13 minute read
Instrumente de lucru adoptate de cepd și măsuri administrative la nivelul statelor membre ue / Working tools adopted by edpb and administrative measures at the eu member states level
Instrumente de lucru adoptate de CEPD
În cadrul ședinței Plenare din 02.092020, desfășurată on-line, CEPD a adoptat două instrumente de lucru, pentru consultare publică 1 . Instrumentele se referă la: ✔ Orientările 07/2020 privind conceptele de operator și persoană împuternicită din RGPD 2 .
Advertisement
Orientările 7/2020urmăresc clarificarea conceptelor-cheie în aplicarea regulilor de protecție a datelor personale, raportat la prevederile art. 4 din RGDP și în con1 See https://edpb.europa.eu/news/
siderarea rolului acestora în stabilirea obligațiilor corespunzătoare, respectiv noțiunile de operator, operatori asociati și de persoană împuternicită de operator. Noile orientări constau în două părți principale: una care explică dife ritele concepte; cealaltă, inclusiv îndrumări detaliate cu privire la principalele consecințe ale acestor concepte pentru controlere,
Working tools adopted by the EDPB
At its online plenary session on 02.092020, the EDPB adopted two working tools for public consultation 1 . The tools cover: ✔ Guidelines 07/2020 on the concepts of controller and processor in the GDPR 2 .
Guidelines 7/2020 aim at clarifying the key concepts in le in establishing the corresponding obligations, respectively the notions of controller, joint controllers and the processor. The new guidelines consist of two main parts: one that explains the different concepts; the other, including detailed guidance on the main consequences of these concepts for common
Instrumente de lucru adoptate de cepd și măsuri administrative la nivelul statelor membre ue
by Mugurel Olariu, RPD protectie date
1 A se vedea la https://edpb.europa.eu/ news/news_en 2 A se vedea la https://edpb.europa. eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en procesoare și controlere comune. Liniile directoare includ o diagramă pentru a furniza îndrumări practice suplimentare.
✔ Orientările 8/2020 privind direcționarea către utilizatorii de social media 3 . the application of personal data protection rules, related to the provisions of art. 4 of the GDPR and considering their ro
controllers, processors and joint news_en. 2 See https://edpb.europa.eu/our-worktools/public-consultations-art-704/2020/ guidelines-072020-concepts -controllerand-processor_en.
controllers. The guidelines include a diagram to provide additional practical guidance.
✔ Guidelines 8/2020 on targeting social media users3.
3 See https://edpb.europa.eu/our-worktools/public-consultations-art-704/2020/ guidelines-082020-targeting-social
Orientările 8/2020prezintă situații concrete în scopul de a fi de un real folos companiilor în activitatea desfășurată. Scopul principal al orientărilor este de a clarifica rolurile și responsabilitățile furnizorului de social media și ale persoanei vizate.În acest scop, liniile directoare, printre altele, identifică riscurile potențiale pentru libertățile individuale, principalii actori și rolurile acestora, aplicarea cerințelor cheie de protecție a datelor, precum legalitatea, transparența, AIPD și elementele cheie ale aranjamentelor între furnizorii de social media și persoanele vizate. În plus, liniile directoare se concentrează pe diferitele mecanisme de direcționare,prelucrarea unor categorii speciale de date și obligația operatorilor comuni de a stabili un acord adecvat în conformitate cu articolul 26 RGPD.
Consultarea publică se desfășoară până cel mai târziu la data de 19 octombrie 2020, orice per soană interesată fiind în măsură să transmită propunerile sau ob servațiile pe care le consideră necesare. Precizăm că, acestea pot fi publicate de către CEPD, potrivit formularului de Declarație de confidențialitate specifică. Măsuri administrative la nivelul between social media providers
Un cetățean belgian a solicitat turile priveau o presupusă relație
Statelor Membre UE
Lunile de vară - iulie și august au venit cu măsuri administrative destul de consistente aplicate de Autoritățile Naționale de Supraveghere din Statele Membre UE, astfel cum reiese din secțiunea de știri naționale a CEPD 4 .
Dintre acestea, am efectuat o selecție a celor mai importante măsuri, pentru a reuși să aducem
Guidelines 8/2020 present concrete situations in order to be of real benefit to companies in their activity. The main purpose of the guidelines is to clarify the roles and responsibilities of the social media provider and the data subject. To this end, the guidelines identify, inter alia, the potential risks to individual freedoms, the main actors and their
and August came with fairly consistent administrative measures applied by the National Supervisory Authorities of the EU Member States, as shown by the national news section of the EDPB 4 . From these, we made a selection of the most important measures, in order to bring to the attention of the operators the
Working tools adopted by edpb and administrative measures at the eu member states level
eu/our-work-tools/public-consultations-art-704/2020/guidelines-082020-targeting-social-media-users_en în atenția operatorilor calificarea și importanța măsurilor tehnice și organizatorice care trebuie adoptate, în scop preventiv:
l 16 iulie - Autoritatea Națională de Supraveghere (ANS) din Belgia a aplicat o amendă de 600.000 EUR pentru Google Belgia pentru nerespectarea dreptului de a fi uitat de un cetățean belgian și pentru lipsa de transparență în formularul său de solicitare de radiere. eliminarea linkurilor care conțin informații negative despre el. Solicitarea a fost refuzată de Google. Camera de litigii a ANS belgiană a constatat că unele dintre aces te legături erau necesare pentru interesul public și nu ar trebui eli minate: cetățeanul joacă într-adevăr un rol în viața publică, iar legăcu un partid politic. Celelalte lin kuri conțineau informații depășite, roles, the application of key data protection requirements, such as legality, transparency, DPIA and key elements of arrangements qualification and the importance
and data subjects. In addition, the guidelines focus on the di fferent targeting mechanisms, the processing of special categories of data and the obligation for common operators to establish an appropriate agreement in accordance with Article 26 of the GDPR.
The public consultation shall take place by 19 October 2020 at the latest, and any interested person shall be able to submit any proposals or comments it deems necessary. Please note that they can be published by the EDPB, according to the Specific Privacy Statement form.
Administrative measures at EU Member State level
The summer months - July Mean-users_en. of the technical and organizational measures that must be adopted, for preventive purposes:
l July 16 - The Belgian National Supervisory Authority (NSA) fined Google Belgium EUR 600,000 for non-compli ance with the right to be forgotten by a Belgian citizen and for lack of transparency in its deregistration application form.
A Belgian citizen has requested the removal of links containing negative information about him. The request was denied by Google. The Belgian NSA Chamber of Disputes found that some of these links were necessary for the public interest and should not be removed: the ci tizen does play a role in public life, and the links concerned an alleged relationship with a political party. The other links con
nefondate și care ar putea afecta grav reputația cetățeanului. ANS belgiană consideră că aceste le gături ar fi trebuit deci eliminate de la Google. Pentru ANS belgiană, este important de menționat că faptele cazului au fost clare, lăsând Google nici un spațiu rezonabil pentru a decide altfel. Mai mult, Google nu avea transparență în forma de radiere, precum și în răspunsul la persoana vizată. Din aceste motive, ANS belgiană a decis să impună o amendă de 600.000 EUR. Aceasta este cea mai mare amendă impusă vreodată de ANS belgiană.
