Συμμόρφωση με τον GDPR σε περιόδους κρίσης.
Συμμόρφωση με τον ΓΚΠΔ σε περιόδους κρίσης. Ποιες είναι οι προτεραιότητες; εποπτικές αρχές, και ποιοι είναι οι έλεγχοι Τι μπορούν να περιμένουν οι επιχειρήσεις στο τρέχον υγειονομικό και οικονομικό πλαίσιο;
Παρόλο που η CNIL εστιάζει σαφώς τις δραστηριότητές της στην επεξεργασία δεδομένων υγείας, δεν έχει εγκαταλείψει τα εποπτικά της προνόμια με την ευρεία έννοια.
Καταρχάς, υπάρχουν πολυάριθμες δράσεις ευαισθητοποίησης που απευθύνονται σε εργοδότες (βλ. το έγγραφο νομικής παρακολούθησης του Σεπτεμβρίου), εκπαιδευτικούς και ερευνητές που αντιμετωπίζουν αυξημένη χρήση τεχνολογιών πληροφοριών και τεχνητής νοημοσύνης.
Η CNIL επικέντρωσε επίσης τις έρευνές της στα συστήματα παρακολούθησης επιδημιών και στην εφαρμογή StopCovid.
Ο επικεφαλής του τμήματος επιθεώρησης αναφέρει σε πρόσφατη δημοσίευσή του ότι Συνεπώς, οι μικρές επιχειρήσεις, οι ΜΜΕ και οι νεοσύστατες επιχειρήσεις υπόκεινται λιγότερο σε ελέγχους.
Ωστόσο, οι έρευνες δεν έχουν εγκαταλειφθεί, ειδικά επειδή οι υπεύθυνοι είχαν χρόνο να λάβουν τα απαραίτητα μέτρα συμμόρφωσης από τότε που τέθηκε σε ισχύ ο ΓΚΠΔ.
Αυτοί οι έλεγχοι διενεργούνται περισσότερο βάσει ερωτηματολογίων και συνεντεύξεων, ενώ οι αιφνιδιαστικοί έλεγχοι είναι λιγότερο συχνοί λόγω της κρίσης.
Συνεπώς, οι επιτόπιοι έλεγχοι οδηγούν σε προειδοποίηση 48 ωρών.
Παρόμοιες προσαρμογές λαμβάνουν χώρα σε πολλές ευρωπαϊκές χώρες, όπως αποδεικνύεται από την πρόσφατη έκθεση του Συμβουλίου της Ευρώπης επί του θέματος.
Εάν έχει παρατηρηθεί ευελιξία όσον αφορά, για παράδειγμα, την υπέρβαση της νόμιμης προθεσμίας για την απάντηση στο δικαίωμα πρόσβασης των ατόμων στα δεδομένα τους, η ανοχή είναι σημαντικά χαμηλότερη ή ανύπαρκτη όταν η επεξεργασία δεδομένων αποτελεί την κύρια δραστηριότητα του ελεγχόμενου φορέα.
Εκτός από την προσαρμογή των μεθόδων ελέγχου σε περιόδους κρίσης, έχει υπάρξει μια αλλαγή στη μορφή των μέσων προσφυγής που είναι διαθέσιμα στα άτομα σε περίπτωση παραβίασης των δικαιωμάτων τους.
Ο ΓΚΠΔ επιτρέπει πλέον στους καταγγέλλοντες να εκπροσωπούνται από φορείς δημοσίου συμφέροντος, πολλές ενώσεις έχουν δει τις δραστηριότητές τους να αναπτύσσονται από το 2018, όπως το «La Quadrature du Net» στη Γαλλία ή το «None of Your Business» στην Αυστρία.
Τους έχουμε δει πρόσφατα να εργάζονται σε νομικές υποθέσεις που αφορούν την παρακολούθηση με drones πάνω από το Παρίσι κατά τη διάρκεια του lockdown και στο πλαίσιο διαδηλώσεων, καθώς και σχετικά με το ζήτημα των μεταφορών δεδομένων στις Ηνωμένες Πολιτείες (βλ. την απόφαση Schrems II, η οποία συζητήθηκε στην νομική μας παρακολούθηση τον Αύγουστο).
Αυτές οι δομές, οι οποίες οργανώνονται και χρηματοδοτούνται ολοένα και καλύτερα, δίνουν νέα προβολή στο πρόβλημα της προστασίας των δεδομένων.
Δεδομένων των πιθανών ζημιών και κυρώσεων που προβλέπονται στον Κανονισμό, αναδεικνύουν τα ζητήματα, όχι μόνο από ηθικής άποψης, αλλά και από οικονομικής και στρατηγικής άποψης.
Αυτές οι εξελίξεις αποτελούν το επίκεντρο ενός επερχόμενου διαδικτυακού σεμιναρίου που διοργανώνεται στις 18 Νοεμβρίου από την Πλατφόρμα Απορρήτου της ευρωβουλευτή Sophie In't Veld.
Και επίσης
Γαλλία:
- Το Συμβούλιο της Επικρατείας αρνείται να αναστείλει τη λειτουργία του «κόμβου δεδομένων υγείας», παρά τους κινδύνους που συνδέονται με τη μεταφορά αυτών των δεδομένων στις Ηνωμένες Πολιτείες.
Η CNIL είχε επισημάνει τους κινδύνους που συνδέονται με τη φιλοξενία δεδομένων υγείας ατόμων που λαμβάνουν θεραπεία στη Γαλλία από τη Microsoft και υπενθύμισε τα ζητήματα νομιμότητας που εγείρονται από την απόφαση Schrems II του Ευρωπαϊκού Δικαστηρίου.
Παρόλο που δεν αναστέλλει τη λειτουργία της πλατφόρμας, το Συμβούλιο της Επικρατείας αναγνωρίζει τους κινδύνους της μεταφοράς και ζητά να ληφθούν οι κατάλληλες εγγυήσεις, μέχρι να βρεθεί μια βιώσιμη λύση.
Η CNIL θα συμβουλεύει τις δημόσιες αρχές σχετικά με αυτό το θέμα και θα διασφαλίζει, για αιτήματα αδειοδότησης ερευνητικών έργων στο πλαίσιο της υγειονομικής κρίσης, ότι η χρήση της πλατφόρμας είναι τεχνικά απαραίτητη.
- Η CNIL διοργανώνει εκδήλωση αφιερωμένη στο δικαίωμα φορητότητας τη Δευτέρα 23 Νοεμβρίου 2020, από τις 2:00 μ.μ. έως τις 5:30 μ.μ.
Αυτό το νέο δικαίωμα, που κατοχυρώνεται στον ΓΚΠΔ, επιτρέπει σε όλους να λαμβάνουν τα προσωπικά δεδομένα που έχουν κοινοποιήσει σε έναν υπεύθυνο επεξεργασίας δεδομένων, σε δομημένη, κοινώς χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή, και να τα διαβιβάζουν σε άλλον υπεύθυνο επεξεργασίας δεδομένων.
Οι συζητήσεις θα στοχεύσουν ειδικότερα στη συζήτηση συγκεκριμένων λύσεων για την απλοποίηση της ροής δεδομένων μεταξύ υπηρεσιών, σεβόμενοι παράλληλα τα δικαιώματα των ατόμων.
Ο ΓΚΠΔ επιτρέπει πλέον στους καταγγέλλοντες να εκπροσωπούνται από φορείς δημοσίου συμφέροντος, πολλές ενώσεις έχουν δει τις δραστηριότητές τους να αναπτύσσονται από το 2018, όπως το «La Quadrature du Net» στη Γαλλία ή το «None of Your Business» στην Αυστρία.
Τους έχουμε δει πρόσφατα να εργάζονται σε νομικές υποθέσεις που αφορούν την παρακολούθηση με drones πάνω από το Παρίσι κατά τη διάρκεια του lockdown και στο πλαίσιο διαδηλώσεων, καθώς και σχετικά με το ζήτημα των μεταφορών δεδομένων στις Ηνωμένες Πολιτείες (βλ. την απόφαση Schrems II, η οποία συζητήθηκε στην νομική μας παρακολούθηση τον Αύγουστο).
Αυτές οι δομές, οι οποίες οργανώνονται και χρηματοδοτούνται ολοένα και καλύτερα, δίνουν νέα προβολή στο πρόβλημα της προστασίας των δεδομένων.
Δεδομένων των πιθανών ζημιών και κυρώσεων που προβλέπονται στον Κανονισμό, αναδεικνύουν τα ζητήματα, όχι μόνο από ηθικής άποψης, αλλά και από οικονομικής και στρατηγικής άποψης.
Αυτές οι εξελίξεις αποτελούν το επίκεντρο ενός επερχόμενου διαδικτυακού σεμιναρίου που διοργανώνεται στις 18 Νοεμβρίου από την Πλατφόρμα Απορρήτου της ευρωβουλευτή Sophie In't Veld.
Και επίσης
Γαλλία:
- Το Συμβούλιο της Επικρατείας αρνείται να αναστείλει τη λειτουργία του «κόμβου δεδομένων υγείας», παρά τους κινδύνους που συνδέονται με τη μεταφορά αυτών των δεδομένων στις Ηνωμένες Πολιτείες.
Η CNIL είχε επισημάνει τους κινδύνους που συνδέονται με τη φιλοξενία δεδομένων υγείας ατόμων που λαμβάνουν θεραπεία στη Γαλλία από τη Microsoft και υπενθύμισε τα ζητήματα νομιμότητας που εγείρονται από την απόφαση Schrems II του Ευρωπαϊκού Δικαστηρίου.
Παρόλο που δεν αναστέλλει τη λειτουργία της πλατφόρμας, το Συμβούλιο της Επικρατείας αναγνωρίζει τους κινδύνους της μεταφοράς και ζητά να ληφθούν οι κατάλληλες εγγυήσεις, μέχρι να βρεθεί μια βιώσιμη λύση.
Η CNIL θα συμβουλεύει τις δημόσιες αρχές σχετικά με αυτό το θέμα και θα διασφαλίζει, για αιτήματα αδειοδότησης ερευνητικών έργων στο πλαίσιο της υγειονομικής κρίσης, ότι η χρήση της πλατφόρμας είναι τεχνικά απαραίτητη.
- Η CNIL διοργανώνει εκδήλωση αφιερωμένη στο δικαίωμα φορητότητας τη Δευτέρα 23 Νοεμβρίου 2020, από τις 2:00 μ.μ. έως τις 5:30 μ.μ.
Αυτό το νέο δικαίωμα, που κατοχυρώνεται στον ΓΚΠΔ, επιτρέπει σε όλους να λαμβάνουν τα προσωπικά δεδομένα που έχουν κοινοποιήσει σε έναν υπεύθυνο επεξεργασίας δεδομένων, σε δομημένη, κοινώς χρησιμοποιούμενη και μηχανικά αναγνώσιμη μορφή, και να τα διαβιβάζουν σε άλλον υπεύθυνο επεξεργασίας δεδομένων.
Οι συζητήσεις θα στοχεύσουν ειδικότερα στη συζήτηση συγκεκριμένων λύσεων για την απλοποίηση της ροής δεδομένων μεταξύ υπηρεσιών, σεβόμενοι παράλληλα τα δικαιώματα των ατόμων.
Ευρώπη:
- Ηνωμένο Βασίλειο: εκεί Διεθνής Εταιρεία Mariott τιμωρήθηκε με πρόστιμο 20 εκατομμυρίων ευρώ στις 30 Οκτωβρίου για παραβίαση ασφαλείας, ποσό σημαντικά χαμηλότερο, αν και σημαντικό, από τα 100 εκατομμύρια ευρώ που είχε αρχικά ανακοινώσει η βρετανική αρχή προστασίας δεδομένων.
- Το Ευρωπαϊκό Δικαστήριο εξέδωσε δύο σημαντικές αποφάσεις στις 6 Οκτωβρίου (La Quadrature du Net και Privacy International) στον τομέα της χρήσης δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών.
Αυτή διευκρινίζει την αυστηρές προϋποθέσεις υπό τις οποίες τα δεδομένα επικοινωνιών μπορούν να αποθηκεύονται από τους φορείς εκμετάλλευσης και επιβεβαιώνει την παρανομία των «μαζικών» υποκλοπών αυτών των δεδομένων από τις υπηρεσίες πληροφοριών.
Το Δικαστήριο απορρίπτει περαιτέρω την ύπαρξη ενός θεμελιώδους και συλλογικού δικαιώματος στην ασφάλεια., γεγονός που θα δικαιολογούσε την εξισορρόπηση με τα θεμελιώδη δικαιώματα στην ιδιωτικότητα και την προστασία των δεδομένων.
- Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) ενέκρινε κατευθυντήριες γραμμές για την προστασία δεδομένων κατά τη συνεδρίασή του στις 21 Οκτωβρίου «εκ κατασκευής και εξ ορισμού», τα οποία παρουσιάζουν συγκεκριμένα πώς να διασφαλιστεί αυτή η προστασία από το στάδιο του σχεδιασμού ενός συστήματος πληροφορικής.
Διεθνές:
- Βραζιλία είναι εξοπλισμένο από τις 19 Οκτωβρίου με ένα Κολλέγιο Επιτρόπων Προστασίας Δεδομένων για τη διαχείριση της εποπτικής του εξουσίας.
Από τα πέντε μέλη που διορίζονται από τον Πρόεδρο της Δημοκρατίας και επικυρώνονται από τη Γερουσία, τα τρία έχουν κυρίως στρατιωτική εμπειρία, γεγονός που το καθιστά ένα μάλλον μοναδικό κολέγιο.
- Η Παγκόσμια Συνέλευση Απορρήτου συγκέντρωσε ουσιαστικά περίπου εκατό εκπροσώπους των αρχών προστασίας δεδομένων στα μέσα Οκτωβρίου.
Η Συνέλευση ενέκρινε μια σειρά ψηφισμάτων σχετικά με τηντεχνητή νοημοσύνη, αναγνώριση προσώπου και ανθρωπιστική βοήθειαΈχει επίσης δημοσιεύσει μια συλλογή βέλτιστων πρακτικών σχετικά με την πανδημία COVID-19.
- UNICEF προετοιμάζει οδηγίες για την προστασία δικαιώματα των παιδιών στο πλαίσιο της ανάπτυξης της τεχνητής νοημοσύνης. Το έργο είναι διαθέσιμο στο διαδίκτυο και η τελική του έκδοση θα δημοσιευτεί το 2021.
Άννα Κριστίν Λακόστ
Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.
EL 
FR 
EN 
DE 
ES 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK 
SL