Uplatňovanie prístupových práv, prenosnosť: aké sú právomoci zástupcu?

Právne správy č. 35 – Máj 2021

Uplatňovanie prístupových práv, prenosnosť: aké sú právomoci zástupcu? Niektorí prevádzkovatelia údajov mohli oprávnene vyjadriť svoje zmätenie po prijatí žiadosť od spoločnosti, ktorá má povinnosť získať údaje zo svojho zákazníckeho súboru, najmä ak žiadosť obsahuje obzvlášť široké požiadavky, napríklad týkajúce sa prenosu osobných údajov bez časového obmedzenia alebo požiadavky na automatický prístup k údajom.

Manažér môže oprávnene spochybňovať riziká opätovného použitia údajov o svojich zákazníkoch a možné narušenie hospodárskej súťaže, ktoré by z toho vyplynulo.

V zásade je však táto prax legálna.

Je to stanovené v GDPR a v článku 77 vykonávacej vyhlášky k zákonu o ochrane údajov a jeho cieľom je uľahčiť uplatňovanie práva na prístup, vznesenie námietky alebo dokonca prenosnosť údajov tým, že sa dotknutým osobám umožní obrátiť sa na zástupcu, aby uplatnil svoje práva.

Ako môžeme zachovať kontrolu jednotlivcov nad ich údajmi tým, že umožníme tretej strane uplatňovať tieto práva a zároveň sa vyhnúť zneužívaniu, ktoré by mohlo vyplynúť zo zneužívajúcich mandátov?

Je na agentovi, aby jasne definoval rozsah svojho mandátu, a na manažérovi, ktorý takúto žiadosť dostane, aby overil platnosť tohto mandátu.

CNIL nedávno spustila verejnú konzultáciu k návrhu odporúčania zameranému na objasnenie rámca tejto novej praxe.

Taktiež zverejnila štandardný mandát, ktorý môže slúžiť ako referencia pre zástupcov a prevádzkovateľov údajov.

Niektoré aspekty si zaslúžia osobitnú pozornosť a mohli by odôvodniť, aby prevádzkovateľ pred prenosom príslušných údajov vyžiadal dodatočné informácie.

• Údaje umožňujúce jasnú identifikáciu osoby, v prospech ktorej sa práva uplatňujú v poverení (napríklad identifikačné číslo, dátum narodenia, dátum posledného pripojenia)

• Identifikácia príjemcu, ktorému sa údaje prenášajú (môže to byť zástupca alebo dotknutá osoba)

• Pravosť mandátu (existencia elektronického podpisu), jeho rozsah a trvanie. Musia byť špecifikované údaje alebo kategórie údajov. CNIL sa domnieva, že mandát zriadený na dobu neurčitú nespĺňa požiadavky zákona.

• Ak sa prenos vykonáva elektronicky, najmä prostredníctvom aplikačného programovacieho rozhrania (API), toto rozhranie musí byť stabilné, mať vysokú úroveň dostupnosti a integrovať bezpečnostné opatrenia prispôsobené rizikám. CNIL má výhrady k technikám scrapingu, ktoré umožňujú získať používateľské meno a heslo od dotknutej osoby s cieľom automaticky extrahovať údaje.

Ak má prevádzkovateľ pochybnosti o platnosti mandátu, musí svoje odmietnutie udeliť žiadosti o prístup odôvodniť v súlade s článkom 12.6 GDPR.

Môže to tak byť napríklad v prípade, ak existujú opodstatnené pochybnosti o totožnosti dotknutej osoby, čo si bude vyžadovať zhromaždenie dodatočných informácií od tejto osoby alebo jej zástupcu.

V prípade mandátu, rovnako ako v prípade klasickej žiadosti o prístup, je lehota na odpoveď od prevádzkovateľa jeden mesiac.

A čo možné opätovné použitie týchto údajov agentom na vlastné účely?

Ide o samostatnú operáciu spracovania, ktorá musí spĺňať zákonné požiadavky GDPR.

Dotknutá osoba by v každom prípade mala mať možnosť v individuálnych prípadoch prijať alebo neprijať každé opätovné použitie, ktoré by zástupca plánoval.

Treba poznamenať, že CNIL, rovnako ako Európsky výbor pre ochranu údajov, sa domnieva, že „zástupcovia by nemali opätovne používať údaje týkajúce sa tretích strán na vlastné účely“, čo by sa považovalo za porušenie práv a slobôd tretích strán.

A tiež

Francúzsko:

Vo svojej správe o činnosti za rok 2020 CNIL zhodnocuje najdôležitejšie udalosti roka, a najmä vplyv pandemickej krízy na základné práva.

Tri roky po nadobudnutí účinnosti GDPR poznamenáva, neustály nárast počtu sťažností – viac ako 62% v tomto roku a uložila 14 sankcií vrátane 11 pokút v celkovej výške 138 miliónov eur.

THE Priority Komisie zahŕňajú

• Nové pravidlá týkajúce sa súborov cookie (nedávno bolo skontrolovaných približne dvadsať organizácií),
• Kybernetická bezpečnosť a
• Digitálna suverenita.

CNIL tiež oznamuje perspektívnu prácu venovanú prepojeniu medzi ochranou údajov a environmentálnymi otázkami súvisiacimi so zmenou klímy.

CNIL tiež oznámila kontroly v lekárňach aby overili podmienky zhromažďovania údajov svojich zákazníkov spoločnosťou Iqvia na účely analýzy patológií.

Tieto kontroly nasledujú po odvysielaní reportáže o zneužívaní osobných údajov v polovici mája, ktorá vyvolala početné reakcie.

Komisia nakoniec uviedla, že bola za vytvorenie zdravotného preukazu za predpokladu, že sú poskytnuté záruky na spracovanie údajov a že preukaz sa používa iba počas trvania zdravotnej krízy.

3. júna zverejnila svoje tretie stanovisko k opatreniam na boj proti pandémii.

Ústavná rada 20. mája rozhodla o zákone o „globálnej bezpečnosti“.

Cenzuruje článok 24 týkajúci sa kriminalizácie „zlomyseľného“ šírenia obrazu príslušníkov orgánov činných v trestnom konaní, ako aj veľkú časť článkov 47 a 48, ktoré organizovali sledovanie dronmi, najmä počas demonštrácií, a používanie kamier na palube. vozidlá a lietadlá presadzovania práva.

Európa:

Niekoľko aktérov občianskej spoločnosti iniciovalo 26. mája sťažnosti na spoločnosť Clearview, ktorá sa zaoberá rozpoznávaním tvárí, najmä vo Francúzsku, Rakúsku, Taliansku, Grécku a Spojenom kráľovstve.

Tam Európsky súd pre ľudské práva Najvyšší súd Spojeného kráľovstva 25. mája jednomyseľne rozhodol, že rozsiahly režim sledovania v Spojenom kráľovstve, ktorý zverejnil Edward Snowden v roku 2013, porušuje článok 8 Európskeho dohovoru o ľudských právach týkajúci sa ochrany súkromia.

Európsky výbor pre ochranu údajov prijala 20. mája dva kódexy správania v nadväznosti na rozhodnutia francúzskych a belgických orgánov o cloude: pre Belgicko ide o rozhodnutie týkajúce sa kódexu správania EÚ v oblasti cloudu a pre Francúzsko o CISPE, ktoré sa týka európskych poskytovateľov služieb cloudovej infraštruktúry.

Výbor tiež 2. júna zverejnil svoju správu o činnosti za rok 2020.

Európsky dozorný úradník pre ochranu údajov začína dve vyšetrovania týkajúce sa používania cloudových služieb spoločností Amazon a Microsoft európskymi inštitúciami.

Cieľom týchto vyšetrovaní je overiť podmienky spracovania a najmä prenosy údajov týmito spoločnosťami do Spojených štátov vzhľadom na rozhodnutie Európskeho súdneho dvora vo veci Schrems II.

Európska únia začiatkom júna verejne oznámila, že na dosiahnutie dohody o prenose údajov do Spojených štátov budú musieť tieto štáty prijať záväzné zákony, ktoré umožnia európskym občanom brániť sa na súde proti masívnemu zhromažďovaniu ich údajov americkou vládou.

Medzinárodné:

Nedávna štúdia publikovaná v časopise Privacy Laws and Business (G. Greenleaf) uvádza, že globálna aktualizácia ochrany osobných údajovUvádza sa, že počet krajín, ktoré prijali zákony o ochrane údajov, sa zvýšil zo 132 na 145, zatiaľ čo ďalších 23 krajín má návrhy zákonov v štádiu prípravy.

Brazília: Brazílsky dozorný orgán, podobne ako niekoľko jeho európskych konkurentov, žiada WhatsApp, aby pozastavil svoju novú politiku ochrany osobných údajov, kým sa neukončí vyšetrovanie jej dôsledkov z hľadiska ochrany údajov a hospodárskej súťaže.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.