Exercice des droits d’accès, portabilité : quels sont les pouvoirs d’un mandataire ?

Ostvarivanje prava pristupa, prenosivost: koje su ovlasti predstavnika?

Pravni nadzor br. 35 – Svibanj 2021.

Ostvarivanje prava pristupa, prenosivost: koje su ovlasti predstavnika? Neki kontrolori podataka mogli su legitimno izraziti svoju zbunjenost nakon što su primili zahtjev od tvrtke koja ima obvezu pribavljanja podataka iz svoje korisničke datoteke, posebno kada zahtjev sadrži posebno široke zahtjeve, na primjer u vezi s prijenosom osobnih podataka bez vremenskog ograničenja ili zahtjevom za automatskim pristupom podacima.

Voditelj može opravdano propitivati rizike ponovne upotrebe podataka svojih klijenata i moguće narušavanje tržišnog natjecanja koje bi iz toga proizašlo.

U načelu, međutim, praksa je legalna.

Predviđeno je GDPR-om i člankom 77. provedbene uredbe Zakona o zaštiti podataka, a cilj mu je olakšati ostvarivanje prava pristupa, prigovora ili čak prenosivosti podataka tako što se dotičnim osobama omogućuje da pozovu predstavnika za ostvarivanje svojih prava.

Kako možemo sačuvati kontrolu pojedinaca nad njihovim podacima dopuštajući trećoj strani da ostvaruje ta prava, a istovremeno izbjegavajući zlouporabe koje bi mogle proizaći iz zlouporabnih mandata?

Na agentu je da jasno definira opseg svog mandata, a na menadžeru koji primi takav zahtjev da provjeri valjanost tog mandata.

CNIL je nedavno pokrenuo javne konzultacije o nacrtu preporuke s ciljem pojašnjenja okvira ove nove prakse.

Također je objavila standardni mandat koji može poslužiti kao referenca za agente i kontrolore podataka.

Određeni aspekti zaslužuju posebnu pozornost i mogli bi opravdati zahtjev kontrolora podataka za dodatnim detaljima prije prijenosa dotičnih podataka.

• Podaci koji omogućuju jasnu identifikaciju, u nalogu, osobe u čiju korist se prava ostvaruju (na primjer, identifikator, datum rođenja, datum posljednje veze)

• Identifikacija primatelja kojem se podaci prenose (što može biti agent ili dotična osoba)

• Autentičnost mandata (postojanje elektroničkog potpisa), njegov opseg i trajanje. Podaci ili kategorije podataka moraju biti navedeni. CNIL smatra da mandat uspostavljen na neodređeno vrijeme ne ispunjava zakonske zahtjeve.

• Ako se prijenos provodi elektronički, posebno putem sučelja za programiranje aplikacija (API), ono mora biti stabilno, imati visoku razinu dostupnosti i uključivati sigurnosne mjere prilagođene rizicima. CNIL ima rezerve prema tehnikama struganja koje omogućuju preuzimanje korisničkog imena i lozinke od dotične osobe radi automatskog izdvajanja podataka.

Ako voditelj obrade ima sumnje u valjanost naloga, mora obrazložiti svoje odbijanje odobrenja zahtjeva za pristup u skladu s člankom 12.6. GDPR-a.

To bi mogao biti slučaj, na primjer, ako postoje razumne sumnje u identitet dotične osobe, što će zahtijevati prikupljanje dodatnih informacija od te osobe ili zastupnika.

U slučaju naloga, kao i kod klasičnog zahtjeva za pristup, vrijeme odgovora kontrolora podataka je jedan mjesec.

Što je s mogućom ponovnom upotrebom ovih podataka od strane agenta za vlastite potrebe?

Ovo je zaseban postupak obrade koji mora biti u skladu sa zakonskim zahtjevima GDPR-a.

Dotična osoba bi u svakom slučaju trebala imati izbor prihvatiti ili ne, od slučaja do slučaja, svaku ponovnu upotrebu koju bi zastupnik predvidio.

Treba napomenuti da CNIL, kao i Europski odbor za zaštitu podataka, smatra da „agenti ne bi smjeli ponovno koristiti podatke koji se odnose na treće strane za vlastite svrhe“, što bi se smatralo kršenjem prava i sloboda trećih strana.

I također

Francuska:

U svom izvješću o radu za 2020. godinu, CNIL analizira najvažnije događaje godine, a posebno utjecaj pandemijske krize na temeljna prava.

