Aici descoperim
dreptul tehnologiei

crop-hands-holding-heart-with-cross_23-2147796552.jpg

În noiembrie 2019, Google a anunțat că urmează să cumpere Fitbit, o companie care vinde dispozitive de monitorizare a sănătății – brățări, ceasuri. Datele colectate de către Fitbit și care vor ajunge la Google sunt, printre altele, în funcție de opțiunile fiecărui utilizatori: numărul de pași, ritmul cardiac, caloriile consumate, intensitatea exercițiilor și data efectuării acestora, calitatea somnului și orele de somn, kilogramele pierdute, date privind ciclul menstrual, date privind alimentele consumate zilnic.

Potrivit Privacyinternational.org, efectele nedorite ale acestei tranzacții sunt, printre altele, următoarele:

1.Probleme cu privire concurența loială în contextul în care această concentrare economică care rezultă din cumpărarea Fitbit de către Google va afecta ceilalți furnizori de produse similare din UE, dar va prejudicia în cele din urmă consumatorul final ale cărui date provenite de la Fitbit ar putea fi corelate cu datele deținute deja de Google. Acest lucru ar putea conduce către o profilare excesivă pe date sensibile (medicale), cu efecte nedorite asupra vieții private. Comitetul European pentru Protecția Datelor, a afirmat deja, în contextul investigației asupra achiziției Shazam de către Apple, faptul că „concentrările economice în piețele digitale pot fi o amenințare la adresa datelor personale și la adresa libertății utilizatorilor”. 

2.Probleme cu privire la viața privată. În urma achiziției, există riscul ca Google să folosească datele ca să afișeze utilizatorilor de internet reclame la produse și servicii legate de situația particulară medicală a fiecăruia. Potrivit privacyinternational.org, există riscul ca Google să afișeze reclame și în funcție de starea emoțională, obiceiurile sau ciclul menstrual al utilizatorilor/utilizatoarelor.

Asta nu înseamnă neapărat că Google va afișa femeilor aflate în perioada fertilă reclame la anti-concepționale sau femeilor însărcinate reclame la întreruperi de sarcină, dar există riscul să se întâmple și asta. Există riscul ca utilizatorii să primească și reclame la steroizi celor care efectuează des exerciții de forță sau reclame la diverse produse nesănătoase precum pastile de slăbit.

Sau, de ce nu, reclame la programări la cardiolog pentru cei care au un ritm cardiac anormal. Aici problema e legată și de exactitatea acestor date pentru că, în calitate de utilizator Fitbit de peste 3 ani, pot spune că ceasurile dau des erori la afișarea ritmului cardiac. Și cred că nimănui nu i-ar plăcea să îi apară reclame cu sugestii de programare la un medic pentru o problemă care nu există.

Decizia de a afișa reclame nu aparține unui om, ci unui AI programat de Google în acest sens, iar integrarea eticii în AI reprezintă un lux pentru majoritatea companiilor.

Interesant de urmărit este costul total al tranzacției care împărțit la numărul utilizatorilor Fitbit ne poate ajuta să aflăm cât valorează datele noastre și mă întreb dacă nu cumva Google ne va oferi dispozitivele gratuit pentru că oricum va face o avere cu aceste date.

Comisia Europeană a deschis o investigație cu privire la această potențială tranzacție și urmează să o aprobe sau să o dezaprobe.

Margrethe Vestager, vice-președinte executiv al Comisiei, a spus că „Se așteaptă ca folosirea dispozitivelor de tip wearable de către consumatorii europeni să crească masiv în anii ce urmează. Acest lucru merge mână în mână cu creșterea exponențială a datelor generate de aceste dispozitive. Aceste date furnizează informații-cheie despre viața privată și starea de sănătate a utilizatorilor. Investigația noastră are drept obiectiv să se asigure că nu se vor încălca regulile privind concurența prin controlul Google asupra datelor colectate prin intermediul acestor dispozitive”. 



figure-justice-holding-scales-sword_124595-823.jpg

Domnul Lloyd a introdus o acțiune colectivă în numele a 4,4 milioane de persoane  la Curtea Supremă din Regatul Unit împotriva Google, pretinzând faptul că persoanele au pierdut controlul asupra datelor personale atunci când Google a exploatat istoricul de navigare utilizând module cookies ascunse și fără a fi obținut în prealabil consimțământul persoanelor.

Instanța din apel a hotărât că o persoană trebuie să fie despăgubită pentru „pierderea controlului” asupra datelor cu caracter personal, chiar în lipsa unui prejudiciu material sau moral[1]. Argumentația instanței a fost următoarea: Dacă Google folosește datele cu caracter personal pentru profit, atunci acele date au valoare pentru persoana de la care provin acestea. Astfel, în viziunea instanței, având în vedere că datele sunt monetizate, ar trebui tratate din punct de vedere juridic ca bunuri, iar lipsa controlului asupra datelor private ca bunuri vor da automat persoanei dreptul la despăgubire.[2]

[1] England and Wales Court of Appeal (Civil Division), Richard Lloyd împotriva Google LLC, par. 70, disponibilă aici, link accesat 03.08.2020

 

„ (…) For the reasons, I have given, I would conclude that damages are in principle capable of being awarded for loss of control of data under article 23 and section 13, even if there is no pecuniary loss and no distress. The words in section 13 “[an] individual who suffers damage by reason of [a breach] is entitled to compensation” justify such an interpretation, when read in the context of the Directive and of article 8 of the Convention and article 8 of the Charter, and having regard to the decision in Gulati. Only by construing the legislation in this way can individuals be provided with an effective remedy for the infringement of such rights. (…)”

 

[2] England and Wales Court of Appeal (Civil Division), Richard Lloyd împotriva Google LLC, par. 46-47, disponibilă aici, link accesat 03.08.2020

 „(…) The first question that arises is whether control over data is an asset that has value. That question again should, in this context, be answered as a matter of EU law. In Your Response Limited v. Datateam Business Media Limited [2014] EWCA Civ 281, this court held that, as a matter of English law, an electronic database was not a form of property capable of possession and that, therefore, it could not be subject to a possessory lien. That question may in due course need to be revisited, but it does not, in my judgment affect the answer to the relevant question for current purposes. Even if data is not technically regarded as property in English law, its protection under EU law is clear. It is also clear that a person’s BGI has economic value: for example, it can be sold. It is commonplace for EU citizens to obtain free wi-fi at an airport in exchange for providing their personal data. If they decline to do so, they have to pay for their wi-fi usage. The underlying reality of this case is that Google was able to sell BGI collected from numerous individuals to advertisers who wished to target them with their advertising. That confirms that such data, and consent to its use, has an economic value. (…)

(…) Accordingly, in my judgment, a person’s control over data or over their BGI does have a value, so that the loss of that control must also have a value.”

 

 

Te-ar putea interesa și:

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



figure-justice-holding-scales-sword_124595-823.jpg

Hotărârea în cauza C-129/19
Presidenza del Consiglio dei Ministri/BV

Statele membre trebuie să acorde o despăgubire oricărei victime a unei infracțiuni
intenționate săvârșite prin violență, inclusiv celor care au reședința pe propriul
teritoriu

Despăgubirea nu trebuie să acopere repararea integrală a prejudiciilor, însă cuantumul acesteia nu
poate fi pur simbolic

 

În Hotărârea Presidenza del Consiglio dei Ministri (C-129/19), pronunțată la 16 iulie 2020, Curtea, întrunită în Marea Cameră, a statuat, în primul rând, că regimul răspunderii extracontractuale a unui stat membru pentru prejudiciul cauzat prin încălcarea dreptului Uniunii are vocația de a se aplica, pentru motivul că acest stat membru nu a transpus în timp util Directiva 2004/801, în privința victimelor care au reședința în statul membru respectiv, pe teritoriul căruia a fost săvârșită prin violență infracțiunea intenționată. În al doilea rând, Curtea a declarat că o despăgubire forfetară acordată victimelor unei violențe sexuale în temeiul unui sistem național de despăgubire a victimelor infracțiunilor intenționate săvârșite prin violență nu poate fi calificată drept „echitabilă și corespunzătoare” în sensul aceleiași dispoziții, dacă este stabilită fără a se ține seama de gravitatea consecințelor, pentru victime, a infracțiunii săvârșite și nu reprezintă, așadar, o contribuție adecvată la repararea prejudiciului material și moral suferit.

În speță, în luna octombrie a anului 2005, BV, o cetățeană italiană cu reședința în Italia, a fost victima unor violențe sexuale săvârșite pe teritoriul acestui stat membru. Cele 50 000 de euro pe care autorii acestor violențe fuseseră obligați să le plătească reclamantei cu titlu de daune interese nu i-au putut fi însă plătite ca urmare a faptului că aceștia s-au sustras executării. În luna februarie a anului 2009, BV a chemat în judecată Presidenza del Consiglio dei Ministri (Cabinetul primministrului, Italia) pentru repararea prejudiciului pe care pretindea că l-a suferit ca urmare a netranspunerii în timp util, de Italia, a Directivei 2004/802. În cursul acestei proceduri, Presidenza del Consiglio dei Ministri a fost obligat, în primă instanță, la plata către BV a sumei de 90 000 de euro, cuantumul fiind redus la 50 000 de euro în apel.

KIT GDPR Premium

 

Sesizată cu un recurs declarat de Presidenza del Consiglio dei Ministri, instanța de trimitere ridica, pe de o parte, problema posibilei aplicări a regimului răspunderii extracontractuale a unui stat membru, ca urmare a transpunerii tardive a Directivei 2004/80, în privința unor victime ale unor infracțiuni intenționate săvârșite prin violență care nu se aflau într-o situație transfrontalieră. Pe de altă parte, ea avea o îndoială cu privire la caracterul „echitabil și corespunzător”, în sensul Directivei 2004/80, al sumei forfetare de 4 800 de euro prevăzute de reglementarea italiană pentru despăgubirea victimelor unei violențe sexuale.

