7 minute read
Actualitate ag
Avem noi clauze contractuale standard
Pe 4 iunie 2021 Comisia Europeană a adoptat două seturi de clauze contractuale standard, unul pentru utilizarea între operatori și procesatori și altul pentru transferul de date cu caracter personal către țări terțe. Aceste documente reflectă noile cerințe în temeiul GDPR și iau în considerare hotărârea Schrems II a Curții de Justiție, asigurând un nivel ridicat de protecție a datelor pentru cetățeni. Aceste noi instrumente vor oferi mai multă previzibilitate juridică organizațiilor europene și vor ajuta, în special, IMM-urile să asigure conformitatea cu cerințele pentru transferuri sigure de date, permițând în același timp ca datele să circule liber peste granițe, fără bariere de legalitate. Noile clauze contractuale standard (CCS) iau în considerare avizul comun al Comitetului european pentru protecția datelor și al Autorității europene pentru protecția datelor, feedbackul părților interesate în timpul unei consultări publice ample și opinia reprezentanților statelor membre.
Advertisement
„În Europa, vrem să rămânem deschiși și să permitem fluxul de date, cu condiția ca protecția să curgă odată cu aceasta. Clauzele contractuale standard modernizate vor contribui la atingerea acestui obiectiv: oferă companiilor un instrument util pentru a se asigura că respectă legile privind protecția datelor, atât pentru activitățile lor în UE, cât și pentru transferurile internaționale. Aceasta este o soluție necesară în lumea digitală interconectată, unde transferul de date se face prin câteva clikuri, ” a declarat Vera Jourová, Vicepreședinte pentru valori și transparență. Cu ce modificări vin noile modele de CCS? Clauzele contractuale standard publicate recent reflectă noi cerințe în temeiul Regulamentului general privind protecția datelor și abordează realitățile cu care se confruntă companiile moderne. Datorită standardizării și aprobării prealabile, CCS oferă companiilor un șablon ușor de implementat, iar organizațiile știu că atunci când utilizează acest model de clauze îndeplinesc cerințele de protecție a datelor. Noile clauze vin cu un singur punct de intrare care acoperă o gamă largă de scenarii de transfer, în loc de seturi separate de clauze. Totodată, se oferă mai multă flexibilitate pentru fluxurile complexe de procesare, printr-o „abordare modulară”, cu posibilitatea ca mai mult de două părți să adere și să utilizeze clauzele;
Clauzele reprezintă un set de instrumente practice pentru a se conforma hotărârii Schrems II; adică o prezentare generală a diferitelor etape pe care trebuie să le parcurgă companiile pentru a se conforma hotărârii Schrems II, precum și exemple de posibile „măsuri suplimentare”, cum ar fi criptarea, pe care companiile le pot lua dacă este necesar. Pentru operatorii și procesatorii care utilizează în prezent seturi anterioare de clauze contractuale, este prevăzută o perioadă de tranziție de 18 luni.
Nevoia unei actualizări a apărut din iulie 2020, când Curtea de Justiție europeană a confirmat valabilitatea clauzelor contractuale standard ale UE pentru transferul de date cu caracter personal către procesatori din afara UE / SEE („CSC”), invalidând în același timp acordul existent între UE-SUA.
Comisia Europeană a adoptat pe 28 iunie două decizii de adecvare pentru Regatul Unit una în temeiul Regulamentului general privind protecția datelor (GDPR) și cealaltă pentru Directiva privind aplicarea legii. Datele cu caracter personal pot circula acum liber din Uniunea Europeană în Regatul Unit, unde beneficiază de un nivel de protecție esențial echivalent cu cel garantat de legislația UE. Deciziile de adecvare facilitează, de asemenea, punerea în aplicare corectă a Acordului de comerț și cooperare UE-Regatul Unit, care prevede schimbul de informații cu caracter personal, de exemplu pentru cooperarea în materie judiciară.
Marea Britanie, care deși a contribuit esențial la cristalizarea actualei forme a GDPR, operează o politică de date complet independentă, a recunoscut deja statele membre UE și SEE drept „adecvate”, ca parte a angajamentului său de a stabili o tranziție lină post Brexit. Comisarul pentru informații ICO, Elizabeth Denham, a declarat: „Acesta este un rezultat pozitiv pentru întreprinderile și organizațiile din Marea Britanie. Adecvarea aprobată înseamnă că întreprinderile pot continua să primească date de la UE fără a fi nevoie să aducă modificări practicilor lor de protecție a datelor. Oamenii vor continua să se bucure de o protecție conform căreia datele lor vor fi utilizate în mod corect, legal și transparent. ”
Legea inteligenței artificiale
În 23 Aprilie 2021 a fost publicat un comunicat de presă privitor la nevoia de reglementare a modului în care se folosesc tehnologiile bazate pe inteligența artificială pentru identificare facială. Propunerea legislativă a Comisiei Europene pentru o reglementare a inteligență artificială este prima inițiativă, la nivel mondial, care oferă un cadru legal pentru inteligența artificială (AI). AEPD salută și susține conducerea Uniunii Europene (UE) cu scopul de a se asigura că soluțiile de IA sunt modelate în conformitate cu valorile și principiile legale ale UE.
”AEPD va continua să pledeze pentru o abordare mai strictă a recunoașterii automate în spațiile publice a caracteristicilor umane - cum ar fi fețele, dar și a mersului, amprentelor digitale, ADN-ului, vocii, tastelor și a altor semnale biometrice sau comportamentale - indiferent dacă acestea sunt utilizate într-un context administrativ sau în scopul aplicării legii. Este necesară o abordare mai strictă, având în vedere că identificarea biometrică la distanță, unde AI poate contribui la dezvoltări fără precedent, prezintă riscuri extrem de ridicate de intruziune profundă și nedemocratică în viața privată a indivizilor. ” Wojciech Wiewiórowski, președinte AEPD
Norvegia - Amendă pentru redirecționarea de emailuri
Autoritatea de supraveghere din Norvegia a amendat o companie locală cu 25.000 EUR pentru redirecționarea ilegală a e-mailurilor unui angajat. La baza cazului este o plângere depusă de o persoană care a constatat că angajatorul său a început să îi redirecționeze în mod automat e-mailurile. Mai mult de atât, angajatorul i-a solicitat angajatului să seteze această redirecționare automată, din motive operaționale. După ce a investigat problema, Autoritatea Norvegiană pentru Protecția Datelor a concluzionat că operațiunea nu avea un temei juridic pentru transmiterea e-mailurilor.
Olanda - Municipalitate penalizată pentru urmărire Wi-Fi
Autoritatea olandeză pentru protecția datelor a amendat o municipalitate cu 600.000 EUR pentru că a utilizat urmărirea Wi-Fi în centrul orașului într-un mod interzis. Monitorizarea Wi-Fi a făcut posibilă urmărirea cumpărătorilor și a persoanelor care locuiesc sau lucrează în centrul orașului. Acum câțiva ani, municipalitatea a decis să măsoare cât de aglomerat era centrul orașului, folosind senzori amplasați pe străzile comerciale care detectau semnalele WiFi de pe telefoanele mobile ale trecătorilor. Aparent, acest lucru făcea posibilă măsurarea nivelului de aglomerație de pe stradă, numărând câte telefoane sunt lângă un senzor la un anumit moment. Ancheta DPA a constatat că este vorba de un caz de urmărire, iar confidențialitatea cetățenilor nu a fost protejată corespunzător.
Portugalia - Exportul datelor de recensământ interzis
Autoritatea portugheză pentru protecția datelor (CNPD) a ordonat INE (Institutul Național de Statistică) să suspende trimiterea de date cu caracter personal din Recensământul 2021 către Statele Unite. După o serie de reclamații referitoare la condițiile de colectare a datelor online, CNPD a efectuat o investigație rapidă și a concluzionat că INE a externalizat către un furnizor de servicii Cloud american funcționarea chestionarului recensământului, printr-un acord de prelucrare a datelor care prevede transferul de date personale către Statele Unite.
Italia - Competiție de design pentru pictograme
„Putem facilita menținerea confidențialității prin pictograme?” Pe această idee s-a bazat concursul de creație organizat de autoritatea de supraveghere italiană, care a solicitat participanților să trimită un set de simboluri sau icoane care pot reprezenta toate elementele care trebuie să fie conținute într-o notă de informare în Articolele 13 și 14 din GDPR.
Sinteza activității ANSPDCP – primele patru luni din 2021
Cu prilejul celebrării a trei ani de la aplicarea GDPR, autoritatea de supraveghere din România a realizat o sinteză a celor mai semnificative aspecte din activitatea ANSPDCP în primele patru luni ale anului 2021.
Astfel, în perioada analizată: 1733 de plângeri, sesizări și notificări privind incidente de securitate au fost primite, pe baza cărora au fost deschise 288 investigații. 15 amenzi în cuantum total de 110.545,7 lei au fost aplicate pe baza investigațiilor. 37 de avertismente și 30 de măsuri corective au fost aplicate. 1600 plângeri au fost primite, pe baza cărora au fost demarate 155 de investigații. 84 de notificări au fost trimise de operatorii de date au transmis (în temeiul GDPR și al Legii nr. 506/2004). 49 de sesizări au fost primite privind posibile neconformități cu dispozițiile GDPR. 133 de investigații din oficiu au fost demarate ca urmare a sesizărilor primite și încălcărilor de securitate notificate. . 352 solicitări de emitere puncte de vedere privind diverse aspecte referitoare la modalitatea de interpretare și aplicare a Regulamentului (UE) 679/2016 15 solicitări formulate în temeiul Legii nr. 544/2001, în principal din partea mass-media. Pe 27 ianuarie 2021, autoritatea a organizat o conferință online dedicată autorităților și instituțiilor publice, intitulată „Constatări și recomandări pentru operatorii din sectorul public”. Pe 28 ianuarie 2021, a fost organizată conferința cu tema „Constatări și recomandări pentru operatorii din sectorul privat”, cu participarea celor mai importante asociații și uniuni profesionale, a unor camere de comerț și a reprezentanților mass-media. În aprilie 2021, pe site-ul Autorităţii Naționale de Supraveghere au fost postate informații privind condițiile de transmitere/admisibilitate a plângerilor, conform Deciziei nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor. 16 comunicate de presă au fost postate la secțiunea ”Știri” pe site-ul
Autorității. 713 responsabili DPO au fost declarați de către operatorii din sectorul public și privat.
Sursa: https://www.dataprotection.ro/?page=Comunicat_Presa_25 _ 05 _ 2021&lang=ro
