului. De asemenea, nu a fost îndeplinită obligația de informare, nu au fost luate măsuri de securitate ori numit un responsabil cu protecția datelor. Operatorul a fost sancționat cu amendă și s-au dispus aplicarea unor măsuri corective (informarea persoanelor vizate cu privire la prelucrare, adoptarea de măsuri tehnice și organizatorice adecvate și comunicarea datelor de contact ale persoanei responsabile cu protecția datelor.

➲ Încălcarea regulilor de confidențialitate și securitate a prelucrării datelor

Pe acest subiect, Autoritatea a fost sesizată cu privire la expunerea datelor clienților unui site tuturor vizitatorilor platformei. Incidentul a fost cauzat de o disfuncționalitate care a făcut posibilă accesarea și vizualizarea unor date personale aparținând clienților acestei societăți. Operatorul a susținut că nu a cunoscut problema, întrucât mesajul prin care petentul semnaliza incidentul a intrat în folderul de spam al serviciului de poștă electronică. S-a reținut faptul că operatorul nu a adoptat suficiente măsuri de securitate încă din momentul conceperii site-ului, care să prevină accesarea și divulgarea neautorizată a datelor personale ale clienților care au plasat comenzi pe acest site. În consecință, s-a dispus sancționarea contravențională cu amendă a operatorului.

Având în vedere cele prezentate anterior, activitatea Autorității a fost una continuă, în special în ceea ce privește emiterea de puncte de vedere pe chestiuni ce privesc protecția datelor personale, precum și activitățile de monitorizare și control. Comparativ cu anul precedent, 2019, în 2020 numărul solicitărilor de puncte de vedere a crescut, fapt ce demonstrează accentuarea interesului și preocupării persoanelor fizice și entităților din domeniul public și privat asupra protecției datelor personale. 

Printre subiectele care au făcut obiectul solicitărilor punctelor de vedere, plângerilor, sesizărilor și investigațiilor, în majoritate, menționăm: dezvăluirea datelor cu caracter personal fără consimțământul persoanelor vizate, încălcarea drepturilor și a principiilor prevăzute de Regulament, instalarea de sisteme de supraveghere video la nivelul diverselor entități, primirea de mesaje comerciale nesolicitate, încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date personale.

Raportul complet poate fi consultat pe site-ul Autorității de Supraveghere (www.dataprotection.ro) la secțiunea Informații generale> Informații de interes public> Rapoarte anuale.

 

Pentru consultanta privind aplicarea prevederilor GDPR în companii ne puteți scrie la office@decalex.ro 

 

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE