Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Noutati Internationale

Vizualizari: 16935

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale a Profesioniștilor în Confidențialitate (IAPP), a oferit un interviu exclusiv pentru DpoNET - Data Protection Officers Network. Prin intermediul răspunsurilor oferite, avem ocazia să înțelegem mai bine viziunea sa despre evoluția protecției datelor în ultimii 20 de ani și despre cum arată viitorul, având în vedere utilizarea tot intensă a tehnologiei bazate pe Inteligența Artificială, ajungând la concluzia că DPO-ul este o nouă profesie hibridizată care presupune înțelegerea tehnologiei, a modului în care este utilizata tehnologia in afaceri și cu siguranță, cunoasterea legii.

În lumina aniversării a 20 de ani de la înființarea IAPP, vreau să vă lansez prima întrebare și să discutăm despre cum au evoluat domeniul protecției vieții private, în ultimii 20 de ani.

IAPP sărbătorește într-adevăr 20 de ani în acest an. Suntem foarte mândri, mai ales când realizăm ce incredibili au fost ultimii 20 de ani. Am crescut de la zero, de la o organizație foarte mică, la o organizație cu 52000 de membri din 120 de țări din întreaga lume. Creșterea organizației IAPP este o dovadă a creșterii complexității probemelor care fac din ce în ce mai dificilă protejarea vieții private. Aceaste provocări s-au intensificat din mai multe motive diferite și, cu siguranță tehnologia este pe primul loc. Noile tehnologii creează noi așteptări, noi provocări, în privința protecției vieții private. Avem nevoie de profesioniști care să ne ajute în fața acestor noi provocări. Așadar, cred că ceea ce vedem astăzi este o creștere continuă a provocărilor tehnologice asupra domeniului protecției vieții private și observăm nevoia tot mai mare de profesioniști care au abilități pentru a răspunde cu succes acestor noi provocări, reducând riscurile și identificând soluții mai bune pentru cetățeni, pentru consumatori, crescând totodată gradul de încredere în economia digitală.

Ce părere aveți despre viitorul domeniului Inteligenței Artificiale. La ce ar trebui să ne așteptăm? În ce direcție se îndreaptă acest domeniu în următorii ani?

Viitorul Inteligenței Artificiale, ca și domeniul confidențialității și protecției datelor, este foarte complicat și cred că este plin de riscuri pentru organizații. Știm că Inteligența Artificială folosește cantități masive de date și astfel pot exista probleme legate de protecția acestor date. Trebuie să ne asigurăm că procesarea algoritmică este transparentă și știm de ce Inteligeța Artificială ia anumite decizii. Trebuie să ne asigurăm că rezultatele proceselor decizionale automate nu sunt discriminatorii. Cred că putem învața multe din lecțiile pe care ni le-a oferit domeniul confidențialității și protecției datelor și va trebui să implementăm măsuri astfel încât lansarea acestor noi tehnologii să fie confortabile și acceptate de toată lumea.

Care sunt poveștile din acest domeniu care nu primesc suficientă atenție, există ceva la care jurnaliștii nu s-au gândit?

Este o întrebare grozavă. Există întradevăr povești care nu primesc suficientă atenție. Când mă gândesc la protecția datelor, realizez că în tot acest timp ne-am concentrat cel mai mult pe încălcările de securitate a vieții private și provocările pentru domeniul protecției datelor introduse de noile tehnologii.

Dar ce văd în fiecare zi este în primul rând volumul mare de munca, văd foarte multe organizații care investesc în oameni, în tehnologii și procese, în managementul riscurilor, pentru a ajuta la îmbunătățirea protecției datelor și a vieții private. Așadar, unul dintre lucrurile pe care cred că trebuie să le promovăm mai mult este existența celor 52000 de membri IAPP din întreaga lume care lucrează în fiecare zi pentru a crește nivelul de protecție a vieții private. Există tehnologii și instrumente pe care companiile le utilizează deja în acest scop și suntem foarte departe fața de cum am fost acum 20 de ani în ceea ce privește protecțiea vieții private în cadrul organizațiilor. Responsabilul cu protecția datelor este o profesie a viitorului și cred că ar trebui să promovăm mai mult aceste povești.

Aveți câteva sfaturi personale pentru profesioniștii în domeniul confidențialității datelor și implicit pentru cei care sunt DPO?

Da. Sfaturile pe care le dau oricărui tânăr care se gândește la o carieră în acest domeniu și oricărui profesionist care se gândește la o specializare în aceste domeniu este că nu este suficient să fii avocat, nu este suficient să fii manager, nu este suficient să fii un informatician. Cu siguranță, puteți obține o diplomă într-unul din aceste domenii, dar trebuie să fiți un profesionist hibrid. Dacă ești avocat, trebuie să înțelegi managementul afacerii, să te specializezi în managementul riscului și să obții cât mai mult cunoștințe în informatica pentru a avea succes și a fi eficient. Ceea ce vedem astăzi este o nouă profesie hibrid. Sfatul meu este fiecare profesionist trebuie să înțelegă tehnologia și modul în care este utilizata in afaceri, să cunoască legea și astfel va avea o carieră lungă de succes.

Mulțumesc foarte mult.

 

 

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Monitorizarea cetățenilor prin urmărirea semnalului WIFI a telefonului, amendată cu 600,000 euro

Noutati Internationale

Vizualizari: 1243

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Autoritatea de Supraveghere din Olanda a amendat Primăria Enschede cu 600.000 EUR după ce în 2017, Primăria Enschede a decis să măsoare cât de aglomerat era centrul orașului, folosind un sistem de senzori. Aceasta a contractat o companie specializată și ulterior mai mulți senzori au fost plasați pe străzile comerciale care detectau semnalele Wi-Fi de pe telefoanele mobile ale trecătorilor. Fiecare telefon a fost înregistrat separat și a primit un cod unic. Acest lucru a făcut posibilă măsurarea a cât de aglomerată este o anumită strada, numărând câte telefoane sunt lângă un senzor la un anumit moment.

O anchetă a Autorității de Supraveghere  asupra Primăriei Enschede a concluzionat că dacă sistemul monitorizează pe o perioadă mai lungă de timp ce telefoane trec pe lângă un anumit senzor, în acest caz „numărarea” devine monitorizare sistematică și prin urmare, viața privată a oamenilor nu a fost protejată corespunzător, deoarece aceștia puteau fi urmăriți, fără ca acest lucru să fie necesar.

Chiar dacă Primăria a afirmat că nu a avut niciodată intenția de a urmări trecătorii, Autoritatea de Supraveghere a constat că urmărirea WIFI (chiar dacă a fost neintenționată) constituie o încălcare gravă a GDPR considerând că Primăria și-a urmărit trecătorii fără un temei juridic efectiv și a încălcat astfel art. 5 (1) a) GDPR și art. 6 (1) GDPR.

„Confidențialitatea oamenilor trebuie să fie pe primul loc”

„Dacă oamenii pot fi urmăriți prin intermediul telefoanelor lor, aceasta este o practică nepotrivită pentru municipalitate. Orice persoană are dreptul să-și desfășoare activitatea afară în mod liber și fără a fi spionat, fără ca guvernul sau orice alt partid să îl poată urmări sau să țină evidența a ceea ce face. Aceasta este o condiție fundamentală a unei societăți libere. Nimeni nu ar trebui să poată urmări ce magazine, medici, biserici sau moschei vizităm. Aceastea sunt date personale și ar trebui să rămână private. Astfel, oamenii pot fi ei înșiși, fără a se simți inhibați de posibilitatea unei supravegheri." a declarat Monique Verdier, vicepreședinte al APD. 

„Municipalitățile ar trebui să pună pe primul loc acest drept fundamental al cetățenilor lor. Orice sistem de măsurare a mulțimilor din centrul orașului ar trebui să doar numere oamenii, nu să îi urmărească"

Urmărirea persoanelor 

Municipalitatea și companile contracte pentru a instala sistemul de monitorizare au avut acces la aceste date.

„Aceste date ar putea fi utilizate pentru a urmări oamenii din centrul orașului Enschede”, a explicat dna Verdier. „Când nu este chiar așa de aglomerat, se poate vedea exact ce face o persoană. Sau se pot face profile, de exemplu dacă o persoană ajunge în aceeași locație în fiecare zi la ora 08.00 și pleacă din nou la ora 17.00, asta înseamnă că lucrează acolo."

În urma intervenției DPA, municipalitatea a încetat să mai utilizeze urmărirea Wi-Fi la 1 mai 2020 dar a și formulat o contestație împotriva deciziei. 

Urmărirea Wi-Fi este interzisă în majoritatea cazurilor

Utilizarea urmăririi Wi-Fi este supusă unor condiții stricte și, în majoritatea cazurilor, este interzisă. „Deoarece această tehnologie poate afecta atât de profund viața de zi cu zi a oamenilor, trebuie utilizată numai în cazuri excepționale”, a spus dna Verdier. 

„În unele situații, municipalitățile au voie să proceseze date cu caracter personal utilizând urmărirea Wi-Fi, de exemplu, dacă acest lucru este necesar pentru ca acestea să își poată îndeplini atribuțiile legale. Dar dacă Autoritatea de Supraveghere stabilește că o municipalitate sau o companie utilizează urmărirea Wi-Fi în mod ilegal, riscă o amendă seminificativă ", a adăugat ea. 

Autoritatea de Supraveghere a recomandat municipalităților să examineze orice proiecte propuse sau în curs de desfășurare care implică urmărirea Wi-Fi.

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Germania: Utilizarea Mailchimp pentru a trimite newslettere în UE este ilegala. Avem alte soluții?

Noutati Internationale

Vizualizari: 6069

Facebooktwittergoogle_plusredditpinterestlinkedinmail

În urma unei reclamații privind nerespectarea Art.44 GDPR, Autoritatea de Supraveghere Germana (BayLDA) a considerat ilegală utilizarea de către o companie din Germania (FOGS Magazin, München) a serviciilor companiei Mailchimp (The Rocket Science Group LLC, SUA) pentru a trimite newslettere, deoarece Mailchimp s-ar putea califica drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere, iar operatorul de date din UE nu a evaluat acest risc.

Autoritatea de Supraveghere Germana (BayLDA) a prezentat și argumentele pentru care utilizarea Mailchimp a fost ilegală:

  • Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)). Prin urmare, adresele de e-mail transferate ar putea fi în pericol de a fi accesate de serviciile de informații americane.
  • În lumina deciziei CJUE „Schrems II” (C-311/18), respondentul nu a reușit să evalueze dacă există măsuri suplimentare în vigoare pentru a se asigura că datele transferate au fost protejate de supravegherea SUA.
  • Transferul de date s-a bazat doar pe clauze standard UE de protecție a datelor (Clauze contractuale standard - CSC).

Întrucât compania FOGS Magazin a declarat că renunță imediat la utilizarea Mailchimp, Autoritatea de Supraveghere Germana (BayLDA) nu a impus o amendă sau o măsură corectivă.

"Ca urmare a anchetei noastre, operatorul ne-a informat că a folosit Mailchimp de două ori pentru a trimite buletine informative. Datorită intervenției noastre, compania a anunțat acum că va înceta să utilizeze Mailchimp cu efect imediat. De asemenea, compania ne-a informat că a trimis adrese de e-mail doar catre Mailchimp și a declarat că recomandările Comitetului European pentru Protecția Datelor cu privire la măsurile suplimentare pentru transferul de date cu caracter personal către țări terțe nu se află încă în versiunea finală, dar fac obiectul unei consultări publice. (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en), se arată în documentul transmis de autoritate reclamantului.

"Conform evaluării noastre, utilizarea Mailchimp de către FOGS Magazin în cele două cazuri menționate a fost inadmisibilă din punct de vedere a legislației privind protecția datelor, deoarece FOGS nu a verificat dacă pentru transmiterea către Mailchimp sunt necesare „măsuri suplimentare”, în sensul deciziei CEJ „Schrems II” (CEJ, hotărârea din 16 iulie 2020, C-311/18 ), în plus față de clauzele standard UE de protecție a datelor."

Analizând acest transfer din punctul de vedere al conformității cu reglementările privind protecția datelor, în cazul de față, există indicii că Mailchimp se califică drept „furnizor de servicii de comunicații electronice” în conformitate cu legislația SUA de supraveghere (FISA702 (50 USC § 1881)) și astfel serviciile de informatii americate pot accesa aceste baze de date. Acest transfer ar putea fi permis numai prin luarea unor măsuri suplimentare.

Ce prevede Art.44 GDPR și Decizia Schrems II? Există soluții?

Vă reamintim că orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în capitolul 5 din Regulamentul 679/2016 sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din Regulamentul 679/2016 se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice nu este subminat.

La data de 16 iulie 2020, CJUE, în Cauza C-311/18 (Schrems II) a invalidat Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA, cunoscut sub numele de Privacy Shield, deoarece a considerat că nu asigură nivelul de protecție oferit de GDPR (garanții adecvate, drepturi opozabile și căi de atac eficiente) din cauza gradului excesiv de intruziune a autorităților americane (NSA, FBI). Totodată, prin hotărâre s-a validat Decizia 2010/87 a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către persoanele împuternicite de către operator stabilite în țări terțe. Mai mult, Curtea a hotărât că decizia are aplicabilitate imediată, fără a se crea un vid legislativ deoarece RGPD oferă modalități alternative de a transfera date personale în condiții de legalitate.

"Pentru realizarea de transferuri putem apela în continuare la derogările din art. 46 RGPD care precizează că în absența unei decizii a Comisiei, se pot face transferuri către țări terțe sau organizații internaționale în baza unor garanții adecvate și cu condiţia să existe drepturi opozabile şi căi de atac eficiente pentru persoanele vizate. În afara unor garanții adecvate care implică fie autorităție de supraveghere, fie Comisia sau regulile corporatiste obligatorii, regăsim la alin. 3, lit. “a) clauze contractuale între operator sau persoana împuternicită de operator şi operatorul, persoana împuternicită de operator sau destinatarul datelor cu caracter personal din țară terță sau organizația internațională”, sub rezerva autorizării din partea autorităţii de supraveghere competente.

Chiar dacă, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să se asigure că legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau Regulile corporatiste obligatorii înainte de a transfera date cu caracter personal către respectiva țară terță, autoritățile de supraveghere vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit decizii cu privire la transferurile către țări terțe.

Articolul 49 din RGPD ne oferă, de asemenea, o altă soluție, în absența unei decizii a Comisiei și a garanțiilor adecvate și anume transferurile de date cu caracter personal către o țară terță sau o organizație internațională pot avea loc numai în una dintre condiţiile următoare:

a) persoana vizată şi-a exprimat în mod explicit acordul cu privire la transferul propus, după ce a fost informată asupra posibilelor riscuri pe care astfel de transferuri le pot implica pentru persoana vizată ca urmare a lipsei unei decizii privind caracterul adecvat al nivelului de protecţie şi a unor garanţii adecvate;

b) transferul este necesar pentru executarea unui contract între persoana vizată şi operator sau pentru aplicarea unor măsuri precontractuale adoptate la cererea persoanei vizate;

c) transferul este necesar pentru încheierea unui contract sau pentru executarea unui contract încheiat în interesul persoanei vizate între operator şi o altă persoană fizică sau juridică;

d) transferul este necesar din considerente importante de interes public;

e) transferul este necesar pentru stabilirea, exercitarea sau apărarea unui drept în instanţă;

f) transferul este necesar pentru protejarea intereselor vitale ale persoanei vizate sau ale altor persoane, atunci când persoana vizată nu are capacitatea fizică sau juridică de a-şi exprima acordul;

g) transferul se realizează dintr-un registru care, potrivit dreptului Uniunii sau al dreptului intern, are scopul de a furniza informaţii publicului şi care poate fi consultat fie de public în general, fie de orice persoană care poate face dovada unui interes legitim, dar numai în măsura în care sunt îndeplinite condiţiile cu privire la consultare prevăzute de dreptul Uniunii sau de dreptul intern în acel caz specific.”

Referitor la teza de la lit a), respectiv consimțământul persoanei vizate, EDPB reamintește condițiile referitoare la consimțământ, în mod special consimțământul trebuie să fie explicit, specific și informat.

Există soluții pentru ca firmele să își desfășoare în continuare activitatea în mod normal?

