Prieigos teisių įgyvendinimas, perkeliamumas: kokie yra atstovo įgaliojimai?

Teisinis stebėjimas Nr. 35 – 2021 m. gegužės mėn.

Prieigos teisių įgyvendinimas, perkeliamumas: kokie yra atstovo įgaliojimai? Kai kurie duomenų valdytojai galėjo teisėtai išreikšti savo sumišimą gavę įmonės, įpareigotos gauti duomenis iš savo klientų bylų, prašymas, ypač kai prašyme yra ypač platūs reikalavimai, pavyzdžiui, dėl asmens duomenų perdavimo neribotą laiką arba dėl automatinės prieigos prie duomenų.

Vadovas gali pagrįstai abejoti klientų duomenų pakartotinio naudojimo rizika ir galimais konkurencijos iškraipymais, kurie dėl to atsirastų.

Tačiau iš principo ši praktika yra teisėta.

Tai numatyta BDAR ir Duomenų apsaugos įstatymo įgyvendinimo dekreto 77 straipsnyje, ir siekiama palengvinti prieigos prie duomenų, nesutikimo ar net duomenų perkeliamumo teisių įgyvendinimą, suteikiant susijusiems asmenims galimybę kreiptis į atstovą, kad šie įgyvendintų savo teises.

Kaip galime išsaugoti asmenų kontrolę savo duomenų atžvilgiu, leisdami trečiajai šaliai pasinaudoti šiomis teisėmis, kartu išvengiant piktnaudžiavimo, kuris gali kilti dėl piktnaudžiaujamų įgaliojimų?

Agentas turi aiškiai apibrėžti savo įgaliojimų apimtį, o vadovas, gavęs tokį prašymą, turi patikrinti šių įgaliojimų galiojimą.

CNIL neseniai pradėjo viešas konsultacijas dėl rekomendacijos projekto, kuriuo siekiama patikslinti šios naujos praktikos sistemą.

Ji taip pat paskelbė standartinį įgaliojimą, kuris gali būti naudojamas kaip nuoroda agentams ir duomenų valdytojams.

Tam tikriems aspektams reikia skirti ypatingą dėmesį ir jie galėtų pateisinti duomenų valdytojo prašymą pateikti papildomos informacijos prieš perduodant atitinkamus duomenis.

• Duomenys, leidžiantys įgaliojime aiškiai identifikuoti asmenį, kurio naudai įgyvendinamos teisės (pavyzdžiui, identifikatorius, gimimo data, paskutinio prisijungimo data)

• Gavėjo, kuriam perduodami duomenys, identifikavimas (tai gali būti agentas arba atitinkamas asmuo)

• Įgaliojimo autentiškumas (elektroninio parašo egzistavimas), jo apimtis ir trukmė. Turi būti nurodyti duomenys arba duomenų kategorijos. CNIL mano, kad neribotam laikui nustatytas įgaliojimas neatitinka įstatymo reikalavimų.

• Jei perdavimas atliekamas elektroniniu būdu, ypač naudojant taikomųjų programų programavimo sąsają (API), ji turi būti stabili, pasižymėti dideliu prieinamumu ir integruoti prie rizikos pritaikytas saugumo priemones. CNIL turi abejonių dėl duomenų išgavimo metodų, kurie leidžia automatiškai išgauti atitinkamo asmens vartotojo vardą ir slaptažodį.

Jei duomenų valdytojas abejoja įgaliojimo galiojimu, jis privalo pagrįsti savo atsisakymą patenkinti prašymą susipažinti su duomenimis pagal BDAR 12.6 straipsnį.

Taip galėtų būti, pavyzdžiui, jei kyla pagrįstų abejonių dėl atitinkamo asmens tapatybės, dėl kurių reikės surinkti papildomos informacijos iš to asmens arba atstovo.

Įgaliojimo atveju, kaip ir klasikinio prašymo susipažinti su duomenimis atveju, duomenų valdytojo atsakymo laikas yra vienas mėnuo.

O kaip dėl galimo agento pakartotinio šių duomenų panaudojimo savo tikslais?

Tai yra atskira tvarkymo operacija, kuri turi atitikti BDAR teisinius reikalavimus.

Suinteresuotas asmuo bet kuriuo atveju turėtų turėti galimybę kiekvienu atveju sutikti ar nesutikti su kiekvienu pakartotiniu naudojimu, kurį numato agentas.

Atkreipkite dėmesį, kad CNIL, kaip ir Europos duomenų apsaugos komitetas, mano, jog „agentai neturėtų pakartotinai naudoti su trečiosiomis šalimis susijusių duomenų savo tikslais“, nes tai būtų laikoma trečiųjų šalių teisių ir laisvių pažeidimu.

