Súlad s GDPR v časoch krízy.
Súlad s GDPR v časoch krízy. Aké sú priority? dozorné orgány a aké sú ovládacie prvky Čo môžu podniky očakávať v súčasnej zdravotnej a ekonomickej situácii?
Hoci CNIL jasne zameriava svoje činnosti na spracovanie zdravotných údajov, nevzdala sa svojich dozorných právomocí v širšom zmysle slova.
V prvom rade existuje množstvo akcií na zvyšovanie povedomia zameraných na zamestnávateľov (pozri septembrový dokument o monitorovaní právnych predpisov), učiteľov a výskumníkov, ktorí čelia zvýšenému využívaniu informačných technológií a umelej inteligencie.
CNIL sa vo svojom vyšetrovaní zamerala aj na systémy monitorovania epidémie a aplikáciu StopCovid.
Jeho vedúci inšpekčného oddelenia v nedávnej publikácii uvádza, že Malé podniky, malé a stredné podniky a začínajúce podniky sú preto menej vystavené kontrolám.
Vyšetrovania však neboli zastavené, najmä preto, že zodpovedné osoby mali od nadobudnutia účinnosti GDPR čas prijať potrebné opatrenia na dodržiavanie predpisov.
Tieto kontroly sa vykonávajú skôr na základe dotazníkov a pohovorov a neohlásené kontroly sú kvôli kríze menej časté.
Kontroly na mieste preto vedú k 48-hodinovému varovaniu.
Podobné úpravy prebiehajú v mnohých európskych krajinách, o čom svedčí aj nedávna správa Rady Európy na túto tému.
Ak sa prejavila flexibilita, napríklad pokiaľ ide o prekročenie zákonnej lehoty na odpoveď na právo jednotlivcov na prístup k ich údajom, tolerancia je výrazne nižšia alebo neexistuje, ak spracovanie údajov predstavuje hlavnú činnosť kontrolovaného subjektu.
Okrem prispôsobenia metód kontroly v čase krízy došlo aj k zmene formy nápravy, ktorú majú jednotlivci k dispozícii v prípade porušenia svojich práv.
GDPR teraz umožňuje, aby boli sťažovatelia zastúpení orgánmi verejného záujmu, mnohé združenia zaznamenali od roku 2018 rozvoj svojich aktivít, ako napríklad „La Quadrature du Net“ vo Francúzsku alebo „Note of Your Business“ v Rakúsku.
Nedávno sme ich videli v praxi v súdnych konaniach týkajúcich sa sledovania Paríža dronmi počas lockdownu a v kontexte demonštrácií, ako aj v súvislosti s otázkou prenosu údajov do Spojených štátov (pozri rozhodnutie vo veci Schrems II, o ktorom sme diskutovali v našom augustovom právnom prehľade).
Tieto štruktúry, ktoré sú čoraz lepšie organizované a financované, dávajú problému ochrany údajov nový rozmer.
Vzhľadom na možné škody a sankcie stanovené v nariadení poukazujú na problémy nielen z etického hľadiska, ale aj z finančného a strategického hľadiska.
Tento vývoj je predmetom pripravovaného webinára, ktorý 18. novembra zorganizuje Platforma pre ochranu súkromia poslankyne EP Sophie In't Veld.
A tiež
Francúzsko:
- Štátna rada odmieta pozastaviť prevádzku „centra zdravotných údajov“ napriek rizikám spojeným s prenosom týchto údajov do Spojených štátov.
CNIL zdôraznila riziká spojené s hosťovaním zdravotných údajov ľudí liečených vo Francúzsku spoločnosťou Microsoft a pripomenula otázky právnosti, ktoré vyvolalo rozhodnutie Európskeho súdneho dvora vo veci Schrems II.
Hoci Štátna rada nepozastavuje prevádzku platformy, uznáva riziká prevodu a žiada, aby sa prijali vhodné záruky, kým sa nenájde trvalé riešenie.
CNIL bude v tejto veci poradiť verejným orgánom a v prípade žiadostí o povolenie výskumných projektov v kontexte zdravotnej krízy zabezpečí, aby bolo používanie platformy technicky nevyhnutné.
- CNIL organizuje podujatie venované právu na prenosnosť v pondelok 23. novembra 2020 od 14:00 do 17:30.
Toto nové právo zakotvené v GDPR umožňuje každému získať osobné údaje, ktoré poskytol prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich ďalšiemu prevádzkovateľovi.
Diskusie sa zamerajú najmä na prediskutovanie konkrétnych riešení na zefektívnenie toku údajov medzi službami pri súčasnom rešpektovaní práv jednotlivcov.
GDPR teraz umožňuje, aby boli sťažovatelia zastúpení orgánmi verejného záujmu, mnohé združenia zaznamenali od roku 2018 rozvoj svojich aktivít, ako napríklad „La Quadrature du Net“ vo Francúzsku alebo „Note of Your Business“ v Rakúsku.
Nedávno sme ich videli v praxi v súdnych konaniach týkajúcich sa sledovania Paríža dronmi počas lockdownu a v kontexte demonštrácií, ako aj v súvislosti s otázkou prenosu údajov do Spojených štátov (pozri rozhodnutie vo veci Schrems II, o ktorom sme diskutovali v našom augustovom právnom prehľade).
Tieto štruktúry, ktoré sú čoraz lepšie organizované a financované, dávajú problému ochrany údajov nový rozmer.
Vzhľadom na možné škody a sankcie stanovené v nariadení poukazujú na problémy nielen z etického hľadiska, ale aj z finančného a strategického hľadiska.
Tento vývoj je predmetom pripravovaného webinára, ktorý 18. novembra zorganizuje Platforma pre ochranu súkromia poslankyne EP Sophie In't Veld.
A tiež
Francúzsko:
- Štátna rada odmieta pozastaviť prevádzku „centra zdravotných údajov“ napriek rizikám spojeným s prenosom týchto údajov do Spojených štátov.
CNIL zdôraznila riziká spojené s hosťovaním zdravotných údajov ľudí liečených vo Francúzsku spoločnosťou Microsoft a pripomenula otázky právnosti, ktoré vyvolalo rozhodnutie Európskeho súdneho dvora vo veci Schrems II.
Hoci Štátna rada nepozastavuje prevádzku platformy, uznáva riziká prevodu a žiada, aby sa prijali vhodné záruky, kým sa nenájde trvalé riešenie.
CNIL bude v tejto veci poradiť verejným orgánom a v prípade žiadostí o povolenie výskumných projektov v kontexte zdravotnej krízy zabezpečí, aby bolo používanie platformy technicky nevyhnutné.
- CNIL organizuje podujatie venované právu na prenosnosť v pondelok 23. novembra 2020 od 14:00 do 17:30.
Toto nové právo zakotvené v GDPR umožňuje každému získať osobné údaje, ktoré poskytol prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a preniesť ich ďalšiemu prevádzkovateľovi.
Diskusie sa zamerajú najmä na prediskutovanie konkrétnych riešení na zefektívnenie toku údajov medzi službami pri súčasnom rešpektovaní práv jednotlivcov.
Európa:
- Spojené kráľovstvo: tam Medzinárodná spoločnosť Mariott dostala 30. októbra pokutu 20 miliónov eur za narušenie bezpečnosti, čo je výrazne nižšia, hoci stále značná suma ako 100 miliónov eur, ktoré pôvodne oznámil britský úrad na ochranu údajov.
- Európsky súdny dvor vyniesol 6. októbra dva dôležité rozsudky (La Quadrature du Net a Privacy International) v oblasti používania osobných údajov spravodajskými službami.
Ona špecifikuje, prísne podmienky, za ktorých môžu operátori uchovávať komunikačné údaje a potvrdzuje nezákonnosť „hromadného“ zachytávania týchto údajov spravodajskými službami.
Súd ďalej vyvracia existenciu základného a kolektívneho práva na bezpečnosť., čo by odôvodnilo vyváženie so základnými právami na súkromie a ochranu údajov.
- Európsky výbor pre ochranu údajov (EDPB) prijala usmernenia o ochrane údajov na svojom zasadnutí 21. októbra „zámerne a štandardne“, ktoré konkrétne ilustrujú, ako zabezpečiť túto ochranu už od fázy návrhu IT systému.
Medzinárodné:
- Brazília je od 19. októbra vybavený Kolégium komisárov pre ochranu údajov pre riadenie svojho dozorného orgánu.
Z piatich členov vymenovaných prezidentom republiky a potvrdených Senátom majú traja prevažne vojenské skúsenosti, čo z nej robí pomerne unikátnu vysokú školu.
- Globálne zhromaždenie o ochrane súkromia v polovici októbra prakticky spojila približne sto zástupcov orgánov na ochranu údajov.
Zhromaždenie prijalo niekoľko uznesení týkajúcich saumelá inteligencia, rozpoznávanie tvárí a humanitárna pomocTaktiež publikovala súbor osvedčených postupov týkajúcich sa pandémie COVID-19.
- UNICEF pripravuje usmernenia na ochranu práva detí v kontexte vývoja umelej inteligencie. Projekt je dostupný online a jeho finálna verzia bude publikovaná v roku 2021.
Anne Christine Lacoste
Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.
SK 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SL