Există soluții pentru continuarea transferului de date personale către țări terțe sau organizații internaționale. Apreciem că multe dintre transferurile efectuate până la hotărârea Curții au încetat sau vor înceta, însă transferurile cu adevărat întemeiate se vor putea efectua în continuare cu respectarea restricțiilor și condițiilor impuse, finalitatea fiind apărarea drepturilor și intereselor cetățenilor europeni. Așteptăm cu interes recomandările EDPB pentru operatori și persoane împuternicite, până la apariția acestora facem câteva recomandări pentru operatorii de date personale în vederea respectării deciziei de invalidare a Scutului de confidențialitate:

  • În cazul soluțiilor de tip newsletter puteți înlocui aplicațiile din SUA cu soluții din Uniune sau chiar din România.
  • Site-urile de tip Wordpress, spre exemplu, asigură unelte de analiză a traficului asemănătoare cu Google Analytics, putându-se elimina acest tip de cookie.
  • Recomandăm eliminarea adreselor de tip yahoo și gmail în scop profesional și înlocuirea acestora cu domenii de e-mail găzduite în Uniunea Europeană. De asemenea, domeniile găzduite în țări terțe ar trebui mutate pe servere din uniunea Europeană.
  • Platformele site-urilor web găzduite în SUA pot fi înlocuite cu platforme găzduite în Uniunea Europeană.
  • Recomandăm înlocuirea aplicatiilor de transfer de documente cu soluții găzduite în UE.
  • De asemenea, serviciile de plată online de tipul Paypal pot fi înlocuite cu procesatori de plăți cu cardul din România, serviciile de remarketing de la Google pot fi eliminate și utilizate servicii din UE, aceeași soluție fiind valabilă și în cazul serviciilor de cloud.

Ori de câte ori se fac transferuri în SUA, utilizatorii trebuie informați transparent, în conformitate cu articolul 13 din RGPD, iar dacă prelucrarea / transferul se bazează pe consimțământ, operatorii trebuie să se asigure că au obținut un consimțământ valid.

Ca o recomandare generală, consiliem operatorii de date personale din România să își reanalizeze lista furnizorilor de servicii ce au calitatea de persoană împuternicită și să verifice țările către care se face transferul datelor prelucrate, iar, în cazul identificării de transferuri în țări terțe, să evalueze situația și să decidă asupra oportunității de a schimba acești furnizori cu furnizori de servicii din Uniunea Europeană."

Care au fost implicațiile invalidării Privacy Shiled la nivel european? Dar în România?

Daniela Cireașă, Senior Partner NeoPrivacy România: "Urmare a hotărârii CJUE în Cauza Schrems II  autoritățile de supraveghere din Europa au luat poziție în cazul transferurilor de date personale către SUA. Autoritatea de supraveghere din Elveția, țară care avea propriul acord cu Statele Unite, a invalidat acordul Elveția - SUA Privacy Shield în temeiul căruia se făceau transferurile de date personale ale cetățenilor elvețieni către SUA. Autoritățile elvețiene au anunțat în data de 8 septembrie 2020 că Statele Unite au fost scoase din lista țărilor care oferă protecție adecvată în anumite condiții deoarece nu asigură protecția necesară.

De asemenea, Comitetul „Convenției 108” și Comisarul pentru protecția datelor al Consiliului Europei au solicitat, ambii, adoptarea standardelor legale internaționale pentru protecția datelor în urma hotărârii Schrems II. Într-o declarație comună aceștia au afirmat că „Țările trebuie să fie de acord la nivel internațional cu privire la măsura în care supravegherea efectuată de serviciile de informații poate fi autorizată, în ce condiții și în ce măsuri de protecție, inclusiv o supraveghere independentă și eficientă”.

Autoritățile de supraveghere din Berlin, Hamburg dar și autoritatea olandeză recomandă încetarea transferurilor către SUA. Autoritatea berlineză recomandă chiar retragerea datelor din SUA. Mai multe autorităților de supraveghere subliniază necesitatea unor analize suplimentare și evaluări de la caz la caz.

Menționăm că autoritatea de supraveghere din Irlanda a pus în vedere Facebook să înceteze transferurile de date către SUA. Urmare a acestei somații, la data de 11 septembrie 2020, Facebook a început acțiuni în justiție împotriva Comisiei irlandeze pentru protecția datelor (IDPC), lansând un recurs în Irlanda în încercarea de a opri ordinul preliminar al IDPC de a suspenda utilizarea clauzelor contractuale standard (CSC) în transferurile de date UE-SUA.

CNIL a solicitat autorităților franceze să oprească cât mai repede posibil găzduirea platformei de date privind sănătatea pentru cercetare de către Microsoft, având în vedere recenta invalidare a Privacy Shield. Secretarul de stat pentru digital a anunțat în aceeași zi că lucrează cu ministrul sănătății pentru a repatria această platformă în infrastructurile franceze sau europene.

Facebook a considerat propunerea ca fiind prematură și a îndemnat autoritatea de reglementare irlandeză să adopte o abordare pragmatică și proporțională până când se poate ajunge la o soluție durabilă pe termen lung, deoarece susține că ordinul preliminar a fost decis înainte ca Facebook să primească îndrumări de la Comitetul european pentru protecția datelor.

În România, în timpul anului școlar, în condiții restrictive pentru toți subiecții implicați, opțiunea desfășurării ședințelor, întâlnirilor și orelor on-line cu părinți, profesori și elevi fiind din ce în ce mai utilizată. Majoritatea platformelor utilizate pe perioada stării de urgență și a stării de alertă transferau date în SUA. Ministerul Educației și Cercetării a anunțat la data de 2 septembrie 2020 că, în colaborare cu Google (Meet) și Microsoft (Teams) pune la dispoziție în mod gratuit platforme educaționale, ambele platforme aparținând unor companii americane. Adăugăm la lista platformelor care transfera date in SUA și noua facilitate a Anaf, de identificare vizuală în spațiul virtual printr-o platformă dedicată, platforma utilizată, conform declarațiilor utilizatorilor, fiind Zoom, platformă care a fost în trecut ținta unor atacuri din partea hackerilor.

O dovadă în plus că în România operatorii, fie ei de stat sau privați, nu au asimilat informația invalidării Scutului de confidențialitate sunt magazinele online sau simple site-uri de prezentare care utilizează în continuare suita de cookie-uri de analiză de la Google, soluții de newsletter sau de plată americane etc. Chiar și site-urile candidaților la alegerile locale au astfel de cookie-uri instalate. Apreciem că majoritatea operatorilor utilizează aceste soluții fără a fi deplin conștienți de implicații.

Apreciem că suntem încă departe de o nouă înțelegere între UE și SUA deși recomandările pentru SUA au devenit și mai urgențe: (1) adoptarea unei legislații federale cuprinzătoare privind confidențialitatea, (2) înființarea unei agenții independente de protecție a datelor și (3) ratificarea Convenției Consiliului Europei privind confidențialitatea. Actuala situație de incertitudine afectează atât companiile europene și americane cât și drepturile și interesele cetățenilor europeni.

NYOB a efectuat în perioada iulie - septembrie 2020 o interpelare a 33 de companii care transferă date în SUA iar reacțiile acestora au fost dintre cele mai variante de la lipsa unui răspuns pâna la răspunsuri vagi sau lipsite de substanță. Companii precum Airbnb, Netflix sau Whatsapp nu au răspuns deloc, în timp ce altele au răspuns făcând trimitere la Politici de confidențialitate care nu răspund întrebarilor punctuale adresate sau prin punerea la dispoziție a unor Clauze contractuale standard vădit neacoperitoare deoarece companiile respective se supun legislației americane intruzive.

Recomandăm tuturor operatorilor de date personale din România să apeleze la specialiști în domeniul protecției datelor personale, singurii care, la momentul actual, sunt la curent cu noutățile în domeniu și sunt în măsură să explice operatorilor toate implicațiile și să ofere soluții conforme cu legislația protecției datelor."

INTRA ACUM în grupul TELEGRAM "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Ce este certificatul verde digital? Cum vor fi protejate datele cu caracter personal?

Adeverința electronică verde va facilita libera circulație în UE, în condiții de siguranță, în timpul pandemiei de COVID-19. Va fi dovada că o persoană: fie a fost vaccinată […]

Comisia Europeană a lansat studiul normelor legale privind prelucrarea datelor de sănătate (GDPR)

Comisia Europeană a publicat un studiu privind „ Evaluarea normelor statelor membre ale UE privind datele de sănătate în lumina GDPR ”. Studiul constată că, deși Regulamentul General privind Protecția […]

EDPS încurajează instituțiile europene să evite transferurile de date cu caracter personal către Statele Unite

Autoritatea Europeană pentru Protecția Datelor (EDPS) a emis în data de 29 Octombrie 2020 un document strategic care vizează monitorizarea conformității instituțiilor, organismelor, oficiilor și agențiilor europene în […]

Exemplul H&M: prelucrarea „periculoasa”​ si ilegala a unor informatii sensibile despre proprii angajati

Presa internațională anunță amendarea retailer-ului H&M de către Autoritatea de Supraveghere din Germania cu suma de 35,258,707.95 euro. Compania înregistrată în Hamburg și având un service center în Nuernberg, păstra […]

EDPB formează grupuri de lucru Schrems II și adoptă ghiduri cu privire la operatori și imputerniciți și la targetarea utilizatorilor de social media

Comitetul European pentru Protecția Datelor („EDPB”) a anunțat în data de 4 septembrie 2020, că a format un grup de lucru pentru analiza reclamațiilor depuse în urma hotărârii […]

Programul american de supraveghere în masă, expus de Edward Snowden, a fost ilegal

(Reuters) – La șapte ani după ce fostul angajat al Agenției Naționale de Securitate Edward Snowden a făcut publice informații cu privire la supravegherea în masă a telefoanelor […]

Invalidarea Deciziei Comisiei Europene (UE) 2016/1250 privind Scutul de confidențialitate UE-SUA

„Prin hotărărea din data de 16 iulie 2020 pronunțată în cauza C-113/18, Curtea de Justiție a Uniunii Europene invalidează Decizia de punere în aplicare (UE) 2016/1250 a Comisiei […]

Obligații aplicabile din 12 iulie 2020 pentru intermediarii de servicii online (Marketplace) și pentru motoarele de căutare online

Prin Regulamentul UE 2019/1150 din 20 iunie 2019 privind promovarea echitații și a transparentei pentru întreprinderile utilizatoare de servicii de intermediere online, aplicabil începând cu data de 12 […]

PECB semnează un parteneriat cu NeoPrivacy România și lansează cursurile recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Belgia: Ghid privind verificările temperaturii la intrarea în incinte

În data de 5 iunie 2020, Autoritatea de Supraveghere din Belgia a publicat un ghid cu privire la verificările de temperatură în timpul crizei COVID-19, având în vedere […]

Olanda: Oricine postează online imagini cu minori, trebuie să obțină anterior consimțământul tutorilor legali

O instanță din Olanda a decis că o bunică trebuie să șteargă pozele nepoților săi, postate pe contul de socializare, după ce fiica sa a depus o plângere […]

Comisia Europeana organizează un hackathon european pentru a dezvolta soluții inovatoare pentru combaterea focarului COVID19

Începând de mâine și în tot weekendul, Comisia Europeana va organiza #EUvsVirus Hackathon , sub patronajul Comisarului European pentru inovare, cercetare, cultură, educație și tineret. Hackathonul, organizat de […]

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

GHID și INSTRUCȚIUNI DE LUCRU privind protecția datelor în contextul epidemiologic actual

La 10 martie 2020, Autoritatea Națională Maghiară pentru Protecția Datelor și Libertatea Informațiilor („NAIH”) a emis un ghid  privind protecția datelor in contextul pandemiei cu COVID-19. NAIH evidențiază faptul […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Amenda GDPR primită de Facebook în Germania este un „avertisment” pentru noi toți

Facebook a primit o amendă de 51.000 de euro ( 55.500 de dolari ) pentru că nu a numit în mod corespunzător un ofițer pentru protecția datelor pentru […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Facebook forțat să amâne lansarea noului serviciu de dating în Europa

Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

7 documente adoptate de EDPB în ultima sesiune plenară (inclusiv ghid monitorizare)

Sesiunile plenare ale Comitetul european pentru protecția datelor (cunoscut sub acronimul EDPB) sunt poate cele mai așteptate evenimente, pe plan european, în ceea ce privește protecția datelor, în […]