Institutii Care Se Ocupa cu Prelucrarea de Date cu Caracter Personal

CAPITOLUL 2

Instituții care se ocupă cu prelucrarea de date cu caracter personal

2.1. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

2.1.1. Prezentare generală

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal reprezintă o autoritate independentă înființată prin Legea nr. 102/2005, în vigoare de la 12 mai 2005, în vederea unei alinieri a legislației României la acquis-ul comunitar în domeniul protecției datelor cu caracter personal. Principalele atribuții ale acestei instituții sunt de control al modului cum sunt prelucrate datele cu caracter personal, de verificare a sesizărilor cetățenilor cu privire la nerespectarea prevederilor legale în materie de protecția datelor cu caracter personal, de cooperare cu autorități similare din străinătate și de a formula avize și recomandări legate de orice problemă privitoare la protecția datelor cu caracter personal.

În exercitarea atribuțiilor sale, Autoritatea Națională de Supraveghere a primit și soluționat, de la înființarea sa, diverse plângeri și sesizări legate de prelucrarea datelor cu caracter personal în domenii de activitate cum ar fi: sfera financiar-bancară, a comunicațiilor electronice și mediului on-line, precum și cea a monitorizării și securității spațiilor publice sau private prin mijloace de supraveghere video.

Ca urmare a activităților de verificare a sesizărilor au fost identificate obiecte diverse ale plângerilor și sesizărilor, în funcție de aspectele reclamate de către petenți și de domeniul vizat. Ca un exemplu, în domeniul financiar – bancar, acolo unde principalii operatorii sunt băncile sau instituțiile financiare nebancare, sesizările au vizat, în principal, raportarea către sisteme de evidență de tip birou de credit a datelor cu caracter personal cu nerespectarea prevederilor legale, dezvăluirea datelor personale către societăți de recuperare creanțe sau reținerea copiilor după actele de identitate în scopul prelucrării datelor personale.

Principalele constatări au fost acelea că operatorii vizați în plângeri și sesizări nu au respectat prevederile Legii nr. 677/2001 și nici pe cele ale Deciziei emise de Autoritatea Națională de Supraveghere nr. 105/2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidență de tipul birourilor de credit, în ceea ce privește termenul de transmitere a datelor către Biroul de Credit, termenul de înștiințare prealabilă a persoanelor vizate, transmiterea unui răspuns în termen de 15 zile la cererile petenților de exercitare a drepturilor prevăzute de Legea nr. 677/2001.

O pondere importantă din numărul total al petițiilor înregistrate în anul 2013 este reprezentată de plângerile și sesizările având ca obiect comunicațiile electronice și mediul online. Sesizările au vizat transmiterea de mesaje comerciale nesolicitate (spam, newsletter), vânzarea unor baze de date conținând adrese de e-mail dar și dezvăluirea unor date cu caracter personal în mediul online. Operatorii vizați sunt societăți care se ocupă cu activități de comerț on-line, agenții de turism, precum și operatori de telefonie și internet.

Concluzia principală desprinsă este aceea că datele personale au fost prelucrate fără consimțământul persoanelor vizate și de asemenea nu s-a dat curs cererilor de exercitare a dreptului de opoziție ce viza obținerea ștergerii datelor. De la an la an, s-a înregistrat o creștere semnificativă a plângerilor și sesizărilor ce au ca obiect prelucrarea datelor personale prin mijloace de supraveghere video, iar într-un număr relativ mare de cazuri operatorii reclamați au fost asociațiile de proprietari.

Au existat și petiții prin care Autoritatea Națională de Supraveghere a fost sesizată în legătură cu diverse prelucrări de date efectuate prin intermediul sistemelor de supraveghere video de către unități de învățământ, primării, societăți comerciale sau chiar persoane fizice. Ca urmare a verificărilor efectuate, s-a constatat că operatorii fie nu cunosc , fie nu respectă dispozițiile legale cu privire la prelucrarea de date prin mijloace de supraveghere video , respectiv ale Legii nr. 677/2001 și ale Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, în special cele referitoare la drepturile persoanelor vizate și la condițiile în care se poate efectua prelucrarea/dezvăluirea imaginilor și notificarea prelucrărilor la Autoritatea Națională de Supraveghere.

Acolo unde au fost constatate nereguli grave au fost aplicate sancțiuni contravenționale ori s-au dispus măsuri de încetare, ștergere sau suspendare a prelucrării datelor personale. Referitor la cazurile de inadmisibilitate a petițiilor primite, principalul motiv de respingere a plângerilor a fost neîndeplinirea procedurii legale prealabile de către petenți, nefiind respectate dispozițiile art. 25 din Legea nr. 677/2001 care prevăd faptul că „plângerea către Autoritatea Națională de Supraveghere nu poate fi înaintată mai devreme de 15 zile de la înaintarea unei plângeri cu același conținut către operator”. Autoritatea Națională de Supraveghere a luat o decizie care vine în sprijinul cetățenilor astfel că , începând cu anul 2013, a modificat secțiunea privind procedura de adresare a unei plângeri și modelele ce pot fi utilizate de cei interesați, pentru a spori vizibilitatea acestor informații pe pagina de internet a Autorității Naționale de Supraveghere (www.dataprotection.ro) și pentru a evita acele cazuri de inadmisibilitate a petițiilor.

De asemenea, Autoritatea Națională de Supraveghere a afișat pe site-ul propriu și procedura și formularele de adresare a unei cereri de acces și/sau intervenție/rectificare, ștergere sau blocare a datelor personale stocate în cadrul Programului SUA de Urmărire a Finanțărilor în scopuri Teroriste, așa cum s-a prevăzut în Acordul dintre Statele Unite ale Americii și Uniunea Europeană privind Prelucrarea și Transferul Datelor de Mesagerie Financiară din Uniunea Europeană către Statele Unite ale Americii în cadrul Programului de Urmărire a Finanțărilor în scopuri Teroriste.

Printre motivele de respingere ca inadmisibile sau neîntemeiate a petițiilor transmise de cetățenii ale căror drepturi în materie de protecție a datelor cu caracter personal au fost încălcate , s-au evidențiat și lipsa dovezilor care să susțină plângerea, sesizarea de aspecte care nu erau de competența materială sau teritorială a Autorității Naționale de Supraveghere, identificarea exactă a entității reclamate a fost imposibilă (exemplificăm aici cazul expeditorului unei comunicări comerciale electronice nesolicitate) sau a fost introdusă în prealabil o acțiune în justiție.

Volumul de petiții primite de Autoritatea Națională de Supraveghere s-a aflat într-o creștere permanentă, astfel că în anul 2013 s-au primit 721 plângeri (o creștere cu 30% raportat la anul 2012) și respectiv 156 sesizări (o creștere cu 36% față de anul 2012), a se vedea Figura 2.1-numărul plangerilor și sesizărilor ȋn perioada 2012-2013.

Figura 2.1 – Numărul plangerilor și sesizărilor ȋn perioada 2012-2013

Conform datelor desprinse din Raportul de activitate al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal pe anul 2013, în vederea soluționării plângerilor și sesizărilor primite, s-au fost efectuate 151 de investigații pe teren și 44 de investigații în scris, rezultatul fiind aplicarea unui număr total de 180 sancțiuni contravenționale dintre care 61 amenzi și 119 avertismente. Ca și valoare, cuantumul total al amenzilor aplicate în 2013 ca urmare a soluționării plângerilor și sesizărilor este de 122.000 lei, în creștere față de anul 2012 cu peste 300%, a se vedea Figura 2.2- Cuantumul amenzilor aplicate ȋn activitatea de soluționare a plangerilor și sesizărilor ȋn perioada 2012-2013.

Figura 2.2 – Cuantumul amenzilor aplicate ȋn activitatea de soluționare

a plangerilor și sesizărilor ȋn perioada 2012-2013

De asemenea , Autoritatea Națională de Supraveghere a emis 5 decizii prin care entitățile vizate au fost obligate la ștergerea datelor cu caracter personal pe care le-au prelucrat, 1 decizie prin care s-a dispus încetarea prelucrării datelor cu caracter personal și ștergerea datelor deja prelucrate și 1 recomandare.

2.1.2. Principalele constatări rezultate din activitatea de soluționare a plângerilor și sesizărilor

Prelucrarea datelor personale, prin reținerea copiilor de pe actele de identitate

Anul 2013 a fost marcat de creșterea numărului plângerilor și sesizărilor adresate Autorității Naționale de Supraveghere prin s-au semnalat încălcări ale dispozițiilor legale privind prelucrarea datelor personale, prin reținerea copiilor după actele de identitate. Astfel, s-a constatat că operatorii vizați în petiții nu au respectat dispozițiile referitoare la solicitarea obținerii unui aviz de la Autoritatea Națională de Supraveghere, anterior introducerii procedurii de colectare a copiilor de pe actele de identitate, așa cum prevede Decizia nr. 132/2011 privind condițiile prelucrării codului numeric personal și a altor date cu caracter personal având o funcție de identificare de aplicabilitate generală, în cazurile în care nu s-a făcut dovada existenței uneia dintre condițiile următoare: consimțământul persoanelor vizate sau existența unui act normativ care să permită o colectare a copiilor după actele de identitate.

Ca și un exemplu concret, în cursul anului 2013, Autoritatea Națională de Supraveghere a fost sesizată cu privire la faptul că, începând cu luna aprilie 2013, o societate de transport în comun a condiționat eliberarea abonamentelor cu scutiri sau reduceri pe diverse motive, de obținerea copiei scanate a actului de identitate și a altor documente ale beneficiarilor. Petenții au susținut în cuprinsul sesizărilor că, anterior acestei date, societatea de transport reclamată nu stoca copii de pe actele de identitate.

În urma verificărilor aspectelor sesizate, s-a constatat că s-a luat decizia de a scana documentele de identitate și alte documente justificative ce fac dovada calității de beneficiar al abonamentelor cu tarif redus, ale următoarelor categorii de persoane: elevi și studenți (carnet/legitimație student vizate la zi, certificat de naștere/carte de identitate/pașaport/carte de rezidență, certificat căsătorie/hotărâri judecătorești sau alte acte ale unor instituții publice), pensionari cu domiciliul în provincie ( talon de pensie, CI/BI, certificat căsătorie/hotărâri judecătorești/alte acte). Societatea a mai stabilit de asemenea că documentele erau solicitate la centrele de emitere și reîncărcare carduri, la prima emitere a cardului de abonament, la începutul anului școlar/universitar sau atunci când intervin modificări ce nu reies din documentele prezentate.

Operatorul a susținut că s-a recurs la procedura scanării pentru a se reduce fraudele în eliberarea acestor tipuri de abonamente care ar putea fi comise de angajați ai operatorului sau de beneficiari. Deoarece societatea de transport nu a solicitat obținerea unui aviz de la Autoritatea Națională de Supraveghere, anterior introducerii procedurii de colectare a copiilor de pe actele de identitate, așa cum prevede Decizia nr. 132/2011 și nu s-a făcut dovada existenței consimțământului persoanelor vizate sau a unui act normativ care să permită colectarea respectivelor copii, a fost sancționată pentru contravenția prevăzută de art. 31 din Legea nr. 677/2001, respectiv pentru notificare incompletă, întrucât operatorul, până la data efectuării investigației, nu a notificat toate persoanele vizate cu privire la datele personale pe care le prelucrează în scopul emiterii abonamentelor gratuite sau cu tarif redus și persoana împuternicită pentru aceste prelucrări, contrar art. 22 din Legea nr. 677/2001 și pentru contravenția prevăzută de art. 32 din Legea nr. 677/2001, respectiv prelucrarea nelegală a datelor cu caracter personal.

De asemenea, pe lângă sancțiunile contravenționale aplicate, s-a mai dispus prin decizie să se înceteze reținerea copiilor actelor de identitate și să se șteargă copiile actelor de identitate deja colectate pentru emiterea și reîncărcărea abonamentelor cu tarif redus și gratuite. Ulterior, societatea de transport a adus la cunoștința Autorității Naționale de Supraveghere că s-a conformat întocmai deciziilor adoptate.

Transmiterea de comunicări comerciale prin mijloace de comunicație electronica

În cursul anului 2013, a crescut și numărul petițiilor în care se reclama primirea unor comunicări comerciale nesolicitate fie transmise prin telefon (apeluri telefonice ori SMS) fie prin poșta electronică, înregistrându-se astfel un număr de 253 de petiții (aproximativ 28% din totalul petițiilor primite de Autoritatea Națională de Supraveghere). Majoritatea acestor petiții au privit aspecte referitoare la protecția vieții private în sectorul comunicațiilor electronice constând în primirea unor mesaje comerciale nesolicitate prin intermediul poștei electronice, fără ca persoanele vizate să își fi exprimat consimțământul în acest sens.

Plângerile care au îndeplinit condițiile de admisibilitate, au fost verificate de personalul Autorității Naționale de Supraveghere ocazie cu care s-a urmărit dacă entitățile care au transmis acele mesaje comerciale către petent au avut consimțământul acestuia, expres și neechivoc, pentru a putea expedia astfel de mesaje pe adresa sa de poștă electronică și dacă li s-a oferit posibilitatea de a se opune primirii unor astfel de mesaje comerciale, pe viitor. S-a constatat că expeditorii mesajelor comerciale nu au respectat prevederile legale referitoare la consimțământul prealabil, la asigurarea unei informări complete și corecte cu privire la identitate și scop urmărit sau la funcționarea mecanismelor de dezabonare.

Prelucrarea datelor personale prin mijloace de supraveghere video

În anul 2013 a crescut și numărul petițiilor ce aveau ca obiect instalarea și funcționarea unor sisteme de supraveghere video fără respectarea prevederilor legale și a Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, emisă de Autoritatea Națională de Supraveghere. Asociațiile de proprietari au fost cele mai vizate categorii de operatori dar și alte entități în calitatea acestora de angajatori. Cele mai frecvente încălcări constatate se referă la omisiunea notificării prealabile a Autorității Naționale de Supraveghere cu privire la astfel de prelucrări, la instalarea mijloacelor de supraveghere în birourile în care angajații își desfășoară munca fără a avea un temei legal în acest sens și fără avizul autorității, precum și la nerespectarea dreptului de informare în sensul că nu erau furnizate toate mențiunile impuse de lege și de Decizia nr. 52/2012.

Raportarea datelor personale către sisteme de evidență tip birou de credit

În anul 2013 numărul plângerilor ce vizează transmiterea datelor personale către Biroul de Credit au scăzut considerabil față de anii precedenți însă cu toate acestea, s-au mai înregistrat în continuare o serie de aspecte negative privind tipul informațiilor raportate de către bănci sau modalitatea și termenul de realizare a informării prealabile impuse de Legea nr. 677/2001 și de Decizia nr. 105/2007 cu privire la prelucrările de date cu caracter personal efectuate în sisteme de evidență de tipul birourilor de credit, care denotă faptul că operatorii nu și-au însușit corespunzător obligațiile legale ce le revin în asemenea situații.

Dezvăluirea datelor personale către diverse entități

Autoritatea Națională de Supraveghere a fost sesizată, prin petiții, cu privire la încălcarea dispozițiilor legale referitoare la condițiile de dezvăluire către terți (angajatori, societăți de recuperări creanțe) a datelor personale fără a fi fost obținut acordul prealabil al persoanelor vizate ori fără să se fi acordat importanța cuvenită dreptului la informare al acestora, în cazurile în care divulgarea poate fi justificată de realizarea interesului legitim al operatorului ori terțului-destinatar. De asemenea, s-a mai constatat și faptul că dezvăluirea datelor personale s-a făcut, în unele cazuri, fără să existe un temei legal sau în mod disproporționat în comparație cu scopul urmărit.

Dezvăluirea datelor personale în mediul online

Autoritatea Națională de Supraveghere a fost sesizată și cu privire la dezvăluirea datelor personale în mediul online, fie pe pagini ale unor instituții publice sau societăți comerciale, fie de către persoane fizice pe blogurile personale sau în cadrul rețelelor ce permit transferul fișierelor între utilizatori. În toate cazurile, încălcările constatate au fost remediate în scurt timp de către operatori, fie prin ștergerea datelor personale dezvăluite fie prin transformarea acestora în date anonime.

Nerespectarea măsurilor de securitate și confidențialitate a prelucrării datelor personale

În anul 2013, unele instituții publice au sesizat Autoritatea Națională de Supraveghere cu privire la încălcarea măsurilor de securitate și confidențialitate a datelor cu caracter personal colectate de diverși operatori prin intermediul actelor sau contractelor încheiate (agenții de turism, notari publici), încălcări manifestate în general prin neglijență în manipularea unor documente sau prin neadoptarea cerințelor minimale de securitate prevăzute de lege care să prevină prelucrarea neautorizată a datelor personale.

