Άσκηση δικαιωμάτων πρόσβασης, φορητότητα: ποιες είναι οι εξουσίες ενός εκπροσώπου;

Νομική Παρακολούθηση Αρ. 35 – Μάιος 2021

Άσκηση δικαιωμάτων πρόσβασης, φορητότητα: ποιες είναι οι εξουσίες ενός εκπροσώπου; Ορισμένοι υπεύθυνοι επεξεργασίας δεδομένων μπόρεσαν νόμιμα να εκφράσουν την αμηχανία τους κατά την παραλαβή ενός αίτημα από εταιρεία που έχει εντολή να λάβει δεδομένα από το αρχείο πελατών της, ιδίως όταν το αίτημα περιέχει ιδιαίτερα ευρείες απαιτήσεις, για παράδειγμα σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα χωρίς χρονικό περιορισμό ή που απαιτούν αυτόματη πρόσβαση στα δεδομένα.

Ο διαχειριστής μπορεί εύλογα να αμφισβητήσει τους κινδύνους της επαναχρησιμοποίησης των δεδομένων των πελατών του και τις πιθανές στρεβλώσεις του ανταγωνισμού που θα προέκυπταν από αυτό.

Κατ' αρχήν, ωστόσο, η πρακτική είναι νόμιμη.

Προβλέπεται από τον ΓΚΠΔ και το άρθρο 77 του εκτελεστικού διατάγματος του Νόμου περί Προστασίας Δεδομένων και αποσκοπεί στη διευκόλυνση της άσκησης των δικαιωμάτων πρόσβασης, αντίρρησης ή ακόμη και φορητότητας των δεδομένων, επιτρέποντας στα ενδιαφερόμενα πρόσωπα να καλέσουν έναν εκπρόσωπο για να ασκήσουν τα δικαιώματά τους.

Πώς μπορούμε να διατηρήσουμε τον έλεγχο των ατόμων επί των δεδομένων τους επιτρέποντας σε τρίτους να ασκήσουν αυτά τα δικαιώματα, αποφεύγοντας παράλληλα τις καταχρήσεις που θα μπορούσαν να προκύψουν από καταχρηστικές εντολές;

Εναπόκειται στον αντιπρόσωπο να ορίσει με σαφήνεια το πεδίο εφαρμογής της εντολής του και στον διαχειριστή που λαμβάνει ένα τέτοιο αίτημα να επαληθεύσει την εγκυρότητα αυτής της εντολής.

Η CNIL ξεκίνησε πρόσφατα δημόσια διαβούλευση σχετικά με ένα σχέδιο σύστασης που αποσκοπεί στη διευκρίνιση του πλαισίου αυτής της νέας πρακτικής.

Έχει επίσης δημοσιεύσει μια τυποποιημένη εντολή που μπορεί να χρησιμεύσει ως αναφορά για τους εκπροσώπους και τους υπεύθυνους επεξεργασίας δεδομένων.

Ορισμένες πτυχές χρήζουν ιδιαίτερης προσοχής και θα μπορούσαν να δικαιολογήσουν την απαίτηση ενός υπεύθυνου επεξεργασίας δεδομένων για πρόσθετες λεπτομέρειες πριν από τη διαβίβαση των εν λόγω δεδομένων.

• Δεδομένα που επιτρέπουν την σαφή ταυτοποίηση, στην εντολή, του προσώπου προς όφελος του οποίου ασκούνται τα δικαιώματα (για παράδειγμα, αναγνωριστικό, ημερομηνία γέννησης, ημερομηνία τελευταίας σύνδεσης)

• Η ταυτοποίηση του παραλήπτη στον οποίο διαβιβάζονται τα δεδομένα (ο οποίος μπορεί να είναι ο αντιπρόσωπος ή το ενδιαφερόμενο πρόσωπο)

• Η αυθεντικότητα της εντολής (ύπαρξη ηλεκτρονικής υπογραφής), το πεδίο εφαρμογής και η διάρκειά της. Πρέπει να προσδιοριστούν τα δεδομένα ή οι κατηγορίες δεδομένων. Η CNIL θεωρεί ότι μια εντολή που έχει θεσπιστεί για αόριστο χρονικό διάστημα δεν πληροί τις απαιτήσεις του νόμου.

• Εάν η μεταφορά πραγματοποιείται ηλεκτρονικά, ιδίως μέσω διεπαφής προγραμματισμού εφαρμογών (API), αυτή πρέπει να είναι σταθερή, να έχει υψηλό επίπεδο διαθεσιμότητας και να ενσωματώνει μέτρα ασφαλείας προσαρμοσμένα στους κινδύνους. Η CNIL έχει επιφυλάξεις σχετικά με τις τεχνικές συλλογής δεδομένων που επιτρέπουν την ανάκτηση του ονόματος χρήστη και του κωδικού πρόσβασης από το εν λόγω άτομο, προκειμένου να εξαχθούν αυτόματα τα δεδομένα.

Εάν ο υπεύθυνος επεξεργασίας δεδομένων έχει αμφιβολίες σχετικά με την εγκυρότητα μιας εντολής, οφείλει να δικαιολογήσει την άρνησή του να εγκρίνει το αίτημα πρόσβασης σύμφωνα με το άρθρο 12.6 του ΓΚΠΔ.

Αυτό θα μπορούσε να συμβεί, για παράδειγμα, εάν υπάρχουν εύλογες αμφιβολίες σχετικά με την ταυτότητα του εν λόγω προσώπου, κάτι που θα απαιτήσει τη συλλογή πρόσθετων πληροφοριών από το εν λόγω πρόσωπο ή τον αντιπρόσωπο.

Στην περίπτωση εντολής, όπως και για ένα κλασικό αίτημα πρόσβασης, ο χρόνος απόκρισης από τον υπεύθυνο επεξεργασίας είναι ένας μήνας.

Τι γίνεται με την πιθανή επαναχρησιμοποίηση αυτών των δεδομένων από τον πράκτορα για δικούς του σκοπούς;

Πρόκειται για ξεχωριστή πράξη επεξεργασίας που πρέπει να συμμορφώνεται με τις απαιτήσεις νομιμότητας του ΓΚΠΔ.

Το ενδιαφερόμενο πρόσωπο θα πρέπει σε κάθε περίπτωση να έχει την επιλογή να αποδεχθεί ή όχι, κατά περίπτωση, κάθε επαναχρησιμοποίηση που θα προβλεπόταν από τον αντιπρόσωπο.

Σημειώστε ότι η CNIL, όπως και η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων, θεωρεί ότι «οι πράκτορες δεν πρέπει να επαναχρησιμοποιούν δεδομένα που αφορούν τρίτους για δικούς τους σκοπούς», κάτι που θα θεωρούνταν παραβίαση των δικαιωμάτων και των ελευθεριών τρίτων.

Και επίσης

Γαλλία:

Στην έκθεση δραστηριοτήτων του 2020, η CNIL κάνει απολογισμό των σημαντικότερων γεγονότων του έτους, και ιδίως του αντίκτυπου της πανδημικής κρίσης στα θεμελιώδη δικαιώματα.

Τρία χρόνια μετά την έναρξη ισχύος του ΓΚΠΔ, σημειώνει ένα συνεχής αύξηση του αριθμού των καταγγελιών – περισσότερες από 62% φέτος και επέβαλε 14 κυρώσεις, συμπεριλαμβανομένων 11 προστίμων συνολικού ύψους 138 εκατομμυρίων ευρώ.

Ο Προτεραιότητες της Επιτροπής συμπεριλαμβάνω

• Οι νέοι κανόνες σχετικά με τα cookies (περίπου είκοσι οργανισμοί ελέγχθηκαν πρόσφατα),
• Κυβερνοασφάλεια και
• Ψηφιακή κυριαρχία.

Η CNIL ανακοινώνει επίσης προοπτικές εργασίας αφιερωμένες στη σύνδεση μεταξύ της προστασίας δεδομένων και των περιβαλλοντικών ζητημάτων που συνδέονται με την κλιματική αλλαγή.

Η CNIL ανακοίνωσε επίσης έλεγχοι στα φαρμακεία προκειμένου να επαληθεύσουν τις συνθήκες συλλογής των δεδομένων των πελατών τους από την εταιρεία Iqvia για τους σκοπούς της ανάλυσης παθολογιών.

Αυτοί οι έλεγχοι έρχονται μετά τη μετάδοση στα μέσα Μαΐου ενός ρεπορτάζ σχετικά με την εκμετάλλευση προσωπικών δεδομένων, το οποίο προκάλεσε πολυάριθμες αντιδράσεις.

Η Επιτροπή τελικά ανέφερε ότι ήταν υπέρ της δημιουργίας ενός διαβατηρίου υγείας υπό την προϋπόθεση ότι παρέχονται εγγυήσεις για την επεξεργασία δεδομένων και ότι η άδεια χρήσης χρησιμοποιείται μόνο για όσο διάστημα διαρκεί η υγειονομική κρίση.

