În data de 28 septembrie 2020, ANSPDCP a publicat Raportul de activitate pentru anul 2019. Raportul prezintă aspecte importante din activitățile de emitere puncte de vedere și de investigare ale Autorității, care evidențiază abordarea acesteia asupra unor aspecte importante precum:
I. Utilizarea unor sisteme de localizare GPS
Autoritatea a emis puncte de vedere cu privire la utilizarea GPS de către angajator, menționând că angajatorul trebuie să facă în prealabil o evaluare a riscurilor la care se supune activitatea sa pentru a stabili necesitatea implementării sistemelor, precum și în vederea argumentării și dovedirii unui interes legitim al operatorului care ar trebui să prevaleze față de interesul, drepturile și libertățile persoanei fizice în cauză.
Autoritatea însă nu a indicat interesul legitim ca temei exclusiv pentru această prelucrare, menționând că prelucrarea este legală dacă se aplică cel puțin una din condițiile prevăzute de art. 6 alin. (1) din GDPR.
II. Calificarea părților ca operator-împuternicit-operatori asociați
ANSPDCP consideră că operatorii și împuterniciții sunt în măsură să își stabilească calitatea, având în vedere cunoașterea în detaliu a activității de prelucrare a datelor în anumite scopuri și folosind anumite mijloace, precum și a drepturilor și obligațiilor fiecărei părți, fără ca aceasta să aducă atingere adoptării măsurilor legale necesare de către Autoritate în îndeplinirea atribuțiilor sale raportat la situații concrete ivite în practică.
III. Prelucrarea datelor biometrice pentru accesul în clădire
ANSPDCP a considerat că nu se justifică necesitatea și proporționalitatea datelor prelucrate prin raportare la scopul urmărit (accesul angajaților și al vizitatorilor în clădirile unei instituții publice), fiind necesară analizarea atingerii acestuia într-un mod mai puțin intruziv, prin alegerea unui sistem care nu implică prelucrarea datelor biometrice ale persoanelor vizate.
IV. Durata de stocare a datelor candidaților în procesul de recrutare
În ceea ce privește stocarea datelor referitoare la candidații respingi, ANSPDCP consideră că termenul de stocare se stabilește pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele, respectiv finalizarea procesului de selecție (dacă nu există legislație specifică pentru această durată).
Autoritatea consideră că păstrarea datelor pe o perioada ce depășește acest termen se poate efectua pe baza interesului legitim al operatorului cu informarea prealabilă a candidatului și oferirea posibilității de a-și exercita drepturile de care beneficiază.
V. În ceea ce privește investigațiile din domeniul bancar
Autoritatea a aplicat amenzi în principal pentru lipsa măsurilor tehnice și organizatorice adecvate atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, inclusiv pentru neimplementarea unui proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice.
VI. În ceea ce privește investigațiile din domeniul sănătății
Autoritatea a sancționat faptul că operatorii nu au luat măsuri pentru a se asigura că orice persoană fizică care acționează sub autoritatea lor și are acces la date cu caracter personal nu le prelucrează decât la cererea operatorilor, fiind sancționate practici prin care angajații au filmat și publicat imagini cu persoane (activitatea curentă din blocul operator). Este de menționat faptul că și angajatul care a publicat neautorizat datele a fost sancționat cu avertisment.
VII. În ceea ce privește investigațiile din domeniul comunicațiilor electronice
Autoritatea a sancționat tot faptul că neimplementarea unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător a condus la accesarea și divulgarea neautorizată a unor date cu caracter personal ale clienților proprii.
VIII. În ceea ce privește investigațiile în domeniul serviciilor poștale
Și în acest caz, Autoritatea a sancționat lipsa implementării măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, care au condus la pierderea trimiterilor poștale sau a anumitor documente.
IX. Alte aspecte sancționate de Autoritate
• realizarea unei abonări automate la comunicări de marketing pe e-mail la crearea unui cont online, dacă utilizatorul nu bifează opțiunea ”Nu vreau să primesc Personal update”, sancțiunea fiind aplicabilă întrucât o inacțiune a utilizatorului (nebifarea unei căsuțe) nu poate constitui un consimțământ valabil;
• dezvăluirea neautorizată de date în mediul online, cauzată de lipsa măsurilor tehnice și organizatorice adecvate;
• faptul că un angajator a supravegheat prin mijloace audio/video birourile angajaților, vestiarele, sala de mese, precum și faptul că în anumite locații accesul s-a realizat pe bază de amprentă, fiind sancționate printre altele lipsa dovezii unui interes legitim al angajatorului și încălcarea principiului privind reducerea la minimum a datelor;
• faptul că o instituție financiară nebancară nu a notificat Autorității o încălcare de securitate, deși aceasta a colectat o adresă de e-mail eronată, ar titularul real al adresei de e-mail a atras atenția în mod repetat societății în cauză cu privire la faptul că i-au fost dezvăluite documente ale altei persoane;
• nerespectarea drepturilor persoanelor vizate, fiind sancționată lipsa unui răspuns la dreptul de acces exercitat față de deținătorul unui site, lipsa unui răspuns la exercitarea dreptului de ștergere, dar și nerespectarea dreptului la opoziție de către deținătorul unui site (utilizatorul solicitând să îi fie dezactivată din baza de date opțiunea de trimitere către adresa sa de e-mail a unor mesaje tip chestionare);
• faptul că un angajator a realizat fotografii la un eveniment cu angajații săi și ulterior le-a publicat pe pagina de facebook a instituției, fără consimțământul angajaților și fără ca nota de informare comunicată angajaților să cuprindă această prelucrare.
De asemenea, Autoritatea menționează că în anul 2019 s-a înregistrat o creștere cu peste 20% a numărului de plângeri față de anul anterior (5808 de plângeri în anul 2019 față de 4822 plângeri înregistrate în 2018). Plângerile au avut, în principal, ca obiect:
i. dezvăluirea datelor cu caracter personal fără consimțământ;
ii. încălcarea drepturilor și a principiilor prevăzute de GDPR;
iii. transmiterea de date la biroul de credit;
iv. instalarea de sisteme de supraveghere video la nivelul diverselor entități;
v. primirea de mesaje comerciale nesolicitate;
vi. încălcarea măsurilor de securitate și confidențialitate;
vii. nerespectarea condițiilor privind consimțământul în mediul online.
Autoritatea menționează că investigațiile efectuate din oficiu au avut ca obiect verificarea respectării prevederilor legale ca urmare a transmiterii notificărilor de încălcare a securității datelor cu caracter personal, precum și ca urmare a sesizărilor transmise Autorității de către diverse entități.
Incidentele de securitate au vizat, în principal, următoarele aspecte:
i. dezvăluirea neautorizată a datelor cu caracter personal; pierderea trimiterilor poștale;
ii. indisponibilitatea datelor cu caracter personal;
iii. accesul neautorizat la sistemele de supraveghere video cu circuit închis (CCTV);
iv. accesul ilegal la datele personale ale clienților în sistemul bancar.
Sesizările au avut ca obiect aspecte precum: lipsa măsurilor de securitate a prelucrărilor de date; prezența camerelor de supraveghere video; publicarea datelor cu caracter personal în mediul online.
Ca urmare a investigațiilor efectuate, au fost aplicate 28 de amenzi în cuantum total de 2.339.291,75 lei.
Această informare nu reprezintă consultanță juridică. Pentru mai multe detalii, vă rugăm să ne contactați.