În sistemul informațional al instituțiilor publice, dar și al celor private din Republica Moldova, se constată încălcări frecvente a dreptului privind protecția datelor cu caracter personal. Pe site-urile instanțelor judecătorești sunt plasate în regim de acces liber, hotărâri ce conțin date cu caracter personal precum: numele, prenumele, patronimicul, anul nașterii, originea, domiciliul, naționalitatea, cetățenia, studiile, codul personal, informații ce se referă la elementele fizice, fiziologice, psihice, economice etc.

Unica autoritate abilitată de a efectua controlul în ceea ce priveşte prelucrarea datelor cu caracter personal este Centrul Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova (CNPD). În ultimul raport de activitate (pentru 2015), CNDP a prezentat mai multe cazuri de încălcări grave ale prevederilor Legii privind protecția datelor cu caracter personal de către autorități publice, dar și companii private.

            Dezvăluirea în internet a datelor cu caracter personal de către CEC, CÎS și CRIS ”Registru”

ÎS_CRIS_Registru.jpgAstăzi, portalurile unor instituții publice sunt adevărate surse de informații pentru jurnaliștii de investigație și pentru cetățenii simpli. Astfel, pot fi obținute, gratuit sau contra-cost, informații despre acționarii/fondatorii întreprinderilor, finanțatorii partidelor, hotărâri aprobate etc. Însă, acest tip de informații, în unele cazuri sunt supuse protecției datelor cu caracter personal, context care determină apariția unui gen de conflict între legislație și interesul public.

            La sfârșitul lunii mai curent, CNPD a obligat CEC-ul și CÎS-ul, care ofereau date publice, să nu le mai ofere, pentru că, conţin date cu caracter personal.

            În cazul CEC, în baza unei petiții înaintate de către o cetățeancă, CNDP a constatat că, în lista entităților ce au accesat datele cu caracter personal ce o vizau, se regăsea inclusiv Comisia Electorală Centrală, care a dezvăluit informații cu accesibilitate limitată. Comisia declara că a făcut asta în vederea asigurării transparenței instituționale. Totuși, la scurt timp, CEC a declarat că sistează funcționalitatea site-urile gestionate, din pretinsul motiv că ,,reprezentanții Centrului au solicitat sistarea acestor” – fapt infirmat de Centru. CNDP mai scrie că, activitatea site-urilor gestionate de CEC a fost suspendată, însă, posibilitatea accesării adresei electronice, de la care a putut fi vizualizată informația cu accesibilitate limitată, nu a fost stopată. Posibilitatea accesării adresei electronice de la care puteau fi vizualizate nerestricționat un volum impunător de date cu caracter personal consemnate în documentele de corespondență a CEC a fost sistată numai după informarea de către Centru a SIS  în privința acestui caz.

În consecință, Centrul a sesizat organele de drept competente a examina cauza în ordine penală, se arată în raport.

În cazul CÎS, Centrul menționează că aceasta comercializează date cu caracter personal. CÎS furnizează (la inițiativa guvernului), informații despre fondatorii și acționarii întreprinderilor. O parte din aceste informații sunt furnizate gratuit, iar altele contra-plată.

Astfel, în urma controlului inițiat, Centrul a constatat că, CÎS dezvăluie/comercializează informații cu accesibilitate limitată, oricărei persoane ce achită o anumită sumă și că prelucrează datele cu caracter personal ale angajaților/vizitatorilor prin intermediul mijloacelor de supraveghere video, montate în holurile instituției, precum și în birourile de serviciu - fără a fi notificat Centrului acest sistem de evidență. Întreprinderea nu ar fi afișat inscripțiile privind existența camerelor video, prin care angajații/vizitatorii ar fi informați despre efectuarea operațiunilor de prelucrare a datelor cu caracter personal prin dispozitive video, încălcând astfel, mai multe prevederi legale. În urma celor constatate, Centrul a dispus încetarea operaţiunilor de prelucrare a datelor cu caracter personal de către CÎS, în privința asociaților întreprinderilor – persoane fizice și suspendarea operaţiunilor de prelucrare a datelor cu caracter personal prin intermediul sistemului de supraveghere video. De asemenea, CNDP a dispus pornirea procesul-contravențional în privința Î.S. ,,Camera Înregistrării de Stat” și a persoanei cu funcție de răspundere.

