Skladnost z GDPR v času krize.
Skladnost z GDPR v času krize. Kakšne so prioritete? nadzorni organi in kakšne so kontrole Kaj lahko podjetja pričakujejo v trenutnih zdravstvenih in gospodarskih razmerah?
Čeprav CNIL svoje dejavnosti jasno osredotoča na obdelavo zdravstvenih podatkov, se ni odpovedal svojim nadzornim pristojnostim v širšem smislu.
Najprej gre za številne ozaveščevalne ukrepe, namenjene delodajalcem (glej septembrski dokument o pravnem spremljanju), učiteljem in raziskovalcem, ki se soočajo s povečano uporabo informacijskih tehnologij in umetne inteligence.
CNIL se je v svojih preiskavah osredotočil tudi na sisteme za spremljanje epidemij in aplikacijo StopCovid.
Vodja inšpekcijskega oddelka v nedavni publikaciji navaja, da Mala podjetja, MSP in zagonska podjetja so zato manj podvržena inšpekcijskim pregledom.
Vendar preiskave niso bile opuščene, še posebej ker so imeli odgovorni od začetka veljavnosti GDPR čas, da sprejmejo potrebne ukrepe za skladnost.
Ta preverjanja se izvajajo bolj na podlagi vprašalnikov in razgovorov, nenapovedana preverjanja pa so zaradi krize manj pogosta.
Preverjanja na kraju samem zato povzročijo 48-urno opozorilo.
Podobne prilagoditve potekajo v mnogih evropskih državah, kar dokazuje nedavno poročilo Sveta Evrope o tej temi.
Če je bila opažena prožnost glede, na primer, prekoračitve zakonskega roka za odgovor na pravico posameznikov do dostopa do njihovih podatkov, toleranca je bistveno nižja ali pa je sploh ni, kadar obdelava podatkov predstavlja osnovno dejavnost nadzorovanega organa.
Poleg prilagoditve metod nadzora v času krize se je spremenila tudi oblika pravnih sredstev, ki so posameznikom na voljo v primeru kršitve njihovih pravic.
GDPR zdaj dovoljuje, da pritožnike zastopajo organi javnega interesa, številna združenja so od leta 2018 doživela razvoj svojih dejavnosti, kot na primer »La Quadrature du Net« v Franciji« ali »None of Your Business« v Avstriji.
Nedavno smo jih videli pri delu v pravnih postopkih glede nadzora Pariza z droni med zaprtjem in v kontekstu demonstracij ter glede vprašanja prenosa podatkov v Združene države (glej sodbo v zadevi Schrems II, o kateri smo razpravljali v našem avgustovskem pravnem pregledu).
Te strukture, ki so vse bolje organizirane in financirane, dajejo problemu varstva podatkov novo prepoznavnost.
Glede na morebitno škodo in sankcije, ki jih določa Uredba, izpostavljajo vprašanja ne le z etičnega vidika, temveč tudi s finančnega in strateškega vidika.
Ta dogajanja so v središču prihajajočega spletnega seminarja, ki ga bo 18. novembra organizirala Platforma za zasebnost poslanke Evropskega parlamenta Sophie In't Veld.
In tudi
Francija:
- Državni svet kljub tveganjem, povezanim s prenosom teh podatkov v Združene države, noče začasno ustaviti delovanja "središča zdravstvenih podatkov".
CNIL je izpostavil tveganja, povezana z gostovanjem zdravstvenih podatkov ljudi, ki se zdravijo v Franciji, s strani Microsofta, in spomnil na vprašanja zakonitosti, ki jih je sprožila sodba Evropskega sodišča v zadevi Schrems II.
Čeprav ne začasno ustavi delovanja platforme, državni svet vseeno priznava tveganja prenosa in zahteva, da se sprejmejo ustrezna jamstva, dokler se ne najde trajna rešitev.
CNIL bo o tej zadevi svetoval javnim organom in pri zahtevah za odobritev raziskovalnih projektov v okviru zdravstvene krize zagotovil, da je uporaba platforme tehnično potrebna.
- CNIL v ponedeljek, 23. novembra 2020, od 14.00 do 17.30 organizira dogodek, posvečen pravici do prenosljivosti.
Ta nova pravica, zapisana v GDPR, vsakomur omogoča, da prejme osebne podatke, ki jih je posredoval upravljavcu podatkov, v strukturirani, splošno uporabljeni in strojno berljivi obliki ter da jih posreduje drugemu upravljavcu podatkov.
Razprave bodo namenjene zlasti razpravi o konkretnih rešitvah za racionalizacijo pretoka podatkov med storitvami, ob hkratnem spoštovanju pravic posameznikov.
