Uveljavljanje pravic dostopa, prenosljivost: kakšna so pooblastila zastopnika?

Pravna ura št. 35 – Maj 2021

Uveljavljanje pravic dostopa, prenosljivost: kakšna so pooblastila zastopnika? Nekateri upravljavci podatkov so lahko upravičeno izrazili svojo zmedenost, ko so prejeli zahteva podjetja, ki je pooblaščeno za pridobitev podatkov iz svoje datoteke strank, zlasti kadar zahteva vsebuje posebej široke zahteve, na primer glede prenosa osebnih podatkov brez časovne omejitve ali zahteve po samodejnem dostopu do podatkov.

Vodja lahko upravičeno dvomi o tveganjih ponovne uporabe podatkov svojih strank in morebitnem izkrivljanju konkurence, ki bi iz tega izhajalo.

Načeloma pa je praksa zakonita.

Določa ga GDPR in 77. člen izvedbenega odloka Zakona o varstvu podatkov, njegov cilj pa je olajšati uveljavljanje pravic do dostopa, ugovora ali celo prenosljivosti podatkov, tako da se zadevnim osebam omogoči, da za uveljavljanje svojih pravic pokličejo zastopnika.

Kako lahko ohranimo nadzor posameznikov nad njihovimi podatki, tako da tretji osebi omogočimo uveljavljanje teh pravic, hkrati pa se izognemo zlorabam, ki bi lahko nastale zaradi nepoštenih mandatov?

Naloga zastopnika je, da jasno opredeli obseg svojega mandata, naloga upravitelja, ki prejme takšno zahtevo, pa je, da preveri veljavnost tega mandata.

CNIL je nedavno začel javno posvetovanje o osnutku priporočila, katerega cilj je razjasniti okvir te nove prakse.

Objavila je tudi standardni mandat, ki lahko služi kot referenca za zastopnike in upravljavce podatkov.

Nekateri vidiki si zaslužijo posebno pozornost in bi lahko upravičili, da upravljavec podatkov pred posredovanjem zadevnih podatkov zahteva dodatne podrobnosti.

• Podatki, ki omogočajo jasno identifikacijo osebe, v korist katere se pravice uveljavljajo, v pooblastilu (na primer identifikator, datum rojstva, datum zadnje povezave)

• Identifikacija prejemnika, ki mu so podatki posredovani (ki je lahko zastopnik ali zadevna oseba)

• Avtentičnost pooblastila (obstoj elektronskega podpisa), njegov obseg in trajanje. Podatki ali kategorije podatkov morajo biti določeni. CNIL meni, da pooblastilo, določeno za nedoločen čas, ne izpolnjuje zakonskih zahtev.

• Če se prenos izvaja elektronsko, zlasti prek vmesnika za programiranje aplikacij (API), mora biti ta stabilen, imeti visoko stopnjo razpoložljivosti in vključevati varnostne ukrepe, prilagojene tveganjem. CNIL ima zadržke glede tehnik strganja, ki omogočajo pridobitev uporabniškega imena in gesla od zadevne osebe za samodejno pridobivanje podatkov.

Če upravljavec podatkov dvomi o veljavnosti pooblastila, mora utemeljiti svojo zavrnitev odobritve zahteve za dostop v skladu s členom 12.6 GDPR.

To bi lahko bilo na primer v primeru, če obstajajo utemeljeni dvomi o identiteti zadevne osebe, kar bi zahtevalo zbiranje dodatnih informacij od te osebe ali njenega zastopnika.

V primeru mandata, tako kot pri klasični zahtevi za dostop, je odzivni čas upravljavca podatkov en mesec.

Kaj pa morebitna ponovna uporaba teh podatkov s strani agenta za lastne namene?

To je ločen postopek obdelave, ki mora biti skladen z zakonskimi zahtevami GDPR.

Zadevna oseba bi morala imeti v vsakem primeru možnost, da za vsak primer posebej sprejme ali ne sprejme vsako ponovno uporabo, ki jo zastopnik predvideva.

Upoštevajte, da CNIL, tako kot Evropski odbor za varstvo podatkov, meni, da „zastopniki ne smejo ponovno uporabljati podatkov, ki se nanašajo na tretje osebe, za lastne namene“, kar bi se štelo za kršitev pravic in svoboščin tretjih oseb.

