Käyttöoikeuksien käyttäminen, siirrettävyys: mitkä ovat edustajan valtuudet?

Oikeudellinen valvonta nro 35 – Toukokuu 2021

Käyttöoikeuksien käyttäminen, siirrettävyys: mitkä ovat edustajan valtuudet? Jotkut rekisterinpitäjät pystyivät perustellusti ilmaisemaan hämmennyksensä saatuaan pyyntö yritykseltä, jolla on valtuudet hankkia tietoja asiakastiedostostaan, erityisesti silloin, kun pyyntö sisältää erityisen laajoja vaatimuksia, esimerkiksi henkilötietojen siirtämistä ilman aikarajoitusta tai vaatimusta automaattisesta pääsystä tietoihin.

Johtaja voi perustellusti kyseenalaistaa asiakastietojensa uudelleenkäytön riskit ja siitä mahdollisesti aiheutuvat kilpailun vääristymät.

Periaatteessa käytäntö on kuitenkin laillinen.

Siitä säädetään GDPR:ssä ja tietosuojalain täytäntöönpanoasetuksen 77 artiklassa, ja sen tarkoituksena on helpottaa tiedonsaanti-, vastustus- tai jopa tiedonsiirto-oikeuden käyttöä antamalla asianosaisille mahdollisuus pyytää edustajaa käyttämään oikeuksiaan.

Kuinka voimme säilyttää yksilöiden hallinnan omiin tietoihinsa sallimalla kolmannen osapuolen käyttää näitä oikeuksia ja samalla välttää väärinkäytökset, joita väärinkäyttömandaattien avulla voi syntyä?

Asiamiehen on määriteltävä valtuutuksensa laajuus selkeästi, ja pyynnön vastaanottavan esimiehen on varmistettava valtuutuksen pätevyys.

CNIL käynnisti hiljattain julkisen kuulemisen suositusluonnoksesta, jonka tarkoituksena on selventää tämän uuden käytännön viitekehystä.

Se on myös julkaissut vakiomuotoisen toimeksiannon, jota edustajat ja rekisterinpitäjät voivat käyttää referenssinä.

Tietyt näkökohdat ansaitsevat erityistä huomiota, ja ne voivat oikeuttaa rekisterinpitäjän pyytämään lisätietoja ennen kyseisten tietojen toimittamista.

• Tiedot, joiden avulla valtuutuksesta voidaan yksiselitteisesti tunnistaa henkilö, jonka hyväksi oikeuksia käytetään (esimerkiksi tunniste, syntymäaika, viimeisimmän yhteyden päivämäärä)

• Vastaanottajan tunnistetiedot, jolle tiedot siirretään (joka voi olla edustaja tai asianomainen henkilö)

• Valtuutuksen aitous (sähköisen allekirjoituksen olemassaolo), sen laajuus ja kesto. Tiedot tai tietoluokat on määriteltävä. CNIL katsoo, että määräämättömäksi ajaksi annettu valtuutus ei täytä lain vaatimuksia.

• Jos siirto suoritetaan sähköisesti, erityisesti sovellusohjelmointirajapinnan (API) kautta, sen on oltava vakaa, sen käytettävyyden on oltava korkea ja siinä on oltava riskeihin mukautetut turvatoimenpiteet. CNIL suhtautuu varauksella tiedonkaappaustekniikoihin, jotka mahdollistavat käyttäjätunnuksen ja salasanan hakemisen kyseiseltä henkilöltä tietojen automaattista poimimista varten.

Jos rekisterinpitäjällä on epäilyksiä valtuutuksen pätevyydestä, sen on perusteltava kieltäytymisensä myöntää tiedonsaantipyyntö yleisen tietosuoja-asetuksen 12.6 artiklan mukaisesti.

Näin voi olla esimerkiksi silloin, kun on perusteltuja epäilyksiä kyseisen henkilön henkilöllisyydestä, mikä edellyttää lisätietojen keräämistä kyseiseltä henkilöltä tai hänen edustajaltaan.

Valtuutuksen tapauksessa, kuten perinteisen tarkastuspyynnön tapauksessa, rekisterinpitäjän vastausaika on yksi kuukausi.

Entä agentin mahdollinen uudelleenkäyttö omiin tarkoituksiinsa?

Tämä on erillinen käsittelytoiminto, jonka on täytettävä GDPR:n laillisuusvaatimukset.

Asianomaisen henkilön tulisi joka tapauksessa voida tapauskohtaisesti valita, hyväksyykö vai ei, edustajan suunnitteleman uudelleenkäytön.

On huomattava, että CNIL, kuten Euroopan tietosuojavaltuutettu, katsoo, että "edustajien ei tulisi käyttää kolmansiin osapuoliin liittyviä tietoja uudelleen omiin tarkoituksiinsa", mitä pidettäisiin kolmansien osapuolten oikeuksien ja vapauksien loukkauksena.