De serviciile informaționale prestate de ÎS ”CRIS ”Registru” prin intermediul SIC ”Acces-web” beneficiază un număr mare de entități de drept public și de drept privat. Potrivit CNDP, acestea prelucrau date cu caracter personal, stocate în resursa informațională de stat, contrar prevederilor legale prin faptul că acestea nu erau înregistrate în Registrul de evidență a operatorilor de date cu caracter personal, așa cum prevedeau și clauzele contractelor de prestări servicii informaționale dintre ÎS ”CRIS”Registru” și entitățile beneficiare. Astfel, CNDP a constatat caracterul ilegal al prelucrării datelor cu caracter personal și a dispus Ministerului Tehnologiei Informației și Comunicațiilor al Republicii Moldova, de comun cu ÎS ”CRIS”Registru”, încetarea prelucrării acestora Ulterior, ÎS ”CRIS”Registru” a reziliat contractele de prestare a serviciilor vizate cu entitățile care nu s-au înregistrat în calitate de operatori în Registrul de evidență a operatorilor de date cu caracter personal, stopând posibilitatea accesării/prelucrării de către reprezentanții acestor entități a informațiilor stocate în Registrul de stat al populației.

Aceste cazuri au fost de rezonanță, fiind foarte mediatizat în presă.

Potrivit expertei în legislația mass-media, Olivia Pîrțac, citată de media-azi.md,  specialiştii de la CNPD insistă pe ideea protejării datelor cu caracter personal şi dezvăluirea lor, doar cu consimţământul persoanei vizate. Potrivit expertei, centrul nu ia în considerare conceptul de interes public sau  prioritatea dezvăluirii informaţiei în raport cu interesul persoanei de a o ţine închisă.

            Prelucrarea ilegală a datelor cu caracter personal privind starea de sănătate

carte medicala.pngPe parcursul anului 2015, o atenție sporită a fost acordată asigurării legalității prelucrării datelor cu caracter personal privind starea de sănătate, în special de către instituțiile medico-sanitare publice, ținând cont de faptul că această informație face parte din categoria specială de date cu caracter personal, constituind secret medical.

În unul dintre cazurile depistate de CNDP se arată că, cetățeanul G.M. s-a adresat cu o plângere, invocând faptul că avocatul unui cetățean care a provocat un accident rutier, în urma căruia a decedat ruda petiționarului, a solicitat și primit de la un Centru de Sănătate, fișele medicale ale persoanei decedate, unde erau consemnate bolile de care suferea decedatul (de la naștere și până la deces), dar și a cet. G.M. și a copiilor minori ai acestuia, pentru a le anexa la dosarul penal. G.M a menționat că nu a dat acordul ca datele care-l vizează pe el și pe copiii săi minori să fie prelucrate, considerând că oferirea accesului și ridicarea fișelor medicale care-i vizează a fost ilegală. CNDP a constatat că fișele medicale au fost eliberate avocatului, de către asistenta medicală din cadrul instituției medicale, în urma consultării medicului de familie și a medicului șef. Astfel, Centrul a constatat că și personalul medical, și avocatul au încălcat prevederile Legii privind protecția datelor cu caracter personal, motiv pentru care a fost pornită procedura contravențională în privința celor 4 (avocatul, asistenta medicală, medicul de familie și medicul șef).           

            Datele de identificare a unor minori abuzați sexual, expuse în internet

Potrivit raportului CNDP, în perioada 2014 – 2015, majoritatea instanțelor judecătorești s-au înregistrat în calitate de operatori în Registrul de evidență a operatorilor de date cu caracter personal, menționând totodată că, până în prezent, Curtea Supremă de Justiție se opune obligației de a notifica Centrul cu privire la utilizarea acestui tip de date.

Un caz de rezonanță la această categorie a fost legat de dezvăluirea datelor de identificare a unor copii abuzați sexual. În luna mai 2015, Centrul de Drept al Femeilor a sesizat CNDP în privința prelucrării ilegale a datelor cu caracter personal de către Judecătoria sectorului Rîșcani, mun. Chișinău, care a publicat în internet, în regim de acces nerestricționat, date cu caracter personal care vizau copii/minori (nume, prenume, adresa de domiciliu, data și anul nașterii), și mai mult ca atât, încheierea publicată conținea informații privind abuzul sexual asupra acestora, informație care face parte din categoria specială a datelor cu caracter personal. Potrivit CNDP, asistentul judiciar al Judecătoriei Rîșcani ar fi publicat din neatenție, pe pagina web a instituției, încheierea, fără depersonalizarea datelor cu caracter personal.

Deși publicarea unor astfel de date contravine legislației, nimeni nu a fost pedepsit. Centrul  susține că nu a reacționat, pentru că ar fi expirat termenul de prescripție, dar a menționat că subiecții de date vizați își pot realiza dreptul de acces la justiție, personal.

Potrivit portalului bizlaw.md, care citează același raport, majoritatea instituțiilor care încalcă modul de utilizare a datelor cu caracter personal nu ajung să poarte răspundere, pentru că instanțele tărăgănează examinarea cauzelor și câte 2 ani, în timp ce termenul de prescripție este de doar 3 luni de la momentul încălcării. În rezultat, se constată doar încălcarea, fără a fi pedepsit cineva. Mai mult, instituția responsabilă nici nu este obligată să remedieze încălcările.

            Cazier juridic neactualizat

Consecințele neactualizării informațiilor stocate în sistemele de evidență a datelor cu caracter personal de asemenea sunt pedepsite.

Într-un alt caz prezentat de CNDP, un cetățean s-a adresat cu o plângere, pentru prelucrare a datelor cu caracter personal inexacte, stocate în Registrul informaţiilor criminalistice şi criminologice, gestionat de Ministerul Afacerilor Interne. Persoana a declarat că în urma solicitării obținerii cazierului judiciar, i s-a comunicat existența a 5 cauze penale intentate în privința sa, dintre care 4 clasate, iar o cauză, expediată în instanța de judecată spre soluționare. Însă, la momentul prezentării informației, subdiviziunea MAI, nu dispunea de informații privind finalitatea ultimei cauze, motivând că nu a primit sentința definitivă. În urma acestui caz, din contul Judecătoriei raionului Edineţ, vinovată de neexpedierea sentinței, a fost încasată suma de 5000 lei, în calitate de prejudiciu material şi moral în favoarea cetățeanului, iar informația despre acesta a fost actualizată.

            Colaboratorii MAI prelucrează date cu caracter personal, fără scop și temei legal

mai.gifSectorul polițienesc prelucrează un volum foarte mare de date cu caracter personal, respectiv, cele mai frecvente cazuri sesizate Centrului vizează verificarea legalității operațiunilor de prelucrare a datelor cu caracter personal, efectuate de colaboratorii organelor de drept. Centrul a constatat în 2015, un șir de încălcări la acest capitol.

În cazul prezentat în raport, se menționează despre iniţierea unui control al legalității operațiunilor de prelucrare a datelor cu caracter personal, stocate în Registrul de stat al populației, efectuate de către utilizatorii autorizați ai Ministerului Afacerilor Interne (MAI), pornit în baza plângerii cet. G.D. Centrul a constatat că, la rubrica entităților/subdiviziunilor ce au accesat datele cu caracter personal ce vizau petentul, se regăsea o subdiviziune a MAI, solicitând MAI prezentarea informațiilor privind scopul, temeiul legal și legătura de cauzalitate între necesitatea accesării/prelucrării datelor cet. G.D. și materialul aflat în examinare. În rezultat, pentru că nu a primit toate informațiile necesare, sub pretextul neadmiterii divulgării unor informații din cadrul urmăririi penale, Centrul a expediat materialele acumulate în cadrul controlului, Procuraturii Generale.

            Sectorul privat: cazul ”StarNet Soluții” SRL și ”Elite Casting Agency” SRL

În 2015, și în sectorul privat au fost constatate mai multe încălcări la prelucrarea datelor cu caracter personal.

Unul dintre cazurile cele mai răsunătoare, a fost cel al Starnet, mediatizat pe larg, care a plasat date cu caracter personal ale clienților companiei, pe internet, în regim on-line nerestricționat. Drept urmare, Centrul a inițiat un control al legalității prelucrării acestor informații cu accesibilitate limitată, în urma căruia s-a confirmat accesul neautorizat la sistemele informaționale de evidență; prelucrarea datelor cu caracter personal stocate în sistemele de evidență gestionate de Starnet, în numele și pe seama operatorului, de către o altă companie; ne-securizarea spațiului de securitate, accesul în sediul/oficiile/birourile companiei unde sânt amplasate sistemele informaționale de date cu caracter personal și unde se efectuează operațiuni de prelucrare a acestor date, nu era restricționat. starnet.pngDe asemenea, și în cazul Starnet, Centrul a constat că sistemului de supraveghere video amplasat în holurile şi pe perimetrul companiei, este gestionat fără afișarea inscripțiile corespunzătoare. În privința companiei, Centrul a dispus pornirea procesului contravențional.

Într-o altă cauză, Starnet a intrat într-un litigiu cu Consiliul Concurenței (CC) pentru refuzul de a furniza date cu caracter personal al clienţilor şi salariaţilor săi, la solicitarea CC, într-o investigaţie concurenţială privind un potenţial caz de concurenţă neloială, comis de Starnet în 2011.

În acest sens, potrivit bizlaw.md, la 25 mai curent, Curtea Supremă de Justiție a adoptat o hotărâre, potrivit căreia, înregistrarea în calitate de operator de date cu caracter personal nu este temei suficient pentru Consiliul Concurenţei de a avea acces la datele cu caracter personal.

Și acest caz este o demonstrare a riscului de apariție a unui conflict între interesul particular de protecţie a vieţii private a individului și interesului public (de protecţie a concurenţei în acest caz). În decizia CSJ, a prevalat interesul privat.

În cazul agentului economic SRL ,,Elite Casting Agency”, în urma unui control, CNDP a constatat mai multe neconformități: prelucrarea datelor cu caracter personal ale angajaților, eventuali angajați, vizitatori, clienți, eventuali clienți și gestionarea mai multor sisteme de evidență a datelor cu caracter personal, fără a fi notificate Centrului; lipsa documentului care ar descrie politica de securitate la prelucrarea datelor cu caracter personal și a persoanei responsabile de politica de securitate a datelor cu caracter personal; efectuarea transferului transfrontalier a datelor cu caracter personal care vizează clienții acestei entități (inclusiv minori), în absența unei autorizări etc. În rezultatul controlului, Centrul a dispus suspendarea operaţiunilor de prelucrare a datelor cu caracter personal de către agent și pornirea procesului contravențional în privința SRL ” Elite Casting Agency” și a persoanei cu funcție de răspundere.

             Prelucrarea ilegală a datelor cu caracter personal de către bănci

Și instituțiile financiare prelucrează masiv date cu caracter personal. În unul dintre cazurile prezentate în raport, Centrul a fost sesizat de un cetățean, care a invocat prelucrarea ilegală a datelor cu caracter personal de către o bancă, realizată prin afișarea spre acces nerestricționat publicului larg, a dispozitivelor de calcul ale entității. Desfășurând un control inopinat la filiala băncii, CNDP a constatat că peretele ce delimitează perimetrul de securitate era confecționat din sticlă transparentă, ceea ce oferea publicului larg - acces nerestricționat și posibilitatea vizualizării/colectării datelor cu caracter personal, prelucrate în interiorul băncii. Simulând posibile metode de prelucrare a datelor, Centrul a stabilit că, din exterior/spațiu public, cu ochiul liber și/sau cu ajutorul unor dispozitive video pot fi preluate imagini cu informații de accesibilitate limitată. În rezultatul acțiunilor de control, CNDP a dispus suspendarea operaţiunilor de prelucrare a datelor cu caracter personal de către filiala Băncii, până la ajustarea neconformităților constatate. personaldataprotection_50741700.jpgUlterior, banca a informat Centrul despre faptul că a ajustat neconformitățile invocate, prin alipirea pe geamurile de sticlă a peliculelor ,,protectoare”. Totodată, banca a menționat că, aceleași principii de transparență sânt utilizate și de Grupul de servicii financiare din Europa, al cărui membru este. În acest context, Centrul a solicitat asistența juridică internațională a Autorității de protecție a datelor cu caracter personal din țara membră a Uniunii Europene, unde își desfășoară activitatea de bază Grupul de servicii financiare menționat, pentru a se expune pe marginea acestui caz.

            Partidele politice vor putea prelucra doar datele membrilor

Potrivit CNDP, mai multe partide politice, încă nu s-au aliniat principiilor de protecție a datelor cu caracter personal. Pe parcursul anului 2015, Centrul a constatat mai multe încălcări admise acestea, după ce mai multe persoane s-au adresat la Centru cu privire la prelucrarea ilegală a datelor cu caracter personal de către câteva partide politice, prin colectarea, păstrarea, utilizarea, dezvăluirea și transmiterea acestor date (nume, prenume, patronimic, adresa de domiciliu) consemnate în scrisori și/sau plicuri expediate subiecților de date, inclusiv celor care nu sânt membri ai formațiunilor politice, de la care recepționează asemenea scrisori. Centru a stabilit că aceste cazuri sunt  neîntemeiate și excesive. Prelucrarea datelor cu caracter personal ale subiecților care nu sânt membri de partid, în lipsa consimțământului acestora, este interzisă de lege. În urma cazurilor depistate, Centrul a emis o decizie cu caracter general, obligatorie tuturor formațiunilor politice, prin care a dispus încetarea de către acestea a operațiunilor de prelucrare a datelor cu caracter personal care vizează subiecții ce nu sânt membri de partid, cu excepția situațiilor bazate pe existența consimțământului acestora.

Centrul a propus o inițiativă legislativă prin care să fie majorate amenzile pentru cei care utilizează date personale, fără a respecta legea. Astfel, amenzile ar putea crește de la 10 mii de lei, până la 100 de mii, 500 de mii și chiar 1 milion de lei.

 

Distribuie:
Scrie un comentariu Adaugă la favorite

Оставить комментарий


Nu sunt comentarii