Tri godine nakon stupanja na snagu GDPR-a, ona primjećuje stalni porast broja pritužbi – više od 62% ove godine i izrečeno je 14 sankcija, uključujući 11 novčanih kazni u ukupnom iznosu od 138 milijuna eura.

THE Prioriteti Komisije uključuju

  • Nova pravila o kolačićima (nedavno je provjereno dvadesetak organizacija),
  • Kibernetička sigurnost i
  • Digitalni suverenitet.

CNIL također najavljuje budući rad posvećen vezi između zaštite podataka i ekoloških pitanja povezanih s klimatskim promjenama.

CNIL je također objavio čekovi u ljekarnama kako bi provjerili uvjete prikupljanja podataka svojih kupaca od strane tvrtke Iqvia u svrhu analize patologija.

Ove provjere slijede nakon što je sredinom svibnja emitirano izvješće o iskorištavanju osobnih podataka koje je izazvalo brojne reakcije.

Komisija je konačno naznačila da je u korist stvaranja zdravstvene propusnice pod uvjetom da se pruže jamstva za obradu podataka i da se propusnica koristi samo za vrijeme trajanja zdravstvene krize.

Dana 3. lipnja objavila je svoje treće mišljenje o mjerama za borbu protiv pandemije.

Ustavno vijeće je 20. svibnja donijelo odluku o zakonu o „globalnoj sigurnosti“.

Cenzurira članak 24. koji se odnosi na kriminalizaciju „zlonamjernog“ širenja slike snaga za provođenje zakona, kao i veliki dio članaka 47. i 48. koji su organizirali nadzor dronovima, posebno tijekom demonstracija, i korištenje kamera u vozilima. vozila i zrakoplovi za provođenje zakona.

Europa:

Nekoliko aktera civilnog društva pokrenulo je 26. svibnja pritužbe protiv tvrtke za prepoznavanje lica Clearview, posebno u Francuskoj, Austriji, Italiji, Grčkoj i Ujedinjenom Kraljevstvu.

Tamo Europski sud za ljudska prava Vrhovni sud Ujedinjenog Kraljevstva jednoglasno je 25. svibnja presudio da široko rasprostranjeni režim nadzora u Ujedinjenom Kraljevstvu, koji je Edward Snowden objavio 2013. godine, krši članak 8. Europske konvencije o ljudskim pravima u vezi sa zaštitom privatnosti.

Europski odbor za zaštitu podataka usvojila je 20. svibnja dva kodeksa ponašanja nakon što su francuske i belgijske vlasti donijele odluke o oblaku: za Belgiju je to odluka koja se odnosi na kodeks ponašanja EU-a za oblak, a za Francusku CISPE, koji se odnosi na europske pružatelje usluga infrastrukture u oblaku.

Odbor je također objavio svoje izvješće o radu za 2020. godinu 2. lipnja.

Europski nadzornik za zaštitu podataka pokreće dvije istrage o korištenju usluga u oblaku Amazona i Microsofta od strane europskih institucija.

Cilj ovih istraga je provjeriti uvjete obrade, a posebno prijenose podataka od strane tih tvrtki u Sjedinjene Američke Države u svjetlu presude Europskog suda u predmetu Schrems II.

Europska unija javno je početkom lipnja objavio da će, kako bi se postigao sporazum o prijenosu podataka u Sjedinjene Države, potonje morati usvojiti obvezujuće zakone koji će europskim građanima omogućiti da se brane na sudu od masovnog prikupljanja njihovih podataka od strane američke vlade.

Međunarodno:

Nedavna studija koju je objavio Privacy Laws and Business (G. Greenleaf) navodi globalno ažuriranje privatnostiNavodi se da se broj zemalja koje su usvojile zakone o zaštiti podataka povećao sa 132 na 145, dok još 23 zemlje imaju nacrte zakona u pripremi.

Brazil: Poput nekoliko svojih europskih kolega, brazilsko nadzorno tijelo traži da WhatsApp obustavi svoju novu politiku privatnosti dok se ne završi istraga o njezinim posljedicama u pogledu zaštite podataka i tržišnog natjecanja.

Anne Christine Lacoste

Partnerica u tvrtki Olivier Weber Avocat, Anne Christine Lacoste, odvjetnica je specijalizirana za pravo podataka; bila je voditeljica međunarodnih odnosa u Europskom nadzorniku za zaštitu podataka i radila je na provedbi GDPR-a u Europskoj uniji.

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR