- 28 Ianuarie 2022
ANSPDCP – activitatea Autorității de Supraveghere în anul 2021 și o privire retrospectivă a ultimilor trei ani
Raportul ANSPDCP privind activitatea desfășurată în anul 2021 este disponibil AICI.
În cadrul conferinței au fost prezentate alocuțiunile unor importante autorități de stat prin reprezentanții acestora, precum Ministerul Sănătății, Ministerul Educației, Avocatul Poporului, ANCOM, Ministerul Justiției și Poliția Română alături de reprezentanți ai unor reputate firme de avocatură si reprezentanți ai autorității de supraveghere.
Ministrul Sănătății, Dr. Alexandru Rafila, unul dintre invitații de onoare ai autorității, a subliniat importanța colaborării Ministerului cu Serviciul de Telecomunicații Speciale, a reliefat importanța activității ANSPDCP în contextul prelucrării datelor având în vedere creșterea bazelor de date de pacienți în mediul digital și a subliniat aplecarea personalului medical de conducere către instituția protecției datelor la nivelul spitalelor în special și a instituțiilor de stat în general.
ANSPDCP a prezentat activitatea desfășurată în anul 2021:
- 5006 plângeri, sesizări și notificări privind incidentele de securitate, care au condus la
- 691 de investigații
- au fost aplicate 36 de amenzi în cuantum total de 371.131,95 lei (~ 75.000 euro)
- au fost acordate 93 avertismente
- 56 de măsuri corecție
- o avertizare.
Numărul amenzilor aplicație a crescut în anul 2021 față de 2020 când au fost aplicate 29 de amenzi și respectiv 2019, an în care au fost aplicate 28 de amenzi.
Din punct de vedere al activității de soluționare a plângerilor, Autoritatea a subliniat că au fost tratate 4634 de plângeri pe baza cărora au fost demarate 319 investigații. Totuși, anul 2021 a reprezentant în activitatea organizației anul cu cel mai mic număr de plângeri înregistrate, spre deosebire de anul 2019 când au fost înregistrate 5808 sesizări.
Principalele domenii care au constituit subiect al plângerilor formulate de persoanele vizate la nivelul ANSPDC au fost următoarele:
- încălcarea drepturilor persoanelor vizate, în special, a dreptului de acces al
- persoanei vizate și a dreptului la ștergerea datelor acesteia;
- prelucrarea imaginilor prin intermediul sistemelor de supraveghere video
- instalate de asociațiile de proprietari;
- prelucrarea datelor cu caracter personal cu încălcarea prevederilor art. 6 din
- Regulamentul (UE) 2016/679;
- încălcarea măsurilor de securitate și confidențialitate a prelucrărilor de date cu
- caracter personal;
- primirea de mesaje comerciale nesolicitate.
Din punct de vedere al notificărilor și sesizărilor privind încălcarea securității datelor primite la nivelul Autorității, în anul 2021 operatorii au trimis un număr de 201 notificări iar sesizările privind posibile neconformități s-au ridicat la un număr de 171.
Încălcările de securitate au vizat, în principal, următoarele aspecte:
- Confidențialitatea/disponibilitatea/integritatea datelor cu caracter personal afectate ca urmare a dezvăluirilor neautorizate, ori ca urmare a unui software malițios, de tip ransomware;
- Accesul ilegal/neautorizat la datele cu caracter personal ale clienților din sistemul bancar;
- Accesul neautorizat la sistemele de supraveghere video cu circuit închis (CCTV);
- Dezvăluirea de date cu caracter personal în sistemul medical.
Din punct de vedere al numărului total al incidentelor de securitate notificate la nivelul Autorității în ultimii trei ani, anul 2021 a înregistrat o scădere, față de anul 2019 când au fost transmise un număr record de 233 de notificări.
Sesizările primite de Autoritate au vizat, in principal următoarele aspecte:
- Lipsa măsurilor de securitate, inclusiv la nivelul website-urilor;
- Publicarea/dezvăluirea datelor cu caracter personal în mediul online, în special pe rețelele sociale;
- Lipsa măsurilor de securitate la nivelul website-urilor;
- Utilizarea camerelor video de tipul body-worn la nivelul poliției locale.
Ca urmare a sesizărilor primite și a încălcărilor de securitate notificate, ANSPDCP a demarat pe parcursul anului 2021 un număr de 372 de verificări și investigații din oficiu şi a aplicat 21 de amenzi în cuantum total de 35.000 lei (~7143 euro) în baza Legii 506/2004 şi 184.601,85 lei (39.750 euro) în baza Regulamentului General privind Protecția Datelor (GDPR). Au fost de asemenea acordate 22 de avertismente, 17 masuri corective și o avertizare.
Din punct de vedere al activității de monitorizare și control a ANSPDCP, au fost dispuse măsuri corective care au vizat în special:
- Respectarea drepturilor persoanelor vizate prevăzute de GDPR;
- Punerea în aplicare a unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, pentru menținerea securității şi a prevenirii prelucrărilor care încalcă GDPR, inclusiv sub aspectul instruirii regulate a persoanelor care prelucrează date sub autoritatea operatorului;
- Respectarea principiilor de prelucrare a datelor, în special cele privind legalitatea, exactitatea, transparența și proporționalitatea;
- Asigurarea conformității operațiunilor de prelucrare cu dispozițiile GDPR;
- Realizarea informării tuturor categoriilor de persoane vizate în legătură cu sistemul de supraveghere video, inclusiv prin postarea unor afișe informative în apropierea locurilor unde sunt montate camerele video;
- Punerea în aplicare de către operator a unor politici adecvate de protecție a datelor ce trebuie să includă măsuri adecvate și eficiente pentru ca orice cerere primită din partea persoanelor care doresc să își exercite drepturile prevăzute de GDPR, să fie analizată și soluționată în termenele prevăzute de Regulament;
- Revizuirea procedurilor interne și instruirea angajaților asupra riscurilor și consecințelor pe care le implică divulgarea datelor;
- Revizuirea şi actualizarea măsurilor tehnice şi organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor referitoare la comunicațiile electronice.
De asemenea, ANSPDCP a oferit operatorilor din domeniul public sau privat pe parcursul anului 2021 un număr de 941 de răspunsuri la solicitările de emitere de puncta de vedere privind diverse aspecte referitoare la modalitatea de interpretare în aplicare a GDPR. Totodată, Autoritatea a informat ca anul trecut au fost înregistrați un număr de 2164 de noi responsabili cu protecția datelor desemnați de către operatorii din domeniul public în privat, numărul record de înregistrări fiind din nou ocupat în ultimii 3 ani de anul 2019 când au fost înregistrați un număr de 4318 Responsabili cu protecția Datelor (DPO).
În cadrul conferinței, Autoritatea a subliniat în continuare pentru anul 2022 importanța implementării măsurilor Tehnice și Organizatorice adecvate pentru asigurarea securității datelor prelucrate din partea operatorilor și persoanelor împuternicite de operatori, dar și a implementării drepturilor de acces a persoanelor vizate la datele cu caracter prelucrate la nivel organizațional, prelucrarea datelor prin sistem CCTV, transmiterea nesolicitată a comunicărilor comerciale și obținerea consimțământului persoanelor vizate, și nu în ultimul rând importanța respectării regulilor privind transferul cross-border a datelor cu caracter personal.
Având în vedere scăderea numărului de plângeri înregistrate la nivelul Autorității, scăderea numărului total de incidente notificate și scăderea cuantumului amenzilor (față de anul 2020, an în care amenzile acordate ca urmare a sancțiunilor au însumat în total 892.115,95 lei, respectiv ~183.000 euro!), concluzionăm că interesul pentru activitatea de prelucrare a datelor cu caracter personal la nivelul operatorilor din România este în scădere, în ciuda numărului mare al sancțiunilor aplicate în 2021 (cel mai mare număr de sancțiuni aplicate din ultimii trei ani).