În ceea ce privește prima întrebare, Curtea a amintit mai întâi condițiile care permit stabilirea răspunderii statelor membre pentru prejudiciile cauzate particularilor prin încălcări ale dreptului Uniunii, și anume existența unei norme de drept al Uniunii încălcate care acordă drepturi particularilor, o încălcare suficient de gravă a acestei norme și o legătură de cauzalitate între respectiva încălcare și prejudiciul suferit de particulari. În speță, ținând seama de termenii Directivei 2004/80, de contextul său și de obiectivele sale, Curtea a arătat în special că, prin această directivă, legiuitorul Uniunii a optat nu pentru instituirea de către fiecare stat membru a unui sistem de despăgubire specific, limitat numai la victimele infracțiunilor intenționate săvârșite prin violență care se află într-o situație transfrontalieră, ci pentru aplicarea, în favoarea acestor victime, a sistemelor naționale de despăgubire a victimelor infracțiunilor menționate săvârșite pe teritoriile respective ale statelor membre. La finalul analizei sale, ea a considerat că Directiva 2004/80 impune fiecărui stat membru obligația de a se dota cu un sistem de despăgubire care să privească toate victimele infracțiunilor intenționate săvârșite prin violență pe teritoriul său, iar nu numai victimele care se află într-o situație transfrontalieră. Din ceea ce precedă, Curtea a dedus că Directiva 2004/80 conferă dreptul de a obține o despăgubire echitabilă și corespunzătoare nu numai victimelor acestor infracțiuni care se află într-o astfel de situație, ci și victimelor care au reședința obișnuită pe teritoriul statului membru în care a fost săvârșită infracțiunea. În consecință, sub rezerva îndeplinirii celorlalte două condiții menționate anterior, unparticular are dreptul la repararea prejudiciilor cauzate de încălcarea de către un stat membru a obligației sale care decurge din Directiva 2004/80, iar aceasta independent de aspectul dacă acest particular se afla sau nu într-o situație transfrontalieră în momentul în care a fost victima infracțiunii
în cauză.
În ceea ce privește a doua întrebare, Curtea a constatat că, în lipsa, în cuprinsul Directivei 2004/80, a vreunei indicații cu privire la cuantumul despăgubirii care ar trebui să corespundă unei despăgubiri „echitabile și corespunzătoare”, directiva menționată recunoaște statelor membre o marjă de apreciere în acest scop. Totuși, deși această despăgubire nu trebuie să asigure neapărat o reparare integrală a prejudiciului material și moral suferit de victimele infracțiunilor intenționate săvârșite prin violență, ea nu poate însă să aibă un caracter pur simbolic sau vădit insuficient în raport cu gravitatea consecințelor, pentru aceste victime, a infracțiunii săvârșite. Potrivit Curții, despăgubirea acordată unor asemenea victime în temeiul acestei directive trebuie astfel să compenseze, într-o măsură adecvată, suferințele la care au fost expuse. În această privință, Curtea a precizat de asemenea că o despăgubire forfetară a unor astfel de victime poate fi calificată drept „echitabilă și corespunzătoare”, în măsura în care baremul despăgubirilor este suficient de detaliat, astfel încât să se evite ca despăgubirea forfetară prevăzută pentru un anumit tip de violență să se poată dovedi, având în vedere împrejurările unui caz particular, vădit insuficientă.

 



cctv-camera-city-with-copy-space_46250-2227.jpg

Curtea Federală Administrativă – Germania

Hotărârea 6C2/18

 

Camere video într-o clinică stomatologică. Absența interesului legitim

 

Situația de fapt

Reclamantul este un dentist care a instalat o camera video în interiorul clinicii medicale deoarece nu avea personal auxiliar la recepție. În 2012, reclamantul a fost obligat de Autoritatea de supraveghere a prelucrării datelor din Germania să repoziționeze camerele astfel încât să nu se mai supravegheze decât zona din fața recepției, nu și ușa de la intrare, sala de așteptare și coridoarele. Reclamantul a contestat în instanță decizia Autorității de supraveghere, dar nu a avut câștig de cauză.

Instanța a considerat că dentistul nu se poate baza pe interes legitim pentru supravegherea CCTV a incintei clinicii stomatologice deoarece nu a putut demonstra că există indicii concrete care să justifice teama că anumite persoane ar putea intra în clinică pentru a comite infracțiuni. În plus, supravegherea video nu a fost considerată necesară pentru acordarea de îngrijiri de urgență pacienților care, din motive medicale, rămân în sala de așteptare pentru o perioadă de timp după tratament.

Desigur, în România, situația ar putea fi diferită mai ales în zonele (cartiere/orașe) cu rata mai mare a criminalității sau în clinicile care s-au confruntat deja cu anumite infracțiuni. Însă, înainte de montarea acestor camere, ar trebui efectuată o analiză a interesului legitim și o evaluare de impact. 

KIT GDPR Premium

 

 

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



big-data-protection-cyber-security-concept-with-shield-icon-cyber-space_34629-736.jpg

Criptarea este una dintre măsurile pe care trebuie să le pună în aplicare orice organizație care prelucrează date cu caracter personal, iar acest articol îți va explica ce este criptarea, tipurile de criptare și cum trebuie implementată criptarea.

Când spun că relația dintre criptare și GDPR este una deschisă, am în vedere faptul că deși introducerea criptării este necesară, ea nu este suficientă pentru a asigura conformitatea la GDPR, deoarece organizația trebuie să pună în practică și alte măsuri tehnice și organizatorice adecvate.  De exemplu, organizația ar trebui să introducă și pseudonimizarea datelor. Când spun că relația dintre criptare și GDPR este una complicată am în vedere faptul că introducerea criptării trebuie realizată în urma unei evaluări de risc adecvate pentru a descoperi care categori de date cu caracter personal necesită o criptare mai puternică și care este cea mai bună soluție de criptare pe care și-o poate permite o organizație la momentul T. Totodată, între criptare și GDPR este o relație pe termen lung, așadar măsurile implementate ar trebui reevaluate și îmbunătățite constant.

Prin urmare, ce vreau să spun, pe scurt, este că dacă ai criptat datele nu înseamnă că respecți automat GDPR, dar dacă nu ai criptat deloc datele există un risc mare să încalci GDPR.

În concluzie, trebuie să criptăm. 

 

Și totuși… ce este criptarea? 

  • Criptarea este o funcție matematică care codifică datele astfel încât numai utilizatorii autorizați să le poată accesa.
  • Este o modalitate de a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale ale acestora, precum și o modalitate prin care puteți demonstra conformitatea cu principiul securității.
  • Criptarea protejează informațiile stocate pe dispozitivele mobile și statice și în transmisie și există o serie de opțiuni diferite de criptare disponibile.
  • Ar trebui să luați în considerare criptarea împreună cu alte măsuri tehnice și organizatorice, ținând seama de beneficiile și riscurile pe care le poate oferi.
  • Ar trebui să aveți o politică care să guverneze utilizarea criptării, inclusiv formarea corespunzătoare a personalului.
  • De asemenea, trebuie să fiți la curent cu orice orientări specifice sectorului care vi se aplică, deoarece acestea pot prevedea obligativitatea utilizării criptării.

 

KIT GDPR Premium

 

 

Criptarea și stocarea datelor

  • Criptarea datelor în timpul stocării asigură o protecție eficientă împotriva prelucrării neautorizate sau ilegale.
  • Cele mai moderne sisteme de operare au încorporată o criptare completă a discului. De asemenea, puteți cripta fișiere individuale sau crea containere criptate.
  • Unele aplicații și baze de date pot fi configurate pentru a stoca date în formă criptată.
  • Stocarea datelor criptate prezintă în continuare riscuri reziduale. Va trebui să le abordați în funcție de context, de exemplu prin intermediul unei politici de securitate. 

 

Criptarea și transferul de date

  • Criptarea datelor cu caracter personal în timpul transferului asigură o protecție eficientă împotriva interceptării de către un terț.
  • Trebuie să utilizați canale de comunicații criptate atunci când se transmit date cu caracter personal printr-o rețea nesigură.
  • Puteți cripta datele înainte de a le transmite pe un canal nesigur și asigurați-vă că acestea sunt în continuare protejate. Cu toate acestea, un canal securizat oferă garanția că conținutul nu poate fi înțeles dacă este interceptat. Fără metode de criptare suplimentare, cum ar fi criptarea datelor în sine înainte de transmitere, datele vor fi criptate numai în timpul tranzitului.
  • Transferul de date criptate încă prezintă riscuri reziduale. Va trebui să le abordați în funcție de context, cum ar fi prin intermediul unor politici organizatorice. 

 

Te-ar putea interesa și:

 

Câte tipuri de criptare există?

  • Cele două tipuri de criptare utilizate în prezent la scară largă sunt criptarea simetrică și asimetrică.
  • În cazul criptării simetrice, aceeași cheie este folosită pentru criptare și decriptare. În schimb, în cazul criptării asimetrice, sunt utilizate chei diferite pentru criptare și decriptare.
  • Când se utilizează criptarea simetrică, este esențial să vă asigurați că cheia este transferată în siguranță, de exemplu prin intermediul unui canal de comunicare diferit. 
  • Tehnica hashing-ului criptografic este uneori asimilată cu criptarea, dar este important să se înțeleagă că criptarea și hashing-ul nu sunt concepte identice și sunt utilizate în scopuri diferite.

 

Cum ar trebui să implementăm criptarea?

  • Când implementați criptarea, este important să luați în considerare patru lucruri: alegerea algoritmului corect, alegerea dimensiunii corecte a cheii, alegerea software-ului corect și păstrarea cheii în siguranță.
  • În timp, se pot descoperi vulnerabilități în algoritmii de criptare care îi pot face în cele din urmă nesiguri. Ar trebui să evaluați periodic dacă metoda dumneavoastră de criptare rămâne adecvată.
  • Este important să se asigure că dimensiunea cheii este suficient de mare pentru a proteja împotriva unui atac de-a lungul duratei de viață a datelor. Prin urmare, ar trebui să evaluați dacă dimensiunile cheii dumneavoastră rămân adecvate.
  • Software-ul de criptare pe care îl utilizați este, de asemenea, esențial. Trebuie să vă asigurați că orice soluție pe care o implementați respectă standardele actuale, cum ar fi FIPS 140-2 și FIPS 197.
  • De asemenea, trebuie să vă asigurați că păstrați cheile în siguranță și că aveți procese în funcțiune pentru a genera chei noi atunci când este necesar.

 

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



permanently-deleting-documents-from-laptop-trash-data-burning-flat-illustration_124715-431.jpg

Dreptul la ștergerea datelor este unul dintre drepturile garantate de GDPR persoanelor fizice vizate, iar orice persoană fizică poate transmite o cerere de ștergere. Atunci când primesc o cerere de ștergere, companiile trebuie să o analizeze și să descopere dacă cererea este întemeiată. Dacă cererea este întemeiată, datele se vor șterge. Însă, indiferent de temeinicia cererii, persoanei vizate trebuie să i se răspundă în scris, în maxim o lună de la primirea cererii, cu privire la măsurile întreprinse. Dacă s-au șters datele, i se va comunica acest aspect persoanelor vizate. Dacă nu s-au șters datele, persoanei i se vor comunica motivele pentru care nu s-au șters datele și i se va comunica posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.

Mai multe despre dreptul la ștergere poți afla aici. 

Pentru lipsa răspunsului în termenul legal, companiile pot fi amendate.

Aceasta este și situația companiei Viva Credit IFN SA care a fost amendată pentru că nu a răspuns la o cerere de ștergere.

KIT GDPR Premium

 

Redăm mai jos comunicatul de presă de pe site-ul ANSPDCP:

„Autoritatea Națională de Supraveghere a finalizat o investigație la operatorul S.C. Viva Credit IFN S.A., constatând încălcarea art. 12 alin. (3) și (4) din Regulamentul General privind Protecția Datelor, prin raportare la art. 17 din același Regulament.

Operatorul S.C. Viva Credit IFN S.A. a fost sancționat contravențional cu amendă în cuantum de 9680 lei, echivalentul sumei de 2000 EURO.

Investigația s-a desfășurat ca urmare a unei plângeri prin care se reclama faptul că operatorul nu a soluționat cererea petentului prin care își exercita dreptul de ștergerea datelor, potrivit art. 17 din Regulamentul General privind Protecția Datelor.

De asemenea, operatorul nu a furnizat petentului informații cu privire la acțiunile întreprinse în urma cererii acestuia în termen de cel mult o lună (sau maximum 3 luni, prezentând și motivele întârzierii) la adresa sa de domiciliu sau la adresa de contact (e-mail) disponibilă în evidențele sale.

Astfel, operatorul S.C. Viva Credit IFN S.A. a încălcat prevederile art. 12 alin. (3) și (4), raportat la art. 17 din Regulamentul General privind Protecția Datelor.

Operatorul are obligaţia, potrivit art. 12 alin. (3), de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună de la primirea cererii, iar conform alin. (4) al aceluiași articol ”dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere şi în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri şi la posibilitatea de a depune o plângere în faţa unei autorităţi de supraveghere şi de a introduce o cale de atac judiciară.”

În același timp, operatorului S.C. Viva Credit IFN S.A. i s-a aplicat și o măsura corectivă, în temeiul prevederilor art. 58 alin. (2) lit. d) din Regulamentul General privind Protecția Datelor, acesta fiind obligat să transmită un răspuns petentului la cererea depusă, în termen de 5 zile lucrătoare de la comunicarea procesului-verbal.”

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



closeup-shot-person-holding-small-globe-with-two-hands_181624-8185.jpg

Comitetul European pentru Protecția Datelor a răspuns la cele mai frecvente întrebări cu privire la căderea Scutului de confidențialitate UE-SUA („Privacy Shield”).

1.Ce a decis Curtea de Justiție în hotărârea sa?

În hotărârea sa, Curtea a examinat validitatea Deciziei 2010/87/CE a Comisiei Europene privind clauzele contractuale standard („CCS”) și a considerat că este validă. Într-adevăr, validitatea acestei decizii nu este pusă în discuție prin simplul fapt că, având în vedere natura lor
contractuală, clauzele standard de protecție a datelor din decizia respectivă nu obligă autoritățile din țăriile terțe în care pot fi transferate datele. Cu toate acestea, această validitate, a adăugat Curtea, depinde de faptul dacă Decizia din 2010/87/CE include mecanisme eficiente care fac posibilă, în practică, asigurarea respectării nivelului de protecție în esență echivalent cu cel garantat de RGPD în UE și că transferurile de date cu caracter personal în conformitate cu aceste clauze sunt suspendate sau interzise în cazul încălcării acestor clauze sau este imposibilă onorarea acestora.

În această privință, Curtea subliniază, în special, că Decizia din 2010/87/CE impune obligația unui exportator de date și a destinatarului („importatorul de date”) de a verifica, înainte de orice transfer și, ținând seama de circumstanțele transferului, dacă acest nivel de protecție este respectat în țara terță și că Decizia din 2010/87/CE impune importatorului de date să informeze exportatorul de date cu privire la orice incapacitate de a respecta clauzele standard de protecție a datelor și, dacă este necesar, orice măsuri suplimentare celor oferite de clauza respectivă, acesta din urmă fiind, la rândul său, obligat să suspende transferul de date și/sau să rezilieze contractul cu primul.

De asemenea, Curtea a examinat validitatea Deciziei privind Scutul de confidențialitate (Decizia 2016/1250 privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UESUA), deoarece transferurile în joc, în contextul litigiului național care conduce la solicitarea unei decizie preliminare, a avut loc între UE și Statele Unite („SUA”).

KIT GDPR Premium

 

Curtea a considerat că cerințele legislației interne americane, în special anumite programe care permit accesul autorităților publice americane la datele cu caracter personal transferate din UE în SUA în scopuri de securitate națională, duc la limitarea protecției datelor cu caracter personal care nu sunt circumscrise într-un mod care satisface cerințele ce sunt în esență echivalente cu cele impuse de legislația UE și că această legislație nu acordă persoanelor vizate drepturi acționabile în fața instanțelor împotriva autorităților americane. Ca urmare a unui astfel de grad de interferență cu drepturile fundamentale ale persoanelor ale căror date sunt transferate în țara terță, Curtea a declarat invalidă Decizia privind caracterul adecvat al Scutului de confidențialitate.

2. Hotărârea Curții are implicații asupra instrumentelor de transfer, altele decât Scutul de confidențialitate?

În general, pentru țările terțe, pragul stabilit de Curte se aplică, de asemenea, tuturor garanțiilor adecvate prevăzute la articolul 46 din RGPD utilizate pentru a transfera date din SEE în orice țară terță. Legea americană menționată de Curte (de exemplu, secțiunea 702 FISA și EO 12333) se aplică oricărui transfer către SUA prin mijloace electronice care intră în sfera de aplicare a acestei legislații, indiferent de instrumentul de transfer utilizat pentru transfer.

3. Există vreo perioadă de grație în care pot continua transferul de date în SUA fără a evalua temeiul meu legal pentru trasnfer?

Nu, Curtea a invalidat Decizia privind Scutul de confidențialitate fără a-i păstra efectele, deoarece legea americană evaluată de Curte nu oferă un nivel esențial de protecție echivalent nu cel din UE. Această evaluare trebuie luată în considerare pentru orice transfer în S.U.A.

4. Am transferat date către un importat de date din SUA care a aderat la Scutul de confidențialitate, ce ar trebui să fac acum?

Transferurile îm baza acestui cadru legal sunt ilegale. Dacă doriți să continuați să transferați date în SUA, trebuie să verificați dacă puteți face acest lucru în condițiile prezentate mai jos.

 

Te-ar putea interesa și:

 

5. Folosesc CCS cu un importator din SUA, ce ar trebui să fac?

Curtea a constatat că legislația din SUA (adică Secțiunea 702 FISA și EO 12333) nu asigură un nivel esențial de protecție echivalent.

Dacă puteți sau nu transfera date cu caracter personal pe baza CCS, va depinde de rezultatul evaluării dvs., ținând cont de circumstanțele transferurilor și de măsurile suplimentare pe care le-ați putea pune în aplicare. Măsurile suplimentare, împreună cu CCS, în urma unei analize de la caz la caz a circumstanțelor din jurul transferului, ar trebui să se asigure că legislația SUA nu afectează nivelul adecvat de protecție pe care îl garantează.

Dacă ajungeți la concluzia că, luând în considerare circumstanțele transferului și eventualele măsuri suplimentare, nu ar fi asigurate garanții adecvate, vi se cere să suspendați sau să încetați transferul de date cu caracter personal. Cu toate acestea, dacă intenționați să continuați transferul de date, trebuie să anunțați Autoritatea de supraveghere a dvs. competentă.

6. Folosesc Reguli corporatiste obligatorii („BCRs”) cu o entitate din SUA, ce ar trebui să fac?

Având în vedere hotărârea Curții, care a invalidat Scutul de confidențialitate din cauza gradului de interferență creat de legea SUA cu drepturile fundamentale ale persoanelor ale căror date sunt transferate în țara terță și a faptului că Scutul de confidențialitate a fost de asemenea conceput pentru a oferi garanții pentru datele transferate cu alte instrumente, cum ar fi BCRsurile, evaluarea Curții se aplică și în contextul BCRs-urilor, deoarece legislația americană va avea, de asemenea, întâietate asupra acestui instrument.

Dacă puteți sau nu transfera date cu caracter personal pe baza BCRs-urilor va depinde de rezultatul evaluării dvs., ținând cont de circumstanțele transferurilor și de măsurile suplimentare pe care le-ați putea pune în aplicare. Aceste măsuri suplimentare, împreună cu BCRs-urile, în urma unei analize de la caz la caz a circumstanțelor din jurul transferului, ar trebui să se asigure că legislația SUA nu afectează nivelul adecvat de protecție pe care îl garantează.

Dacă ajungeți la concluzia că, luând în considerare circumstanțele transferului și eventualele măsuri suplimentare, nu ar fi asigurate garanții adecvate, vi se cere să suspendați sau să încetați transferul de date cu caracter personal. Cu toate acestea, dacă intenționați să continuați transferul de date, trebuie să anunțați Autoritatea de supraveghere competentă.

7. Ce se întâmplă cu celelalte instrumente de transfer în conforimitate cu articolul 46 din RGPD?

CEPD va evalua consecințele hotărârii asupra instrumentelor de transfer, altele decât CCS și BCRs. Hotărârea clarifică faptul că standardul pentru garanțiile adecvate la articolul 46 din RGPD este cel al „echivalenței esențiale”.

După cum a subliniat Curtea, trebuie menționat că articolul respectiv apare în capitolul V din RGPD și, în consecință, trebuie citit ținând cont de articolului 44 din RGPD, care prevede că „toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulamentul nu este subminat”.

 

8. Pot să mă bazez pe una dintre derogările de la articolul 49 din RGPD pentru a transfera date în SUA?

Este încă posibil să se transfere date din SEE în SUA pe baza derogărilor prevăzute la articolul 49 din RGPD, cu condiția să se aplice condițiile prevăzute în prezentul articol. CEPD face trimitere la orientările sale cu privire la această prevedere.

Trebuie reamintit, în special, că atunci când transferurile se bazează pe consimțământul persoanei, acesta ar trebui să fie:

 explicit,
 specific pentru transferul de date sau setul de transferuri specifice (ceea ce înseamnă că
exportatorul de date trebuie să se asigure că obține consimțământul specific înainte de
punerea în aplicare a transferului, chiar dacă acest lucru se produce după colectarea
datelor), și
 informat, în special cu privire la riscurile posibile ale transferului (în sensul că persoana vizată
ar trebui să fie, de asemenea, informată cu privire la riscurile specifice care rezultă din
faptul că datele sale vor fi transferate într-o țară care nu oferă o protecție adecvată și că nu
sunt implementate garanții adecvate pentru a asigura protecția datelor).

În ceea ce privește transferurile necesare pentru executarea unui contract între persoana vizată și operator, trebuie avut în vedere faptul că datele cu caracter personal pot fi transferate numai atunci când transferul este ocazional. Ar trebui să fie stabilit de la caz la caz dacă transferurile de date ar fi determinate ca fiind „ocazionale” sau „neocazionale”. În orice caz, această derogare poate fi bazată doar atunci când transferul este obiectiv necesar pentru îndeplinirea contractului.

În legătură cu transferurile necesare din motive importante de interes public (care trebuie recunoscute în legislația UE sau a statelor membre), CEPD reamintește că cerința esențială pentru aplicabilitatea acestei derogări este constatarea unui interes public important și nu a naturii organizației și, deși această derogare nu se limitează la transferuri de date care sunt „ocazionale”, acest lucru nu înseamnă că transferurile de date pe baza derogării de interes public important pot avea loc pe scară largă și în mod sistematic. Mai degrabă, trebuie
respectat principiul general, conform căruia derogările prevăzute la articolul 49 din RGPD nu artrebui să devină „regula” în practică, ci trebuie să fie limitate la situații specifice și fiecare exportator de date trebuie să se asigure că transferul îndeplinește testul strict de necesitate.

9. Pot continua să folosesc CCS și BCRs pentru a transfera date într-o altă țară terță decât SUA?

Curtea a indicat că CCS, de regulă, pot fi utilizate în continuare pentru a transfera date într-o țară terță, cu toate că pragul stabilit de Curte pentru transferurile în SUA se aplică pentru orice țară terță. Același lucru este valabil și pentru BCRs. Curtea a subliniat că este responsabilitatea exportatorului de date și a importatorului de date să evalueze dacă nivelul de protecție cerut de legislația UE este respectat în țara terță în cauză pentru a stabili dacă garanțiile oferite de CCS sau de BCRs pot fi respectate în practică. Dacă acest lucru nu este cazul, ar trebui să evaluați dacă puteți oferi măsuri suplimentare pentru a asigura un nivel esențial echivalent de protecție, astfel cum este prevăzut în SEE și dacă legea țării terțe nu va afecta aceste măsuri suplimentare pentru a preveni eficacitate.

Puteți contacta importatorul dvs. de date pentru a verifica legislația țării sale și pentru a colabora pentru evaluarea acesteia. În cazul în care dumneavoastră sau importatorul de date din țara terță stabiliți că datelor transferate în conformitate cu CCS sau cu BCRs nu li se oferă un nivel de protecție în esență echivalent cu cel garantat în SEE, ar trebui să suspendați imediat transferurile. În caz contrat, trebuie să notificați Autoritatea de supraveghere competentă.

Cu toate că, după cum a subliniat Curtea, este responsabilitatea principală a exportatorilor de date și a importatorilor de date să autoevalueze dacă legislația țării terțe de destinație permite importatorului de date să respecte clauzele standard de protecție a datelor sau BCRs-urile înainte de a transfera date cu caracter personal către respectiva țară terță, AS vor avea, de asemenea, un rol esențial atunci când se aplică RGPD și atunci când se emit alte decizii cu privire la transferurile către țări terțe.

Așa cum a fost menționat de Curte, pentru a evita deciziile divergente, acestea vor lucra în continuare în cadrul CEPD pentru a asigura coerența, în special dacă transferurile către țări terțe trebuie interzise.

10. Ce fel de măsuri suplimentare pot introduce dacă folosesc CCS sau BCRs pentru a transfera date în țări terțe?

Măsurile suplimentare pe care le-ați putea prevedea acolo unde este necesar ar trebui să fie furnizate de la caz la caz, ținând cont de toate circumstanțele transferului și în urma evaluării legislației țării terțe, pentru a verifica dacă aceasta asigură un nivel adecvat de protecție.

Curtea a subliniat că este responsabilitatea principală a exportatorului de date și a importatorului de date să facă această evaluare și să prevadă măsurile suplimentare necesare. CEPD analizează în prezent hotărârea Curții pentru a determina tipul de măsuri suplimentare
care ar putea fi furnizate în plus față de CCS sau BCRs, fie că sunt măsuri legale, tehnice sau organizatorice, pentru a transfera date către țări terțe în care CCS sau BCRs nu vor oferi un nivel suficient de garanții pe cont propriu.

CEPD analizează în ce ar putea consta aceste măsuri suplimentare și va oferi mai multe îndrumări în continuare.

11. Folosesc o persoană împuternicită care prelucrează date pentru care sunt responsabil în calitate de operatori, cum pot ști dacă această persoană împuternicită transferă date în SUA sau în altă țară terță?

Contractul pe care l-ați încheiat cu persoana dvs. împuternicită în conformitate cu articolul 28 alineatul (3) din RGPD va prevedea dacă transferurile sunt autorizate sau nu (trebuie avut în vedere că chiar și furnizarea accesului la date dintr-o țară terță, de exemplu în scopuri de administrare, reprezintă la un transfer).

De asemenea, persoanele împuternicite trebuie să primească autorizație pentru a încredința altor persoane împuternicite să transfere date în țări terțe. Ar trebui să fiți atenți deoarece o mare varietate de soluții de calcul poate implica transferul datelor cu caracter personal într-o
țară terță (de exemplu, în scopuri de stocare sau întreținere).

12. Ce pot face pentru a continua să folososesc serviciile persoanei împuternicite dacă contractul semnat în conformitate cu articolul 28 alineatul (3) din RGPD indică faptul că datele pot fi transferate în SUA sau într-o altă țară terță?

Dacă datele dvs. pot fi transferate în SUA și nu pot fi furnizate măsuri suplimentare pentru a se asigura că legislația SUA nu afectează nivelul esențial echivalent de protecție prevăzut în SEE, furnizat de instrumentele de transfer, și nici nu se aplică derogările prevăzute la articolul 49 din RGPD, singura soluție este să negociați o modificare sau o clauză suplimentară a contractului dvs. pentru a interzice transferurile în SUA. Datele nu trebuie doar stocate, ci și administrate în altă parte decât în SUA.

Dacă datele dvs. pot fi transferate într-o altă țară terță, trebuie să verificați și legislația țării terțe pentru a vedea dacă acestea sunt conforme cu cerințele Curții și cu nivelul de protecție a datelor cu caracter personal. Dacă nu se găsește un motiv adecvat pentru transferuri către o țară terță, datele personale nu ar trebui transferate în afara teritoriului SEE și toate activitățile de prelucrare ar trebui să aibă loc în SEE.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



gdprenhancements.png

Autoritatea Națională de Supraveghere a finalizat în data de 06.07.2020 o investigație la operatorul  SC CNTAR TAROM SA, ca urmare a transmiterii de către operator a unei notificări privind încălcarea securității datelor cu caracter personal, constatându-se încălcarea dispozițiilor art. 32 alin. (4), art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul General privind Protecția Datelor, ceea ce a condus la aplicarea unei amenzi contravenționale în cuantum de 24.182,50 lei, echivalentul a 5.000 EURO.

Încălcarea securității datelor a constat în faptul că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, fapt ce a condus la pierderea confidențialității datelor personale prin accesarea neautorizată a datelor aparținând unui număr de cinci (5) pasageri TAROM, precum și la divulgarea neautorizată a datelor acestora.

De asemenea, operatorului i s-a aplicat și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor masuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa (angajații).

 

KIT GDPR Premium

 

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


stop-road-sign-attached-brick-wall_126745-213.jpg

Agenția pentru Drepturi Fundamentale a UE (FRA) a publicat într-un raport[1] răspunsurile unor persoane care au fost victime ale încălcării securității și confidențialității datelor cu caracter personal. Potrivit FRA[2], atunci când au fost întrebate despre prejudiciile care le-au adus încălcarea normelor privind protecția datelor, persoanele au descris prejudiciile în termeni psihologici sau sociali. Acestea au descris prejudiciul ca emoțional sau social (opinia altor persoane sau impactul asupra relațiilor cu ceilalți).

Ele au menționat diferite grade de suferință, panică și insecuritate (inclusiv sentimentul de a fi urmărit sau sub supraveghere), neputință, deteriorarea reputației sau neputință cu privire la un abuz de putere.

Redăm mai jos câteva mărturii ale persoanelor afectate oferite de FRA.[3]

„Am părăsit locul de muncă în condiții foarte dureroase. […] Și nu m-am putut apăra deoarece nu am știut dacă aceste acuzații au existat sau nu.” (Grecia)

„Consecințele [încălcării secretului medical] au fost cumplite. Toți oamenii în care am avut încredere au dispărut. În joc a fost pierderea auto-determinării. Întreaga mea lume s-a prăbușit și am rămas singură, fără bani și fără sprijin.” (Germania)

„Viața mea s-a schimbat la 180 de grade. Nu reușesc să îmi continui viața. Nu reușesc să fac ce mi-am propus. Am proiecte de realizat în viața, am planuri, idei […]. Dar nu pot să fac nimic. Nu pot deoarece sunt o persona non grata la bănci și alte instituții. Sau, mai degrabă, numele meu nu contează.” (Portugalia)

 

Te-ar putea interesa și:

 

Persoanele intervievate din Republica Cehă, Italia, Țările de Jos, Portugalia și România au declarat că încălcările în domeniul ocupării forței de muncă au cauzat prejudicii, ar fi procedurile disciplinare, suspendarea și/sau încetarea contractului de muncă sau riscul de concediere. Alte prejudicii au fost imposibilitatea de a obține un împrumut, lipsa oportunităților de angajare, pierderi financiare, costuri ridicate de reprezentare juridică.

Întrebați de ce s-au hotărât să depună o plângere sau să depună acțiune în instanță, persoanele au răspuns[4]:

„Era un control general. Știau totul: când mergeai la toaletă, când părăseai locul de muncă. Toate acestea au condus către un mediu de lucru neprielnic.” (Reclamant, Portugalia).

„Parolele de la Yahoo, Gmail și Facebook mi-au fost sparte și această persoană și-a asumat identitatea mea pentru aproximativ un an. El a trimis e-mail-uri în numele meu și a postat conținut obscene pe Facebook. Am vrut să se oprească.” (Portugalia)

FRA a concluzionat că persoanele vizate întâmpină probleme în a obține despăgubiri pentru prejudiciile cauzate deoarece, printre altele[5]:

  • Reprezentarea juridică înseamnă costuri;
  • Majoritatea judecătorilor și avocaților sunt nespecializați în domeniul protecției datelor, fiind un domeniu nou de drept;
  • Procedurile judiciare se întind pe o perioadă lungă de timp.
  • Dificultatea probării prejudiciului.

[1] FRA, Access to data protection remedies in EU Member States.

[2] Idem, p. 28.

[3] Ibidem.

[4] Idem, p.29.

[5] Ibidem, p. 37-45.

[6] Conform portalului legeaz.net, Tribunalul de Primă Instanţă este un organ comunitar înfiinţat pe lângă Curtea Europeană de Justiţie, care judecă în primă instanţă litigiile în care reclamanţi sunt persoanele fizice şi funcţionarii comunitari.

[7] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

KIT GDPR Premium

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



yellow-padlock-key-blue-keyboard_72402-2643.jpg

În Cauza T‑48/05 (Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene) prin Hotărârea[1] din 8 iulie 2008, Tribunalul de Primă Instanță a acordat daune morale de 56.000 euro către două persoane fizice pentru scurgeri de date personale dintr-un dosar de urmărire penală.

În concret, Tribunalul de Primă Instanță[2] a obligat Comisia Comunităților Europene la plata către domnii Yves Franchet și Daniel Byk a sumei de 56 000 de euro reprezentând daune morale[3] pentru că acesta nu a asigurat securitatea și confidențialitatea datelor personale privitoare la un dosar penal în curs de soluționare. Neglijența în a asigura confidențialitatea datelor a condus către scurgerea de informații în presă și încălcarea prezumției de nevinovăție. Tribunalul a constat că „(…) reclamanții au trebuit să facă față unor sentimente de nedreptate și de frustrare și că s‑a adus atingere onoarei și reputației lor profesionale din cauza conduitei ilegale a OLAF și a Comisiei.Ținând cont de circumstanțele particulare din prezenta cauză și de faptul că reputația reclamanților a fost foarte serios afectată, trebuie să se evalueze cuantumul acestui prejudiciu ex aequo et bono la 56 000 de euro.” [4].

Totodată, potrivit GDPR, datele privind condamnările penale și infracțiunile sunt categorii speciale de date care necesită o protecție sporită.[5].

 

Te-ar putea interesa și:

 

[1]Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, disponibilă aici, link accesat 26.07.2020.

[2] Conform portalului legeaz.net, Tribunalul de Primă Instanţă este un organ comunitar înfiinţat pe lângă Curtea Europeană de Justiţie, care judecă în primă instanţă litigiile în care reclamanţi sunt persoanele fizice şi funcţionarii comunitari.

[3] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

[4] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

[5] A se vedea art. 10 din RGPD.

KIT GDPR Premium