Στις 3 Ιουνίου, δημοσίευσε την τρίτη γνωμοδότησή της σχετικά με τα μέτρα για την καταπολέμηση της πανδημίας.

Το Συνταγματικό Συμβούλιο αποφάνθηκε στις 20 Μαΐου σχετικά με τον νόμο περί «Παγκόσμιας Ασφάλειας».

Λογοκρίνει το Άρθρο 24 που αφορά την ποινικοποίηση της «κακόβουλης» διάδοσης της εικόνας των δυνάμεων επιβολής του νόμου, καθώς και ένα μεγάλο μέρος των Άρθρων 47 και 48 που οργάνωναν την επιτήρηση με drones, ιδίως κατά τη διάρκεια διαδηλώσεων, και τη χρήση καμερών επί των πλοίων. οχήματα και αεροσκάφη των υπηρεσιών επιβολής του νόμου.

Ευρώπη:

Αρκετοί φορείς της κοινωνίας των πολιτών ξεκίνησαν στις 26 Μαΐου καταγγελίες κατά της εταιρείας αναγνώρισης προσώπου Clearview, ιδίως στη Γαλλία, την Αυστρία, την Ιταλία, την Ελλάδα και το Ηνωμένο Βασίλειο.

Εκεί Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων Στις 25 Μαΐου, το Ανώτατο Δικαστήριο του Ηνωμένου Βασιλείου αποφάνθηκε ομόφωνα ότι το εκτεταμένο καθεστώς παρακολούθησης του Ηνωμένου Βασιλείου, το οποίο δημοσιοποίησε ο Έντουαρντ Σνόουντεν το 2013, παραβιάζει το Άρθρο 8 της Ευρωπαϊκής Σύμβασης για τα Δικαιώματα του Ανθρώπου σχετικά με την προστασία της ιδιωτικής ζωής.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων ενέκρινε δύο κώδικες δεοντολογίας στις 20 Μαΐου μετά την ανάπτυξη αποφάσεων των γαλλικών και βελγικών αρχών σχετικά με το cloud: για το Βέλγιο, πρόκειται για απόφαση που αφορά τον κώδικα δεοντολογίας της ΕΕ για το cloud και για τη Γαλλία, τον CISPE, που αφορά τους ευρωπαίους παρόχους υπηρεσιών υποδομής cloud.

Η Επιτροπή δημοσίευσε επίσης την έκθεση δραστηριοτήτων της για το 2020 στις 2 Ιουνίου.

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων ξεκινά δύο έρευνες σχετικά με τη χρήση των υπηρεσιών cloud της Amazon και της Microsoft από τα ευρωπαϊκά θεσμικά όργανα.

Αυτές οι έρευνες στοχεύουν στην επαλήθευση των συνθηκών επεξεργασίας και ιδίως των διαβιβάσεων δεδομένων από αυτές τις εταιρείες στις Ηνωμένες Πολιτείες υπό το πρίσμα της απόφασης Schrems II του Ευρωπαϊκού Δικαστηρίου.

Η Ευρωπαϊκή Ένωση ανακοίνωσε δημόσια στις αρχές Ιουνίου ότι, προκειμένου να επιτευχθεί συμφωνία σχετικά με τις μεταφορές δεδομένων προς τις Ηνωμένες Πολιτείες, οι τελευταίες θα έπρεπε να θεσπίσουν δεσμευτικούς νόμους που θα επιτρέπουν στους Ευρωπαίους πολίτες να υπερασπιστούν τον εαυτό τους στο δικαστήριο κατά της μαζικής συλλογής δεδομένων τους από την αμερικανική κυβέρνηση.

Διεθνές:

Μια πρόσφατη μελέτη που δημοσιεύτηκε από το Privacy Laws and Business (G. Greenleaf) καταδεικνύει ότι παγκόσμια ενημέρωση απορρήτουΑναφέρει ότι ο αριθμός των χωρών που έχουν θεσπίσει νόμους για την προστασία των δεδομένων έχει αυξηθεί από 132 σε 145, ενώ άλλες 23 χώρες έχουν νομοσχέδια υπό κατάρτιση.

Βραζιλία: Όπως αρκετές από τις ευρωπαϊκές ομολόγους της, η βραζιλιάνικη εποπτική αρχή ζητά από την WhatsApp να αναστείλει τη νέα πολιτική απορρήτου της μέχρι να ολοκληρωθεί η έρευνα σχετικά με τις συνέπειές της όσον αφορά την προστασία δεδομένων και τον ανταγωνισμό.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.