Le respect du RGPD en temps de crise.

GDPR-vaatimustenmukaisuus kriisiaikoina.

GDPR-vaatimustenmukaisuus kriisiaikoina. Mitkä ovat prioriteetit? valvontaviranomaiset ja Mitä ovat säätimet Mitä yritykset voivat odottaa nykyisessä terveys- ja taloustilanteessa?

Vaikka CNIL keskittyy selvästi toimintansa terveystietojen käsittelyyn, se ei ole luopunut valvontaoikeuksistaan laajassa merkityksessä.

Ensinnäkin on lukuisia tiedotustoimia, jotka on suunnattu työnantajille (ks. syyskuun lainsäädännön seuranta-asiakirja), opettajille ja tutkijoille, jotka kohtaavat lisääntyneen tietotekniikan ja tekoälyn käytön.

CNIL keskitti tutkimuksensa myös epidemian seurantajärjestelmiin ja StopCovid-sovellukseen. 

Tarkastusosaston johtaja toteaa tuoreessa julkaisussa, että Pienet yritykset, pk-yritykset ja startup-yritykset ovat siksi vähemmän tarkastusten kohteena.

Tutkintoja ei kuitenkaan ole hylätty, etenkään kun vastuullisilla on ollut aikaa toteuttaa tarvittavat vaatimustenmukaisuustoimenpiteet GDPR:n voimaantulon jälkeen.

Näitä tarkastuksia tehdään enemmän kyselylomakkeiden ja haastattelujen perusteella, ja yllättäviä tarkastuksia tehdään kriisin vuoksi harvemmin.

Paikan päällä tehtävät tarkastukset aiheuttavat siksi 48 tunnin varoituksen.

Samanlaisia sopeutumistoimia tapahtuu monissa Euroopan maissa, kuten Euroopan neuvoston äskettäinen raportti aiheesta osoittaa.

Jos joustavuutta on havaittu esimerkiksi yksilöiden omiin tietoihinsa tutustumista koskevan lakisääteisen määräajan ylittämisen osalta, toleranssi on huomattavasti alhaisempi tai olematon, kun tietojenkäsittely on valvotun elimen ydintoimintaa.

Kriisiaikojen valvontamenetelmien mukauttamisen lisäksi on tapahtunut muutos yksilöiden käytettävissä olevissa oikeussuojakeinoissa, jos heidän oikeuksiaan loukataan.

GDPR sallii nyt valittajien tulla edustetuiksi yleishyödyllisten elinten toimesta. monien yhdistysten toiminta on kehittynyt vuodesta 2018 lähtien, kuten ”La Quadrature du Net” Ranskassa tai ”None of Your Business” Itävallassa.

Olemme nähneet niiden toimivan viime aikoina oikeusjutuissa, jotka koskevat drone-valvontaa Pariisissa sulkutilan aikana ja mielenosoitusten yhteydessä, sekä tiedonsiirtoa Yhdysvaltoihin koskevassa kysymyksessä (ks. Schrems II -päätös, josta keskustelimme elokuun oikeudellisessa katsauksessamme).

Nämä yhä paremmin organisoidut ja rahoitetut rakenteet antavat uutta näkyvyyttä tietosuojaongelmalle.

Asetuksessa säädetyt mahdolliset vahingonkorvaukset ja seuraamukset huomioon ottaen ne korostavat ongelmia paitsi eettisestä myös taloudellisesta ja strategisesta näkökulmasta.

Näihin kehityskulkuihin keskittyy tuleva webinaari, jonka järjestää 18. marraskuuta MEP Sophie In't Veldin yksityisyydensuoja-alusta.

Ja myös

Ranska:

  • Valtioneuvosto kieltäytyy keskeyttämästä "terveystietokeskuksen" toimintaa huolimatta riskeistä, jotka liittyvät tämän tiedon siirtoon Yhdysvaltoihin.

CNIL oli korostanut riskejä, jotka liittyvät Microsoftin ylläpitämään Ranskassa hoitoa saavien ihmisten terveystietoja, ja muistutti Euroopan unionin tuomioistuimen Schrems II -päätöksen esiin nostamista laillisuuskysymyksistä.

Vaikka se ei keskeytä alustan toimintaa, valtioneuvosto tunnustaa kuitenkin siirron riskit ja pyytää asianmukaisten takeiden antamista, kunnes pysyvä ratkaisu on löydetty.

CNIL neuvoo viranomaisia tässä asiassa ja varmistaa terveyskriisin yhteydessä tehtävien tutkimushankkeiden lupapyyntöjen osalta, että alustan käyttö on teknisesti välttämätöntä.

  • CNIL järjestää siirrettävyysoikeutta käsittelevän tapahtuman maanantaina 23. marraskuuta 2020 klo 14.00–17.30.

Tämä uusi, GDPR:ssä vahvistettu oikeus antaa jokaiselle oikeuden saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle.

Keskusteluissa pyritään erityisesti keskustelemaan konkreettisista ratkaisuista, joilla voidaan virtaviivaistaa tiedonkulkua palveluiden välillä yksilöiden oikeuksia kunnioittaen.

 

GDPR sallii nyt valittajien tulla edustetuiksi yleishyödyllisten elinten toimesta. monien yhdistysten toiminta on kehittynyt vuodesta 2018 lähtien, kuten ”La Quadrature du Net” Ranskassa tai ”None of Your Business” Itävallassa.

Olemme nähneet niiden toimivan viime aikoina oikeusjutuissa, jotka koskevat drone-valvontaa Pariisissa sulkutilan aikana ja mielenosoitusten yhteydessä, sekä tiedonsiirtoa Yhdysvaltoihin koskevassa kysymyksessä (ks. Schrems II -päätös, josta keskustelimme elokuun oikeudellisessa katsauksessamme).

Nämä yhä paremmin organisoidut ja rahoitetut rakenteet antavat uutta näkyvyyttä tietosuojaongelmalle.

Asetuksessa säädetyt mahdolliset vahingonkorvaukset ja seuraamukset huomioon ottaen ne korostavat ongelmia paitsi eettisestä myös taloudellisesta ja strategisesta näkökulmasta.

Näihin kehityskulkuihin keskittyy tuleva webinaari, jonka järjestää 18. marraskuuta MEP Sophie In't Veldin yksityisyydensuoja-alusta.

Ja myös

Ranska:

  • Valtioneuvosto kieltäytyy keskeyttämästä "terveystietokeskuksen" toimintaa huolimatta riskeistä, jotka liittyvät tämän tiedon siirtoon Yhdysvaltoihin.

CNIL oli korostanut riskejä, jotka liittyvät Microsoftin ylläpitämään Ranskassa hoitoa saavien ihmisten terveystietoja, ja muistutti Euroopan unionin tuomioistuimen Schrems II -päätöksen esiin nostamista laillisuuskysymyksistä.

Vaikka se ei keskeytä alustan toimintaa, valtioneuvosto tunnustaa kuitenkin siirron riskit ja pyytää asianmukaisten takeiden antamista, kunnes pysyvä ratkaisu on löydetty.

CNIL neuvoo viranomaisia tässä asiassa ja varmistaa terveyskriisin yhteydessä tehtävien tutkimushankkeiden lupapyyntöjen osalta, että alustan käyttö on teknisesti välttämätöntä.

  • CNIL järjestää siirrettävyysoikeutta käsittelevän tapahtuman maanantaina 23. marraskuuta 2020 klo 14.00–17.30.

Tämä uusi, GDPR:ssä vahvistettu oikeus antaa jokaiselle oikeuden saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle.

Keskusteluissa pyritään erityisesti keskustelemaan konkreettisista ratkaisuista, joilla voidaan virtaviivaistaa tiedonkulkua palveluiden välillä yksilöiden oikeuksia kunnioittaen.

 

Eurooppa:

  • Yhdistynyt kuningaskunta: siellä Mariott International Company sai 30. lokakuuta 20 miljoonan euron sakon tietoturvaloukkauksesta. Summa on huomattavasti pienempi, mutta silti huomattava, kuin Ison-Britannian tietosuojaviranomaisen alun perin ilmoittama 100 miljoonan euron sakko.
  • Euroopan yhteisöjen tuomioistuin antoi kaksi tärkeää tuomiota 6. lokakuuta (La Quadrature du Net ja Privacy International) tiedustelupalvelujen henkilötietojen käytön alalla.

Hän täsmentää tiukat ehdot, joiden mukaisesti operaattorit voivat tallentaa viestintätietoja ja vahvistaa tiedustelupalvelujen suorittaman näiden tietojen "massa"sieppauksen laittomuuden.

Tuomioistuin kiistää edelleen perusoikeuden ja kollektiivisen oikeuden turvallisuuteen olemassaolon., mikä oikeuttaisi tasapainottamisen yksityisyyden suojaan ja tietosuojaan liittyvien perusoikeuksien kanssa.

  • Euroopan tietosuojaneuvosto (EDPB) hyväksyi tietosuojaa koskevat ohjeet kokouksessaan 21. lokakuuta "sisäänrakennetusti ja oletusarvoisesti", jotka havainnollistavat konkreettisesti, miten tämä suojaus varmistetaan IT-järjestelmän suunnitteluvaiheesta lähtien.

Kansainvälinen:

  • Brasilia on ollut varustettu 19. lokakuuta lähtien Tietosuojavaltuutettujen kollegio valvontaviranomaisensa johdolle.

Tasavallan presidentin nimittämistä ja senaatin vahvistamista viidestä jäsenestä kolmella on pääasiassa sotilaskokemusta, mikä tekee siitä varsin ainutlaatuisen kollegion.

  • Maailmanlaajuinen yksityisyydensuojakokous kokosi käytännössä yhteen noin sata tietosuojaviranomaisten edustajaa lokakuun puolivälissä.

Kokous hyväksyi useita päätöslauselmia, jotka koskivattekoäly, kasvojentunnistus ja humanitaarinen apuSe on myös julkaissut kokoelman COVID-19-pandemiaan liittyviä parhaita käytäntöjä.

  • UNICEF valmistelee ohjeita suojellakseen lasten oikeudet tekoälyn kehityksen yhteydessä. Projekti on saatavilla verkossa ja sen lopullinen versio julkaistaan vuonna 2021.

Anne Christine Lacoste

 Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI