Juurdepääsuõiguste teostamine, andmete ülekandmine: millised on esindaja volitused?

Õiguslik valve nr 35 – Mai 2021

Juurdepääsuõiguste teostamine, andmete ülekandmine: millised on esindaja volitused? Mõned andmetöötlejad said pärast vastuse saamist oma hämmeldust õigustatult väljendada. ettevõtte taotlus, mis on volitatud hankima andmeid oma kliendifailist, eriti kui taotlus sisaldab eriti laiaulatuslikke nõudeid, näiteks isikuandmete edastamise kohta ilma ajalise piiranguta või andmetele automaatse juurdepääsu nõude kohta.

Juht võib õigustatult kahelda oma kliendiandmete taaskasutamisega kaasnevates riskides ja sellest tulenevates võimalikes konkurentsimoonutustes.

Põhimõtteliselt on see praktika siiski seaduslik.

See on sätestatud isikuandmete kaitse üldmääruses ja andmekaitseseaduse rakendusmääruse artiklis 77 ning selle eesmärk on hõlbustada juurdepääsu-, vastuväidete esitamise või isegi andmete ülekandmise õiguste teostamist, võimaldades asjaomastel isikutel pöörduda oma õiguste teostamiseks esindaja poole.

Kuidas saame säilitada üksikisikute kontrolli oma andmete üle, lubades kolmandal osapoolel neid õigusi teostada, vältides samal ajal kuritarvitusi, mis võivad tuleneda kuritarvitustest?

Agendi ülesanne on selgelt määratleda oma volituste ulatus ja sellise taotluse saanud juhi ülesanne on kontrollida nende volituste kehtivust.

CNIL algatas hiljuti avaliku konsultatsiooni soovituse eelnõu kohta, mille eesmärk on selgitada selle uue tava raamistikku.

Samuti on see avaldanud standardvolituse, mis saab olla viiteks agentidele ja andmetöötlejatele.

Teatud aspektid väärivad erilist tähelepanu ja võivad õigustada andmetöötleja poolt lisateabe küsimist enne asjaomaste andmete edastamist.

• Andmed, mis võimaldavad volituses selgelt tuvastada isiku, kelle huvides õigusi teostatakse (näiteks identifikaator, sünnikuupäev, viimase ühenduse kuupäev)

• Andmete saaja identifitseerimine, kellele andmed edastatakse (see võib olla esindaja või asjaomane isik)

• Volituse autentsus (elektroonilise allkirja olemasolu), selle ulatus ja kestus. Andmed või andmekategooriad tuleb täpsustada. CNIL leiab, et määramata ajaks kehtestatud volitus ei vasta seaduse nõuetele.

• Kui edastus toimub elektrooniliselt, eelkõige rakendusliidese (API) kaudu, peab see olema stabiilne, kõrge kättesaadavuse tasemega ja integreerima riskidele kohandatud turvameetmed. CNIL-il on kahtlusi kraapimistehnikate suhtes, mis võimaldavad asjaomaselt isikult kasutajanime ja parooli automaatselt kätte saada.

Kui andmetöötlejal on kahtlusi volituse kehtivuses, peab ta oma juurdepääsutaotluse rahuldamisest keeldumist põhjendama vastavalt isikuandmete kaitse üldmääruse artiklile 12.6.

See võib nii olla näiteks juhul, kui asjaomase isiku isikusamasuse osas on mõistlikke kahtlusi, mis nõuavad sellelt isikult või tema esindajalt lisateabe kogumist.

Volituse puhul, nagu ka klassikalise juurdepääsutaotluse puhul, on andmetöötleja vastuse aeg üks kuu.

Aga kuidas on lood nende andmete võimaliku taaskasutamisega agendi poolt oma eesmärkidel?

See on eraldi töötlemistoiming, mis peab vastama isikuandmete kaitse üldmääruse (GDPR) õigusnõuetele.

Asjaomasel isikul peaks igal juhul olema võimalus iga juhtumi puhul eraldi valida, kas esindaja poolt ette nähtud taaskasutamine heaks kiita või mitte.

Pange tähele, et CNIL, nagu ka Euroopa Andmekaitsekomitee, on seisukohal, et "agendid ei tohiks kolmandate isikutega seotud andmeid oma eesmärkidel taaskasutada", mida loetaks kolmandate isikute õiguste ja vabaduste rikkumiseks.

Ja ka

Prantsusmaa:

Oma 2020. aasta tegevusaruandes teatas CNIL annab ülevaate aasta olulisematest sündmustest ja eelkõige pandeemiakriisi mõjust põhiõigustele.

