EDPS încurajează instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite

Noutati Internationale

Vizualizari: 1838

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Europeană pentru Protecția Datelor (EDPS) a emis în data de 29 Octombrie 2020 un document strategic care vizează monitorizarea conformității instituțiilor, organismelor, oficiilor și agențiilor europene în legătură cu cu transferurile de date cu caracter personal către țări terțe și, în special Statele Unite, după ce CJUE a emis în iulie 2020 Hotărârea „Schrems II”. Obiectivul este ca transferurile internaționale în curs și viitoare să fie efectuate în conformitate cu legislația UE privind protecția datelor.

Wojciech Wiewiórowski a declarat: „ Transferurile de date cu caracter personal de către instituțiile europene către țări terțe ar trebui să respecte Carta drepturilor fundamentale a UE, precum și legislația UE aplicabilă privind protecția datelor, în special capitolul V din Regulamentul (UE) 2018/1725 . În acest scop, strategia se bazează pe cooperarea și responsabilitatea operatorilor pentru a evalua dacă standardul de protecție în esență echivalent, pe baza hotărârii Curții, este garantată atunci când se efectuează transferuri de date cu caracter personal către țări terțe. În plus, EDPS va continua să coopereze îndeaproape cu alte autorități pentru protecția datelor (DPA) în cadrul Comitetului european pentru protecția datelor (EDPB), astfel încât datele cu caracter personal ale persoanelor să fie protejate în mod constant în întreaga UE / SEE, atunci când au loc transferuri de date către țări terțe ”. 

Hotărârea are consecințe importante asupra tuturor instrumentelor juridice utilizate pentru a transfera date cu caracter personal din SEE către orice țară terță, inclusiv transferuri între autoritățile publice. În timp ce strategia își propune să aducă toate transferurile în conformitate cu hotărârea pe termen mediu, EDPS a identificat două priorități pe care trebuie să le abordeze pe termen scurt: contractele în curs de desfășurare a operatorului și / sau contractele de procesare către împuterniciți care implică transferuri de date către țări terțe, cu un accent deosebit pe cele efectuate în Statele Unite.

În acest context, EDPS a elaborat un plan de acțiune pentru a raționaliza măsurile de conformitate și de aplicare, făcând distincție între acțiunile de conformitate pe termen scurt și mediu.

Pe măsură ce strategia continuă să fie pusă în aplicare, EDPS încurajează cu tărie toate instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite pentru noi operațiuni de prelucrare sau noi contracte cu furnizorii de servicii.

În acest context, Portalul dpo-NET.ro - Data Protection Officers Network continuă organizarea evenimentelor dpo.TALKS și organizează împreună cu NeoPrivacy România, CERT-RO - Centrul Național de Răspuns la Incidente de Securitate Cibernetică, Inperspective, Bunnyshell și NewsMAN  în data de 2 Noiembrie 2020, în intervalul orar 10.00-11.30, o dezbatere cu tema "SCHREMS II – Avem soluții?" care își propune să aducă în prim plan efectele deciziei Curții Europene de Justiție privind invalidarea Privacy Shield, punând accentul în primul rând pe soluții.

Vom analiza efectele acestei decizii împreună cu Daniela Cireașă, Senior Partner NeoPrivacy Romania, Mihai Guranda, șef Serviciu Juridic și Resurse Umane CERT-ROAlex Gheorghe, CEO InperspectiveAlin Dobra, CEO Bunnyshell și Florina Coca, Marketing Manager NewsMAN.

  • WEBINARUL ESTE TRANSMIS LIVE PE YouTube si pe pagina de Facebook Dpo-NET.ro - Data Protection Officers Network - https://www.facebook.com/dponet.ro
  • Accesul este GRATUIT și nu necesită înscriere în cazul în care nu se dorește certificat de participare.
  • Evenimentul este înregistrat si este disponibil GRATUIT în spațiul public pentru a asigura accesul unui numar cat mai mare de persoane.
  • Aveti posibilitatea de a adresa intrebari speakerilor, inca din momentul inregistrarii, sau in direct si organizatorii se vor stradui sa va raspunda in cadrul sesiunii de intrebari si raspunsuri.

AGENDA - dpo.TALKS - "SCHREMS II – Avem soluții? " - 2 Noiembrie 2020 - 10.00-11.30

10.00 - 10.45 - Analiza implicațiilor acestei decizii 

  1. Este decizia Curții Europene de Justiție denumita „Schrems II” in beneficiul actual al mediului de business European si extra-European?
  2. Ce sunt Clauzele Contractuale Standard si de ce nu pot fi in prezent utilizate ca solutie de conformare cu Decizia Schrems II?
  3. Pozitia Guvernului U.S.A față de această decizie a Curții Europene de Justiție
  4. Cum este perceputa aceasta Decizie de către companiile care trebuie sa o respecte?
  5. Poate fi aplicata această Decizie? Acordurile de prelucrare date semnate in prezent de companii trebuie sa fie completate/modificate in sensul Deciziei Schrems II?

10.45 - 11.15 Soluții

  1. Pseudonimixare si criptare ca solutii privind respectarea Schrems II
  2. Avem solutii alternative la nivel national sau European la instrumentele create si controlate de Statele Unite ale Americii (Google, Microsoft, HubSpot, Calendly, MailChimp si altele)?
  3. Prezentare a doua soluții românești: NEWSMAN și BUNNYSHELL
  4. Cat costa aplicarea solutiilor existente conforme cu Decizia Schrems II?

11.15 - 11.30 - Sesiune de intrebari si raspunsuri

Toti participantii vor primi un certificat de participare nominal, în cazul în care completează formularul de înscriere de mai jos.

    Campurile marcate cu * sunt obligatorii






    Va rugam confirmati primirea urmatoarelor informatii:

    Va rugam consultati Politica de confidentialitate privind prelucrarea datelor cu caracter personal pe site-ul DPO-net.ro . Suplimentar vom trimite impreuna cu emailul de confirmare a inscrierii la webinar si o Nota de informare privind prelucrarea datelor.

    Am fost informat privind prelucrarea datelor cu caracter personal conform GDPR





    INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Exemplul H&M: prelucrarea „periculoasa”​ si ilegala a unor informatii sensibile despre proprii angajati

    Noutati Internationale

    Vizualizari: 4070

    Facebooktwittergoogle_plusredditpinterestlinkedinmail

    Presa internațională anunță amendarea retailer-ului H&M de către Autoritatea de Supraveghere din Germania cu suma de 35,258,707.95 euro. Compania înregistrată în Hamburg și având un service center în Nuernberg, păstra evidențe extinse încă din anul 2014 privind viața privată a propriilor angajați. Informațiile erau stocate pe un drive intern (internal network drive).

    Informațiile stocate erau următoarele:

    1. Vacanțe;
    2. Concedii medicale - inclusiv absențe de scurtă durată (!) - după care managerii purtau cu angajații reîntorși la muncă anumite discuții denumite “Welcome Back Talks”, în urma cărora obțineau și stocau detalii despre experiențele concrete avute în vacanță, simptome suferite de angajați în urma anumitor afecțiuni sau boli și diagnostice primite în urma controalelor și inspecțiilor medicale.
    3. Erau astfel obținute informații extinse despre viața privată a subalternilor inclusiv din discuțiile purtate în spatiile comune ale sediului (floor talks), de la detalii insignifiante la date despre desfășurarea în timp a unor aspecte care se petreceau în viața (privată a) angajaților.

    Toate acestea erau utilizate de H&M pentru a-și profila angajații. Hard-drive-ul pe care erau stocate datele a fost “înghețat” de către Autoritatea privind Protecția Datelor din Hamburg, care ulterior a solicitat transferul acestui hard cu informațiile stocate, pentru a fi analizate (aproximativ 60 de giga de informație!). Plata angajaților lezați de către H&M prin aceste practici a unor compensații bănești, a fost de asemenea sugerată în cadrul investigației.

    Amenda astfel acordată, vine ca un exemplu oferit companiilor care sunt avertizate cu privire la specificul datelor prelucrate, la calitatea acestora și scopul concret al oricărei prelucrări. În final, H&M s-a arătat transparentă pe parcursul investigației și urmează a oferi compensații angajaților afectați, încercând astfel să își păstreze (sau recupereze) imaginea pătată ca urmare a acestor practici.

    Recent, H&M a anunțat închiderea cu caracter permanent a 250 de magazine la nivel global. Amenda emisă este în quantum de 16% din profitul trimestrial al retailer-ului (215 milioane de euro).

    Concluzia noastră, este aceea că organizațiile pe care le reprezentați, trebuie să limiteze operațiunile interne de prelucrare a datelor personale ale angajaților, exclusiv la acele prelucrări cerute (prevăzute) de lege. Munca trebuie să reprezinte un cadru sigur pentru datele cu caracter personal, un mediu în care pot fi aprofundate relații de prietenie, fără a-ți privi cu suspiciune colegii sau șefii. Un astfel de mediu de lucru nu poate fi cultivat, fără a câștiga încrederea propriilor angajați.

    INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

    Noutati Internationale

    Vizualizari: 6618

    Facebooktwittergoogle_plusredditpinterestlinkedinmail

    Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii Curții Justiției Uniunii Europene („CJUE”) în  „Cazul Schrems II”, precum și un grup de lucru suplimentar care să ofere recomandări cu privire la măsurile necesare, atât pentru operatori cât și pentru destinarari, pentru a asigura o protecție adecvată a transferurilor de date extracomunitare. Mai mult, EDPB a adoptat un Ghid privind relația dintre operator și împuternicit în temeiul Regulamentului General privind Protecția Datelor („GDPR”) și un Ghid privind targetarea utilizatorilor de social media.

    Grupul de lucru pentru reclamații Schrems II

    NOYB a declarat că o analiză a codului sursă HTML al principalelor pagini web ale UE și a arătat că, multe companii continuă să utilizeze Google Analytics sau Facebook Connect, chiar dacă ambele companii intră sub incidența legilor de supraveghere din SUA. Mai mult, NOYB a subliniat că nici Facebook, nici Google nu par să aibă o bază legală pentru aceste transferuri de date, subliniind că Google susține în continuare că se bazează pe Scutul de confidențialitate UE-SUA (Privacy Shield) care a fost invalidat de hotărârea CJUE și că Facebook continuă să utilizeze Caluze Contractuale  Standard („CSC”), în ciuda faptului că CJUE a constatat că legile de supraveghere ale SUA încalcă esența drepturilor fundamentale ale UE.

    În urma depunerii de către Centrul European pentru Drepturi Digitale („NOYB”) a 101 plângeri împotriva companiilor din UE care continuă să trimită date despre vizitatorii site-urilor web către Google LLC și Facebook, Inc. chiar și după invalidarea Privacy Shield, EDPB a decis înființarea grupului său de lucru pentru examinarea plângerilor depuse care va asigura și cooperare strânsă cu autoritățile de supraveghere ale statelor membre. Pe această listă se regăsesc și doi operatori din România (HotNews și Ringier Sportal S.R.L - gsp.ro)

    Grupul de lucru de orientare Schrems II

    În plus, pentru a putea oferi recomandări suplimentare care să ajute operatorii și imăuterniciții acestora să își asume obligația de a identifica și implementa măsuri suplimentare adecvate pentru a asigura o protecție adecvată a transferurilor către țări terțe, EDPB a creat un grup de lucru separat. Andrea Jelinek, președintele EDPB, a menționat: „EDPB este foarte conștient de faptul că hotărârea Schrems II conferă operatorilor și împuterniciților acestora o nouă responsabilitate importantă cu privire la obligația lor de a identifica și implementa măsuri suplimentare adecvate de natură juridică, tehnică și organizatorică pentru a îndeplini standardul esențial de echivalență atunci când transferă date cu caracter personal către țări terțe. Cu toate acestea, implicațiile hotărârii sunt complexe având în vedere și diversitatea acestor tipologii de transferuri. Prin urmare, nu poate exista o soluție rapidă, unică pentru fiecare caz. Fiecare organizație va trebui să își evalueze propriile transferuri de date și să ia măsurile adecvate."

    Ghidul privind relația operator-împuternicit (proiect aflat în procedură de consultare publică)

    EDPB a mai menționat că „de la data intrării în vigoare a GDPR, au apărut mai multe întrebări, în special în ceea ce privește conceptul de operator asociați (așa cum este prevăzut la articolul 26 din GDPR și în mai multe hotărâri ale CJUE), precum și obligațiile pentru împuterniciți (în special articolul 28 din GDPR) prevăzute în capitolul IV din GDPR.

    EDPB a lansat în data de 7 septembrie 2020, o consultare publică cu privire la Ghidul privind relația operator-împuternicit care  urmărește să ofere îndrumări cu privire la aceste conceptele  pe baza articolului 4 din GDPR și a obligațiilor din capitolul IV, precum și să clarifice semnificația conceptelor, clarificând rolurile și distribuirea responsabilităților între acești actori. În plus, ghidul privind relația operator-împuternicit subliniază faptul că Grupul de Lucru pentru Articolul 29 a emis orientări cu privire la conceptele de operator și împuternicit, oferind clarificări și exemple concrete în ceea ce privește operatorii asociați, dar că aplicarea concretă a conceptelor necesită clarificări suplimentare, astfel că EDPB consideră că este necesar să fie oferite orientări mai dezvoltate și specifice pentru a asigura o abordare consecventă și armonizată în întreaga UE și în SEE. Mai mult, Ghidul privind relația operator-împuternicit subliniază că acestea va înlocui avizul WP29 cu privire la aceste concepte.

    Mai mult, Ghidul privind relația operator-împuternicit subliniază faptul că, în absența rolului operatorului care rezultă din clar dispozițiile legale, identificarea acestui rol trebuie să fie stabilită pe baza unei evaluări a circumstanțelor de fapt din jurul prelucrării și că toate faptele relevante trebuie luate în considerare pentru a ajunge la o concluzie dacă o anumită entitate exercită o influență determinantă cu privire la prelucrarea datelor cu caracter personal în cauză.

    Ghidul privind targetarea utilizatorii de social media (proiect aflat în procedură de consultare publică)

    Orientările privind targetarea utilizatorilor rețelelor de socializare oferă îndrumări cu privire la responsabilitățile persoanelor vizate și ale furnizorilor de rețele sociale, încercând să clarifice cum ar putea arăta distribuția responsabilităților între destinatari și furnizorii de rețele sociale, pe baza exemple practice. Mai mult, Ghidul subliniază că principalul scop al emiterii este de a clarifica rolurile și responsabilitățile în rândul furnizorului de rețele sociale, de a identifica riscurile potențiale pentru drepturile și libertățile persoanelor, de a identifica principalii actori și rolurile acestora (secțiunea 4) și să abordeze aplicarea cerințelor cheie de protecție a datelor (cum ar fi legalitatea și transparența, DPIA etc.)

     

    Propunerile privind modificarea proiectului de Ghid privind relația operator-împuternicit trebuie trimise către EDPB prin completarea acestui formular online ,  iar comentariile privind Ghidul privind targetarea utilizatorilor de social media trebuie trimise către EDPB prin completarea acestui formular online, până la 19 octombrie 2020.

     

    INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Programul american de supraveghere în masă, expus de Edward Snowden, a fost ilegal

    (Reuters) – La șapte ani după ce fostul angajat al Agenției Naționale de Securitate Edward Snowden a făcut publice informații cu privire la supravegherea în masă a telefoanelor […]

    Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

    „Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

    Obligații aplicabile din 12 iulie 2020 pentru intermediarii de servicii online (Marketplace) și pentru motoarele de căutare online

    Prin Regulamentul UE 2019/1150 din 20 iunie 2019 privind promovarea echitații și a transparentei pentru întreprinderile utilizatoare de servicii de intermediere online, aplicabil începând cu data de 12 […]

    PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

    PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

    Belgia: Ghid privind verificările temperaturii la intrarea în incinte

    În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

    Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

    O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

    Comisia Europeana organizează un hackathon european pentru a dezvolta soluții inovatoare pentru combaterea focarului COVID19

    Începând de mâine și în tot weekendul, Comisia Europeana va organiza #EUvsVirus Hackathon , sub patronajul Comisarului European pentru inovare, cercetare, cultură, educație și tineret. Hackathonul, organizat de […]

    Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

    Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

    GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

    La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul […]

    Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

    Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

    Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

    Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

    Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

    Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

    MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

    O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

    Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

    In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

    Facebook forțat să amâne lansarea noului serviciu de dating în Europa

    Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

    7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

    Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în […]

    Accesul mass-mediei la informația de interes public ce conține date cu caracter personal

    Asociației privind Protecția Vieții Private din Republica Moldova anunță organizarea unei Mese rotunde privind prezentarea proiectului de lege în vedere consolidării accesului mass-mediei la informația de interes public […]

    Putem utiliza datele personale preluate din surse publice în interes comercial?

    O speță postată ieri pe unul din grupurile de pe Facebook dedicate protecției datelor ne-a atras atenția, nu datorită complexității ci a diversității răspunsurilor.  Proprietarul unui site dorea […]

    Primele clauze contractuale standard între operatori și împuterniciți [eng]

    La sfârșitul anului trecut am scris despre „Primul model de acord între operatori asociați”, publicat de Comisia pentru protecția datelor și libertatea informațiilor din landul Baden-Wuerttemberg (Germania).  Vă […]

    Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

    Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]