S-au constatat astfel încălcări ale legii de către operatorii vizați în sensul că aceștia nu au aplicat măsuri tehnice și organizatorice adecvate pentru o protecție optimă a datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, a pierderii, a modificării, a dezvăluirii sau accesului neautorizat, date colectate prin diverse documente întocmite în derularea activității curente a operatorilor.

2.2. Autoritatea Europeana pentru Protecția a Datelor (EDPS)

Autoritatea Europeană pentru Protecția Datelor este autoritatea independentă de protecție a datelor cu caracter personal la nivelul Uniunii Europene, stabilită în conformitate cu Regulamentul (CE) nr 45/2001, dedicată protejării informațiilor personale și a vieții private și promovării bunelor practici în instituțiile UE și ȋn organisme. Aceasta monitorizează și asigură protecția datelor personale și a vieții private, atunci când instituțiile UE și organismele aferente prelucrează informații cu caracter personal. Ea monitorizează totodată noua tehnologie care ar putea afecta protecția informațiilor cu caracter personal.

Au existat situații când Autoritatea Europeană pentru Protecția Datelor a avut calitatea de intervenient în fața Curții de Justiție a Uniunii Europene furnizând consultanță de specialitate cu privire la interpretarea protecției datelor. De asemenea, instituția a colaborat cu autoritățile naționale de supraveghere și cu alte organisme de supraveghere pentru a îmbunătăți coerența în protejarea informațiilor personale.

Valorile și principiile Autorității Europene pentru Protecția Datelor:

Valori:

Imparțialitatea – lucrul în cadrul legislativ și politic, fiind independent și obiectiv, a determinat instituția să găsească un echilibru corect al intereselor aflate ȋn joc.

Integritatea – menținerea celor mai înalte standarde de comportament și să facă ceea ce este corect, chiar dacă acest lucru nu este popular.

Transparența – explicarea a ceea ce face și de ce, într-un limbaj clar, care este pe înțelesul tuturor.

Pragmatismul – înțelegerea părților interesate, a nevoilor și soluțiilor lor.

Principii:

Instituția servește interesului public prin aceea că se asigură că instituțiile din Uniunea Europeană se conformează politicii de protecție a datelor și contribuie, ȋn același timp, la extinderea acestei politici atâta timp cât ea influențează protecția datelor cu caracter personal la nivel european;

Autoritatea Europeană pentru Protecția Datelor ȋși utilizează experiența, autoritatea și puterile formale pentru a construi un grad de conștientizare mai mare a necesității protecției datelor, ca drept fundamental și ca parte vitală a administrației publice și a instituțiilor UE;

Autoritatea Europeană pentru Protecția Datelor ȋși concentrează atenția și eforturile pe domenii de politică sau administrație care să prezinte cel mai mare risc de nerespectare sau impact asupra vieții private și acționează selectiv și proportional;

Putem spune că la 11 ani de la înființare, Autoritatea Europeană pentru Protecția Datelor este o organizație matură, cu posibilitatea de a aborda diverse provocări ȋn ceea ce privește protecția datelor cu caracter personal într-un mediu extrem de dinamic. Principala provocare operațională în 2013 a fost că activitățile au continuat să se diversifice în timp ce restricțiile bugetare și măsurile aferente ca urmare a crizei financiare erau încă în vigoare.

Strategia pentru 2013-2014, împreună cu Regulile de Procedura și Planul anual de gestionare au fost surse de îndrumare, de articulare a viziunii și de metodologie necesare pentru a îmbunătăți capacitatea de a lucra eficient și într-un climat de austeritate.

Mediul legal în care acționează Autoritatea Europeană pentru Protecția Datelor prevede o serie de sarcini și competențe ȋn cadrul cărora se disting cele trei roluri principale de supraveghere, consultare și cooperare. Aceste roluri continuă să servească drept platforme de strategie pentru activitățile instituției și sunt reflectate în misiunea acesteia:

un rol de supraveghere pentru a monitoriza și a se asigura că instituțiile și organismele UE lucrează  în conformitate cu garanțiile juridice existente ori de câte ori prelucrează informații personale;

un rol consultativ pentru a consilia instituțiile UE și organismele aferente cu privire la toate aspectele relevante, în special cu privire la propunerile legislative care au un impact privind protecția informațiilor cu caracter personal;

un rol de cooperare pentru a lucra cu autoritățile naționale de supraveghere și de altă natură, în vederea îmbunătățirii consecvenței în protecția personală a informațiilor.