Kolm aastat pärast isikuandmete kaitse üldmääruse jõustumist märgib ta, et kaebuste arvu pidev kasv – rohkem kui 621 TP3T sel aastal ning määrati 14 karistust, sealhulgas 11 trahvi kogusummas 138 miljonit eurot.

THE Komisjoni prioriteedid kaasata

• Uued küpsiseid puudutavad reeglid (hiljuti kontrolliti umbes kahtekümmet organisatsiooni),
• Küberturvalisus ja
• Digitaalne suveräänsus.

CNIL teatab ka tulevasest tööst, mis on pühendatud andmekaitse ja kliimamuutustega seotud keskkonnaküsimuste vahelisele seosele.

CNIL teatas ka kontrollid apteekides et kontrollida ettevõtte Iqvia poolt klientide andmete kogumise tingimusi patoloogiate analüüsimise eesmärgil.

Need kontrollid järgnevad mai keskel avaldatud isikuandmete kuritarvitamist käsitlevale aruandele, mis kutsus esile arvukalt reaktsioone.

Lõpuks märkis komisjon, et see oli tervisepassi loomise poolt tingimusel, et andmete töötlemiseks on ette nähtud tagatised ja et pääset kasutatakse ainult tervisekriisi ajal.

3. juunil avaldas see oma kolmanda arvamuse pandeemiavastaste meetmete kohta.

Põhiseadusnõukogu tegi 20. mail otsuse „Globaalse julgeoleku” seaduse kohta.

See tsenseerib artiklit 24, mis käsitleb õiguskaitsejõudude kujutise „pahatahtliku” levitamise kriminaliseerimist, samuti suurt osa artiklitest 47 ja 48, mis korraldasid droonide abil jälgimist, eriti meeleavalduste ajal, ja kaamerate kasutamist pardal. õiguskaitse sõidukid ja õhusõidukid.

Euroopa:

Mitmed kodanikuühiskonna osalejad algatasid 26. mail kaebused näotuvastusfirma Clearview vastu eelkõige Prantsusmaal, Austrias, Itaalias, Kreekas ja Ühendkuningriigis.

Seal Euroopa Inimõiguste Kohus 25. mail otsustas Ühendkuningriigi ülemkohus ühehäälselt, et Ühendkuningriigi laialdane jälgimisrežiim, mille Edward Snowden 2013. aastal avalikustas, rikub Euroopa inimõiguste konventsiooni artiklit 8, mis käsitleb privaatsuse kaitset.

Euroopa Andmekaitsenõukogu võttis 20. mail pärast Prantsusmaa ja Belgia ametivõimude pilveteenuste alaseid otsuseid vastu kaks käitumisjuhendit: Belgia puhul on see otsus, mis käsitleb ELi pilveteenuste käitumisjuhendit, ja Prantsusmaa puhul CISPE, mis käsitleb Euroopa pilvetaristu teenuste osutajaid.

Komitee avaldas 2. juunil ka oma 2020. aasta tegevusaruande.

Euroopa andmekaitseinspektor algatab kaks uurimist Amazoni ja Microsofti pilveteenuste kasutamise kohta Euroopa institutsioonide poolt.

Nende uurimiste eesmärk on kontrollida töötlemistingimusi ja eelkõige andmete edastamist nende ettevõtete poolt Ameerika Ühendriikidesse, võttes arvesse Euroopa Kohtu Schrems II otsust.

Euroopa Liit teatas juuni alguses avalikult, et andmete edastamise kokkuleppele jõudmiseks Ameerika Ühendriikidega peab viimane vastu võtma siduvad seadused, mis võimaldavad Euroopa kodanikel end kohtus kaitsta Ameerika valitsuse poolt nende andmete massilise kogumise vastu.

Rahvusvaheline:

Hiljutine uuring, mille avaldas Privacy Laws and Business (G. Greenleaf), teeb kindlaks, et globaalne privaatsusvärskendusSelles öeldakse, et andmekaitseseadusi vastu võtnud riikide arv on suurenenud 132-lt 145-le ja veel 23 riigil on seaduseelnõud ettevalmistamisel.

Brasiilia: Nagu mitmed Euroopa kolleegid, nõuab Brasiilia järelevalveasutus, et WhatsApp peataks oma uue privaatsuspoliitika, kuni on lõpule viidud uurimine selle tagajärgede kohta andmekaitse ja konkurentsi osas.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.