GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

Noutati Internationale

Vizualizari: 11951

Facebooktwittergoogle_plusredditpinterestlinkedinmail

La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul că operatorii care prelucrează date cu caracter personal în contextul eforturilor lor de a preveni răspândirea COVID-19 trebuie să respecte atât GDPR, cât și legea ungară privind protecția datelor. Ghidul se aplică organizațiilor publice și private, angajaților și contractorilor acestora, precum și altor terțe părți (de exemplu, clienți, vizitatori). NAIH subliniază că orice tip de prelucrare a datelor în circumstanțele actuale trebuie să respecte principiile GDPR, în special cel al răspunderii. Publicarea ghidului NAIH vine ca urmare a publicării unor declarații similare ale altor autorități de reglementare SEE, inclusiv cele din Franța, Danemarca, Spania, IslandaIrlanda, Italia, Luxemburg, OlandaNorvegia, Polonia, Slovenia, Slovacia și Marea Britanie.

1. Limitarea scopului

Colectarea și prelucrarea datelor cu caracter personal nu poate fi considerată necesară decât în ​​cazul în care scopul nu poate fi atins prin orice alte mijloace și, în orice caz, trebuie evaluat dacă există o altă soluție mai puțin invazivă.

2. Minimizarea datelor și legalitatea prelucrării

Dacă colectarea datelor cu caracter personal este considerată absolut necesară, operatorul trebuie să definească scopul exact și baza legală a acestora. Colectarea, prelucrarea și stocarea datelor trebuie să fie proporționale cu scopul acestor activități.

3. Transparența

Controlorul trebuie să furnizeze persoanei vizate informațiile solicitate în conformitate cu articolul 13 GDPR și secțiunea 16 din legea maghiară privind protecția datelor. Dacă datele sunt colectate în baza articolului 6 alineatul (1) litera (f) GDPR, controlorul trebuie să arate că importanța scopului depășește importanța drepturilor individuale.

4. Cerințe specifice

NAIH a identificat o serie de cerințe relevante în circumstanțele actuale.

I. Prelucrarea datelor referitoare la ocuparea forței de muncă

 Angajatorii trebuie să se asigure că oferă un mediu de lucru sigur, care include planificarea și funcționarea procedurilor de protecție a datelor. În acest cadru, angajatorii sunt obligați să:

  • Crearea unui plan de continuitate de afaceri , care să includă pașii necesari pentru a reduce răspândirea infecției, ce trebuie făcut în cazul apariției infecției, evaluarea riscurilor pentru protecția datelor, responsabilitățile interne și canalele de comunicare adecvate;
  • Furnizați informații detaliate despre coronavirus și ce trebuie să faceți în cazul unei infecții suspectate;
  • Dacă este necesar, anulați sau amânați călătoriile și evenimentele de afaceri și oferiți oportunitatea de a lucra de acasă; și
  • Alertați angajații că, în interesul protecției sănătății lor și a colegilor lor, trebuie să raporteze orice contact suspect cu coronavirus și să solicite sfaturi medicale cât mai curând posibil.

În cazul în care un angajat raportează că a putut fi în contact cu virusul sau dacă angajatorul suspectează că acesta poate fi în pericol pe baza informațiilor furnizate de acesta, angajatorul poate înregistra date referitoare la raportul sau suspiciunea menționată. Aceasta include colectarea informațiilor despre dacă salariatul a vizitat țări considerate a fi expuse riscului și data călătoriei; dacă angajatul a fost în contact cu cineva care a vizitat recent aceste țări și detalii despre orice asistență suplimentară oferită de angajator. NAIH consideră că este acceptabil să folosească chestionare, dacă angajatorul decide că acestea sunt necesare și proporționale, dar NAIH subliniază, de asemenea, că chestionarele nu pot conține întrebări sau date referitoare la istoricul medical și nu pot solicita angajatului să atașeze documente medicale. Articolul 6 alineatul (1) litera (f) GDPR, sau în cazul instituțiilor publice, articolul 6 alineatul (1) litera (e) poate oferi o bază legală pentru aceasta. În ceea ce privește datele medicale, ținând cont de dispozițiile descrise mai sus, articolul 9 alineatul (2) litera (b) GDPR poate fi utilizat ca bază legală.

Cu toate acestea, important este că NAIH nu consideră că este proporțional pentru angajatori să implementeze controale generale și obligatorii folosind dispozitive medicale de diagnosticare (de exemplu, termometre) pe angajați, deoarece colectarea datelor referitoare la coronavirus este responsabilitatea furnizorilor de servicii medicale și a profesioniștilor medicali.

În cazul în care angajatorul, după ce a evaluat toate informațiile de care dispune, decide că anumiți angajați care au avut o șansă crescută de expunere trebuie să fie testați de un profesionist medical, angajatorul se poate baza pe articolul 6 alineatul (1) litera (f) sau (e) , Articolul 9 alineatul (2) litera (h) și articolul 9 alineatul (3) din GDPR. În aceste cazuri, angajatorul are dreptul să afle doar rezultatul testului și nici alte informații medicale.

II. Furnizori de servicii medicale și cadre medicale

Furnizorii de servicii medicale și profesioniștii medicali sunt obligați să respecte reglementările privind protecția datelor aplicabile acestora, inclusiv sarcinile prevăzute la articolul 6 alineatul (1) litera (c) GDPR și la articolul 9 alineatul (2) litera (i) GDPR. În conformitate cu secțiunea 25 din ordinul 18/1998 al MM. (VI. 3.), furnizorii de servicii medicale trebuie să raporteze și să țină evidența pacienților cu boli infecțioase și a pacienților suspectați de a avea boli infecțioase în anumite circumstanțe (una dintre aceste circumstanțe este un focar SARS-coronavirus). Există îndrumări suplimentare pentru profesioniștii medicali cu privire la conținerea răspândirii coronavirusului.

III. Atribuțiile angajaților

Angajații sunt obligați să coopereze și, pe baza principiilor bunei-credințe și a integrității, să-și informeze angajatorii dacă sunt conștienți de orice risc de infecție care ar putea afecta locul de muncă, colegii sau terții. Angajatul în aceste cazuri are dreptul să se bazeze pe drepturile sale în conformitate cu capitolul III din GDPR, iar angajatorul trebuie să prevadă acest lucru.

IV. Terți

 NAIH subliniază că, în raport cu terții (de exemplu, clienți, vizitatori), angajatorii trebuie să se asigure că:

  • Planul de continuitate a afacerii include verificări îmbunătățite asupra vizitatorilor, evaluarea riscurilor de protecție a datelor în legătură cu aceasta și oferă canale de comunicare adecvate;
  • Informații sunt furnizate clienților și vizitatorilor cu privire la coronavirus și trebuie să informeze personalul de la punctul de intrare în cazul în care riscă să contracteze coronavirus.

În ceea ce privește protecția datelor, aceleași reguli se aplică terților ca și angajaților din partea I a prezentului ghid.

5. Sancțiuni

În cele din urmă, ghidul constată că este o infracțiune să nu respectăm legislația privind răspândirea bolilor infecțioase, iar cei care îi infectează pe ceilalți, în mod intenționat, pot fi condamnați vinovați de faptul că au cauzat moarte gravă sau un prejudiciu corporal grav. În aceste condiții, poliția este autorizată să utilizeze imagini CCTV în cercetările lor penale.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Monitorizarea cetățenilor prin urmărirea semnalului WIFI a telefonului, amendată cu 600,000 euro

Noutati Internationale

Vizualizari: 1257

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea de Supraveghere din Olanda a amendat Primăria Enschede cu 600.000 EUR după ce în 2017, Primăria Enschede a decis să măsoare cât de aglomerat era centrul orașului, folosind un sistem de senzori. Aceasta a contractat o companie specializată și ulterior mai mulți senzori au fost plasați pe străzile comerciale care detectau semnalele Wi-Fi de pe telefoanele mobile ale trecătorilor. Fiecare telefon a fost înregistrat separat și a primit un cod unic. Acest lucru a făcut posibilă măsurarea a cât de aglomerată este o anumită strada, numărând câte telefoane sunt lângă un senzor la un anumit moment.

O anchetă a Autorității de Supraveghere  asupra Primăriei Enschede a concluzionat că dacă sistemul monitorizează pe o perioadă mai lungă de timp ce telefoane trec pe lângă un anumit senzor, în acest caz „numărarea” devine monitorizare sistematică și prin urmare, viața privată a oamenilor nu a fost protejată corespunzător, deoarece aceștia puteau fi urmăriți, fără ca acest lucru să fie necesar.

Chiar dacă Primăria a afirmat că nu a avut niciodată intenția de a urmări trecătorii, Autoritatea de Supraveghere a constat că urmărirea WIFI (chiar dacă a fost neintenționată) constituie o încălcare gravă a GDPR considerând că Primăria și-a urmărit trecătorii fără un temei juridic efectiv și a încălcat astfel art. 5 (1) a) GDPR și art. 6 (1) GDPR.

„Confidențialitatea oamenilor trebuie să fie pe primul loc”

„Dacă oamenii pot fi urmăriți prin intermediul telefoanelor lor, aceasta este o practică nepotrivită pentru municipalitate. Orice persoană are dreptul să-și desfășoare activitatea afară în mod liber și fără a fi spionat, fără ca guvernul sau orice alt partid să îl poată urmări sau să țină evidența a ceea ce face. Aceasta este o condiție fundamentală a unei societăți libere. Nimeni nu ar trebui să poată urmări ce magazine, medici, biserici sau moschei vizităm. Aceastea sunt date personale și ar trebui să rămână private. Astfel, oamenii pot fi ei înșiși, fără a se simți inhibați de posibilitatea unei supravegheri." a declarat Monique Verdier, vicepreședinte al APD. 

„Municipalitățile ar trebui să pună pe primul loc acest drept fundamental al cetățenilor lor. Orice sistem de măsurare a mulțimilor din centrul orașului ar trebui să doar numere oamenii, nu să îi urmărească"

Urmărirea persoanelor 

Municipalitatea și companile contracte pentru a instala sistemul de monitorizare au avut acces la aceste date.

„Aceste date ar putea fi utilizate pentru a urmări oamenii din centrul orașului Enschede”, a explicat dna Verdier. „Când nu este chiar așa de aglomerat, se poate vedea exact ce face o persoană. Sau se pot face profile, de exemplu dacă o persoană ajunge în aceeași locație în fiecare zi la ora 08.00 și pleacă din nou la ora 17.00, asta înseamnă că lucrează acolo."

În urma intervenției DPA, municipalitatea a încetat să mai utilizeze urmărirea Wi-Fi la 1 mai 2020 dar a și formulat o contestație împotriva deciziei. 

Urmărirea Wi-Fi este interzisă în majoritatea cazurilor

Utilizarea urmăririi Wi-Fi este supusă unor condiții stricte și, în majoritatea cazurilor, este interzisă. „Deoarece această tehnologie poate afecta atât de profund viața de zi cu zi a oamenilor, trebuie utilizată numai în cazuri excepționale”, a spus dna Verdier. 

„În unele situații, municipalitățile au voie să proceseze date cu caracter personal utilizând urmărirea Wi-Fi, de exemplu, dacă acest lucru este necesar pentru ca acestea să își poată îndeplini atribuțiile legale. Dar dacă Autoritatea de Supraveghere stabilește că o municipalitate sau o companie utilizează urmărirea Wi-Fi în mod ilegal, riscă o amendă seminificativă ", a adăugat ea. 

Autoritatea de Supraveghere a recomandat municipalităților să examineze orice proiecte propuse sau în curs de desfășurare care implică urmărirea Wi-Fi.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Germania: Utilizarea Mailchimp pentru a trimite newslettere în UE este ilegala. Avem alte soluții?

Noutati Internationale

Vizualizari: 6074

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În urma unei reclamații privind nerespectarea Art.44 GDPR, Autoritatea de Supraveghere Germana (BayLDA) a considerat ilegală utilizarea de către o companie din Germania (FOGS Magazin, München) a serviciilor companiei Mailchimp (The Rocket Science Group LLC, SUA) pentru a trimite newslettere, deoarece Mailchimp s-ar putea califica drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere, iar operatorul de date din UE nu a evaluat acest risc.

Autoritatea de Supraveghere Germana (BayLDA) a prezentat și argumentele pentru care utilizarea Mailchimp a fost ilegală:

  • Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)). Prin urmare, adresele de e-mail transferate ar putea fi în pericol de a fi accesate de serviciile de informații americane.
  • În lumina deciziei CJUE „Schrems II” (C-311/18), respondentul nu a reușit să evalueze dacă există măsuri suplimentare în vigoare pentru a se asigura că datele transferate au fost protejate de supravegherea SUA.
  • Transferul de date s-a bazat doar pe clauze standard UE de protecție a datelor (Clauze contractuale standard - CSC).

Întrucât compania FOGS Magazin a declarat că renunță imediat la utilizarea Mailchimp, Autoritatea de Supraveghere Germana (BayLDA) nu a impus o amendă sau o măsură corectivă.

"Ca urmare a anchetei noastre, operatorul ne-a informat că a folosit Mailchimp de două ori pentru a trimite buletine informative. Datorită intervenției noastre, compania a anunțat acum că va înceta să utilizeze Mailchimp cu efect imediat. De asemenea, compania ne-a informat că a trimis adrese de e-mail doar catre Mailchimp și a declarat că recomandările Comitetului European pentru Protecția Datelor cu privire la măsurile suplimentare pentru transferul de date cu caracter personal către țări terțe nu se află încă în versiunea finală, dar fac obiectul unei consultări publice. (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en), se arată în documentul transmis de autoritate reclamantului.

"Conform evaluării noastre, utilizarea Mailchimp de către FOGS Magazin în cele două cazuri menționate a fost inadmisibilă din punct de vedere a legislației privind protecția datelor, deoarece FOGS nu a verificat dacă pentru transmiterea către Mailchimp sunt necesare „măsuri suplimentare”, în sensul deciziei CEJ „Schrems II” (CEJ, hotărârea din 16 iulie 2020, C-311/18 ), în plus față de clauzele standard UE de protecție a datelor."

Analizând acest transfer din punctul de vedere al conformității cu reglementările privind protecția datelor, în cazul de față, există indicii că Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)) și astfel serviciile de informatii americate pot accesa aceste baze de date. Acest transfer ar putea fi permis numai prin luarea unor măsuri suplimentare.

Ce prevede Art.44 GDPR și Decizia Schrems II? Există soluții?

Vă reamintim că orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în capitolul 5 din Regulamentul 679/2016 sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din Regulamentul 679/2016 se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice nu este subminat.

La data de 16 iulie 2020, CJUE, în Cauza C-311/18 (Schrems II) a invalidat Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, cunoscut sub numele de Privacy Shield, deoarece a considerat că nu asigură nivelul de protecție oferit de GDPR (garanții adecvate, drepturi opozabile și căi de atac eficiente) din cauza gradului excesiv de intruziune a autorităților americane (NSA, FBI). Totodată, prin hotărâre s-a validat Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe. Mai mult, Curtea a hotărât că decizia are aplicabilitate imediată, fără a se crea un vid legislativ deoarece RGPD oferă modalități alternative de a transfera date personale în condiții de legalitate.

"Pentru realizarea de transferuri putem apela în continuare la derogările din art. 46 RGPD care precizează că în absența unei decizii a Comisiei, se pot face transferuri către țări terțe sau organizații internaționale în baza unor garanții adecvate și cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate. În afara unor garanții adecvate care implică fie autorităție de supraveghere, fie Comisia sau regulile corporatiste obligatorii, regăsim la alin. 3, lit. “a) clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țară terță sau organizația internațională”, sub rezerva autorizării din partea autorităţii de supraveghere competente.

Chiar dacă, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să se asigure că legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau Regulile corporatiste obligatorii înainte de a transfera date cu caracter personal către respectiva țară terță, autoritățile de supraveghere vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit decizii cu privire la transferurile către țări terțe.

Articolul 49 din RGPD ne oferă, de asemenea, o altă soluție, în absența unei decizii a Comisiei și a garanțiilor adecvate și anume transferurile de date cu caracter personal către o țară terță sau o organizație internațională pot avea loc numai în una dintre condiţiile următoare:

a) persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;

b) transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;

d) transferul este necesar din considerente importante de interes public;

e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;

f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;

g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.”

Referitor la teza de la lit a), respectiv consimțământul persoanei vizate, EDPB reamintește condițiile referitoare la consimțământ, în mod special consimțământul trebuie să fie explicit, specific și informat.

Există soluții pentru ca firmele să își desfășoare în continuare activitatea în mod normal?

Există soluții pentru continuarea transferului de date personale către țări terțe sau organizații internaționale. Apreciem că multe dintre transferurile efectuate până la hotărârea Curții au încetat sau vor înceta, însă transferurile cu adevărat întemeiate se vor putea efectua în continuare cu respectarea restricțiilor și condițiilor impuse, finalitatea fiind apărarea drepturilor și intereselor cetățenilor europeni. Așteptăm cu interes recomandările EDPB pentru operatori și persoane împuternicite, până la apariția acestora facem câteva recomandări pentru operatorii de date personale în vederea respectării deciziei de invalidare a Scutului de confidențialitate:

  • În cazul soluțiilor de tip newsletter puteți înlocui aplicațiile din SUA cu soluții din Uniune sau chiar din România.
  • Site-urile de tip Wordpress, spre exemplu, asigură unelte de analiză a traficului asemănătoare cu Google Analytics, putându-se elimina acest tip de cookie.
  • Recomandăm eliminarea adreselor de tip yahoo și gmail în scop profesional și înlocuirea acestora cu domenii de e-mail găzduite în Uniunea Europeană. De asemenea, domeniile găzduite în țări terțe ar trebui mutate pe servere din uniunea Europeană.
  • Platformele site-urilor web găzduite în SUA pot fi înlocuite cu platforme găzduite în Uniunea Europeană.
  • Recomandăm înlocuirea aplicatiilor de transfer de documente cu soluții găzduite în UE.
  • De asemenea, serviciile de plată online de tipul Paypal pot fi înlocuite cu procesatori de plăți cu cardul din România, serviciile de remarketing de la Google pot fi eliminate și utilizate servicii din UE, aceeași soluție fiind valabilă și în cazul serviciilor de cloud.

Ori de câte ori se fac transferuri în SUA, utilizatorii trebuie informați transparent, în conformitate cu articolul 13 din RGPD, iar dacă prelucrarea / transferul se bazează pe consimțământ, operatorii trebuie să se asigure că au obținut un consimțământ valid.

Ca o recomandare generală, consiliem operatorii de date personale din România să își reanalizeze lista furnizorilor de servicii ce au calitatea de persoană împuternicită și să verifice țările către care se face transferul datelor prelucrate, iar, în cazul identificării de transferuri în țări terțe, să evalueze situația și să decidă asupra oportunității de a schimba acești furnizori cu furnizori de servicii din Uniunea Europeană."

Care au fost implicațiile invalidării Privacy Shiled la nivel european? Dar în România?