In tudi

Francija:

V svojem poročilu o dejavnostih za leto 2020 je CNIL pregleda najpomembnejše dogodke leta, zlasti vpliv pandemične krize na temeljne pravice.

Tri leta po začetku veljavnosti GDPR ugotavlja, nenehno naraščanje števila pritožb – več kot 62% letos in izdal 14 sankcij, vključno z 11 globami v skupni vrednosti 138 milijonov evrov.

TA Prednostne naloge Komisije vključujejo

• Nova pravila glede piškotkov (pred kratkim je bilo preverjenih približno dvajset organizacij),
• Kibernetska varnost in
• Digitalna suverenost.

CNIL prav tako napoveduje prihodnje delo, posvečeno povezavi med varstvom podatkov in okoljskimi vprašanji, povezanimi s podnebnimi spremembami.

CNIL je prav tako sporočil pregledi v lekarnah da bi preverili pogoje zbiranja podatkov svojih strank s strani podjetja Iqvia za namene analize patologij.

Ta preverjanja sledijo predvajanju poročila o izkoriščanju osebnih podatkov sredi maja, ki je sprožilo številne odzive.

Komisija je končno navedla, da je bilo za uvedbo zdravstvene izkaznice pod pogojem, da so zagotovljena jamstva za obdelavo podatkov in da se prepustnica uporablja le za čas trajanja zdravstvene krize.

3. junija je objavila svoje tretje mnenje o ukrepih za boj proti pandemiji.

Ustavni svet je 20. maja odločil o zakonu o "globalni varnosti".

Cenzurira 24. člen, ki se nanaša na kriminalizacijo "zlonamernega" razširjanja podobe sil pregona, ter velik del 47. in 48. člena, ki sta organizirala nadzor z droni, zlasti med demonstracijami, in uporabo kamer na krovu. vozila in letala za pregon policije.

Evropa:

Več akterjev civilne družbe je 26. maja začelo pritožbe proti podjetju za prepoznavanje obrazov Clearview, zlasti v Franciji, Avstriji, Italiji, Grčiji in Združenem kraljestvu.

Tam Evropsko sodišče za človekove pravice Vrhovno sodišče Združenega kraljestva je 25. maja soglasno razsodilo, da razširjeni britanski režim nadzora, ki ga je leta 2013 objavil Edward Snowden, krši 8. člen Evropske konvencije o človekovih pravicah glede varstva zasebnosti.

Evropski odbor za varstvo podatkov je 20. maja sprejela dva kodeksa ravnanja, potem ko sta francoski in belgijski organi sprejeli odločitve o oblaku: za Belgijo gre za odločitev o kodeksu ravnanja EU za oblak, za Francijo pa za CISPE, ki se nanaša na evropske ponudnike storitev infrastrukture v oblaku.

Odbor je 2. junija objavil tudi svoje poročilo o dejavnostih za leto 2020.

Evropski nadzornik za varstvo podatkov začenja dve preiskavi o uporabi storitev v oblaku Amazon in Microsoft s strani evropskih institucij.

Namen teh preiskav je preveriti pogoje obdelave in zlasti prenose podatkov s strani teh podjetij v Združene države Amerike glede na sodbo Sodišča EU v zadevi Schrems II.

Evropska unija je v začetku junija javno napovedal, da bodo morale Združene države Amerike za dosego sporazuma o prenosu podatkov sprejeti zavezujoče zakone, ki bodo evropskim državljanom omogočili, da se na sodišču branijo pred množičnim zbiranjem njihovih podatkov s strani ameriške vlade.

Mednarodno:

Nedavna študija, ki jo je objavila revija Privacy Laws and Business (G. Greenleaf), navaja, da globalna posodobitev zasebnostiNavaja, da se je število držav, ki so sprejele zakone o varstvu podatkov, povečalo s 132 na 145, medtem ko ima še 23 držav osnutke zakonov v pripravi.

Brazilija: Tako kot nekateri evropski kolegi tudi brazilski nadzorni organ zahteva, da WhatsApp začasno ukine svojo novo politiko zasebnosti, dokler ni zaključena preiskava njenih posledic za varstvo podatkov in konkurenco.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.