l 27 iulie - ANS din Italia a impus unor operatori de telefonie amenzi în cuantum de aproximativ 17 milioane EUR - companiei Wind Tre SpA și de 0,8 milioane EUR - companiei Iliad În cadrul activităților de punere în aplicare a ANS italiene cu privire la operatorii de telefonie, Wind Tre SpA a fost amendată cu aproximativ 17 milioane EUR pe 9 iulie din cauza mai multor cazuri de prelucrare ilegală a datelor care au fost legate în principal de marketing. ANS italiană a emis deja o măsură prohibitivă împotriva companiei, din cauza unor încălcări similare care au avut loc atunci când legea anterioară privind protecția datelor era în vi goare. Amenda a fost aplicată în urma unor investigații și inspecții complexe. Au fost primite reclamații de la utilizatori împotriva comunicărilor de marketing nesolicitate făcute fără consimțământul lor prin mesaje text, e-mailuri, faxuri și apeluri telefonice automate. În mai multe cazuri, reclamanții au declarat că nu li s-a permis exercitarea dreptului de a retrage consimțământul sau de a obiecta la prelucrarea datelor lor în scopuri de marketing, parțial din cauza informațiilor de contact inexacte furnizate în notificările de informații. În alte cazuri, datele personale ale utilizatorilor au fost incluse în listele de telefonie publică, în ciuda obiecțiilor (uneori reiterate) formulate de acei utilizatori. Ancheta a arătat că aplicațiile MyWind și My3 au fost configurate în așa fel încât să solicite utilizatorului consimțământul, la fiecare acces, la prelucrarea în diferite scopuri, inclusiv marketing, profilare, comunicarea datelor către terți, îmbogățirea datelor și geolocalizarea; retragerea unui astfel de consimțământ a fost
tained outdated, unfounded information that could seriously affect the citizen’s reputation. The Belgian NSA considers that these links should therefore have been removed from Google. For the Belgian NSA, it is important to note that the facts of the case were clear, leaving Google no reasonable room to decide otherwise. Moreover, Google did not have transparency in the form of deletions, as well as in the response to the person concerned. For these reasons, the Belgian NSA decided to impose a fine of EUR 600,000. This is the largest fine ever imposed by the Belgian NSA.
l July 27 - Italian NSA fined some telephone operators EUR 17 million - Wind Tre SpA and EUR 0.8 million - Iliad
As part of the implementation of the Italian NSA on telephone operators, Wind Tre SpA was fined around EUR 17 million on 9 July due to several cases of illegal data processing which were mainly related to marketing. The Italian NSA has already issued a prohibitive measure against the company, due to similar infringements that took place when the previous data protection law was in force. The fine was applied following complex investigations and inspections. Complaints were received from users against unsolicited marketing communications made without their consent via text messages, e-mails, faxes and automated phone calls. In several cases, the complainants stated that they were not allowed to exercise their right to withdraw consent or object to the processing of their data for marketing purposes, in part because of inaccurate contact information provided in the notifications. In other cases, users’ personal data were included in public telephone lists, despite objections (sometimes reiterated) made by those users. The survey showed that MyWind and My3 applications were configured to require the user to consent, at each access, to processing for various purposes, including marketing, profiling, data communication to third parties, data enrichment and geolocation; withdrawal of such consent
permisă după 24 de ore.
În cadrul ședinței sale din 9 iulie, ANS italiană a evaluat, de asemenea, constatările investigațiilor privind un alt operator de telefonie, adică Iliad; în acest caz, neajunsurile au fost detectate în diferite privințe, în special în ceea ce pri vește accesul angajaților la datele de trafic. În consecință, compania a fost amendată cu 800.000 EUR.
l 29 iulie - Comisarul de stat din Baden-Wuerttemberg pentru protecția datelor și libertatea informației impune amendă de 1.240.000 EUR, AOK Baden-Wuerttemberg
Din 2015 până în 2019, AOK Baden-Wuerttemberg a găzduit tombole la diferite ocazii. În acest context, AOK a colectat datele personale ale participanților, inclusiv datele de contact și afilierea la asigurările de sănătate. Între altele, AOK a dorit să utilizeze aceste date în scopuri publicitare, cu condiția ca participanții să fi consimțit în conformitate. Prin măsuri tehnice și organizaționale, care includeau orientări interne și instruiri privind protecția datelor, printre altele, AOK a dorit să se asigure că numai datele participanților la tombolă care și-au dat consimțământul prealabil și valid vor fi utilizate în scopuri publicitare. Aceste măsuri stabilite de AOK nu au respectat, însă, cerințele legale. Datele personale ale mai mult de 500 de participanți la tombolă au fost, prin urmare, utilizate în scopuri publicitare fără consimțământul lor.
Din cauza încălcării obligațiilor de prelucrare securizată a datelor (articolul 32 din Regulamentul general european privind protecția datelor, RGPD), Departamentul de amenzi al comisarului de stat din Baden-Wuerttemberg pentru protecția datelor și libertatea informației (LfDI) a emis o amendă de 1.240.000 EURO împotriva AOK Baden-Wuerttemberg. În același timp, Departamentul amenzilor, în colaborare constructivă cu AOK, a pregătit, de asemenea, calea pentru o îmbunătățire a măsurilor tehnice și organizatorice pentru protecția datelor cu caracter personal la AOK Baden-Wuerttemberg. a amendat cu 830.000 EUR Registrul național de credit (BKR) pentru taxele de acces la date le cu caracter personal
Registrul național de credit (BKR) din Olanda nu mai poate percepe taxe persoanelor care doresc să acceseze datele personale pe care le deține. În plus, dacă persoanele vizate doresc să primească o copie a datelor lor prin poștă, procedura trebuie să fie simplă și trebuie să poată solicita o nouă copie după ce a trecut o perioadă rezonabilă de timp. BKR a creat prea multe obstacole pentru persoanele care doresc să își acceseze datele. Conform legislației privind confidențialitatea, acest lucru nu este permis. Drept urmare, Autoritatea olandeză pentru protecția datelor (ANS olandeză) a emis BKR cu o amendă de 830.000 EUR.
was allowed after 24 hours.
At its meeting on 9 July, the Italian NSA also assessed the findings of investigations into another telephone operator, the Iliad; in this case, the shortcomings were detected in various respects, in particular as regards employees’ access to traffic data. Consequently, the company was fined EUR 800,000.
l July 29 - Baden-Wuerttemberg State Commissioner for Data Protection and Freedom of Information imposes a fine of EUR 1,240,000, AOK Baden-Wuerttemberg
From 2015 to 2019, AOK Baden-Wuerttemberg hosted raffles on various occasions. In this context, AOK collected the personal data of the participants, including contact details
l 18 august - ANS spaniolă a aplicat o amendă de 70.000 EUR pentru XFERA MOVILES pentru divulgarea datelor personale ale unui client către o terță parte.
Reclamantul a fost informat de un alt client al companiei Masmovil că, din cauza unei greșeli a unei companii, au fost acuzați de fac tura reclamantului și, astfel, aveau acces la datele lor personale (numele, numărul cărții de identitate și numărul de telefon personal). ANS a considerat că aceasta constituie o încălcare a principiului confidențialității, stabilit la articolul 5 alineatul (1) litera (f) din RGPD. and health insurance affiliation. Among other things, AOK wanted to use this data for advertising purposes, provided that the participants had consented accordingly. Through technical and organizational measures, which included internal guidelines and data protection training, among others, AOK wanted to ensure that only the data of raffle participants who had given their prior and valid consent would be used for advertising purposes. However, these measures established by AOK did not comply with the legal requirements. The personal data of more than 500 participants in the raffle were therefore used for advertising purposes without their consent.
Due to breach of secure data processing obligations (Article 32 of the European General Data Protection Regulation, GDPR), the Department of Fines of the Baden-Wuerttemberg State Commissioner for Data Protection and Freedom of Information (LfDI) issued a fine of 1,240. 000 EUR against AOK Baden-Wuerttemberg. At the same time, the Department of Fines, in constructive collaboration with AOK, has also paved the way for improved technical and organizational measures for the protection of personal data at AOK Baden-Wuerttemberg.
l August 6 - Dutch NSA fined the National Credit Register (BKR) EUR 830,000 for personal data access fees
The National Credit Register (BKR) in the Netherlands can no longer charge fees to people who want to access their personal data. In addition, if data subjects wish to receive a copy of their data by post, the procedure must be simple and they must be able to request a new copy after a reasonable period of time has elapsed. BKR has created too many barriers for people who want to access their data. Under confidentiality law, this is not allowed. As a result, the Dutch Data Protection Authority (Dutch NSA) issued BKR with a fine of EUR 830,000.
l August 18 - Spanish NSA fined XFERA MOVILES EUR 70,000 for disclosing a customer’s personal data to a third party.
The applicant was informed by another customer of Masmovil that, due to a mistake by a company, they had been charged with the applicant’s invoice and thus had access to their personal data (name, identity card number and personal telephone number). NSA considered that this was a breach of the princi ple of confidentiality, as set out in Article 5 (1) (f) of the GDPR.
grisogono
www.grisogono.ro