Daniela Cireașă, Senior Partner NeoPrivacy România: "Urmare a hotărârii CJUE în Cauza Schrems II  autoritățile de supraveghere din Europa au luat poziție în cazul transferurilor de date personale către SUA. Autoritatea de supraveghere din Elveția, țară care avea propriul acord cu Statele Unite, a invalidat acordul Elveția - SUA Privacy Shield în temeiul căruia se făceau transferurile de date personale ale cetățenilor elvețieni către SUA. Autoritățile elvețiene au anunțat în data de 8 septembrie 2020 că Statele Unite au fost scoase din lista țărilor care oferă protecție adecvată în anumite condiții deoarece nu asigură protecția necesară.

De asemenea, Comitetul „Convenției 108” și Comisarul pentru protecția datelor al Consiliului Europei au solicitat, ambii, adoptarea standardelor legale internaționale pentru protecția datelor în urma hotărârii Schrems II. Într-o declarație comună aceștia au afirmat că „Țările trebuie să fie de acord la nivel internațional cu privire la măsura în care supravegherea efectuată de serviciile de informații poate fi autorizată, în ce condiții și în ce măsuri de protecție, inclusiv o supraveghere independentă și eficientă”.

Autoritățile de supraveghere din Berlin, Hamburg dar și autoritatea olandeză recomandă încetarea transferurilor către SUA. Autoritatea berlineză recomandă chiar retragerea datelor din SUA. Mai multe autorităților de supraveghere subliniază necesitatea unor analize suplimentare și evaluări de la caz la caz.

Menționăm că autoritatea de supraveghere din Irlanda a pus în vedere Facebook să înceteze transferurile de date către SUA. Urmare a acestei somații, la data de 11 septembrie 2020, Facebook a început acțiuni în justiție împotriva Comisiei irlandeze pentru protecția datelor (IDPC), lansând un recurs în Irlanda în încercarea de a opri ordinul preliminar al IDPC de a suspenda utilizarea clauzelor contractuale standard (CSC) în transferurile de date UE-SUA.

CNIL a solicitat autorităților franceze să oprească cât mai repede posibil găzduirea platformei de date privind sănătatea pentru cercetare de către Microsoft, având în vedere recenta invalidare a Privacy Shield. Secretarul de stat pentru digital a anunțat în aceeași zi că lucrează cu ministrul sănătății pentru a repatria această platformă în infrastructurile franceze sau europene.

Facebook a considerat propunerea ca fiind prematură și a îndemnat autoritatea de reglementare irlandeză să adopte o abordare pragmatică și proporțională până când se poate ajunge la o soluție durabilă pe termen lung, deoarece susține că ordinul preliminar a fost decis înainte ca Facebook să primească îndrumări de la Comitetul european pentru protecția datelor.

În România, în timpul anului școlar, în condiții restrictive pentru toți subiecții implicați, opțiunea desfășurării ședințelor, întâlnirilor și orelor on-line cu părinți, profesori și elevi fiind din ce în ce mai utilizată. Majoritatea platformelor utilizate pe perioada stării de urgență și a stării de alertă transferau date în SUA. Ministerul Educației și Cercetării a anunțat la data de 2 septembrie 2020 că, în colaborare cu Google (Meet) și Microsoft (Teams) pune la dispoziție în mod gratuit platforme educaționale, ambele platforme aparținând unor companii americane. Adăugăm la lista platformelor care transfera date in SUA și noua facilitate a Anaf, de identificare vizuală în spațiul virtual printr-o platformă dedicată, platforma utilizată, conform declarațiilor utilizatorilor, fiind Zoom, platformă care a fost în trecut ținta unor atacuri din partea hackerilor.

O dovadă în plus că în România operatorii, fie ei de stat sau privați, nu au asimilat informația invalidării Scutului de confidențialitate sunt magazinele online sau simple site-uri de prezentare care utilizează în continuare suita de cookie-uri de analiză de la Google, soluții de newsletter sau de plată americane etc. Chiar și site-urile candidaților la alegerile locale au astfel de cookie-uri instalate. Apreciem că majoritatea operatorilor utilizează aceste soluții fără a fi deplin conștienți de implicații.

Apreciem că suntem încă departe de o nouă înțelegere între UE și SUA deși recomandările pentru SUA au devenit și mai urgențe: (1) adoptarea unei legislații federale cuprinzătoare privind confidențialitatea, (2) înființarea unei agenții independente de protecție a datelor și (3) ratificarea Convenției Consiliului Europei privind confidențialitatea. Actuala situație de incertitudine afectează atât companiile europene și americane cât și drepturile și interesele cetățenilor europeni.

NYOB a efectuat în perioada iulie - septembrie 2020 o interpelare a 33 de companii care transferă date în SUA iar reacțiile acestora au fost dintre cele mai variante de la lipsa unui răspuns pâna la răspunsuri vagi sau lipsite de substanță. Companii precum Airbnb, Netflix sau Whatsapp nu au răspuns deloc, în timp ce altele au răspuns făcând trimitere la Politici de confidențialitate care nu răspund întrebarilor punctuale adresate sau prin punerea la dispoziție a unor Clauze contractuale standard vădit neacoperitoare deoarece companiile respective se supun legislației americane intruzive.

Recomandăm tuturor operatorilor de date personale din România să apeleze la specialiști în domeniul protecției datelor personale, singurii care, la momentul actual, sunt la curent cu noutățile în domeniu și sunt în măsură să explice operatorilor toate implicațiile și să ofere soluții conforme cu legislația protecției datelor."

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ce este certificatul verde digital? Cum vor fi protejate datele cu caracter personal?

Adeverința electronică verde va facilita libera circulație în UE, în condiții de siguranță, în timpul pandemiei de COVID-19. Va fi dovada că o persoană: fie a fost vaccinată […]

Comisia Europeană a lansat studiul normelor legale privind prelucrarea datelor de sănătate (GDPR)

Comisia Europeană a publicat un studiu privind „ Evaluarea normelor statelor membre ale UE privind datele de sănătate în lumina GDPR ”. Studiul constată că, deși Regulamentul General privind Protecția […]

EDPS încurajează instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite

Autoritatea Europeană pentru Protecția Datelor (EDPS) a emis în data de 29 Octombrie 2020 un document strategic care vizează monitorizarea conformității instituțiilor, organismelor, oficiilor și agențiilor europene în […]

Exemplul H&M: prelucrarea „periculoasa”​ si ilegala a unor informatii sensibile despre proprii angajati

Presa internațională anunță amendarea retailer-ului H&M de către Autoritatea de Supraveghere din Germania cu suma de 35,258,707.95 euro. Compania înregistrată în Hamburg și având un service center în Nuernberg, păstra […]

EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

Programul american de supraveghere în masă, expus de Edward Snowden, a fost ilegal

(Reuters) – La șapte ani după ce fostul angajat al Agenției Naționale de Securitate Edward Snowden a făcut publice informații cu privire la supravegherea în masă a telefoanelor […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

Obligații aplicabile din 12 iulie 2020 pentru intermediarii de servicii online (Marketplace) și pentru motoarele de căutare online

Prin Regulamentul UE 2019/1150 din 20 iunie 2019 privind promovarea echitații și a transparentei pentru întreprinderile utilizatoare de servicii de intermediere online, aplicabil începând cu data de 12 […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

Comisia Europeana organizează un hackathon european pentru a dezvolta soluții inovatoare pentru combaterea focarului COVID19

Începând de mâine și în tot weekendul, Comisia Europeana va organiza #EUvsVirus Hackathon , sub patronajul Comisarului European pentru inovare, cercetare, cultură, educație și tineret. Hackathonul, organizat de […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Facebook forțat să amâne lansarea noului serviciu de dating în Europa

Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în […]