A unsprezecea sesiune plenară a Comitetul european pentru protecția datelor

Noutati Internationale

Vizualizari: 847

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În data de 4 iunie, la Bruxelles, Autoritățile pentru Protecția Datelor din Spațiul Economic European (SEE) și Autoritatea Europeană pentru Protecția Datelor, reunite în cadrul Comitetului European pentru Protecția Datelor (EDPB), s-au întâlnit pentru a unsprezecea sesiune plenară. În timpul ședinței plenare, au fost dezbătute o serie de  subiecte de mare interes, precum orientări privind codurile de conduită, anexă la orientările privind acreditarea, anexă la orientările privind certificarea.

Să luăm pe rând subiectele discutate în cadrul sesiunii plenare:

  • Orientări privind codurile de conduită

În urma consultărilor publice, EDPB a adoptat o versiune finală a liniilor directoare privind codurile de conduită.

Obiectivul acestor linii directoare este de a oferi orientări practice și asistență interpretativă în legătură cu aplicarea articolelor 40 și 41 GDPR. Orientările intenționează să contribuie la clarificarea procedurilor și a normelor implicate în transmiterea, aprobarea și publicarea codurilor de conduită atât la nivel național, cât și la nivel european. Aceste orientări ar trebui să acționeze în continuare ca un cadru clar pentru toate autoritățile de supraveghere competente, Consiliul și Comisia să evalueze codurile de conduită în mod consecvent și să eficientizeze procedurile implicate în procesul de evaluare.

  • Anexă la orientările privind acreditarea

EDPB a adoptat o versiune finală a anexei ghidului privind acreditarea, în urma consultării publice.

Obiectivul orientărilor este de a oferi îndrumări cu privire la modul de interpretare și punere în aplicare a dispozițiilor articolului 43 din GDPR. În special, acestea vizează să ajute statele membre, autoritățile de supraveghere și organismele naționale de acreditare să stabilească o bază de bază consecventă și armonizată pentru acreditarea organismelor de certificare care eliberează certificarea în conformitate cu GDPR. Anexa oferă îndrumări privind cerințele suplimentare pentru acreditarea organismelor de certificare care urmează să fie stabilite de autoritățile de supraveghere. Aceste cerințe suplimentare, înainte de a fi adoptate de autoritățile de supraveghere, trebuie să fie înaintate spre aprobare Consiliului european pentru protecția datelor în conformitate cu articolul 64 alineatul (1) litera (c). *

  • Anexă la Ghidul privind certificarea

EDPB a adoptat o versiune finală a anexei 2 a ghidului privind certificarea. În urma consultării publice, anumite aspecte au fost clarificate, cum ar fi obligația operatorului de a desemna un DPO (Responsabil protecția datelor) și obligația de a ține evidența activităților de prelucrare.

Scopul principal al acestor orientări este de a identifica criterii generale care pot fi relevante pentru toate tipurile de mecanisme de certificare emise în conformitate cu art. 42 și art. 43 GDPR. Anexa identifică subiectele pe care autoritățile de supraveghere pentru protecția datelor și EDEP o vor lua în considerare și o vor aplica pentru aprobarea criteriilor de certificare pentru un mecanism de certificare. Lista nu este exhaustivă, ci prezintă temele minime care trebuie luate în considerare.

În finalul comunicatului de presă, EDPB ne informează că pregătește o procedură pentru a facilita opinii coerente și la timp cu privire la proiectele de decizii ale autorităților de supraveghere și pentru a aproba sigiliile europene pentru protecția datelor.

Toate documentele adoptate în timpul ședinței plenare vor fi supuse controalelor juridice, vor fi traduse și vor fi publicate pe site-ul EDPB (edpb.europa.eu) în momentul în care vor fi finalizate.

Și noi suntem nerăbdători să analizam conținutul acestor acte adoptate în cadrul sesiunii plenare, motiv pentru care vom fi cu ochii pe site-ul EDPB și vă vom anunța imediat ce acestea vor fi publicate.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

ICO: Amendă pentru mesaje de marketing fără consimțământ

Noutati Internationale

Vizualizari: 288

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Conform unui comunicat emis azi de Autoritatea de supraveghere a Marii Britanii (ICO), aceasta a dispus sancționarea companiei de telecomunicații EE Limited cu o amendă în valoare de 100 000 de lire sterline pentru trimiterea a peste 2,5 milioane de mesaje de marketing direct clienților săi, fără a avea consimțământ acestora.

Mesajele trimise la începutul anului 2018 încurajau clienții să acceseze și să utilizeze aplicația My EE pentru a-și gestiona contul și, de asemenea, pentru a-și actualiza telefonul. Un al doilea lot de mesaje a fost trimis clienților care au ignorat primului mesaj.

Conform ICO, în timpul anchetei EE a declarat că mesajele au fost trimise ca mesaje de servicii (service messages) și, prin urmare, nu au fost acoperite de normele de marketing electronic. Cu toate acestea, ICO a constatat că mesajele conțineau elemente de  marketing direct și că compania le-a trimis în mod deliberat, deși recunoaște că EE Limited nu a urmărit în mod deliberat că încalcă legile privind comercializarea electronică.

Andy White, Directorul departamentului de investigații al ICO, a declarat: "Acestea erau mesaje de marketing care promovau produsele și serviciile companiei. Orientarea marketingului direct este clară: dacă un mesaj care conține informații despre serviciile clienților include și materiale promoționale pentru a cumpăra produse suplimentare pentru servicii, acesta nu mai este un mesaj de serviciu și se aplică regulile marketingului electronic.

"EE Limited era conștientă de lege și ar fi trebuit să știe că aveau nevoie de acordul clienților să le transmită în conformitate cu regulile de marketing direct".

"Companiile ar trebui să fie conștiente de faptul că mesajele și e-mail-urile care furnizează informații despre servicii care includ elemente de marketing sau de promovare trebuie să respecte legislația relevantă sau să se confrunte cu o amendă de până la 500 000 £", acesta fiind amenda maximă prevăzută de legislația engleză, respectiv Regulamentul privind confidențialitatea și comunicațiile electronice  (The Privacy and Electronic Communications Regulations), corespondentul legislației engleze a legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice

ICO a adăugat că ghidurile sale privind marketingul electronic sunt clare, încât mesajele de marketing pot fi trimise doar clienților existenți dacă și-au dat consimțământul și dacă li se oferă un mod simplu de a renunța la mesajele comerciale atunci când datele lor sunt colectate pentru prima dată și cu ocazia fiecărui mesaj trimis.

Oamenii au dreptul să renunțe la marketing în orice moment, iar din acel moment organizația are responsabilitatea de a nu mai trimite astfel de mesaje celor care și-au retras consimțământul.

Intrarea în vigoare a GDPR-ului nu a abrogat legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, ceea ce face ca dispozițiile acestea sa fie încă aplicabile, motiv pentru care este foarte important ca atunci când doriți să trimiteți mesaje cu specific comercial (de marketing) să aveți în vedere respectarea atât a Regulamentului general privind protecția datelor cât și a dispozițiilor legii 506/2004.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

Amendă 20.000 € pentru monitorizarea a 9 angajați

Noutati Internationale

Vizualizari: 2371

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea de supraveghere franceză, Commission Nationale de l'Informatique et des Libertés (CNIL), anunță printr-un comunicat din data de 18 iunie 2019, o noua amendă privind prelucrarea ilegală a datelor personale.

Aceasta vine la mai puțin de doua săptămâni de la ultima amenda, în valoare de 400.000 euro aplicată companiei SERGIC, un furnizor de servicii imobiliare din Franța, pentru că nu a implementat măsuri de securitate adecvate și nu a respectat perioadele de păstrare a datelor pentru datele cu caracter personal ale clienților săi. Puteți citi mai multe despre amenda primită de SERGIC aici.

Cine este noua “victimă” a Autorității franceze?

Conform comunicatului de presă, CNIL a impus o sancțiune de 20.000 de euro împotriva companiei UNIONTRAD COMPANY pentru utilizarea unui sistem de supraveghere video care a plasat angajații săi sub supraveghere constantă.

De asemenea, a emis o dispoziție prin care obligă compania să ia măsuri pentru a asigura trasabilitatea accesului la mesajele profesionale partajate.

Analiza situației de fond

Deși UNIONTRAD COMPANY este o companie foarte mică specializată în traduceri, cu doar nouă angajați, între 2013 și 2017 a făcut subiectul mai multor plângeri din partea angajaților companiei, ca urmare a monitorizării video a activității acestora. În două ocazii, Autoritatea a alertat compania cu privire la regulile care trebuie respectate atunci când se instalează sisteme de monitorizare la locul de muncă, în special pentru ca angajații să nu fie filmați în mod continuu și că aceștia trebuie să fie informați despre prezența camerelor de luat vederi.

În urma controlului efectuat la sediul companiei, în februarie 2018, autoritatea a constatat următoarele:

  • camera de supraveghere prezentă în biroul celor șase traducători le-a filmat la postul lor de lucru fără întrerupere;
  • informarea acestora nu a fost realizată în mod corespunzător
  • stațiile de lucru nu au fost protejate prin parolă, iar traducătorii au avut acces la o adresă de e-mail partajată, securizată cu o parolă unică.

În iulie 2018, Președintele CNIL a cerut companiei să respecte legea privind protecția datelor, solicitând companiei:

  • mutarea camerei de supraveghere video astfel încât aceasta să nu mai filmeze angajații în mod continuu;
  • să informeze angajații despre prezența camerelor;
  • să pună în aplicare măsuri de securitate pentru accesul la stațiile de calculatoare și pentru trasabilitatea accesului la e-mailul profesional.

Conform CNIL, implementarea unei măsuri de trasabilitate a accesului face posibilă crearea unui istoric al accesărilor și acțiunilor efectuate de persoanele care se conectează la adresa de e-mail și asigurând astfel securitatea datelor cu caracter personal.

În octombrie 2018 CNIL a efectuat un nou control, pentru a verifica dacă UNIONTRAD COMPANY a dat curs măsurilor corective dispuse de autoritate, control care a confirmat persistența încălcărilor, fapt ce a condus la inițierea procedurii de sancționare.

Astfel, CNIL a impus o amendă administrativă de 20 000 de euro. În stabilirea cuantumului amenzii, Autoritatea franceză a ținut cont de mărimea și situația financiară a societății, care a prezentat un bilanț negativ în 2017, impunând astfel o amendă administrativă disuasivă, dar proporțională.

De asemenea, Autoritatea a obligat compania să asigure trasabilitatea accesului la mesageria profesională partajată și să demonstreze implementarea acestei cerințe în termen de două luni de la notificarea deciziei. La sfârșitul acestei perioade, societatea riscă o penalitate de 200 de euro pentru fiecare zi de întârziere, dacă aceasta nu se va conforma dispozițiilor emise de Autoritatea franceză.

În finalul comunicatului CNIL subliniază sensibilitatea deosebită a supravegherii video a angajaților la locul de muncă. De asemenea, subliniază importanța răspunsului la notificările CNIL. Refuzul companiei de a lua măsuri pentru a se conforma, în ciuda sprijinului acordat de CNIL, a fost motivul pentru care autoritatea a considerat a fi justificată sancționarea operatorului în cauză.

Ce condiții trebuie să îndeplinească un sistem de supraveghere?

Într-un articol anterior am prezentat câteva informații, despre cum poate fi realizata supravegherea video, desprinse din “Ghidul de utilizare a sistemelor de monitorizare video dedicat celor care prelucrează date colectate de sistemele CCTV”, elaborat de Data Protection Commission (DPC), autoritatea națională de supraveghere din Irlanda.

Mai mult, articolul amintit mai sus include o resursă utilă pentru operatori, oferită de DPO Consulting, un model de informare privind supravegherea video, care poate fi descărcat în format editabil și utilizat în mod gratuit de cititorii platformei noastre.

 

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

Regulamentul UE privind securitatea informatică intră în vigoare la 27 iunie 2019

“Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare […]

400000 EUR amendă GDPR acordată în 6 iunie 2019

La 6 iunie 2019, Autoritatea Franceză pentru Protecția Datelor („CNIL”) a anunțat că a aplicat o amendă de 400.000 de euro pentru SERGIC, un furnizor de servicii imobiliare din Franța, pentru […]

Apple anunță noi soluții de protejare a datelor utilizatorilor

Printr-un comunicat de presă publicat la începutul lunii, Apple anunță noi funcționalități ale sistemelor sale de operare, iOS 13 și iPadOS, care vor fi lansate în toamna acestui […]

Ce sancțiune a primit LaLiga pentru spionarea a 4 milioane de spanioli în timpul meciurilor de fotbal?

Ți-ai fi putut imagina vreodată că cineva ar fi interesat sa te spioneze în timp ce te uiți la un meci de fotbal și savurezi o bere rece […]

Facebook ne plătește sa-i dam datele. Dar cu ce preț?

Citeam anul trecut un articol în Forbes în care era analizat volumul de date generat în fiecare zi la scară mondială, iar ceea ce m-a marcat în acel […]

Documente de identitate vor avea cip și amprente, conform noului Regulament UE

Printr-un comunicat de presă, publicat în 6 iunie 2019, Consiliul Uniunii Europene anunță adoptarea unui Regulament, aplicabil în Spațiul Economic European (SEE), prin care sunt stabilite noi norme […]

Prima amendă GDPR în Belgia a fost aplicată unui primar

Autoritatea de supraveghere din Belgia a impus prima penalizare financiară de la intrarea în vigoare a GDPR, ne informează Comitetul European pentru Protecția Datelor. Probabil mulți dintre cititori […]

Cererile de viză pentru SUA vor include investigarea conturilor de social media

Aproape toți solicitanții vizei pentru America vor trebui să-și prezinte detaliile conturilor rețelelor de socializare, în conformitate cu normele nou adoptate de Departamentul de Stat al USA, ne […]

Care este poziția României în Eurobarometrul special privind protecția datelor ?

În data de 22 mai 2019 au fost publicate primele rezultate ale sondajului Eurobarometru special privind protecția datelor, în cadrul căruia au fost colectate opiniile a peste 27 […]

Cum arată GDPR-ul în Europa după un an de la aplicare ?

Regulamentul general privind protecția datelor este un set unic de norme cu o abordare comună la nivelul UE în ceea ce privește protecția datelor cu caracter personal, care se aplică […]

Site-ul tău folosește “fursecuri”? Află ce greșesc majoritatea site-urilor!

Recent, Autoritatea de Supraveghere a Țărilor de Jos (“Autoriteit Persoonsgegevens”, numită în continuare “AS Olandeză”) a emis o poziție referitoare la utilizarea notificărilor cookie (cookie walls). Mai exact, […]

S-a lansat Ghidul Operatorilor privind monitorizarea video!

Data Protection Commission (DPC), autoritatea națională de supraveghere din Irlanda, a publicat de curând Ghidul de utilizare a sistemelor de monitorizare video dedicat celor care prelucrează date colectate […]

Facebook: Aproximativ 120 de milioane de conturi false

Măcinată de scandaluri, breșe de securitate și anchete în toate colțurile lumii pentru modul în care gestionează datele colectate de la utilizatorii platformelor sale, sub amenințarea unei amenzi […]

Germania 75 – România 0

Nu, nu este vorba de un meci de baschet și nici măcar nu este vorba despre o competiție, ci despre rezultatele a doua modele diferite de aplicare a […]

„Be Data Aware” – o nouă campanie ICO

Într-o lume bazată pe date, este mai important ca oricând să știm cine utilizează datele personale ale oamenilor și de ce. În data de 9 Mai 2019, Autoritatea […]

Utilizarea ilegală a datelor biometrice anchetată de către ICO

Autoritatea pentru Protectia Datelor din Marea Britanie (ICO) a desfasurat o ancheta asupra serviciului „HMRC Voice ID” in urma unei plângeri din partea „Big Brother Watch”. HM Revenue […]

Facebook anunță schimbări majore privind confidențialitatea

În cadrul conferinței anuale F8, Facebook a anuntat schimbari majore ale produselor sale, în special ale aplicațiilor Facebook Messenger si WhatsApp. Schimbările vin după un an 2018 dificil, […]

Grecia înregistrează o nouă amendă GDPR de 30.000 EUR

La 15 aprilie 2019, Autoritatea elenă pentru protecția datelor („DPA”) a aplicat o amendă pentru Hellenic Petroleum SA în valoare de 20.000 EUR pentru prelucrarea ilegală de date […]

Italia aplică prima amendă GDPR în valoare de 50,000 EUR

Autoritatea italiană pentru protecția datelor, Garante, a emis o amendă de 50 000 EUR împotriva unei platforme de procesare a datelor pentru că nu a reușit să pună […]

Macedonia adoptă un nou proiect de lege pentru protecţia datelor cu caracter personal

După acuzaţii grave din partea jurnaliştilor de restricţionare a dreptului la libertatea de exprimare şi accesul la informaţii, Macedonia este în proces de adoptare a unui nou proiect […]