Concret, potrivit raportului de activitate al ANSPDCP aferent anului 2024, o persoană fizică a sesizat autoritatea în legătură cu faptul că, atunci când un polițist a vrut s-o amendeze, acesta i-a fotografiat actul de identitate și permisul de conducere, fără acordul său, pentru a încheia mai târziu procesul-verbal de contravenție.

“În fapt, petentul nu a fost mulțumit de răspunsul primit din partea inspectoratului județean de poliție la reclamația sa, prin care era informat că operatorul a dispus măsuri în conformitate cu prevederile Legii nr. 360/2002 privind statutul polițistului, în contextul sesizării privind fotografierea cărții de identitate”, după cum apare în raportul ANSPDCP.

De aceea, autoritatea a lansat o investigație, în cursul căreia a constatat că inspectoratul județean de poliție nu a prezentat dovezi din care să rezulte că a adoptat suficiente măsuri pentru asigurarea confidențialității datelor prelucrate în urma controalelor din teren și întocmirea actelor de constatare, prin care să fie evitată sau interzisă folosirea dispozitivelor personale ale angajaților săi pentru fotografierea documentelor personale ale persoanelor sancționate.

Concluzia investigației a fost că inspectoratul județean a încălcat prevederile art. 22, art. 26 și art. 35 din Legea nr. 363/2018, adică acele prevederi care obligă operatorul să aplice măsurile tehnice și organizatorice adecvate pentru a asigura și a fi în măsură să demonstreze efectuarea prelucrării și orice persoană care acționează sub autoritatea operatorului, care are acces la date cu caracter personal, să nu le poată prelucra decât pe baza instrucțiunilor operatorului.

De asemenea, articolul 35 din legea amintită stabilește că operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, iar la stabilirea nivelului de securitate corespunzător, operatorul sau, după caz, persoana împuternicită de acesta să aibă în vedere stadiul actual al tehnologiei și costurile implementării și să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de gradul de ingerință asupra drepturilor și libertăților persoanelor fizice, în special cu privire la prelucrarea categoriilor speciale de date cu caracter personal.

După ce a finalizat investigația, ANSPDCP a stabilit, în baza Legii nr. 190/2018, care vizează protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, sancționarea contravențională a operatorului cu avertisment.

Apoi, autoritatea a venit cu un plan de remediere, prin care s-a stabilit revizuirea procedurilor interne și instruirea regulată a personalului propriu, astfel încât colectarea excesivă a unor date personale în exercitarea atribuțiilor de serviciu, prin raportare la fiecare scop specific al prelucrării și prin folosirea unor mijloace tehnice neadecvate, respectiv nesecurizate, să fie evitată.

Conform ANSPDCP, operatorul investigat a pus în aplicare măsurile corective dispuse.