Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii Curții Justiției Uniunii Europene („CJUE”) în  „Cazul Schrems II”, precum și un grup de lucru suplimentar care să ofere recomandări cu privire la măsurile necesare, atât pentru operatori cât și pentru destinarari, pentru a asigura o protecție adecvată a transferurilor de date extracomunitare. Mai mult, EDPB a adoptat un Ghid privind relația dintre operator și împuternicit în temeiul Regulamentului General privind Protecția Datelor („GDPR”) și un Ghid privind targetarea utilizatorilor de social media.

Grupul de lucru pentru reclamații Schrems II

NOYB a declarat că o analiză a codului sursă HTML al principalelor pagini web ale UE și a arătat că, multe companii continuă să utilizeze Google Analytics sau Facebook Connect, chiar dacă ambele companii intră sub incidența legilor de supraveghere din SUA. Mai mult, NOYB a subliniat că nici Facebook, nici Google nu par să aibă o bază legală pentru aceste transferuri de date, subliniind că Google susține în continuare că se bazează pe Scutul de confidențialitate UE-SUA (Privacy Shield) care a fost invalidat de hotărârea CJUE și că Facebook continuă să utilizeze Caluze Contractuale  Standard („CSC”), în ciuda faptului că CJUE a constatat că legile de supraveghere ale SUA încalcă esența drepturilor fundamentale ale UE.

În urma depunerii de către Centrul European pentru Drepturi Digitale („NOYB”) a 101 plângeri împotriva companiilor din UE care continuă să trimită date despre vizitatorii site-urilor web către Google LLC și Facebook, Inc. chiar și după invalidarea Privacy Shield, EDPB a decis înființarea grupului său de lucru pentru examinarea plângerilor depuse care va asigura și cooperare strânsă cu autoritățile de supraveghere ale statelor membre. Pe această listă se regăsesc și doi operatori din România (HotNews și Ringier Sportal S.R.L - gsp.ro)

Grupul de lucru de orientare Schrems II

În plus, pentru a putea oferi recomandări suplimentare care să ajute operatorii și imăuterniciții acestora să își asume obligația de a identifica și implementa măsuri suplimentare adecvate pentru a asigura o protecție adecvată a transferurilor către țări terțe, EDPB a creat un grup de lucru separat. Andrea Jelinek, președintele EDPB, a menționat: „EDPB este foarte conștient de faptul că hotărârea Schrems II conferă operatorilor și împuterniciților acestora o nouă responsabilitate importantă cu privire la obligația lor de a identifica și implementa măsuri suplimentare adecvate de natură juridică, tehnică și organizatorică pentru a îndeplini standardul esențial de echivalență atunci când transferă date cu caracter personal către țări terțe. Cu toate acestea, implicațiile hotărârii sunt complexe având în vedere și diversitatea acestor tipologii de transferuri. Prin urmare, nu poate exista o soluție rapidă, unică pentru fiecare caz. Fiecare organizație va trebui să își evalueze propriile transferuri de date și să ia măsurile adecvate."

Ghidul privind relația operator-împuternicit (proiect aflat în procedură de consultare publică)

EDPB a mai menționat că „de la data intrării în vigoare a GDPR, au apărut mai multe întrebări, în special în ceea ce privește conceptul de operator asociați (așa cum este prevăzut la articolul 26 din GDPR și în mai multe hotărâri ale CJUE), precum și obligațiile pentru împuterniciți (în special articolul 28 din GDPR) prevăzute în capitolul IV din GDPR.

EDPB a lansat în data de 7 septembrie 2020, o consultare publică cu privire la Ghidul privind relația operator-împuternicit care  urmărește să ofere îndrumări cu privire la aceste conceptele  pe baza articolului 4 din GDPR și a obligațiilor din capitolul IV, precum și să clarifice semnificația conceptelor, clarificând rolurile și distribuirea responsabilităților între acești actori. În plus, ghidul privind relația operator-împuternicit subliniază faptul că Grupul de Lucru pentru Articolul 29 a emis orientări cu privire la conceptele de operator și împuternicit, oferind clarificări și exemple concrete în ceea ce privește operatorii asociați, dar că aplicarea concretă a conceptelor necesită clarificări suplimentare, astfel că EDPB consideră că este necesar să fie oferite orientări mai dezvoltate și specifice pentru a asigura o abordare consecventă și armonizată în întreaga UE și în SEE. Mai mult, Ghidul privind relația operator-împuternicit subliniază că acestea va înlocui avizul WP29 cu privire la aceste concepte.

Mai mult, Ghidul privind relația operator-împuternicit subliniază faptul că, în absența rolului operatorului care rezultă din clar dispozițiile legale, identificarea acestui rol trebuie să fie stabilită pe baza unei evaluări a circumstanțelor de fapt din jurul prelucrării și că toate faptele relevante trebuie luate în considerare pentru a ajunge la o concluzie dacă o anumită entitate exercită o influență determinantă cu privire la prelucrarea datelor cu caracter personal în cauză.

Ghidul privind targetarea utilizatorii de social media (proiect aflat în procedură de consultare publică)

Orientările privind targetarea utilizatorilor rețelelor de socializare oferă îndrumări cu privire la responsabilitățile persoanelor vizate și ale furnizorilor de rețele sociale, încercând să clarifice cum ar putea arăta distribuția responsabilităților între destinatari și furnizorii de rețele sociale, pe baza exemple practice. Mai mult, Ghidul subliniază că principalul scop al emiterii este de a clarifica rolurile și responsabilitățile în rândul furnizorului de rețele sociale, de a identifica riscurile potențiale pentru drepturile și libertățile persoanelor, de a identifica principalii actori și rolurile acestora (secțiunea 4) și să abordeze aplicarea cerințelor cheie de protecție a datelor (cum ar fi legalitatea și transparența, DPIA etc.)

Propunerile privind modificarea proiectului de Ghid privind relația operator-împuternicit trebuie trimise către EDPB prin completarea acestui formular online ,  iar comentariile privind Ghidul privind targetarea utilizatorilor de social media trebuie trimise către EDPB prin completarea acestui formular online, până la 19 octombrie 2020.

Autoritatea Națională de Supraveghere a demarat o investigație în urma primirii unor plângeri prin care s-a reclamat faptul că operatorul Qualitance QBS SA a transmis prin e-mail o informare către 295 de persoane, dezvăluind astfel adresele de e-mail ale celorlalți destinatari și a  constat că operatorul nu a implementat suficiente măsuri de securitate pentru a asigura confidențialitatea datelor personale ale persoanelor vizate, fapt ce a condus la dezvăluirea adreselor de e-mail, contrar obligațiilor prevăzute de art. 32 din RGPD. Destinatarii emailului erau candidați care și-au furnizat datele personale în vederea recrutării pe site-ul operatorului sau prin aplicații on-line.

Operatorul Qualitance QBS SA a fost sancționat contravențional cu amendă în cuantum de 4.867,50 lei (echivalentul a 1.000 EURO). De asemenea, societății Qualitance QBS SA i s-a aplicat și măsura corectivă de a asigura conformitatea operațiunilor de prelucrare a datelor personale cu Regulamentul General privind Protecția Datelor, prin implementarea unor măsuri tehnice și organizatorice adecvate în cazul transmiterii la distanță a datelor personale, inclusiv sub aspectul instruirii regulate a persoanelor care prelucrează date sub autoritatea sa (angajați sau colaboratori).

Cum s-ar fi putut evita această amendă de 1000 Euro?

Simplu, prin trainingul personalului privind utilizarea funcțiilor "TO"(Către), "CC"(Copie de informare) și "BCC" (Copie de informare confidențială).

• “CC:” este precurtarea de la "Carbon Copy" (copie de informare). Orice persoană listată în câmpul CC: al unui mesaj primeşte o copie a mesajului, la expedierea acestuia. Toţi ceilalţi destinatari ai mesajului pot vedea că persoana specificată ca destinatar în “CC:” a primit o copie a mesajului.
• “BCC:" este prescurtarea de la "Blind Carbon Copy" (copie de informare confidenţială). Este similar cu funcţionalitatea “CC:”, cu excepţia că destinatarii din Bcc: sunt invizibili pentru ceilalţi destinatari ai mesajului, inclusiv pentru restul destinatarilor din “Bcc:”.

Procesul de digitalizare atrage după el și metode tehnice avansate de securitate, care cresc gradul de protecție al vieții private, dar trebuie să conștientizăm în primul rând că cea mai mare vulnerabilitate în cadrul unei organizații este chiar resursa umană. Este nevoie să asigurăm educația personalului înainte de a investi în soluții tehnice de securitate.

Această amendă este un semnal de alarmă și ar trebui să ne pună pe gânduri, să analizăm dacă și noi am făcut în trecut această eroare, și, cel mai important, ce putem face în perioada următoare să diminuăm semnificativ riscul de a repeta această greșeală.

O nouă amendă pentru colaborarea insuficientă cu Autoritatea de Supraveghere  tocmai a fost aplicată în România.  Operatorul C&V Water Control S.A. a primit o amendă în cuantum de 9746 lei, echivalentul sumei de 2000 EURO pentru că nu a furnizat informațiile solicitate, încălcând astfel prevederile art. 83 alin. (5) lit. e) corelate cu dispozițiile art. 58 alin. (1) lit. (a) și (e) și art. 58 alin. (2) lit. i) din Regulamentul General privind Protecția Datelor, primind totodată și măsura corectivă de a transmite toate informațiile solicitate prin adresele anterioare.

Nu este o premieră în România aplicarea de amenzi în baza Art. 58 GDPR care prevede obligația operatorului de a furniza orice informații pe care Autoritatea de Supraveghere le solicită în vederea îndeplinirii sarcinilor sale.

În trecut, în România au mai fost aplicate 7 astfel de amenzi, din totalul de 21 aplicate la nivel european, unor operatori de date cu caracter personal care omis să răspundă solicitarilor, încălcând astfel Art.58.

Cel mai îngrijorător lucru este faptul că aceste amenzi nu sunt disuasive și nu au condus la modificări fundamentale în practicile și procedurile operatorilor români, o parte din companiile anchetate preferând să își asume riscuri în privința încălcării art. 58 GDPR. Rămâne de văzut care este limita acestor operatori în privința absorbției amenzilor și dacă sunt afectați în vreun fel de riscul reputațional, în contextul în care nivelul de conștientizare a importanței datelor cu caracter personal în România este în creștere.