Ce este certificatul verde digital? Cum vor fi protejate datele cu caracter personal?

Noutati Internationale

Vizualizari: 4939

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Adeverința electronică verde va facilita libera circulație în UE, în condiții de siguranță, în timpul pandemiei de COVID-19. Va fi dovada că o persoană: fie a fost vaccinată împotriva COVID-19, fie s-a vindecat de COVID-19, fie s-a testat și rezultatul testului este negativ; această dovadă va putea fi prezentată în toate statele membre ale UE. Sistemul de adeverințe poate fi introdus, de asemenea, în Islanda, Liechtenstein, Norvegia, precum și în Elveția, fiind deschis și inițiativelor care sunt în curs de dezvoltare la nivel mondial.

Care sunt elementele principale ale propunerii?

  • Sistemul de adeverințe electronice verzi cuprinde trei tipuri distincte de adeverințe COVID-19: o adeverință de vaccinare, o adeverință de testare și o adeverință de vindecare.
  • Acestea pot fi emise și utilizate în toate statele membre ale UE pentru a facilita libera circulație. Toți cetățenii UE și membrii familiilor acestora, precum și resortisanții țărilor terțe cu drept de ședere sau de rezidență legală în statele membre sau care au dreptul de a călători în alte state membre ar urma să le poată primi gratuit.
  • Adeverințele ar trebui să includă doar un set minim de informații necesare pentru confirmarea și verificarea statutului deținătorilor, și anume: persoană vaccinată, persoană care a obținut un rezultat negativ în urma testării sau persoană vindecată.
  • Vaccinarea nu va fi o condiție prealabilă pentru a putea călători. Toți cetățenii UE au un drept fundamental la liberă circulație în UE, iar acest lucru se aplică indiferent dacă sunt vaccinați sau nu. Același principiu se aplică și drepturilor resortisanții țărilor terțe cu drept de ședere sau de rezidență legală în statele membre și care au dreptul de a călători în alte state membre. Adeverința electronică verde va facilita exercitarea acestui drept, inclusiv prin posibilitatea de a prezenta o adeverință de testare sau o adeverință de vindecare.

Cum va contribui acest sistem la facilitarea liberei circulații în condiții de siguranță?

Adeverința electronică verde poate servi drept dovadă a vaccinării, a testării și a vindecării pentru a elimina restricțiile privind libera circulație, cum ar fi testarea sau carantina, instituite într-un stat membru din motive de sănătate publică.

În cazul în care un stat membru acceptă dovada vaccinării pentru a elimina restricțiile asupra liberei circulații, acesta va trebui să accepte dovada vaccinării eliberate de un alt stat membru în legătură cu vaccinurile care au primit autorizație de introducere pe piață în UE.

Statele membre vor avea opțiunea de a extinde acest sistem pentru a include călătorii care primesc alte vaccinuri.

Orice persoană care deține o adeverință electronică verde va avea aceleași drepturi, atunci când călătorește, ca cetățenii statului membru vizitat care au fost vaccinați, testați sau care s-au vindecat.

Dacă un stat membru continuă să solicite carantinarea sau testarea persoanelor care dețin o adeverință electronică verde, trebuie să notifice această decizie Comisiei și tuturor celorlalte state membre și să o justifice.

Cum asigurați faptul că persoanele nevaccinate nu sunt discriminate atunci când își exercită dreptul la liberă circulație?

Pentru a se asigura că dreptul la liberă circulație în UE este respectat și că persoanele nevaccinate nu sunt discriminate, Comisia propune crearea nu numai a unei adeverințe de vaccinare interoperabile, ci și a unei adeverințe de testare pentru COVID-19 și a unei adeverințe pentru persoanele care s-au vindecat de COVID-19. Astfel, un număr cât mai mare posibil de persoane ar trebui să poată obține o adeverință electronică verde înainte de a călători.

Propunerea este clară cu privire la faptul că adeverința servește la facilitarea liberei circulații în interiorul UE. Nu va fi o condiție prealabilă pentru a putea călători. Persoanele care nu sunt vaccinate trebuie să își poată exercita în continuare dreptul la liberă circulație, dacă este necesar, sub rezerva unor limitări precum testarea sau carantina/autoizolarea.

Același raționament se aplică și drepturilor resortisanții țărilor terțe cu drept de ședere sau de rezidență legală în statele membre și care au dreptul de a călători în alte state membre.

Introducerea adeverințelor electronice verzi înseamnă că statele membre vor trebui să reintroducă controale la frontierele interne pentru a verifica aceste adeverințe?

Bineînțeles că nu! Adeverința electronică verde urmărește să faciliteze libera circulație în interiorul UE și relaxarea restricțiilor actuale, nu să restricționeze dreptul la liberă circulație și dreptul de a călători.

Verificarea adeverințelor nu poate justifica, în sine, reintroducerea temporară a controalelor la frontierele interne, iar astfel de controale nu sunt necesare pentru ca statele membre să pună în aplicare sistemul de adeverințe.

Din experiența primelor luni ale pandemiei știm că reintroducerea necoordonată și precipitată a controalelor la frontierele interne nu oprește virusul, ci cauzează perturbări societale și economice, pe care avem responsabilitatea de a le evita în cea mai mare măsură posibilă. Astfel de controale trebuie să rămână o măsură de ultimă instanță, în conformitate cu legislația UE.

Ce informații va include adeverința electronică verde?

Adeverința electronică verde va conține informațiile esențiale necesare, cum ar fi numele, data nașterii, statul membru emitent și un identificator unic al adeverinței. În plus:

  • pentru adeverința de vaccinare: tipul vaccinului și producătorul, numărul de doze, data vaccinării;
  • pentru adeverința de testare: tipul de test, data și ora la care a fost efectuat, centrul de testare și rezultatul;
  • pentru adeverința de vindecare: data rezultatului pozitiv al testului, emitentul adeverinței, data emiterii, data de valabilitate.

Care va fi formatul adeverinței electronice verzi?

Adeverințele vor fi eliberate în format electronic, astfel încât să poată fi afișate pe un telefon inteligent, sau imprimate pe hârtie, în funcție de preferința deținătorului. Adeverințele vor conține un cod QR interoperabil, care va putea fi citit automat și care va conține datele esențiale necesare, precum și o semnătură digitală. Codurile QR sunt utilizate pentru a se verifica în siguranță autenticitatea, integritatea și valabilitatea adeverințelor. Pentru a îmbunătăți acceptarea transfrontalieră, informațiile din adeverințe ar trebui să fie în limba (limbile) statului membru emitent și în limba engleză.

Cum va funcționa adeverința electronică verde în întreaga UE?

Adeverința electronică verde va conține un cod QR cu o semnătură digitală ca protecție împotriva falsificării. Adeverințele vor fi controlate prin scanarea codului QR, verificându-se astfel semnătura.

Fiecare organism emitent (de exemplu, spital, centru de testare, autoritate sanitară) are propria sa cheie de semnătură digitală. Toate acestea sunt stocate într-o bază de date securizată din fiecare țară.

Comisia Europeană va crea un portal de acces. Prin acest portal, toate semnăturile adeverințelor pot fi verificate în întreaga UE. Datele cu caracter personal ale deținătorului adeverinței nu trec prin portal, deoarece nu sunt necesare pentru a se verifica semnătura digitală.

Comisia Europeană va furniza, de asemenea, aplicații de referință cu sursă deschisă pentru a sprijini statele membre să dezvolte programe informatice pe care autoritățile să le poată utiliza pentru scanarea și verificarea codurilor QR.

Ce vaccinuri vor fi acceptate?

Statele membre ar trebui să elibereze adeverințe de vaccinare indiferent de tipul de vaccin împotriva COVID-19.

În cazul în care statele membre acceptă dovada vaccinării pentru a renunța la anumite restricții de sănătate publică, cum ar fi testarea sau carantina, acestea ar trebui să accepte, în aceleași condiții, adeverințele de vaccinare eliberate în temeiul sistemului de adeverințe electronice verzi. Cu toate acestea, această obligație s-ar limita la vaccinurile care au primit autorizație de introducere pe piață la nivelul UE. Statele membre au opțiunea de a accepta adeverințele de vaccinare emise în cazul altor vaccinuri.

Ce teste COVID-19 vor fi acceptate?

Din motive de fiabilitate, numai rezultatele așa-numitelor teste NAAT (inclusiv ale testelor RT-PCR) și ale testelor antigenice rapide – incluse în lista stabilită pe baza Recomandării 2021/C 24/01 a Consiliului – ar trebui să poată fi incluse într-o adeverință de testare eliberată în temeiul regulamentului propus.

De ce nu vor fi incluse autotestele?

Autotestarea nu se efectuează în condiții controlate și aceste tipuri de teste sunt considerate, deocamdată, mai puțin fiabile. Adeverințele ar trebui să fie eliberate de autoritățile sanitare, care nu pot însă să controleze testele efectuate, de exemplu, la domiciliu și, prin urmare, nu pot emite adeverințe fiabile pentru acestea.

Va exista o valabilitate minimă a adeverințelor?

Perioada de valabilitate a adeverințelor depinde de dovezile științifice și va fi stabilită de autoritățile de verificare în conformitate cu normele lor naționale. Pe măsură ce vor apărea noi dovezi științifice, se va putea ajusta perioada pentru care adeverințele vor fi valabile pentru derogarea de la cerințele de sănătate publică aplicabile.

Regulamentul propus garantează că adeverințele eliberate de alte state membre sunt acceptate pe baza acelorași norme ca cele aplicate adeverințelor eliberate la nivel național. Regulamentul introduce, de asemenea, câteva principii de bază, de exemplu, stabilind la 180 de zile perioada maximă de valabilitate a adeverinței de vindecare.

Aceste principii ar putea fi ajustate de Comisie prin intermediul unor acte delegate pentru a se alinia la noile dovezi științifice odată ce acestea vor fi disponibile.

Care va fi situația persoanelor care au fost deja vaccinate?

Persoanele vaccinate înainte de instituirea adeverinței electronice verzi ar trebui, de asemenea, să aibă posibilitatea de a obține adeverința necesară. În cazul în care au primit o adeverință de vaccinare care nu îndeplinește standardele de interoperabilitate prevăzute de regulament, pot solicita o nouă adeverință.

Totodată, statele membre pot continua să elibereze dovezi ale vaccinării în alte formate, pentru alte scopuri, în special în scopuri medicale.

Cât timp va fi valabilă adeverința electronică verde?

Adeverințele sunt legate de pandemia de COVID-19. Sistemul de adeverințe electronice verzi va fi suspendat de îndată ce Organizația Mondială a Sănătății (OMS) va declara sfârșitul urgenței de sănătate publică cauzată de COVID-19. În mod similar, în cazul în care OMS declară o nouă urgență de sănătate publică provocată de COVID-19, de o variantă a acestui virus sau de o boală infecțioasă similară, sistemul ar putea fi reactivat.

Cât va costa eliberarea unei adeverințe electronice verzi?

Adeverințele vor fi gratuite.

Statele membre trebuie să suporte costurile de creare a infrastructurii la nivel național. Comisia va oferi finanțare pentru a sprijini statele membre în crearea infrastructurii necesare, dacă va fi nevoie.

Comisia va finanța crearea portalului la nivelul UE, precum și dezvoltarea programului informatic care urmează să fie utilizat de persoanele care vor verifica adeverințele prin scanarea codului QR.

Cum se asigură interoperabilitatea adeverințelor electronice verzi?

Interoperabilitatea se realizează prin asigurarea faptului că diferitele tipuri de adeverințe electronice verzi (dovedind statutul de persoană vaccinată sau vindecată ori rezultatul negativ al unui test efectuat) sunt standardizate în conformitate cu politici, norme și specificații convenite de comun acord. În practică, acest lucru înseamnă că orice adeverință eliberată într-un stat membru va putea fi verificată în alt stat membru. Statele membre își vor păstra flexibilitatea în ceea ce privește modul în care își concep adeverințele atât timp cât respectă aceste standarde comune.

Statele membre, cu sprijinul Comisiei, au convenit asupra unui cadru de încredere pentru a asigura introducerea la timp a adeverințelor electronice verzi, interoperabilitatea acestora și respectarea deplină a protecției datelor cu caracter personal. Cadrul se bazează pe orientările privind elementele de interoperabilitate de bază care au fost adoptate la 27 ianuarie și actualizate la 12 martie.

În practică, Comisia va crea un portal prin care semnăturile adeverințelor să poată fi schimbate între repertoriile naționale, astfel încât acestea să poată fi verificate în întreaga UE. Comisia va sprijini, de asemenea, statele membre să dezvolte programe informatice pe care toate autoritățile să le poată utiliza pentru scanarea și verificarea codurilor QR.

Adeverința electronică verde va fi compatibilă cu alte sisteme dezvoltate la nivel internațional?

Comisia depune eforturi pentru a se asigura că adeverințele sunt compatibile cu sistemele din țările din afara UE. Propunerea este deschisă inițiativelor globale și ia în considerare eforturile în curs ale agențiilor specializate ale Organizației Națiunilor Unite, cum ar fi Organizația Mondială a Sănătății (OMS) și Organizația Aviației Civile Internaționale (OACI), de a stabili specificații și orientări privind utilizarea tehnologiilor digitale pentru dovedirea statutului de persoană vaccinată. Țările terțe ar trebui încurajate să recunoască adeverința electronică verde atunci când ridică restricțiile privind călătoriile neesențiale. Adeverințele electronice verzi ale UE ar putea servi drept exemplu pentru alte adeverințe în curs de elaborare în întreaga lume.

Regulamentul ar urma să fie încorporat în Acordul privind SEE, permițând țărilor din SEE (Islanda, Liechtenstein și Norvegia) să aplice sistemul UE de adeverințe electronice verzi. În ceea ce privește Elveția, Comisia va putea decide să accepte adeverințele elvețiene eliberate în conformitate cu proiectul de Regulamentul privind adeverințele electronice verzi, pe bază de reciprocitate.

Propunerea de astăzi ar permite Comisiei să ia o decizie de recunoaștere a adeverințelor eliberate de țări terțe cetățenilor UE și membrilor familiilor acestora, în cazul în care adeverințele respective îndeplinesc standardele de calitate și de interoperabilitate prevăzute în cadrul de încredere al UE.

Cum vor fi protejate datele cu caracter personal?

Având în vedere că datele cu caracter personal conținute în adeverințe includ date medicale sensibile, se va asigura un nivel foarte ridicat de protecție a datelor.

Adeverințele vor include doar un set limitat de informații necesare. Țările vizitate nu pot reține aceste date. În scopul efectuării verificărilor necesare, se controlează numai valabilitatea și autenticitatea adeverinței, verificându-se cine a emis-o și a semnat-o. Toate datele referitoare la starea de sănătate rămân în statul membru care a emis adeverința electronică verde.

Sistemul de adeverințe electronice verzi nu va necesita crearea și întreținerea unei baze de date cu adeverințe medicale la nivelul UE.

Adeverința electronică verde va putea fi obținută și de resortisanții țărilor din afara UE care se află în UE?

Da. Adeverința electronică verde ar trebui să le fie eliberată membrilor de familie ai cetățenilor UE, indiferent de cetățenia acestora. Comisia a adoptat, de asemenea, o propunere complementară pentru a se asigura că adeverințele electronice verzi se eliberează și resortisanților țărilor terțe care își au reședința în UE sau în statele asociate spațiului Schengen, precum și vizitatorilor care au dreptul de a călători în alte state membre. Adoptarea a două propuneri separate, una pentru cetățenii din UE și una pentru cei din afara UE, este necesară din motive juridice; în ceea ce privește adeverințele, nu există nicio diferență de tratament între cetățenii din UE și cei din afara UE eligibili să le primească.

Adeverința electronică verde ar putea să le fie eliberată, de asemenea, cetățenilor sau rezidenților din Andorra, Monaco, San Marino și Vatican/Sfântul Scaun, în special în cazul în care aceștia sunt vaccinați într-un stat membru.

Propunerile de astăzi ar putea facilita, de asemenea, călătoriile în UE din țări terțe?

În prezent, călătoriile neesențiale din țări terțe către UE sunt restricționate, cu excepția unui număr limitat de țări. Un resortisant din afara UE care are dreptul să călătorească în UE poate obține o adeverință electronică verde. Resortisantul din afara UE ar putea solicita o adeverință electronică verde din partea statului membru în care călătorește, furnizând toate informațiile necesare, inclusiv dovezi fiabile ale vaccinării. Statul membru ar trebui să evalueze dacă au fost furnizate dovezi fiabile și să decidă dacă eliberează sau nu adeverința.

Pe termen mediu, în cazul în care Comisia este convinsă că o țară terță emite adeverințe în conformitate cu standardele și sistemele internaționale care sunt interoperabile cu sistemul UE, aceasta va putea emite o „decizie privind caracterul adecvat al nivelului de protecție” printr-un act de punere în aplicare bazat pe regulamentul propus astăzi. Astfel de adeverințe emise de țărilor terțe ar urma ulterior să fie acceptate în aceleași condiții ca și adeverințele electronice verzi.

În ambele cazuri, normele de acceptare a dovezilor de vaccinare ar fi aceleași ca pentru cetățenii UE: vaccinurile care au primit autorizație de introducere pe piață la nivelul UE trebuie să fie acceptate, iar statele membre pot decide să accepte și alte vaccinuri.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Germania: Utilizarea Mailchimp pentru a trimite newslettere în UE este ilegala. Avem alte soluții?

Noutati Internationale

Vizualizari: 4838

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În urma unei reclamații privind nerespectarea Art.44 GDPR, Autoritatea de Supraveghere Germana (BayLDA) a considerat ilegală utilizarea de către o companie din Germania (FOGS Magazin, München) a serviciilor companiei Mailchimp (The Rocket Science Group LLC, SUA) pentru a trimite newslettere, deoarece Mailchimp s-ar putea califica drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere, iar operatorul de date din UE nu a evaluat acest risc.

Autoritatea de Supraveghere Germana (BayLDA) a prezentat și argumentele pentru care utilizarea Mailchimp a fost ilegală:

  • Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)). Prin urmare, adresele de e-mail transferate ar putea fi în pericol de a fi accesate de serviciile de informații americane.
  • În lumina deciziei CJUE „Schrems II” (C-311/18), respondentul nu a reușit să evalueze dacă există măsuri suplimentare în vigoare pentru a se asigura că datele transferate au fost protejate de supravegherea SUA.
  • Transferul de date s-a bazat doar pe clauze standard UE de protecție a datelor (Clauze contractuale standard - CSC).

Întrucât compania FOGS Magazin a declarat că renunță imediat la utilizarea Mailchimp, Autoritatea de Supraveghere Germana (BayLDA) nu a impus o amendă sau o măsură corectivă.

"Ca urmare a anchetei noastre, operatorul ne-a informat că a folosit Mailchimp de două ori pentru a trimite buletine informative. Datorită intervenției noastre, compania a anunțat acum că va înceta să utilizeze Mailchimp cu efect imediat. De asemenea, compania ne-a informat că a trimis adrese de e-mail doar catre Mailchimp și a declarat că recomandările Comitetului European pentru Protecția Datelor cu privire la măsurile suplimentare pentru transferul de date cu caracter personal către țări terțe nu se află încă în versiunea finală, dar fac obiectul unei consultări publice. (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en), se arată în documentul transmis de autoritate reclamantului.

"Conform evaluării noastre, utilizarea Mailchimp de către FOGS Magazin în cele două cazuri menționate a fost inadmisibilă din punct de vedere a legislației privind protecția datelor, deoarece FOGS nu a verificat dacă pentru transmiterea către Mailchimp sunt necesare „măsuri suplimentare”, în sensul deciziei CEJ „Schrems II” (CEJ, hotărârea din 16 iulie 2020, C-311/18 ), în plus față de clauzele standard UE de protecție a datelor."

Analizând acest transfer din punctul de vedere al conformității cu reglementările privind protecția datelor, în cazul de față, există indicii că Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)) și astfel serviciile de informatii americate pot accesa aceste baze de date. Acest transfer ar putea fi permis numai prin luarea unor măsuri suplimentare.

Ce prevede Art.44 GDPR și Decizia Schrems II? Există soluții?

Vă reamintim că orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în capitolul 5 din Regulamentul 679/2016 sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din Regulamentul 679/2016 se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice nu este subminat.

La data de 16 iulie 2020, CJUE, în Cauza C-311/18 (Schrems II) a invalidat Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, cunoscut sub numele de Privacy Shield, deoarece a considerat că nu asigură nivelul de protecție oferit de GDPR (garanții adecvate, drepturi opozabile și căi de atac eficiente) din cauza gradului excesiv de intruziune a autorităților americane (NSA, FBI). Totodată, prin hotărâre s-a validat Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe. Mai mult, Curtea a hotărât că decizia are aplicabilitate imediată, fără a se crea un vid legislativ deoarece RGPD oferă modalități alternative de a transfera date personale în condiții de legalitate.

"Pentru realizarea de transferuri putem apela în continuare la derogările din art. 46 RGPD care precizează că în absența unei decizii a Comisiei, se pot face transferuri către țări terțe sau organizații internaționale în baza unor garanții adecvate și cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate. În afara unor garanții adecvate care implică fie autorităție de supraveghere, fie Comisia sau regulile corporatiste obligatorii, regăsim la alin. 3, lit. “a) clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țară terță sau organizația internațională”, sub rezerva autorizării din partea autorităţii de supraveghere competente.

Chiar dacă, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să se asigure că legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau Regulile corporatiste obligatorii înainte de a transfera date cu caracter personal către respectiva țară terță, autoritățile de supraveghere vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit decizii cu privire la transferurile către țări terțe.

Articolul 49 din RGPD ne oferă, de asemenea, o altă soluție, în absența unei decizii a Comisiei și a garanțiilor adecvate și anume transferurile de date cu caracter personal către o țară terță sau o organizație internațională pot avea loc numai în una dintre condiţiile următoare:

a) persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;

b) transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;

d) transferul este necesar din considerente importante de interes public;

e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;

f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;

g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.”

Referitor la teza de la lit a), respectiv consimțământul persoanei vizate, EDPB reamintește condițiile referitoare la consimțământ, în mod special consimțământul trebuie să fie explicit, specific și informat.

Există soluții pentru ca firmele să își desfășoare în continuare activitatea în mod normal?

Există soluții pentru continuarea transferului de date personale către țări terțe sau organizații internaționale. Apreciem că multe dintre transferurile efectuate până la hotărârea Curții au încetat sau vor înceta, însă transferurile cu adevărat întemeiate se vor putea efectua în continuare cu respectarea restricțiilor și condițiilor impuse, finalitatea fiind apărarea drepturilor și intereselor cetățenilor europeni. Așteptăm cu interes recomandările EDPB pentru operatori și persoane împuternicite, până la apariția acestora facem câteva recomandări pentru operatorii de date personale în vederea respectării deciziei de invalidare a Scutului de confidențialitate:

  • În cazul soluțiilor de tip newsletter puteți înlocui aplicațiile din SUA cu soluții din Uniune sau chiar din România.
  • Site-urile de tip Wordpress, spre exemplu, asigură unelte de analiză a traficului asemănătoare cu Google Analytics, putându-se elimina acest tip de cookie.
  • Recomandăm eliminarea adreselor de tip yahoo și gmail în scop profesional și înlocuirea acestora cu domenii de e-mail găzduite în Uniunea Europeană. De asemenea, domeniile găzduite în țări terțe ar trebui mutate pe servere din uniunea Europeană.
  • Platformele site-urilor web găzduite în SUA pot fi înlocuite cu platforme găzduite în Uniunea Europeană.
  • Recomandăm înlocuirea aplicatiilor de transfer de documente cu soluții găzduite în UE.
  • De asemenea, serviciile de plată online de tipul Paypal pot fi înlocuite cu procesatori de plăți cu cardul din România, serviciile de remarketing de la Google pot fi eliminate și utilizate servicii din UE, aceeași soluție fiind valabilă și în cazul serviciilor de cloud.

Ori de câte ori se fac transferuri în SUA, utilizatorii trebuie informați transparent, în conformitate cu articolul 13 din RGPD, iar dacă prelucrarea / transferul se bazează pe consimțământ, operatorii trebuie să se asigure că au obținut un consimțământ valid.

Ca o recomandare generală, consiliem operatorii de date personale din România să își reanalizeze lista furnizorilor de servicii ce au calitatea de persoană împuternicită și să verifice țările către care se face transferul datelor prelucrate, iar, în cazul identificării de transferuri în țări terțe, să evalueze situația și să decidă asupra oportunității de a schimba acești furnizori cu furnizori de servicii din Uniunea Europeană."

Care au fost implicațiile invalidării Privacy Shiled la nivel european? Dar în România?

Daniela Cireașă, Senior Partner NeoPrivacy România: "Urmare a hotărârii CJUE în Cauza Schrems II  autoritățile de supraveghere din Europa au luat poziție în cazul transferurilor de date personale către SUA. Autoritatea de supraveghere din Elveția, țară care avea propriul acord cu Statele Unite, a invalidat acordul Elveția - SUA Privacy Shield în temeiul căruia se făceau transferurile de date personale ale cetățenilor elvețieni către SUA. Autoritățile elvețiene au anunțat în data de 8 septembrie 2020 că Statele Unite au fost scoase din lista țărilor care oferă protecție adecvată în anumite condiții deoarece nu asigură protecția necesară.

De asemenea, Comitetul „Convenției 108” și Comisarul pentru protecția datelor al Consiliului Europei au solicitat, ambii, adoptarea standardelor legale internaționale pentru protecția datelor în urma hotărârii Schrems II. Într-o declarație comună aceștia au afirmat că „Țările trebuie să fie de acord la nivel internațional cu privire la măsura în care supravegherea efectuată de serviciile de informații poate fi autorizată, în ce condiții și în ce măsuri de protecție, inclusiv o supraveghere independentă și eficientă”.

Autoritățile de supraveghere din Berlin, Hamburg dar și autoritatea olandeză recomandă încetarea transferurilor către SUA. Autoritatea berlineză recomandă chiar retragerea datelor din SUA. Mai multe autorităților de supraveghere subliniază necesitatea unor analize suplimentare și evaluări de la caz la caz.

Menționăm că autoritatea de supraveghere din Irlanda a pus în vedere Facebook să înceteze transferurile de date către SUA. Urmare a acestei somații, la data de 11 septembrie 2020, Facebook a început acțiuni în justiție împotriva Comisiei irlandeze pentru protecția datelor (IDPC), lansând un recurs în Irlanda în încercarea de a opri ordinul preliminar al IDPC de a suspenda utilizarea clauzelor contractuale standard (CSC) în transferurile de date UE-SUA.

CNIL a solicitat autorităților franceze să oprească cât mai repede posibil găzduirea platformei de date privind sănătatea pentru cercetare de către Microsoft, având în vedere recenta invalidare a Privacy Shield. Secretarul de stat pentru digital a anunțat în aceeași zi că lucrează cu ministrul sănătății pentru a repatria această platformă în infrastructurile franceze sau europene.

Facebook a considerat propunerea ca fiind prematură și a îndemnat autoritatea de reglementare irlandeză să adopte o abordare pragmatică și proporțională până când se poate ajunge la o soluție durabilă pe termen lung, deoarece susține că ordinul preliminar a fost decis înainte ca Facebook să primească îndrumări de la Comitetul european pentru protecția datelor.

În România, în timpul anului școlar, în condiții restrictive pentru toți subiecții implicați, opțiunea desfășurării ședințelor, întâlnirilor și orelor on-line cu părinți, profesori și elevi fiind din ce în ce mai utilizată. Majoritatea platformelor utilizate pe perioada stării de urgență și a stării de alertă transferau date în SUA. Ministerul Educației și Cercetării a anunțat la data de 2 septembrie 2020 că, în colaborare cu Google (Meet) și Microsoft (Teams) pune la dispoziție în mod gratuit platforme educaționale, ambele platforme aparținând unor companii americane. Adăugăm la lista platformelor care transfera date in SUA și noua facilitate a Anaf, de identificare vizuală în spațiul virtual printr-o platformă dedicată, platforma utilizată, conform declarațiilor utilizatorilor, fiind Zoom, platformă care a fost în trecut ținta unor atacuri din partea hackerilor.

O dovadă în plus că în România operatorii, fie ei de stat sau privați, nu au asimilat informația invalidării Scutului de confidențialitate sunt magazinele online sau simple site-uri de prezentare care utilizează în continuare suita de cookie-uri de analiză de la Google, soluții de newsletter sau de plată americane etc. Chiar și site-urile candidaților la alegerile locale au astfel de cookie-uri instalate. Apreciem că majoritatea operatorilor utilizează aceste soluții fără a fi deplin conștienți de implicații.

Apreciem că suntem încă departe de o nouă înțelegere între UE și SUA deși recomandările pentru SUA au devenit și mai urgențe: (1) adoptarea unei legislații federale cuprinzătoare privind confidențialitatea, (2) înființarea unei agenții independente de protecție a datelor și (3) ratificarea Convenției Consiliului Europei privind confidențialitatea. Actuala situație de incertitudine afectează atât companiile europene și americane cât și drepturile și interesele cetățenilor europeni.

NYOB a efectuat în perioada iulie - septembrie 2020 o interpelare a 33 de companii care transferă date în SUA iar reacțiile acestora au fost dintre cele mai variante de la lipsa unui răspuns pâna la răspunsuri vagi sau lipsite de substanță. Companii precum Airbnb, Netflix sau Whatsapp nu au răspuns deloc, în timp ce altele au răspuns făcând trimitere la Politici de confidențialitate care nu răspund întrebarilor punctuale adresate sau prin punerea la dispoziție a unor Clauze contractuale standard vădit neacoperitoare deoarece companiile respective se supun legislației americane intruzive.

Recomandăm tuturor operatorilor de date personale din România să apeleze la specialiști în domeniul protecției datelor personale, singurii care, la momentul actual, sunt la curent cu noutățile în domeniu și sunt în măsură să explice operatorilor toate implicațiile și să ofere soluții conforme cu legislația protecției datelor."

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Comisia Europeană a lansat studiul normelor legale privind prelucrarea datelor de sănătate (GDPR)

Noutati Internationale

Vizualizari: 5178

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Comisia Europeană a publicat un studiu privind „ Evaluarea normelor statelor membre ale UE privind datele de sănătate în lumina GDPR ”. Studiul constată că, deși Regulamentul General privind Protecția Datelor (GDPR) stabilește reguli direct aplicabile în toate statele membre, au rămas variații în ceea ce privește legislației la nivel național în ceea ce privește prelucrarea datelor cu caracter personal în domeniul sănătății. Acest lucru a dus la o abordare fragmentată, în statele membre UE, a modului în care prelucrarea datelor personale pentru serviciile de sănătate și cercetare, având un impact negativ asupra cooperării transfrontaliere pentru furnizarea de îngrijiri medicale precum și asupra  modului în care este administrat sistemul de sănătate, sănătatea publică sau cercetarea.

Obiectivul studiului a fost de a examina și de a prezenta normele legale ale statelor membre UE care guvernează prelucrarea datelor de sănătate în lumina GDPR. Scopul a fost de a evidenția diferențele și de a identifica elemente care ar putea afecta schimbul transfrontalier de date privind sănătatea în UE pentru asistență medicală sau pentru cercetare, inovare și elaborarea politicilor și să examineze potențialul acțiunilor la nivelul UE pentru a sprijini utilizarea datelor și reutilizare.

Studiul s-a bazat pe o serie de ateliere de lucru destinate experților în domeniu, organizate în prima jumătate a anului 2020, cu participarea reprezentanților din Ministerele Sănătății, reprezentanții părților interesate, Autoritățile pentru Protecția Datelor și experți independenți, realizându-se mai multe consultări online între părțile interesate din întreaga UE.

Studiul a identificat potențiale acțiuni viitoare la nivelul UE, inclusiv coduri de conduită orientate către părțile interesate, precum și noi legislații specifice și sectoriale specifice la nivelul UE. Pe lângă cerințele legale și de guvernanța, studiul indică, de asemenea, necesitatea unei abordări mai armonizate în toate statele membre în ceea ce privește infrastructura tehnică, interoperabilitatea tehnică și semantică. Calitatea și modul în care sunt obținute  datele, abilitățile digitale și dezvoltarea capacităților pentru utilizarea primară și secundară a datelor de sănătate au fost, de asemenea, domenii identificate în care o abordare armonizată ar putea fi benefică.

Studiul subliniază cât de importantă este cooperarea la nivelul UE între statele membre și părțile interesate relevante, cu un accent deosebit pe interesele pacienților. Studiul specifică faptul că aceștia ar trebui să fie sprijiniți ca agenți activi în propria lor sănătate și îngrijire, cu capacitate deplină de a-și exercita drepturile legate de datele de sănătate.

În concluzie, se consideră că dezvoltarea Spațiului european de date privind sănătatea, inclusiv legislația specifică care urmează să fie adoptată pentru a completa propunerea pentru un act de guvernanță a datelor, oferă oportunitatea ideală de a se baza pe sugestiile prezentate în studiu. În plus, se consideră că se asigură că datele de sănătate pot fi utilizate pentru a promova o mai bună îngrijire a pacienților, sisteme de sănătate mai rezistente și o mai bună colaborare în domeniul protecției sănătății publice și a cercetării în domeniul sănătății în întreaga Uniune Europeană.

STUDIUL POATE FI CONSULTAT AICI:

ANEXA PRIVIND DATELE PENTRU FIECARE TARA ( România pagina 181):

 

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

EDPS încurajează instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite

Autoritatea Europeană pentru Protecția Datelor (EDPS) a emis în data de 29 Octombrie 2020 un document strategic care vizează monitorizarea conformității instituțiilor, organismelor, oficiilor și agențiilor europene în […]

Exemplul H&M: prelucrarea „periculoasa”​ si ilegala a unor informatii sensibile despre proprii angajati

Presa internațională anunță amendarea retailer-ului H&M de către Autoritatea de Supraveghere din Germania cu suma de 35,258,707.95 euro. Compania înregistrată în Hamburg și având un service center în Nuernberg, păstra […]

EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

Programul american de supraveghere în masă, expus de Edward Snowden, a fost ilegal

(Reuters) – La șapte ani după ce fostul angajat al Agenției Naționale de Securitate Edward Snowden a făcut publice informații cu privire la supravegherea în masă a telefoanelor […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

Obligații aplicabile din 12 iulie 2020 pentru intermediarii de servicii online (Marketplace) și pentru motoarele de căutare online

Prin Regulamentul UE 2019/1150 din 20 iunie 2019 privind promovarea echitații și a transparentei pentru întreprinderile utilizatoare de servicii de intermediere online, aplicabil începând cu data de 12 […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

Comisia Europeana organizează un hackathon european pentru a dezvolta soluții inovatoare pentru combaterea focarului COVID19

Începând de mâine și în tot weekendul, Comisia Europeana va organiza #EUvsVirus Hackathon , sub patronajul Comisarului European pentru inovare, cercetare, cultură, educație și tineret. Hackathonul, organizat de […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Facebook forțat să amâne lansarea noului serviciu de dating în Europa

Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în […]

Accesul mass-mediei la informația de interes public ce conține date cu caracter personal

Asociației privind Protecția Vieții Private din Republica Moldova anunță organizarea unei Mese rotunde privind prezentarea proiectului de lege în vedere consolidării accesului mass-mediei la informația de interes public […]