Ja myös

Ranska:

Vuoden 2020 toimintakertomuksessaan CNIL arvioi vuoden kohokohtia ja erityisesti pandemian aiheuttaman kriisin vaikutusta perusoikeuksiin.

Kolme vuotta GDPR:n voimaantulon jälkeen hän huomauttaa, että valitusten määrän jatkuva kasvu – yli 621 TP3T:tä tänä vuonna, ja määräsi 14 seuraamusta, mukaan lukien 11 sakkoa, joiden yhteissumma oli 138 miljoonaa euroa.

THE Komission prioriteetit sisällyttää

• Uudet evästeitä koskevat säännöt (noin kaksikymmentä organisaatiota tarkastettiin äskettäin),
• Kyberturvallisuus ja
• Digitaalinen suvereniteetti.

CNIL ilmoittaa myös tulevasta työstä, joka on omistettu tietosuojan ja ilmastonmuutokseen liittyvien ympäristökysymysten välisen yhteyden tutkimiselle.

CNIL ilmoitti myös apteekkien tarkistukset varmistaakseen Iqvia-yrityksen asiakkaiden tietojen keräämisen ehdot patologioiden analysointia varten.

Nämä tarkastukset seuraavat toukokuun puolivälissä julkaistua henkilötietojen hyväksikäyttöä koskevaa raporttia, joka herätti lukuisia reaktioita.

Komissio ilmoitti lopulta, että se oli terveyspassin perustamisen puolesta edellyttäen, että tietojen käsittelylle annetaan takeet ja että passia käytetään vain terveyskriisin ajan.

Se julkaisi 3. kesäkuuta kolmannen lausuntonsa pandemian torjuntatoimista.

Perustuslakineuvosto päätti 20. toukokuuta "globaalista turvallisuudesta" annetusta laista.

Se sensuroi artiklaa 24, joka liittyy lainvalvontaviranomaisten kuvan "pahantahtoisen" levittämisen kriminalisointiin, sekä suurta osaa artikloista 47 ja 48, jotka organisoivat dronejen avulla tapahtuvaa valvontaa, erityisesti mielenosoitusten aikana, ja kameroiden käyttöä ilma-aluksissa. lainvalvontaajoneuvot ja -lentokoneet.

Eurooppa:

Useat kansalaisyhteiskunnan toimijat aloittivat 26. toukokuuta valituksia kasvojentunnistusyritys Clearview'ta vastaan erityisesti Ranskassa, Itävallassa, Italiassa, Kreikassa ja Yhdistyneessä kuningaskunnassa.

Siellä Euroopan ihmisoikeustuomioistuin Ison-Britannian korkein oikeus päätti 25. toukokuuta yksimielisesti, että Edward Snowdenin vuonna 2013 julkistama Ison-Britannian laajalle levinnyt valvontajärjestelmä rikkoo Euroopan ihmisoikeussopimuksen 8. artiklaa, joka koskee yksityisyyden suojaa.

Euroopan tietosuojaneuvosto hyväksyi 20. toukokuuta kaksi käytännesääntöä Ranskan ja Belgian viranomaisten pilvipalveluita koskevien päätösten pohjalta: Belgian osalta tämä koskee EU:n pilvipalveluita koskevia käytännesääntöjä ja Ranskan osalta CISPE-päätöstä, joka koskee eurooppalaisia pilvi-infrastruktuuripalvelujen tarjoajia.

Valiokunta julkaisi myös vuoden 2020 toimintakertomuksensa 2. kesäkuuta.

Euroopan tietosuojavaltuutettu käynnistää kaksi tutkintaa eurooppalaisten toimielinten Amazonin ja Microsoftin pilvipalveluiden käytöstä.

Näiden tutkimusten tarkoituksena on varmistaa tietojenkäsittelyolosuhteiden ja erityisesti näiden yritysten Yhdysvaltoihin tekemien tietojen siirtojen tilanne ottaen huomioon Euroopan unionin tuomioistuimen Schrems II -tapauksessa antaman päätöksen.

Euroopan unioni ilmoitti julkisesti kesäkuun alussa, että päästäkseen sopimukseen tiedonsiirrosta Yhdysvaltoihin Yhdysvaltojen olisi hyväksyttävä sitovia lakeja, jotka mahdollistaisivat Euroopan kansalaisten puolustautumisen oikeudessa Yhdysvaltain hallituksen harjoittamaa massiivista tietojen keräämistä vastaan.

Kansainvälinen:

Privacy Laws and Businessin (G. Greenleaf) äskettäin julkaisema tutkimus tekee maailmanlaajuinen tietosuojapäivitysSiinä sanotaan, että tietosuojalakeja hyväksyneiden maiden määrä on kasvanut 132:sta 145:een, ja 23 maalla on lakiluonnoksia vireillä.

Brasilia: Kuten useat eurooppalaiset vastineensa, brasilialainen valvontaviranomainen pyytää WhatsAppia keskeyttämään uuden tietosuojakäytäntönsä, kunnes sen tietosuoja- ja kilpailuvaikutuksia koskeva tutkimus on saatu päätökseen.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.