GDPR zdaj dovoljuje, da pritožnike zastopajo organi javnega interesa, številna združenja so od leta 2018 doživela razvoj svojih dejavnosti, kot na primer »La Quadrature du Net« v Franciji« ali »None of Your Business« v Avstriji.
Nedavno smo jih videli pri delu v pravnih postopkih glede nadzora Pariza z droni med zaprtjem in v kontekstu demonstracij ter glede vprašanja prenosa podatkov v Združene države (glej sodbo v zadevi Schrems II, o kateri smo razpravljali v našem avgustovskem pravnem pregledu).
Te strukture, ki so vse bolje organizirane in financirane, dajejo problemu varstva podatkov novo prepoznavnost.
Glede na morebitno škodo in sankcije, ki jih določa Uredba, izpostavljajo vprašanja ne le z etičnega vidika, temveč tudi s finančnega in strateškega vidika.
Ta dogajanja so v središču prihajajočega spletnega seminarja, ki ga bo 18. novembra organizirala Platforma za zasebnost poslanke Evropskega parlamenta Sophie In't Veld.
In tudi
Francija:
- Državni svet kljub tveganjem, povezanim s prenosom teh podatkov v Združene države, noče začasno ustaviti delovanja "središča zdravstvenih podatkov".
CNIL je izpostavil tveganja, povezana z gostovanjem zdravstvenih podatkov ljudi, ki se zdravijo v Franciji, s strani Microsofta, in spomnil na vprašanja zakonitosti, ki jih je sprožila sodba Evropskega sodišča v zadevi Schrems II.
Čeprav ne začasno ustavi delovanja platforme, državni svet vseeno priznava tveganja prenosa in zahteva, da se sprejmejo ustrezna jamstva, dokler se ne najde trajna rešitev.
CNIL bo o tej zadevi svetoval javnim organom in pri zahtevah za odobritev raziskovalnih projektov v okviru zdravstvene krize zagotovil, da je uporaba platforme tehnično potrebna.
- CNIL v ponedeljek, 23. novembra 2020, od 14.00 do 17.30 organizira dogodek, posvečen pravici do prenosljivosti.
Ta nova pravica, zapisana v GDPR, vsakomur omogoča, da prejme osebne podatke, ki jih je posredoval upravljavcu podatkov, v strukturirani, splošno uporabljeni in strojno berljivi obliki ter da jih posreduje drugemu upravljavcu podatkov.
Razprave bodo namenjene zlasti razpravi o konkretnih rešitvah za racionalizacijo pretoka podatkov med storitvami, ob hkratnem spoštovanju pravic posameznikov.
Evropa:
- Združeno kraljestvo: tam Mednarodno podjetje Mariott je bil 30. oktobra zaradi kršitve varnosti kaznovan z 20 milijoni evrov, kar je bistveno nižji znesek, čeprav še vedno precejšen, od 100 milijonov evrov, ki jih je prvotno napovedal britanski organ za varstvo podatkov.
- Evropsko sodišče je 6. oktobra izdalo dve pomembni sodbi (La Quadrature du Net in Privacy International) na področju uporabe osebnih podatkov s strani obveščevalnih služb.
Ona natančno določa, strogi pogoji, pod katerimi lahko operaterji shranjujejo komunikacijske podatke in potrjuje nezakonitost "množičnega" prestrezanja teh podatkov s strani obveščevalnih služb.
Sodišče nadalje zavrača obstoj temeljne in kolektivne pravice do varnosti., kar bi upravičilo uravnoteženje s temeljnimi pravicami do zasebnosti in varstva podatkov.
- Evropski odbor za varstvo podatkov (EDPB) na svojem sestanku 21. oktobra sprejel smernice o varstvu podatkov »po zasnovi in privzeto« ki konkretno ponazarjajo, kako zagotoviti to zaščito že od faze načrtovanja IT sistema.
Mednarodno:
- Brazilija je od 19. oktobra opremljen z Kolegij komisarjev za varstvo podatkov za upravljanje svojega nadzornega organa.
Od petih članov, ki jih imenuje predsednik republike in potrdi senat, imajo trije predvsem vojaške izkušnje, zaradi česar je to precej edinstvena šola.
- Globalna skupščina o zasebnosti je sredi oktobra praktično združil približno sto predstavnikov organov za varstvo podatkov.
Skupščina je sprejela več sklepov oumetna inteligenca, prepoznavanje obrazov in humanitarna pomočObjavila je tudi zbirko najboljših praks v zvezi s pandemijo COVID-19.
- UNICEF pripravlja smernice za zaščito otrokove pravice v kontekstu razvoja umetne inteligence. Projekt je dostopen na spletu, njegova končna različica pa bo objavljena leta 2021.
Anne Christine Lacoste
Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.
SL 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK