GDPR atbilstība krīzes laikā.
GDPR atbilstība krīzes laikā. Kādas ir prioritātes? uzraudzības iestādes un kādas ir vadības ierīces Ko uzņēmumi var sagaidīt pašreizējā veselības un ekonomiskajā situācijā?
Lai gan CNIL savas darbības nepārprotami koncentrējas uz veselības datu apstrādi, tā nav atteikusies no savām uzraudzības prerogatīvām plašā nozīmē.
Pirmkārt, ir daudz izpratnes veicināšanas pasākumu, kas vērsti uz darba devējiem (sk. septembra juridiskās uzraudzības dokumentu), skolotājiem un pētniekiem, kuri saskaras ar pieaugošu informācijas tehnoloģiju un mākslīgā intelekta izmantošanu.
CNIL savās izmeklēšanās koncentrēja uzmanību arī uz epidēmijas uzraudzības sistēmām un StopCovid lietotni.
Tās inspekcijas nodaļas vadītājs nesenā publikācijā norāda, ka Tāpēc mazie uzņēmumi, MVU un jaunuzņēmumi ir mazāk pakļauti pārbaudēm.
Tomēr izmeklēšana nav pārtraukta, jo īpaši tāpēc, ka atbildīgajām personām ir bijis laiks veikt nepieciešamos atbilstības pasākumus kopš GDPR stāšanās spēkā.
Šīs pārbaudes vairāk tiek veiktas, pamatojoties uz anketām un intervijām, un krīzes dēļ nepieteiktas pārbaudes notiek retāk.
Tāpēc pārbaudes uz vietas izraisa 48 stundu brīdinājumu.
Līdzīgas pielāgošanās notiek daudzās Eiropas valstīs, ko apliecina nesen publicētais Eiropas Padomes ziņojums par šo tēmu.
Ja ir novērota elastība, piemēram, attiecībā uz likumā noteiktā termiņa nokavēšanu atbildēšanai uz personu tiesībām piekļūt saviem datiem, tolerance ir ievērojami zemāka vai tās vispār nav, ja datu apstrāde ir kontrolētās struktūras pamatdarbība..
Papildus kontroles metožu pielāgošanai krīzes laikā ir mainījusies arī personu tiesību aizsardzības līdzekļu forma viņu tiesību pārkāpuma gadījumā.
GDPR tagad ļauj sūdzību iesniedzējus pārstāvēt sabiedrības interešu struktūras, daudzas asociācijas ir piedzīvojušas aktivitātes attīstību kopš 2018. gada, piemēram, “La Quadrature du Net” Francijā vai “None of Your Business” Austrijā.
Nesen esam redzējuši tos darbībā tiesvedībās saistībā ar dronu novērošanu virs Parīzes lokdauna laikā un demonstrāciju kontekstā, kā arī saistībā ar datu pārsūtīšanas jautājumu uz Amerikas Savienotajām Valstīm (sk. nolēmumu Šremsa II lietā, kas apspriests mūsu augusta juridiskajā apskatā).
Šīs struktūras, kas tiek arvien labāk organizētas un finansētas, piešķir jaunu redzamību datu aizsardzības problēmai.
Ņemot vērā iespējamos zaudējumus un sankcijas, kas paredzētas Regulā, tie izceļ problēmas ne tikai no ētikas viedokļa, bet arī no finansiālā un stratēģiskā viedokļa.
Šīs norises ir uzmanības centrā gaidāmajā tīmekļa seminārā, ko 18. novembrī organizē Eiropas Parlamenta deputātes Sofijas In't Veldas privātuma platforma.
Un arī
Francija:
- Valsts padome atsakās apturēt "veselības datu centra" darbību, neraugoties uz riskiem, kas saistīti ar šo datu nodošanu uz Amerikas Savienotajām Valstīm.
CNIL bija uzsvērusi riskus, kas saistīti ar to, ka Microsoft mitina Francijā ārstējošos cilvēku veselības datus, un atgādināja par likumības jautājumiem, ko radīja Eiropas Savienības Tiesas lēmums Šremsa II lietā.
Lai gan tā neaptur platformas darbību, Valsts padome tomēr atzīst nodošanas riskus un pieprasa sniegt atbilstošas garantijas, līdz tiks atrasts ilgtspējīgs risinājums.
CNIL konsultēs valsts iestādes šajā jautājumā un nodrošinās, ka pētniecības projektu atļaušanas pieprasījumiem veselības krīzes kontekstā platformas izmantošana ir tehniski nepieciešama.
- CNIL piedāvā pasākumu, kas veltīts tiesībām uz datu pārnesamību, pirmdien, 2020. gada 23. novembrī, no plkst. 14:00 līdz 17:30.
Šīs jaunās tiesības, kas nostiprinātas GDPR, ļauj ikvienam saņemt personas datus, ko viņš vai viņa ir paziņojis datu pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un nosūtīt tos citam datu pārzinim.
Debašu mērķis jo īpaši būs apspriest konkrētus risinājumus datu plūsmas racionalizēšanai starp pakalpojumiem, vienlaikus ievērojot personu tiesības.
GDPR tagad ļauj sūdzību iesniedzējus pārstāvēt sabiedrības interešu struktūras, daudzas asociācijas ir piedzīvojušas aktivitātes attīstību kopš 2018. gada, piemēram, “La Quadrature du Net” Francijā vai “None of Your Business” Austrijā.
Nesen esam redzējuši tos darbībā tiesvedībās saistībā ar dronu novērošanu virs Parīzes lokdauna laikā un demonstrāciju kontekstā, kā arī saistībā ar datu pārsūtīšanas jautājumu uz Amerikas Savienotajām Valstīm (sk. nolēmumu Šremsa II lietā, kas apspriests mūsu augusta juridiskajā apskatā).
Šīs struktūras, kas tiek arvien labāk organizētas un finansētas, piešķir jaunu redzamību datu aizsardzības problēmai.
Ņemot vērā iespējamos zaudējumus un sankcijas, kas paredzētas Regulā, tie izceļ problēmas ne tikai no ētikas viedokļa, bet arī no finansiālā un stratēģiskā viedokļa.
Šīs norises ir uzmanības centrā gaidāmajā tīmekļa seminārā, ko 18. novembrī organizē Eiropas Parlamenta deputātes Sofijas In't Veldas privātuma platforma.
Un arī
Francija:
- Valsts padome atsakās apturēt "veselības datu centra" darbību, neraugoties uz riskiem, kas saistīti ar šo datu nodošanu uz Amerikas Savienotajām Valstīm.
CNIL bija uzsvērusi riskus, kas saistīti ar to, ka Microsoft mitina Francijā ārstējošos cilvēku veselības datus, un atgādināja par likumības jautājumiem, ko radīja Eiropas Savienības Tiesas lēmums Šremsa II lietā.
Lai gan tā neaptur platformas darbību, Valsts padome tomēr atzīst nodošanas riskus un pieprasa sniegt atbilstošas garantijas, līdz tiks atrasts ilgtspējīgs risinājums.
CNIL konsultēs valsts iestādes šajā jautājumā un nodrošinās, ka pētniecības projektu atļaušanas pieprasījumiem veselības krīzes kontekstā platformas izmantošana ir tehniski nepieciešama.
- CNIL piedāvā pasākumu, kas veltīts tiesībām uz datu pārnesamību, pirmdien, 2020. gada 23. novembrī, no plkst. 14:00 līdz 17:30.
Šīs jaunās tiesības, kas nostiprinātas GDPR, ļauj ikvienam saņemt personas datus, ko viņš vai viņa ir paziņojis datu pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā un nosūtīt tos citam datu pārzinim.
Debašu mērķis jo īpaši būs apspriest konkrētus risinājumus datu plūsmas racionalizēšanai starp pakalpojumiem, vienlaikus ievērojot personu tiesības.
Eiropa:
- Apvienotā Karaliste: tur Mariott International Company 30. oktobrī tika piespriests 20 miljonu eiro sods par drošības pārkāpumu, kas ir ievērojami mazāka summa, lai gan joprojām ievērojama, nekā Apvienotās Karalistes datu aizsardzības iestādes sākotnēji paziņotie 100 miljoni eiro.
- Eiropas Savienības Tiesa 6. oktobrī pasludināja divus svarīgus spriedumus. (La Quadrature du Net un Privacy International) personas datu izmantošanas jomā, ko veic izlūkdienesti.
Viņa precizē, stingri nosacījumi, saskaņā ar kuriem operatori var uzglabāt sakaru datus un apstiprina šo datu "masveida" pārtveršanas nelikumību, ko veic izlūkdienesti.
Tiesa tālāk noraida fundamentālu un kolektīvu tiesību uz drošību pastāvēšanu., kas pamatotu līdzsvaru ar pamattiesībām uz privātumu un datu aizsardzību.
- Eiropas Datu aizsardzības kolēģija (EDAK) savā 21. oktobra sanāksmē pieņēma datu aizsardzības vadlīnijas “pēc konstrukcijas un pēc noklusējuma”, kas konkrēti ilustrē, kā nodrošināt šo aizsardzību jau no IT sistēmas projektēšanas stadijas.
Starptautiskās:
- Brazīlija kopš 19. oktobra ir aprīkots ar Datu aizsardzības komisāru kolēģija tās uzraudzības iestādes vadībai.
No pieciem locekļiem, kurus iecēlis Republikas prezidents un apstiprinājis Senāts, trim ir galvenokārt militāra pieredze, kas padara to par diezgan unikālu kolēģiju.
- Globālā privātuma asambleja oktobra vidū praktiski pulcēja aptuveni simts datu aizsardzības iestāžu pārstāvju.
Asambleja pieņēma vairākas rezolūcijas parmākslīgais intelekts, sejas atpazīšana un humānā palīdzībaTā ir arī publicējusi labākās prakses apkopojumu saistībā ar Covid-19 pandēmiju.
- UNICEF sagatavo vadlīnijas, lai aizsargātu Bērnu tiesības mākslīgā intelekta attīstības kontekstā. Projekts ir pieejams tiešsaistē, un tā galīgā versija tiks publicēta 2021. gadā.
Anna Kristīna Lakoste
Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.
LV 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LT 
SK 
SL 
LV