7 minute read

Protecția datelor la sfârșitul anului 2020 / Data protection at the end of 2020

Autoritățile de protecția datelor - atât de la nivel european/CEPD, cât și de la nivel național/ANSPDCP, au depus eforturi pe parcursul anului pandemic 2020, pentru asigurarea respectării mecanismelor de protecție a datelor cu caracter personal. Data protection authorities - both at European level/EDPB and at national level/ ANSPDCP, made efforts during the 2020 pandemic year to ensure compliance with personal data protection mechanisms.

La nivelul CEPD, `n ultima ședință plenară din 15 decembrie 2020, au fost adoptate mai multe documente, `ntre care și Strategia

Advertisement

La nivel național, ANSPDCP a publicat pe site-ul oficial o serie de informări ale activităților specializate desfășurate, respectiv:

At the level of the EDPB, at the last plenary meeting of 15 December 2020, several documents were adopted, including the 2021-

• an approach to the fundamental rights of new technologies and, • the global dimension.

Protecția datelor la sfârșitul anului 2020by Mugurel Olariu, RPD protectie date

2021 - 2023. Astfel, Strategia stabilește obiectivele pe termen scurt și mediu ale Comitetului, grupate `n jurul a patru piloni, precum și trei acțiuni cheie pe pilon pentru a contribui la atingerea acestor obiective. Cei patru piloni principali ai strategiei EDPB sunt: • avansarea armonizării și facilitarea conformității; • sprijinirea aplicării eficiente și a cooperării eficiente `ntre autoritățile naționale de supraveghere; • o abordare a drepturilor fundamentale a noilor tehnologii și, • dimensiunea globală.

Strategia va fi, de asemenea, implementată printr-un program de lucru, care va detalia `n detaliu acțiunile CEPD. Acest program de lucru va fi adoptat la `nceputul anului 2021.

Mai precizăm și faptul că, se află `n faza de consultare publică, până la data de 12 februarie 2021, Orientările nr.10/2020 privind restricțiile prevăzute de art.23 din RGPD1 .

1 A se vedea la https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-102020-restrictions-under-article-23_ro

- o analiză a demersurilor de protecția datelor, specializată pentru asociațiile de proprietari; - `ntâlnirea de lucru cu AmCham, pentru clarificarea aspectelor legate de efectele pe care le produce Decizia CJUE `n cauza Schrems II și aplicabilitatea Scutului de confidențialitate SUA-UE. - măsuri corective dispuse pentru operatorii investigați - din mediul privat și public, respectiv amenzi 2023 Strategy. Thus, the Strategy sets out the Committee’s short- and medium-term objectives, grouped around four pillars, as well as three key actions on the pillar to help achieve these goals. The four main pillars of the EDPB strategy are: • advancing harmonization and facilitating compliance; • supporting effective enforcement and cooperation between national supervisory authorities;

The strategy will also be implemented through a work program, which will detail the actions of the EDPB. This work program will be adopted in early 2021.

We also specify the fact that, until 12 February 2021, the Guidelines no.10 / 2020 on restrictions under Article 23 GDPR are in the public consultation phase1 .

At national level, ANSPDCP published on the official website a series of information on the specialized activities carried out, respectively: - an analysis of data protection approaches, specialized for owners’ associations; - the working meeting with AmCham, to clarify the issues related to the effects of the CJEU Decision in the Schrems II case and the applicability of the US-EU Privacy Shield. - corrective measures ordered for the investigated operators - from the private and public environment, respectively contravention fines,

1 See at https://edpb.europa. eu / our-work-tools / public-consultations-art-704/2020 / guidelines-102020-restrictions-under-article-23_ro

contravenționale, avertismente, planuri de remediere, asigurarea conformității prelucrărilor cu RGPD etc.

Se remarcă o amendă contravențională2 destul de consistentă - echivalentul a 100.000 Euro la un operator economic din sectorul bancar - și care a constatat `ncălcarea dispozițiilor art. 32 alin. (1) și (2) coroborate cu art. 5 lit. f) din RGPD. Operatorul a fost sancționat contravențional cu amendă `n cuanadrese de e-mail, date comportamentale, preferințe personale, valoare tranzacție financiară, adresa locului de muncă, funcție și locul muncii, număr de telefon de serviciu) a 4 persoane fizice vizate (un client și 3 angajați proprii), deși potrivit art. 5 lit. f) din RGPD, operatorul avea obligația de a respecta principiul integrității și confidențialității datelor personale.

~n cadrul investigației efectuawarnings, remediation plans, ensuring the conformity of the processing with GDPR, etc.

There is a very consistent fine2 quite consistent - the equivalent of 100,000 Euros to an economic operator in the banking sector and which found a violation of the provisions of art. 32 para. (1) and (2) corroborated with art. 5 lit. f) GDPR. The operator was sanctioned with a fine in the amount of to certain personal data (name and surname, e-mail addresses, behavioral data, personal preferences, financial transaction value, place of work, position and place of work, telephone number service) of 4 targeted individuals (one client and 3 own employees), although according to art. 5 lit. f) of the GDPR, the operator had the obligation to respect the principle of integrity and confidentiality of personal data.

Data protection at the end of 2020

tum de 487.380 lei (echivalentul a 100.000 EURO).

Investigația a fost demarată `n urma primirii unor sesizări cu privire la `ncălcarea confidențialității și securității datelor personale. S-a constatat că a avut loc dezvăluirea `n spațiul public (on-line) a declarației solicitată de operator unui client al său cu privire la modul `n care intenționa să utilizeze o anumită sumă de bani pe care acesta dorea să o ridice din contul său. Această declarație a fost distribuită `ntre câțiva angajați ai Băncii pe adresele de e-mail de serviciu. Unul dintre angajați a listat e-mailul ce conținea declarația clientului, precum și e-mailul ce conținea conversația internă `ntre angajații operatorului. Un alt angajat a fotografiat cu telefonul mobil `nscrisul listat și l-a distribuit prin intermediul aplicației WhatsApp. Ulterior, `nscrisul listat a fost postat și distribuit pe rețeaua de socializare Facebook și pe un site.

Această situație a condus la dezvăluirea și accesul neautorizat la anumite date cu caracter personal (nume și prenume,

2 A se vedea la https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro te la Bancă, Autoritatea de supraveghere a constatat că operatorul nu a luat măsuri suficiente pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului (salariații operatorului) și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului.

Dezvăluirea produsă `n spațiul public dovedește și ineficiența instruirii interne a angajaților operatorului privind respectarea normelor de protecția datelor cu caracter personal ale persoanelor vizate, deși instruirea angajaților este parte intrinsecă a măsurilor tehnice și organizatorice pe care operatorul era obligat să le adopte `n vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, `ncălcându-se astfel prevederile art. 32 din RGPD.

~n acest context, s-a avut `n vedere și că dezvăluirea datelor cu caracter personal `n spațiul public (pe internet) a generat o serie de prejudicii de natură morală, precum și alte dezavantaje semnificative de natură economică sau socială pentru persoana fizică afectată de producerea incidentului de securitate (client al Băncii). 487,380 lei (equivalent to 100,000 EURO).

The investigation was launched following the receipt of complaints regarding the breach of confidentiality and security of personal data. It was found that the statement requested by the operator from a customer of his client regarding how he intended to use a certain amount of money that he wanted to withdraw from his account took place in the public space (online). This statement was distributed among several Bank employees on service e-mail addresses. One of the employees listed the e-mail containing the customer’s statement, as well as the e-mail containing the internal conversation between the operator’s employees. Another employee photographed the listed document with his mobile phone and distributed it through the WhatsApp application. Subsequently, the listed document was posted and distributed on the social network Facebook and on a website.

This situation led to the disclosure and unauthorized access

2 See at https://www.dataprotection.ro/?page=Comunicat_17_12_2020&lang=ro

In its investigation with the Bank, the Supervisory Authority found that the controller did not take sufficient measures to ensure that any natural person acting under the authority of the controller (employees of the controller) and having access to personal data only processes them at operator’s request.

The disclosure produced in the public space also proves the inefficiency of the internal training of the operator’s employees regarding the observance of the personal data protection norms of the data subjects, although the employee training is an intrinsic part of the technical and organizational measures that the operator was obliged to adopt. security corresponding to the processing risk, thus violating the provisions of art. 32 of the GDPR.

In this context, it was also taken into account that the disclosure of personal data in the public space (on the Internet) generated a number of moral damages, as well as other significant economic or social disadvantages for the individual affected by the incident. security (client of the Bank).

This article is from: