EDPS încurajează instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite

Noutati Internationale

Vizualizari: 8189

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea Europeană pentru Protecția Datelor (EDPS) a emis în data de 29 Octombrie 2020 un document strategic care vizează monitorizarea conformității instituțiilor, organismelor, oficiilor și agențiilor europene în legătură cu cu transferurile de date cu caracter personal către țări terțe și, în special Statele Unite, după ce CJUE a emis în iulie 2020 Hotărârea „Schrems II”. Obiectivul este ca transferurile internaționale în curs și viitoare să fie efectuate în conformitate cu legislația UE privind protecția datelor.

Wojciech Wiewiórowski a declarat: „ Transferurile de date cu caracter personal de către instituțiile europene către țări terțe ar trebui să respecte Carta drepturilor fundamentale a UE, precum și legislația UE aplicabilă privind protecția datelor, în special capitolul V din Regulamentul (UE) 2018/1725 . În acest scop, strategia se bazează pe cooperarea și responsabilitatea operatorilor pentru a evalua dacă standardul de protecție în esență echivalent, pe baza hotărârii Curții, este garantată atunci când se efectuează transferuri de date cu caracter personal către țări terțe. În plus, EDPS va continua să coopereze îndeaproape cu alte autorități pentru protecția datelor (DPA) în cadrul Comitetului european pentru protecția datelor (EDPB), astfel încât datele cu caracter personal ale persoanelor să fie protejate în mod constant în întreaga UE / SEE, atunci când au loc transferuri de date către țări terțe ”. 

Hotărârea are consecințe importante asupra tuturor instrumentelor juridice utilizate pentru a transfera date cu caracter personal din SEE către orice țară terță, inclusiv transferuri între autoritățile publice. În timp ce strategia își propune să aducă toate transferurile în conformitate cu hotărârea pe termen mediu, EDPS a identificat două priorități pe care trebuie să le abordeze pe termen scurt: contractele în curs de desfășurare a operatorului și / sau contractele de procesare către împuterniciți care implică transferuri de date către țări terțe, cu un accent deosebit pe cele efectuate în Statele Unite.

În acest context, EDPS a elaborat un plan de acțiune pentru a raționaliza măsurile de conformitate și de aplicare, făcând distincție între acțiunile de conformitate pe termen scurt și mediu.

Pe măsură ce strategia continuă să fie pusă în aplicare, EDPS încurajează cu tărie toate instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite pentru noi operațiuni de prelucrare sau noi contracte cu furnizorii de servicii.

În acest context, Portalul dpo-NET.ro - Data Protection Officers Network continuă organizarea evenimentelor dpo.TALKS și organizează împreună cu NeoPrivacy România, CERT-RO - Centrul Național de Răspuns la Incidente de Securitate Cibernetică, Inperspective, Bunnyshell și NewsMAN  în data de 2 Noiembrie 2020, în intervalul orar 10.00-11.30, o dezbatere cu tema "SCHREMS II – Avem soluții?" care își propune să aducă în prim plan efectele deciziei Curții Europene de Justiție privind invalidarea Privacy Shield, punând accentul în primul rând pe soluții.

Vom analiza efectele acestei decizii împreună cu Daniela Cireașă, Senior Partner NeoPrivacy Romania, Mihai Guranda, șef Serviciu Juridic și Resurse Umane CERT-ROAlex Gheorghe, CEO InperspectiveAlin Dobra, CEO Bunnyshell și Florina Coca, Marketing Manager NewsMAN.

  • WEBINARUL ESTE TRANSMIS LIVE PE YouTube si pe pagina de Facebook Dpo-NET.ro - Data Protection Officers Network - https://www.facebook.com/dponet.ro
  • Accesul este GRATUIT și nu necesită înscriere în cazul în care nu se dorește certificat de participare.
  • Evenimentul este înregistrat si este disponibil GRATUIT în spațiul public pentru a asigura accesul unui numar cat mai mare de persoane.
  • Aveti posibilitatea de a adresa intrebari speakerilor, inca din momentul inregistrarii, sau in direct si organizatorii se vor stradui sa va raspunda in cadrul sesiunii de intrebari si raspunsuri.

AGENDA - dpo.TALKS - "SCHREMS II – Avem soluții? " - 2 Noiembrie 2020 - 10.00-11.30

10.00 - 10.45 - Analiza implicațiilor acestei decizii 

  1. Este decizia Curții Europene de Justiție denumita „Schrems II” in beneficiul actual al mediului de business European si extra-European?
  2. Ce sunt Clauzele Contractuale Standard si de ce nu pot fi in prezent utilizate ca solutie de conformare cu Decizia Schrems II?
  3. Pozitia Guvernului U.S.A față de această decizie a Curții Europene de Justiție
  4. Cum este perceputa aceasta Decizie de către companiile care trebuie sa o respecte?
  5. Poate fi aplicata această Decizie? Acordurile de prelucrare date semnate in prezent de companii trebuie sa fie completate/modificate in sensul Deciziei Schrems II?

10.45 - 11.15 Soluții

  1. Pseudonimixare si criptare ca solutii privind respectarea Schrems II
  2. Avem solutii alternative la nivel national sau European la instrumentele create si controlate de Statele Unite ale Americii (Google, Microsoft, HubSpot, Calendly, MailChimp si altele)?
  3. Prezentare a doua soluții românești: NEWSMAN și BUNNYSHELL
  4. Cat costa aplicarea solutiilor existente conforme cu Decizia Schrems II?

11.15 - 11.30 - Sesiune de intrebari si raspunsuri

Toti participantii vor primi un certificat de participare nominal, în cazul în care completează formularul de înscriere de mai jos.

    Campurile marcate cu * sunt obligatorii






    Va rugam confirmati primirea urmatoarelor informatii:

    Va rugam consultati Politica de confidentialitate privind prelucrarea datelor cu caracter personal pe site-ul DPO-net.ro . Suplimentar vom trimite impreuna cu emailul de confirmare a inscrierii la webinar si o Nota de informare privind prelucrarea datelor.

    Am fost informat privind prelucrarea datelor cu caracter personal conform GDPR





    INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Monitorizarea cetățenilor prin urmărirea semnalului WIFI a telefonului, amendată cu 600,000 euro

    Noutati Internationale

    Vizualizari: 1242

    Facebooktwittergoogle_plusredditpinterestlinkedinmail

    Autoritatea de Supraveghere din Olanda a amendat Primăria Enschede cu 600.000 EUR după ce în 2017, Primăria Enschede a decis să măsoare cât de aglomerat era centrul orașului, folosind un sistem de senzori. Aceasta a contractat o companie specializată și ulterior mai mulți senzori au fost plasați pe străzile comerciale care detectau semnalele Wi-Fi de pe telefoanele mobile ale trecătorilor. Fiecare telefon a fost înregistrat separat și a primit un cod unic. Acest lucru a făcut posibilă măsurarea a cât de aglomerată este o anumită strada, numărând câte telefoane sunt lângă un senzor la un anumit moment.

    O anchetă a Autorității de Supraveghere  asupra Primăriei Enschede a concluzionat că dacă sistemul monitorizează pe o perioadă mai lungă de timp ce telefoane trec pe lângă un anumit senzor, în acest caz „numărarea” devine monitorizare sistematică și prin urmare, viața privată a oamenilor nu a fost protejată corespunzător, deoarece aceștia puteau fi urmăriți, fără ca acest lucru să fie necesar.

    Chiar dacă Primăria a afirmat că nu a avut niciodată intenția de a urmări trecătorii, Autoritatea de Supraveghere a constat că urmărirea WIFI (chiar dacă a fost neintenționată) constituie o încălcare gravă a GDPR considerând că Primăria și-a urmărit trecătorii fără un temei juridic efectiv și a încălcat astfel art. 5 (1) a) GDPR și art. 6 (1) GDPR.

    „Confidențialitatea oamenilor trebuie să fie pe primul loc”

    „Dacă oamenii pot fi urmăriți prin intermediul telefoanelor lor, aceasta este o practică nepotrivită pentru municipalitate. Orice persoană are dreptul să-și desfășoare activitatea afară în mod liber și fără a fi spionat, fără ca guvernul sau orice alt partid să îl poată urmări sau să țină evidența a ceea ce face. Aceasta este o condiție fundamentală a unei societăți libere. Nimeni nu ar trebui să poată urmări ce magazine, medici, biserici sau moschei vizităm. Aceastea sunt date personale și ar trebui să rămână private. Astfel, oamenii pot fi ei înșiși, fără a se simți inhibați de posibilitatea unei supravegheri." a declarat Monique Verdier, vicepreședinte al APD. 

    „Municipalitățile ar trebui să pună pe primul loc acest drept fundamental al cetățenilor lor. Orice sistem de măsurare a mulțimilor din centrul orașului ar trebui să doar numere oamenii, nu să îi urmărească"

    Urmărirea persoanelor 

    Municipalitatea și companile contracte pentru a instala sistemul de monitorizare au avut acces la aceste date.

    „Aceste date ar putea fi utilizate pentru a urmări oamenii din centrul orașului Enschede”, a explicat dna Verdier. „Când nu este chiar așa de aglomerat, se poate vedea exact ce face o persoană. Sau se pot face profile, de exemplu dacă o persoană ajunge în aceeași locație în fiecare zi la ora 08.00 și pleacă din nou la ora 17.00, asta înseamnă că lucrează acolo."

    În urma intervenției DPA, municipalitatea a încetat să mai utilizeze urmărirea Wi-Fi la 1 mai 2020 dar a și formulat o contestație împotriva deciziei. 

    Urmărirea Wi-Fi este interzisă în majoritatea cazurilor

    Utilizarea urmăririi Wi-Fi este supusă unor condiții stricte și, în majoritatea cazurilor, este interzisă. „Deoarece această tehnologie poate afecta atât de profund viața de zi cu zi a oamenilor, trebuie utilizată numai în cazuri excepționale”, a spus dna Verdier. 

    „În unele situații, municipalitățile au voie să proceseze date cu caracter personal utilizând urmărirea Wi-Fi, de exemplu, dacă acest lucru este necesar pentru ca acestea să își poată îndeplini atribuțiile legale. Dar dacă Autoritatea de Supraveghere stabilește că o municipalitate sau o companie utilizează urmărirea Wi-Fi în mod ilegal, riscă o amendă seminificativă ", a adăugat ea. 

    Autoritatea de Supraveghere a recomandat municipalităților să examineze orice proiecte propuse sau în curs de desfășurare care implică urmărirea Wi-Fi.

    INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Germania: Utilizarea Mailchimp pentru a trimite newslettere în UE este ilegala. Avem alte soluții?

    Noutati Internationale

    Vizualizari: 6068

    Facebooktwittergoogle_plusredditpinterestlinkedinmail

    În urma unei reclamații privind nerespectarea Art.44 GDPR, Autoritatea de Supraveghere Germana (BayLDA) a considerat ilegală utilizarea de către o companie din Germania (FOGS Magazin, München) a serviciilor companiei Mailchimp (The Rocket Science Group LLC, SUA) pentru a trimite newslettere, deoarece Mailchimp s-ar putea califica drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere, iar operatorul de date din UE nu a evaluat acest risc.

    Autoritatea de Supraveghere Germana (BayLDA) a prezentat și argumentele pentru care utilizarea Mailchimp a fost ilegală:

    • Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)). Prin urmare, adresele de e-mail transferate ar putea fi în pericol de a fi accesate de serviciile de informații americane.
    • În lumina deciziei CJUE „Schrems II” (C-311/18), respondentul nu a reușit să evalueze dacă există măsuri suplimentare în vigoare pentru a se asigura că datele transferate au fost protejate de supravegherea SUA.
    • Transferul de date s-a bazat doar pe clauze standard UE de protecție a datelor (Clauze contractuale standard - CSC).

    Întrucât compania FOGS Magazin a declarat că renunță imediat la utilizarea Mailchimp, Autoritatea de Supraveghere Germana (BayLDA) nu a impus o amendă sau o măsură corectivă.

    "Ca urmare a anchetei noastre, operatorul ne-a informat că a folosit Mailchimp de două ori pentru a trimite buletine informative. Datorită intervenției noastre, compania a anunțat acum că va înceta să utilizeze Mailchimp cu efect imediat. De asemenea, compania ne-a informat că a trimis adrese de e-mail doar catre Mailchimp și a declarat că recomandările Comitetului European pentru Protecția Datelor cu privire la măsurile suplimentare pentru transferul de date cu caracter personal către țări terțe nu se află încă în versiunea finală, dar fac obiectul unei consultări publice. (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en), se arată în documentul transmis de autoritate reclamantului.

    "Conform evaluării noastre, utilizarea Mailchimp de către FOGS Magazin în cele două cazuri menționate a fost inadmisibilă din punct de vedere a legislației privind protecția datelor, deoarece FOGS nu a verificat dacă pentru transmiterea către Mailchimp sunt necesare „măsuri suplimentare”, în sensul deciziei CEJ „Schrems II” (CEJ, hotărârea din 16 iulie 2020, C-311/18 ), în plus față de clauzele standard UE de protecție a datelor."

    Analizând acest transfer din punctul de vedere al conformității cu reglementările privind protecția datelor, în cazul de față, există indicii că Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)) și astfel serviciile de informatii americate pot accesa aceste baze de date. Acest transfer ar putea fi permis numai prin luarea unor măsuri suplimentare.

    Ce prevede Art.44 GDPR și Decizia Schrems II? Există soluții?

    Vă reamintim că orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în capitolul 5 din Regulamentul 679/2016 sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din Regulamentul 679/2016 se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice nu este subminat.

    La data de 16 iulie 2020, CJUE, în Cauza C-311/18 (Schrems II) a invalidat Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, cunoscut sub numele de Privacy Shield, deoarece a considerat că nu asigură nivelul de protecție oferit de GDPR (garanții adecvate, drepturi opozabile și căi de atac eficiente) din cauza gradului excesiv de intruziune a autorităților americane (NSA, FBI). Totodată, prin hotărâre s-a validat Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe. Mai mult, Curtea a hotărât că decizia are aplicabilitate imediată, fără a se crea un vid legislativ deoarece RGPD oferă modalități alternative de a transfera date personale în condiții de legalitate.

    "Pentru realizarea de transferuri putem apela în continuare la derogările din art. 46 RGPD care precizează că în absența unei decizii a Comisiei, se pot face transferuri către țări terțe sau organizații internaționale în baza unor garanții adecvate și cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate. În afara unor garanții adecvate care implică fie autorităție de supraveghere, fie Comisia sau regulile corporatiste obligatorii, regăsim la alin. 3, lit. “a) clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țară terță sau organizația internațională”, sub rezerva autorizării din partea autorităţii de supraveghere competente.

    Chiar dacă, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să se asigure că legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau Regulile corporatiste obligatorii înainte de a transfera date cu caracter personal către respectiva țară terță, autoritățile de supraveghere vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit decizii cu privire la transferurile către țări terțe.

    Articolul 49 din RGPD ne oferă, de asemenea, o altă soluție, în absența unei decizii a Comisiei și a garanțiilor adecvate și anume transferurile de date cu caracter personal către o țară terță sau o organizație internațională pot avea loc numai în una dintre condiţiile următoare:

    a) persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;

    b) transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

    c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;

    d) transferul este necesar din considerente importante de interes public;

    e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;

    f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;

    g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.”

    Referitor la teza de la lit a), respectiv consimțământul persoanei vizate, EDPB reamintește condițiile referitoare la consimțământ, în mod special consimțământul trebuie să fie explicit, specific și informat.

    Există soluții pentru ca firmele să își desfășoare în continuare activitatea în mod normal?

    Există soluții pentru continuarea transferului de date personale către țări terțe sau organizații internaționale. Apreciem că multe dintre transferurile efectuate până la hotărârea Curții au încetat sau vor înceta, însă transferurile cu adevărat întemeiate se vor putea efectua în continuare cu respectarea restricțiilor și condițiilor impuse, finalitatea fiind apărarea drepturilor și intereselor cetățenilor europeni. Așteptăm cu interes recomandările EDPB pentru operatori și persoane împuternicite, până la apariția acestora facem câteva recomandări pentru operatorii de date personale în vederea respectării deciziei de invalidare a Scutului de confidențialitate:

    • În cazul soluțiilor de tip newsletter puteți înlocui aplicațiile din SUA cu soluții din Uniune sau chiar din România.
    • Site-urile de tip Wordpress, spre exemplu, asigură unelte de analiză a traficului asemănătoare cu Google Analytics, putându-se elimina acest tip de cookie.
    • Recomandăm eliminarea adreselor de tip yahoo și gmail în scop profesional și înlocuirea acestora cu domenii de e-mail găzduite în Uniunea Europeană. De asemenea, domeniile găzduite în țări terțe ar trebui mutate pe servere din uniunea Europeană.
    • Platformele site-urilor web găzduite în SUA pot fi înlocuite cu platforme găzduite în Uniunea Europeană.
    • Recomandăm înlocuirea aplicatiilor de transfer de documente cu soluții găzduite în UE.
    • De asemenea, serviciile de plată online de tipul Paypal pot fi înlocuite cu procesatori de plăți cu cardul din România, serviciile de remarketing de la Google pot fi eliminate și utilizate servicii din UE, aceeași soluție fiind valabilă și în cazul serviciilor de cloud.

    Ori de câte ori se fac transferuri în SUA, utilizatorii trebuie informați transparent, în conformitate cu articolul 13 din RGPD, iar dacă prelucrarea / transferul se bazează pe consimțământ, operatorii trebuie să se asigure că au obținut un consimțământ valid.

    Ca o recomandare generală, consiliem operatorii de date personale din România să își reanalizeze lista furnizorilor de servicii ce au calitatea de persoană împuternicită și să verifice țările către care se face transferul datelor prelucrate, iar, în cazul identificării de transferuri în țări terțe, să evalueze situația și să decidă asupra oportunității de a schimba acești furnizori cu furnizori de servicii din Uniunea Europeană."

    Care au fost implicațiile invalidării Privacy Shiled la nivel european? Dar în România?

    Daniela Cireașă, Senior Partner NeoPrivacy România: "Urmare a hotărârii CJUE în Cauza Schrems II  autoritățile de supraveghere din Europa au luat poziție în cazul transferurilor de date personale către SUA. Autoritatea de supraveghere din Elveția, țară care avea propriul acord cu Statele Unite, a invalidat acordul Elveția - SUA Privacy Shield în temeiul căruia se făceau transferurile de date personale ale cetățenilor elvețieni către SUA. Autoritățile elvețiene au anunțat în data de 8 septembrie 2020 că Statele Unite au fost scoase din lista țărilor care oferă protecție adecvată în anumite condiții deoarece nu asigură protecția necesară.

    De asemenea, Comitetul „Convenției 108” și Comisarul pentru protecția datelor al Consiliului Europei au solicitat, ambii, adoptarea standardelor legale internaționale pentru protecția datelor în urma hotărârii Schrems II. Într-o declarație comună aceștia au afirmat că „Țările trebuie să fie de acord la nivel internațional cu privire la măsura în care supravegherea efectuată de serviciile de informații poate fi autorizată, în ce condiții și în ce măsuri de protecție, inclusiv o supraveghere independentă și eficientă”.

    Autoritățile de supraveghere din Berlin, Hamburg dar și autoritatea olandeză recomandă încetarea transferurilor către SUA. Autoritatea berlineză recomandă chiar retragerea datelor din SUA. Mai multe autorităților de supraveghere subliniază necesitatea unor analize suplimentare și evaluări de la caz la caz.

    Menționăm că autoritatea de supraveghere din Irlanda a pus în vedere Facebook să înceteze transferurile de date către SUA. Urmare a acestei somații, la data de 11 septembrie 2020, Facebook a început acțiuni în justiție împotriva Comisiei irlandeze pentru protecția datelor (IDPC), lansând un recurs în Irlanda în încercarea de a opri ordinul preliminar al IDPC de a suspenda utilizarea clauzelor contractuale standard (CSC) în transferurile de date UE-SUA.

    CNIL a solicitat autorităților franceze să oprească cât mai repede posibil găzduirea platformei de date privind sănătatea pentru cercetare de către Microsoft, având în vedere recenta invalidare a Privacy Shield. Secretarul de stat pentru digital a anunțat în aceeași zi că lucrează cu ministrul sănătății pentru a repatria această platformă în infrastructurile franceze sau europene.

    Facebook a considerat propunerea ca fiind prematură și a îndemnat autoritatea de reglementare irlandeză să adopte o abordare pragmatică și proporțională până când se poate ajunge la o soluție durabilă pe termen lung, deoarece susține că ordinul preliminar a fost decis înainte ca Facebook să primească îndrumări de la Comitetul european pentru protecția datelor.

    În România, în timpul anului școlar, în condiții restrictive pentru toți subiecții implicați, opțiunea desfășurării ședințelor, întâlnirilor și orelor on-line cu părinți, profesori și elevi fiind din ce în ce mai utilizată. Majoritatea platformelor utilizate pe perioada stării de urgență și a stării de alertă transferau date în SUA. Ministerul Educației și Cercetării a anunțat la data de 2 septembrie 2020 că, în colaborare cu Google (Meet) și Microsoft (Teams) pune la dispoziție în mod gratuit platforme educaționale, ambele platforme aparținând unor companii americane. Adăugăm la lista platformelor care transfera date in SUA și noua facilitate a Anaf, de identificare vizuală în spațiul virtual printr-o platformă dedicată, platforma utilizată, conform declarațiilor utilizatorilor, fiind Zoom, platformă care a fost în trecut ținta unor atacuri din partea hackerilor.

    O dovadă în plus că în România operatorii, fie ei de stat sau privați, nu au asimilat informația invalidării Scutului de confidențialitate sunt magazinele online sau simple site-uri de prezentare care utilizează în continuare suita de cookie-uri de analiză de la Google, soluții de newsletter sau de plată americane etc. Chiar și site-urile candidaților la alegerile locale au astfel de cookie-uri instalate. Apreciem că majoritatea operatorilor utilizează aceste soluții fără a fi deplin conștienți de implicații.

    Apreciem că suntem încă departe de o nouă înțelegere între UE și SUA deși recomandările pentru SUA au devenit și mai urgențe: (1) adoptarea unei legislații federale cuprinzătoare privind confidențialitatea, (2) înființarea unei agenții independente de protecție a datelor și (3) ratificarea Convenției Consiliului Europei privind confidențialitatea. Actuala situație de incertitudine afectează atât companiile europene și americane cât și drepturile și interesele cetățenilor europeni.

    NYOB a efectuat în perioada iulie - septembrie 2020 o interpelare a 33 de companii care transferă date în SUA iar reacțiile acestora au fost dintre cele mai variante de la lipsa unui răspuns pâna la răspunsuri vagi sau lipsite de substanță. Companii precum Airbnb, Netflix sau Whatsapp nu au răspuns deloc, în timp ce altele au răspuns făcând trimitere la Politici de confidențialitate care nu răspund întrebarilor punctuale adresate sau prin punerea la dispoziție a unor Clauze contractuale standard vădit neacoperitoare deoarece companiile respective se supun legislației americane intruzive.

    Recomandăm tuturor operatorilor de date personale din România să apeleze la specialiști în domeniul protecției datelor personale, singurii care, la momentul actual, sunt la curent cu noutățile în domeniu și sunt în măsură să explice operatorilor toate implicațiile și să ofere soluții conforme cu legislația protecției datelor."

    INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


    Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


    Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

    Ce este certificatul verde digital? Cum vor fi protejate datele cu caracter personal?

    Adeverința electronică verde va facilita libera circulație în UE, în condiții de siguranță, în timpul pandemiei de COVID-19. Va fi dovada că o persoană: fie a fost vaccinată […]

    Comisia Europeană a lansat studiul normelor legale privind prelucrarea datelor de sănătate (GDPR)

    Comisia Europeană a publicat un studiu privind „ Evaluarea normelor statelor membre ale UE privind datele de sănătate în lumina GDPR ”. Studiul constată că, deși Regulamentul General privind Protecția […]

    Exemplul H&M: prelucrarea „periculoasa”​ si ilegala a unor informatii sensibile despre proprii angajati

    Presa internațională anunță amendarea retailer-ului H&M de către Autoritatea de Supraveghere din Germania cu suma de 35,258,707.95 euro. Compania înregistrată în Hamburg și având un service center în Nuernberg, păstra […]

    EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

    Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

    Programul american de supraveghere în masă, expus de Edward Snowden, a fost ilegal

    (Reuters) – La șapte ani după ce fostul angajat al Agenției Naționale de Securitate Edward Snowden a făcut publice informații cu privire la supravegherea în masă a telefoanelor […]

    Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

    „Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

    Obligații aplicabile din 12 iulie 2020 pentru intermediarii de servicii online (Marketplace) și pentru motoarele de căutare online

    Prin Regulamentul UE 2019/1150 din 20 iunie 2019 privind promovarea echitații și a transparentei pentru întreprinderile utilizatoare de servicii de intermediere online, aplicabil începând cu data de 12 […]

    PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

    PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

    Belgia: Ghid privind verificările temperaturii la intrarea în incinte

    În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

    Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

    O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

    Comisia Europeana organizează un hackathon european pentru a dezvolta soluții inovatoare pentru combaterea focarului COVID19

    Începând de mâine și în tot weekendul, Comisia Europeana va organiza #EUvsVirus Hackathon , sub patronajul Comisarului European pentru inovare, cercetare, cultură, educație și tineret. Hackathonul, organizat de […]

    Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

    Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

    GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

    La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul […]

    Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

    Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

    Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

    Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

    Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

    Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

    MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

    O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

    Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

    In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

    Facebook forțat să amâne lansarea noului serviciu de dating în Europa

    Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

    7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

    Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în […]