Ir taip pat

Prancūzija:

Savo 2020 m. veiklos ataskaitoje CNIL apžvelgiami svarbiausi metų įvykiai, ypač pandemijos krizės poveikis pagrindinėms teisėms.

Praėjus trejiems metams po BDAR įsigaliojimo, ji pažymi, kad nuolatinis skundų skaičiaus augimas – daugiau nei 62% šiais metais ir skyrė 14 sankcijų, įskaitant 11 baudų, kurių bendra suma siekia 138 mln. eurų.

THE Komisijos prioritetai įtraukti

• Naujos slapukų taisyklės (neseniai patikrinta apie dvidešimt organizacijų),
• Kibernetinis saugumas ir
• Skaitmeninis suverenitetas.

CNIL taip pat skelbia apie numatomą darbą, skirtą duomenų apsaugos ir su klimato kaita susijusių aplinkos problemų sąsajai.

CNIL taip pat paskelbė čekiai vaistinėse siekdami patikrinti bendrovės „Iqvia“ vykdomo klientų duomenų rinkimo sąlygas patologijų analizės tikslais.

Šie patikrinimai atlikti po to, kai gegužės viduryje buvo paskelbta ataskaita apie asmens duomenų išnaudojimą, sukėlusi daugybę reakcijų.

Galiausiai Komisija nurodė, kad pritaria sveikatos paso sukūrimui su sąlyga, kad bus numatytos duomenų tvarkymo garantijos ir kad leidimas bus naudojamas tik sveikatos krizės metu.

Birželio 3 d. ji paskelbė trečiąją nuomonę dėl kovos su pandemija priemonių.

Konstitucinė Taryba gegužės 20 d. priėmė sprendimą dėl „Visuotinio saugumo“ įstatymo.

Jame cenzūruojamas 24 straipsnis, susijęs su „piktavališko“ teisėsaugos pajėgų atvaizdo platinimo kriminalizavimu, taip pat didelė 47 ir 48 straipsnių dalis, kuriais buvo organizuojamas stebėjimas dronais, ypač demonstracijų metu, ir kamerų naudojimas juose. teisėsaugos transporto priemonės ir orlaiviai.

Europa:

Keletas pilietinės visuomenės veikėjų gegužės 26 d. inicijavo skundai prieš veido atpažinimo sistemą naudojanti bendrovę „Clearview“, ypač Prancūzijoje, Austrijoje, Italijoje, Graikijoje ir Jungtinėje Karalystėje.

Ten Europos Žmogaus Teisių Teismas Gegužės 25 d. JK Aukščiausiasis Teismas vienbalsiai nusprendė, kad plačiai paplitęs JK stebėjimo režimas, apie kurį 2013 m. paviešino Edwardas Snowdenas, pažeidžia Europos žmogaus teisių konvencijos 8 straipsnį dėl privatumo apsaugos.

Europos duomenų apsaugos valdyba Gegužės 20 d. priėmė du elgesio kodeksus, atsižvelgdama į Prancūzijos ir Belgijos valdžios institucijų sprendimus dėl debesijos: Belgijos atveju tai yra sprendimas dėl ES debesijos elgesio kodekso, o Prancūzijos atveju – CISPE dėl Europos debesijos infrastruktūros paslaugų teikėjų.

Komitetas taip pat birželio 2 d. paskelbė savo 2020 m. veiklos ataskaitą.

Europos duomenų apsaugos priežiūros pareigūnas pradeda du tyrimus dėl Europos institucijų naudojimosi „Amazon“ ir „Microsoft“ debesijos paslaugomis.

Šių tyrimų tikslas – patikrinti duomenų tvarkymo sąlygas ir ypač šių bendrovių duomenų perdavimą Jungtinėms Valstijoms, atsižvelgiant į Europos Teisingumo Teismo sprendimą Schrems II byloje.

Europos Sąjunga birželio pradžioje viešai paskelbė, kad norint susitarti dėl duomenų perdavimo Jungtinėms Valstijoms, pastarosios turės priimti privalomus įstatymus, leidžiančius Europos piliečiams teisme gintis nuo masinio jų duomenų rinkimo, kurį vykdo Amerikos vyriausybė.

Tarptautinis:

Neseniai žurnalo „Privacy Laws and Business“ (G. Greenleaf) paskelbtame tyrime teigiama, kad visuotinis privatumo atnaujinimasJame teigiama, kad šalių, priėmusių duomenų apsaugos įstatymus, skaičius išaugo nuo 132 iki 145, o dar 23 šalys rengia įstatymų projektus.

Brazilija: Kaip ir kelios Europos institucijos, Brazilijos priežiūros institucija prašo „WhatsApp“ sustabdyti savo naują privatumo politiką, kol bus baigtas tyrimas dėl jos pasekmių duomenų apsaugai ir konkurencijai.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.