7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

Noutati Internationale

Vizualizari: 2687

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în special pentru faptul că, să recunoaștem, tuturor ne plac ghidurile. 

Ghidurile ne ajuta să alegem ruta optimă în calea lungă ce ne poartă spre conformitatea GDPR iar ghidurile EDPB sunt pentru specialiștii în protecția datelor precum Waze-ul în traficul de dimineață, din București, când plouă, în prima zi de școală..

Cu siguranță toți ați citit măcar odată ghidurile Grupul de lucru al articolului 29, dar știați că GL29, sau WP29, a încetat să mai existe odată cu intrarea în vigoare a Regulamentul (UE) 2016/679 (GDPR) și a fost înlocuit de Consiliul European pentru Protecția Datelor (EDPB)?

Ce-a de-a șaptea șesiune plenară a EDPB, care a avut loc în perioada 28-29 ianuarie și la care au luat parte autoritățile SEE pentru protecția datelor și Autoritatea europeană pentru protecția datelor (EDPS), a fost una extrem de prolifică, fiind adoptate nu mai puțin de 7 documente, extrem de interesante.

Conform comunicatului de presă, publicat ieri de EDPB, cele 7 acte adoptate sunt:

Cerințele de acreditare pentru organismele de monitorizare a codurilor de conduită

Avizele privind cerințele de acreditare pentru organismele de monitorizare a codurilor de conduită au fost solicitate de autoritățile de supraveghere belgiene, spaniole și franceze. Aceste avize urmăresc să asigure coerența și aplicarea corectă a criteriilor în rândul autorităților de supraveghere din SEE.

Proiectele de Ghid privind vehiculele conectate

Pe măsură ce vehiculele devin din ce în ce mai conectate, cantitatea de date generate despre șoferi și pasageri de către aceste vehicule conectate crește rapid. Ghidul EDPB se concentrează pe prelucrarea datelor cu caracter personal în legătură cu utilizarea neprofesională a vehiculelor conectate de către persoanele vizate. Mai precis, liniile directoare tratează datele personale prelucrate de vehicul și datele comunicate de vehicul ca dispozitiv conectat. Acest ghid va fi transmis spre consultare publică.

Ghidul privind prelucrarea datelor cu caracter personal prin dispozitive video este probabil cireașa de pe torta acestei sesiuni plenare

Lansat în consultare publica la jumătatea anului trecut, în urma cărora a suferit mai multe modificări, acest ghid va fi de mare ajutor multor operatori, având în vedere ca nu sunt puține sancțiunile pentru încălcarea vieții private prin utilizarea inadecvată a sistemelor de monitorizare.

Ghidul urmărește să clarifice modul în care GDPR se aplică prelucrării datelor cu caracter personal atunci când sunt utilizate dispozitive video și să asigure aplicarea consecventă a GDPR în acest sens. Ghidurile acoperă atât dispozitivele video tradiționale, cât și dispozitivele video inteligente. Orientările vizează, printre altele, legalitatea prelucrării, inclusiv prelucrarea unor categorii speciale de date, excepția privind utilizarea în scop personale și dezvăluirea materialelor video către terți. 

Proiectele de acreditare a organismelor de certificare

Proiectele au fost înaintate Comitetului de către autoritățile din Marea Britanie și din Luxemburg. Acestea sunt primele avize privind cerințele de acreditare pentru organismele de certificare adoptate de către Consiliu. Acestea urmăresc să stabilească o abordare consistentă și armonizată cu privire la cerințele pe care autoritățile de supraveghere și organismele naționale de acreditare se vor aplica pentru acreditarea organismelor de certificare. Cu alte cuvinte, mai avem puțin și vom vedea primele certificări pe GDPR! 

Proiectul de decizie cu privire la regulile corporatiste obligatorii (BCR) ale grupului Fujikura Automotive Europe

Proiectul de decizie a fost prezentate Comitetului de către autoritatea de supraveghere spaniolă.

Scrisoare privind algoritmii incorecți (unfair algorithms) 

EDPB a adoptat o scrisoare ca răspuns europarlamentarului Sophie în solicitarea lui Veld privind utilizarea algoritmilor incorecți. Scrisoarea oferă o analiză a provocărilor pe care le presupune utilizarea algoritmilor, o imagine de ansamblu asupra prevederilor GDPR relevante și a liniilor directoare existente care abordează aceste probleme și descrie lucrările deja întreprinse de autoritățile de supraveghere.

Scrisoare către Consiliul Europei privind Convenția privind criminalitatea informatică

În urma contribuției EDPB în procesul de consultare privind negocierea unui al doilea protocol adițional la Convenția Consiliului Europei privind infracțiunea informatică (Convenția de la Budapesta), mai mulți membri ai EDPB au participat activ în Consiliul Europei Comitetul pentru infracțiuni informatice (T-CY) Conferința Octopus. Consiliul a adoptat o scrisoare de follow-up la conferința, subliniind necesitatea integrării unor garanții puternice privind protecția datelor în viitorul protocol adițional la Convenție și pentru a asigura coerența acesteia cu Convenția 108, precum și cu tratatele UE și cu Carta drepturilor fundamentale.

NOTĂ: toate documentele adoptate în cadrul Plenarei EDPB sunt supuse controalelor legale, lingvistice și de formatare necesare și vor fi puse la dispoziție pe site-ul web EDPB după ce aceste proceduri vor fi finalizate. Imediat ce vor fi publicate, vă vom da de știre.

Sursa: edpb.europa.eu/news

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Noutati Internationale

Vizualizari: 6873

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP), a oferit un interviu exclusiv pentru DpoNET - Data Protection Officers Network. Prin intermediul răspunsurilor oferite, avem ocazia să înțelegem mai bine viziunea sa despre evoluția protecției datelor în ultimii 20 de ani și despre cum arată viitorul, având în vedere utilizarea tot intensă a tehnologiei bazate pe Inteligența Artificială, ajungând la concluzia că DPO-ul este o nouă profesie hibridizată care presupune înțelegerea tehnologiei, a modului în care este utilizata tehnologia in afaceri și cu siguranță, cunoasterea legii.

În lumina aniversării a 20 de ani de la înființarea IAPP, vreau să vă lansez prima întrebare și să discutăm despre cum au evoluat domeniul protecției vieții private, în ultimii 20 de ani.

IAPP sărbătorește într-adevăr 20 de ani în acest an. Suntem foarte mândri, mai ales când realizăm ce incredibili au fost ultimii 20 de ani. Am crescut de la zero, de la o organizație foarte mică, la o organizație cu 52000 de membri din 120 de țări din întreaga lume. Creșterea organizației IAPP este o dovadă a creșterii complexității probemelor care fac din ce în ce mai dificilă protejarea vieții private. Aceaste provocări s-au intensificat din mai multe motive diferite și, cu siguranță tehnologia este pe primul loc. Noile tehnologii creează noi așteptări, noi provocări, în privința protecției vieții private. Avem nevoie de profesioniști care să ne ajute în fața acestor noi provocări. Așadar, cred că ceea ce vedem astăzi este o creștere continuă a provocărilor tehnologice asupra domeniului protecției vieții private și observăm nevoia tot mai mare de profesioniști care au abilități pentru a răspunde cu succes acestor noi provocări, reducând riscurile și identificând soluții mai bune pentru cetățeni, pentru consumatori, crescând totodată gradul de încredere în economia digitală.

Ce părere aveți despre viitorul domeniului Inteligenței Artificiale. La ce ar trebui să ne așteptăm? În ce direcție se îndreaptă acest domeniu în următorii ani?

Viitorul Inteligenței Artificiale, ca și domeniul confidențialității și protecției datelor, este foarte complicat și cred că este plin de riscuri pentru organizații. Știm că Inteligența Artificială folosește cantități masive de date și astfel pot exista probleme legate de protecția acestor date. Trebuie să ne asigurăm că procesarea algoritmică este transparentă și știm de ce Inteligeța Artificială ia anumite decizii. Trebuie să ne asigurăm că rezultatele proceselor decizionale automate nu sunt discriminatorii. Cred că putem învața multe din lecțiile pe care ni le-a oferit domeniul confidențialității și protecției datelor și va trebui să implementăm măsuri astfel încât lansarea acestor noi tehnologii să fie confortabile și acceptate de toată lumea.

Care sunt poveștile din acest domeniu care nu primesc suficientă atenție, există ceva la care jurnaliștii nu s-au gândit?

Este o întrebare grozavă. Există întradevăr povești care nu primesc suficientă atenție. Când mă gândesc la protecția datelor, realizez că în tot acest timp ne-am concentrat cel mai mult pe încălcările de securitate a vieții private și provocările pentru domeniul protecției datelor introduse de noile tehnologii.

Dar ce văd în fiecare zi este în primul rând volumul mare de munca, văd foarte multe organizații care investesc în oameni, în tehnologii și procese, în managementul riscurilor, pentru a ajuta la îmbunătățirea protecției datelor și a vieții private. Așadar, unul dintre lucrurile pe care cred că trebuie să le promovăm mai mult este existența celor 52000 de membri IAPP din întreaga lume care lucrează în fiecare zi pentru a crește nivelul de protecție a vieții private. Există tehnologii și instrumente pe care companiile le utilizează deja în acest scop și suntem foarte departe fața de cum am fost acum 20 de ani în ceea ce privește protecțiea vieții private în cadrul organizațiilor. Responsabilul cu protecția datelor este o profesie a viitorului și cred că ar trebui să promovăm mai mult aceste povești.

Aveți câteva sfaturi personale pentru profesioniștii în domeniul confidențialității datelor și implicit pentru cei care sunt DPO?

Da. Sfaturile pe care le dau oricărui tânăr care se gândește la o carieră în acest domeniu și oricărui profesionist care se gândește la o specializare în aceste domeniu este că nu este suficient să fii avocat, nu este suficient să fii manager, nu este suficient să fii un informatician. Cu siguranță, puteți obține o diplomă într-unul din aceste domenii, dar trebuie să fiți un profesionist hibrid. Dacă ești avocat, trebuie să înțelegi managementul afacerii, să te specializezi în managementul riscului și să obții cât mai mult cunoștințe în informatica pentru a avea succes și a fi eficient. Ceea ce vedem astăzi este o nouă profesie hibrid. Sfatul meu este fiecare profesionist trebuie să înțelegă tehnologia și modul în care este utilizata in afaceri, să cunoască legea și astfel va avea o carieră lungă de succes.

Mulțumesc foarte mult.

 

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Noutati Internationale

Vizualizari: 4356

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru filiala sa din Germania.

Aceasta nu este prima amenda din Europa de acest tip, având în vedere că la 12 august 2019, Autoritatea de Supraveghere austriacă a aplicat o amendă administrativă de 55000 de euro unui operator care activează în sectorul medical. 

Dacă considerăm că această amendă de 51.000 de euro pare minusculă pentru proprietarul rețelei de socializare trebuie să știm că ea vizează doar filiala din Germană și nu întreaga companie, conform declarațiilor Autorității de protecție a datelor din Hamburg, Germania.

„Această amendă ar trebui să fie un avertisment clar pentru toate celelalte companii: numirea unui responsabil cu protecția datelor și comunicarea lui catre Autoritatea de supraveghere sunt obligațiile operatorului”, pe care autoritatea de protecție a datelor le ia în serios. 

Sancțiunea a fost percepută în conformitate cu noile reglementari ale Uniunii Europene, care au intrat în vigoare în mai 2018. Regulamentul general privind protecția datelor, sau GDPR, acordă Autorităților UE pentru protecția datelor puterea de a aplica amenzi de până 4% din cifra de afaceri globală pentru cele mai grave încălcări de securitate.

Nu este prima dată când gigantul social media a fost amendat, cea mai mare sancțiune primită a fost aplicată de Comisia Federală pentru Comerț din SUA în valoare de 5 miliarde de dolari (4,49 miliarde de euro).

Cine este obligat să își desemneze un Responsabil cu Protecția Datelor (DPO) ?

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:

  • este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
  • desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
  • desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.

Conform ghidului ANSPDCP privind desemnarea unui responsabil cu protecția datelor, spitalul este dat exemplu ca operator care are această obligație având în vedere preclurarea pe scară largă a datelor privind starea de sănătate și un cabinet medical individual nu are această obligație datorită cantității limitate de date privind starea de sănătate.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor (de exemplu un cabinet medical individual), ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor:

  • să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
    personal;
  • să monitorizeze respectarea GDPR și a legislaţiei naţionale în domeniul protecţiei datelor;
    să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Facebook forțat să amâne lansarea noului serviciu de dating în Europa

Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

Accesul mass-mediei la informația de interes public ce conține date cu caracter personal

Asociației privind Protecția Vieții Private din Republica Moldova anunță organizarea unei Mese rotunde privind prezentarea proiectului de lege în vedere consolidării accesului mass-mediei la informația de interes public […]

Putem utiliza datele personale preluate din surse publice în interes comercial?

O speță postată ieri pe unul din grupurile de pe Facebook dedicate protecției datelor ne-a atras atenția, nu datorită complexității ci a diversității răspunsurilor.  Proprietarul unui site dorea […]

Primele clauze contractuale standard între operatori și împuterniciți [eng]

La sfârșitul anului trecut am scris despre „Primul model de acord între operatori asociați”, publicat de Comisia pentru protecția datelor și libertatea informațiilor din landul Baden-Wuerttemberg (Germania).  Vă […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Ghidul privind proporționalitatea, publicat de EDPS

Autoritatea Europeană pentru Protecția Datelor (EDPS)  a publicat în data de 19 decembrie GHIDUL privind evaluarea proporționalității. Conform EDPS , acest ghid oferă factorilor de decizie instrumente practice […]

Model de acord între operatori asociați publicat de autoritatea germană [eng]

Odată ajunși la concluzia că independența nu poate fi atributul care să califice o relație dintre doi operatori de date, deși multe companii bazându-se pe un evident dezechilibru […]

EDPB a realizat cea mai mare arhivă digitală dedicată specialiștilor în PDP

Deși a trecut abia un an și jumătate de la intrarea în vigoare a Regulamentului (UE) 2016/679, mulți dintre cei implicați implicați în procesul de aliniere la acest […]

EDPB a publicat documentele adoptate în ultima sesiune plenară

În zilele de 2 și 3 decembrie, autoritățile de supraveghere din SEE și Autoritatea Europeană pentru Protecția Datelor (EDPS), reunite în Comitetul European pentru Protecția Datelor (EDPB), s-au […]

CJUE a răspuns întrebărilor Tribunalul București privind monitorizarea video

România contribuie cu un nou caz la jurisprudență a CJUE în materie de protecția datelor, de acestă dată fiind o speță ce are ca subiect monitorizarea video. În […]

Bulgaria prima țară care a ratificat Convenția 108+, în timp ce România..

Înainte de a afla care este prima țară care a ratificat Convenția 108+, mai întâi să ne amintim de importanța precursoarei sale, Convenția 108 Convenția pentru protecția persoanelor […]

Facebook amendată pentru că își înșeală clienții. Serviciile sale nu sunt gratuite!

Oficiul Concurenţei din Ungaria (GVH) a amendat vineri reţeaua de socializare Facebook cu 1,2 miliarde de forinţi (3,6 milioane de euro). Este cea mai mare amendă impusă vreodată […]

Un funcționar public condamnat la 6 luni cu suspendare pentru încalcarea GDPR

Conform unui comunicat transmis de Autoritata de Supraveghere din Marea Britanie (ICO),  un fost angajat în cadrul Departamentului de asistență și servicii sociale din Dorset a fost urmărit […]

EDPB a lansat ghidul Data Protection by Design and by Default

Comitetul European pentru Protecția Datelor (EDPB) a lansat astăzi, în consultare publică, un nou ghid extrem de interesant: Orientări 4/2019 privind articolul 25 Protecţia datelor începând cu momentul […]

Utilizarea tehnologiei de recunoaștere facială în școli este ilegală!

În timp ce Autoritatea franceză pentru protecția datelor (CNIL) a declarat ilegală recunoașterea facială în școli, autoritatea din România (ANSPDCP) declara că nu intră în sarcinile ei să […]

WebSummit 2019 – radiografia primei zile

Astazi a inceput Web Summit, o conferință despre tehnologie, organizată anual la Lisabona, considerată cel mai mare eveniment tehnologic din lume. Conferinta se desfasoara cu „casa inchisa”, organizatorii […]

Serviciul Postal din Austria a fost amendat pentru vânzarea datelor clienților

  Comitetul European pentru Protecția Datelor a anunțat în cursul săptămânii trecute decizia Autorității de supraveghere austriece privind sancționarea Serviciului postal național pentru încălcarea protecției datelor clienților săi, […]