Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a dat publicității, săptămâna trecută, bilanțul măsurilor corective stabilite pentru unii dintre operatorii verificați în perioada iunie - septembrie.
Pe lista persoanelor fizice pentru care au fost dispuse măsuri corective sau față de care au fost formulate avertismente se regăsesc hipermarketuri, bănci, companii de telefonie mobile, magazine on-line, dar și mai multe instituții publice sau asociații de proprietari.
Se remarcă, de exemplu, cazul Inspectoratului Județean de Poliție Dâmbovița. În documentul dat publicității, reprezentanții Autorității menționează că neregulile au fost constatate în luna iunie și că au dispus "efectuarea unei evaluări a riscurilor incidente prelucrărilor preconizate potrivit art. 35 alin. (3) din Legea nr. 363/2018, și punerea în aplicare de măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, în vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă Legea nr. 363/2018, cum ar fi criptarea dispozitivelor mobile cu spațiu de stocare".
Nici la Fisc lucrurile nu sunt tocmai în ordine. Informarea transmisă de ANSDCP arată că au fost depistate nereguli privind respectarea GDPR și la Direcția Generală Regională a Finanțelor Publice Ploiești, care are în structură Administrația Județeană a Finanțelor Publice Dâmbovița, alături de administrațiile județene din Argeș, Călărași, Giurgiu, Ialomița, Prahova și Teleorman. Problemele au fost constate la începutul lunii septembrie, iar reprezentanții autorității au emis, în acest caz, două avertismente, "pentru încălcarea art. 5 alin. (1) lit. a), c), f) și alin. (2) din Regulamentul (UE) 679/2016 întrucât DGRFP Ploiești nu a respectat principiul reducerii la minimum a datelor care pot fi transmise către alte entități și principiul integrității și confidențialității", respectiv "pentru încălcarea art. 32 alin. (1) lit. b) și alin. (2), precum și ale art. 32 alin. (4) coroborate cu art. 29 din Regulamentul (UE) 2016/679, întrucât nu a prezentat dovezi, până la data procesului-verbal, din care să rezulte că a respectat prevederile art. 32 alin. (1) lit. b) și alin. (2), precum și ale art. 32 alin. (4) coroborate cu art. 29 din Regulamentul (UE) 2016/679, cu privire la adoptarea unor măsuri tehnice şi organizatorice adecvate de securitate a datelor personale prelucrate de operator, de structurile sale subordonate și de orice persoană care acționează sub autoritatea sa, astfel încât să se asigure confidențialitatea datelor personale prelucrate în toate operațiunile de prelucrare și evitarea situațiilor de dezvăluire ilegală sau neautorizată a acestora". Totodată, pentru această instituție a fost dispusă "analizarea situațiilor existente și stabilirea măsurilor necesare în cazul transmiterii/dezvăluirii datelor cu caracter personal ale persoanelor vizate ale căror date sunt prelucrate de către Direcția Generală Regională a Finanțelor Publice Ploiești în calitate de operator de date personale (inclusiv de către structurile sale subordonate), astfel încât să se asigure respectarea cu responsabilitate a tuturor principiilor de prelucrare a datelor personale, în special, cel al legalității, echității și transparenței, reducerii la minimum a datelor, integrității și confidențialității". În plus, Autoritatea a cerut "stabilirea de măsuri tehnice și organizatorice adecvate, necesare asigurării securității datelor cu caracter personal prelucrate de către Direcția Generală Regională a Finanțelor Publice Ploiești în calitate de operator de date personale (inclusiv de către structurile sale subordonate), astfel încât să se asigure confidențialitatea datelor personale prelucrate în toate operațiunile de prelucrare și evitarea situațiilor de dezvăluire ilegală sau neautorizată a acestora".
Până și Direcția pentru Evidența Persoanelor și Administrarea Bazelor de Date, structură de ordine și siguranță publica din subordinea Ministerului Afacerilor Interne, are probleme cu aplicarea regulamentului privind protecția datelor cu caracter personal. În luna iunie, ANSDCP a constatat abateri la acest capitol și a dispus "punerea în aplicare a unor măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, în vederea menţinerii securităţii şi a prevenirii prelucrărilor care încalcă RGPD, pentru a identifica accesările neautorizate", dar și "instruirea personalului cu priviri la măsurile luate de operator, astfel ca utilizatorii să aibă acces numai la datele cu caracter personal pentru îndeplinirea atribuțiilor de serviciu". Printre altele, Direcția amintită are, în atribuțiile sale, organizarea, coordonarea și urmărirea modului de aplicare, în mod unitar, de către serviciile publice comunitare de evidență a persoanelor, a reglementărilor legale în domeniul evidenței persoanelor, al stării civile și al schimbării pe cale administrativă a numelor persoanelor fizice; elaborarea normelor și a metodologiilor de lucru utilizate de serviciile publice comunitare de evidență a persoanelor; actualizarea, utilizarea și valorificarea datelor din Registrul național de evidență a persoanelor; gestionarea și administrarea Sistemului național informatic de evidență a populației. Mai mult decât atât, Direcția este responsabilă tocmai cu... punerea în aplicare a reglementărilor privind confidențialitatea și protecția datelor referitoare la persoană, prelucrate la nivelul instituției!
