CEPD GDPR

Documentele adoptate de CEPD în Aprilie 2021

De Mugurel Olariu, RPD protectie date

În timpul celei de-a 48-a plenare, desfășurată în data de 13 aprilie, organismul european specializat – CEPD, a adoptat următoarele documente*1:
· Avizul 14/2021 privind proiectul de decizie de punere în aplicare în conformitate cu Regulamentul (UE) 2016/679 (RGPD) privind protecția adecvată a datelor cu caracter personal în Regatul Unit.
· Avizul 15/2021 privind proiectul de decizie de punere în aplicare în conformitate cu Directiva (UE) 2016/680 (DAL) privind protecția adecvată a datelor cu caracter personal în Regatul Unit.
· Ghidul/Liniile directoare 3/2021 privind aplicarea articolului 65 alineatul (1) litera (a) RGPD.
· Ghidul/Liniile directoare 8/2020 privind direcționarea către utilizatorii de social media versiunea 2.0 (după consultarea publică).
· Declarația 4/2021 privind acordurile internaționale, inclusiv transferurile.
Primele două avize menționate, nr. 14 și 15/2021 privesc cadrul general de cooperare în material protecției datelor pentru Statele Membre UE în relația bilaterală cu Marea Britanie, care se reglementează prin Deciziile de punere în aplicare ale Comisiei Europene. Prin cele două avize, sunt acoperite atât aspectele de natură civilă, reglementate de RGPD, cât și cele specializate din sfera de aplicarea legii – de prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penaleinfracțiunilor sau executării pedepselor, precum și libera circulație a acestor date, reglementate de Directiva UE 680/2016.
Prin Ghidul 3/2021, Comitetul European reglementează aspectele de natură procedurală și de conținut, vizând mecanismul de asigurarea coerenței aplicării RGPD de către autoritățile naționale de supraveghere, respectiv soluționarea litigiului, dintre autoritățile naționale de supraveghere – principală și vizată, de către Comitet, prin adoptarea unei decizii obligatorii.
Ghidul 8/2020 privind direcționarea către utilizatorii de social media, este adoptat în versiunea 2.0 de către Comitetul European, după consultarea publică. În continuare, prezentăm câteva aspecte importante tratate în cadrul ghidului pentru operatorii care activează în zona de on-line, astfel:
O evoluție semnificativă în mediul on-line din ultimul deceniu a fost creșterea accesării și folosirii pe scară largă a rețelelor sociale. Tot mai mulți indivizi folosesc rețelele sociale pentru a rămâne în legătură cu familia și prietenii, pentru a se angaja în rețele profesionale sau pentru a se conecta în jurul intereselor și ideilor comune.
În sensul acestor orientări, rețelele sociale sunt înțelese ca platforme on-line care permit dezvoltarea rețelelor și a comunităților de utilizatori, printre care se împărtășesc informații și conținut. Funcțiile suplimentare oferite de social media pot include, de exemplu, personalizarea, integrarea aplicațiilor, plug-in-uri sociale, autentificarea utilizatorilor, analize și publicare. Funcțiile de social media pot fi o ofertă independentă de operatori sau pot fi integrate ca parte a unei oferte de servicii mai largi.

CEPD

Caracteristicile cheie ale rețelelor de socializare includ capacitatea persoanelor de a se înregistra pentru a-și crea „conturi” sau „profiluri” pentru ei înșiși, pentru a interacționa unii cu alții prin partajarea de conținut generat de utilizator sau alt conținut și pentru a dezvolta conexiuni și rețele cu alți utilizatori. În plus față de platformele de socializare „tradiționale”, alte exemple de social media includ: platforme de întâlniri în care utilizatorii înregistrați se prezintă pentru a găsi parteneri cu care pot ieși în viața reală; platforme în care utilizatorii înregistrați își pot încărca propriile videoclipuri, pot comenta și conecta la videoclipurile altora; sau jocuri pe computer în care utilizatorii înregistrați pot juca împreună în grupuri, pot face schimb de informații sau își pot împărtăși experiențele și succesele în cadrul jocului.
Ca parte a modelului lor de afaceri, mulți furnizori de social media oferă servicii de direcționare. Serviciile de direcționare fac posibilă comunicarea anumitor mesaje de către persoane fizice sau juridice („vizați”) utilizatorilor de social media pentru a promova interesele comerciale, politice sau de altă natură. Direcționarea a fost definită ca „actul de a direcționa sau de a viza ceva către un anumit grup de oameni” și „actul de a încerca să apeleze la o persoană sau grup sau să-i influențeze într-un fel”. O caracteristică distinctivă a direcționării este potrivirea percepută între persoana sau grupul care este vizate și mesajul care este livrat. Presupunerea de bază este că, cu cât se potrivește mai bine, cu atât este mai mare rata de recepție (conversie) și, prin urmare, campania de direcționare (rentabilitatea investiției) este mai eficientă.
Mecanismele de vizare a utilizatorilor de social media au crescut în sofisticare în timp. Organizațiile au acum capacitatea de a viza persoane pe baza unei game largi de criterii. Astfel de criterii ar fi putut fi dezvoltate pe baza datelor cu caracter personal pe care utilizatorii le-au furnizat sau le-au distribuit în mod activ, cum ar fi statutul relației lor. Totuși, tot mai mult, criteriile de direcționare sunt, de asemenea, dezvoltate pe baza datelor cu caracter personal care au fost observate sau deduse, fie de către furnizorul de social media sau de către terți, și colectate (agregate) de platformă sau de alți actori (de exemplu, brokeri de date) a sustine opțiuni de direcționare a anunțurilor. Cu alte cuvinte, direcționarea către utilizatorii de social media implică nu doar actul de „selectare” a indivizilor sau grupurilor de indivizi care sunt destinatarii destinați ai unui anumit mesaj („publicul țintă”), ci mai degrabă implică un întreg proces realizat de un set de părți interesate care are ca rezultat transmiterea de mesaje specifice persoanelor cu rețele sociale conturi. Mesajele livrate constau de obicei din imagini și text, dar pot implica și formate video și / sau audio.
Combinația și analiza datelor provenite din diferite surse, împreună cu natura potențial sensibilă a datelor cu caracter personal prelucrate în contextul rețelelor sociale, creează riscuri pentru drepturile și libertățile fundamentale ale indivizilor. Astfel, datele cu caracter personal prelucrate în contextul rețelelor de socializare pot constitui „categorii speciale de date cu caracter personal” în conformitate cu articolul 9 RGPD, se pot referi la persoane vulnerabile sau, în alt mod, pot avea un caracter foarte personal. A se vedea, de asemenea, Grupul de lucru art.29 pentru protecția datelor, liniile directoare privind evaluarea impactului asupra protecției datelor (DPIA) și determinarea faptului dacă prelucrarea „va avea ca rezultat un risc ridicat” în sensul Regulamentului 2016/679, WP 248 rev. 01, p. 9. Din perspectiva protecției datelor, multe riscuri sunt legate de posibila lipsă de transparență și control al utilizatorilor. Pentru persoanele în cauză, prelucrarea subadiacentă a datelor cu caracter personal care are ca rezultat livrarea unui mesaj vizat este adesea opacă. Mai mult, poate implica utilizări neprevăzute sau nedorite ale datelor cu caracter personal, care ridică întrebări nu numai în ceea ce privește legislația privind protecția datelor, ci și în legătură cu alte drepturi și libertăți fundamentale. Recent, direcționarea către rețelele sociale a câștigat un interes public sporit și un control reglementar în contextul luării deciziilor democratice și a proceselor electorale*2.

De asemenea, în finalul ghidului, Comitetul arată: Când vine vorba de evaluarea nivelului de responsabilitate al furnizorului de social media, CEPD observă că mai multe mecanisme de direcționare se bazează pe profilare și / sau alte activități de prelucrare întreprinse anterior de furnizorul de social media. Furnizorul de social media este cel care decide să prelucreze datele personale ale utilizatorilor săi în așa fel încât să dezvolte criteriile de direcționare pe care le pune la dispoziția persoanelor vizate. Pentru a face acest lucru, furnizorul de social media a luat în mod independent anumite decizii cu privire la prelucrare, cum ar fi categoriile de date care vor fi prelucrate, ce criterii de direcționare vor fi oferite și cine va avea acces (la ce tipuri de) date cu caracter personal care sunt procesate în contextul unei anumite campanii de direcționare. Astfel de activități de prelucrare trebuie să respecte, de asemenea, RGPD, înainte de a oferi servicii de direcționare.
Exemplele menționate în paragrafele precedente indică importanța repartizării clare a responsabilităților în acordul comun al operatorului între furnizorii de rețele sociale și persoanele vizate. Chiar dacă termenii aranjamentului ar trebui, în orice caz, să reflecte nivelul responsabilității fiecărui actor, este necesar un aranjament cuprinzător care să reflecte în mod corespunzător rolul și capacitățile fiecărei părți, nu numai pentru a se conforma articolului 26 din RGPD, ci și pentru a se conforma cu alte reguli și principii din RGPD.
În cele din urmă, CEPD remarcă faptul că, în măsura în care condițiile acordului comun dintre furnizorul de rețele sociale și destinatar nu obligă autoritățile de supraveghere, autoritățile de supraveghere își pot exercita competențele și puterile în legătură cu oricare dintre operatorii comuni, atâta timp cât operatorul comun în cauză este supus competenței autorității de supraveghere respective*3.

Prin Declarația 4/2021, CEPD invită Statele Membre UE să evalueze și, acolo unde este necesar, să își revizuiască acordurile internaționale care implică transferuri internaționale de date cu caracter personal, precum cele referitoare la impozitare (de exemplu la schimbul automat de date cu caracter personal în scopuri fiscale), securitate socială, asistență juridică reciprocă, cooperare polițienească etc., care au fost încheiate înainte de 24 mai 2016 (pentru acordurile relevante pentru RGPD) sau 6 mai 2016 (pentru acordurile relevante pentru DAL). Această revizuire ar trebui făcută pentru a determina dacă, în timp ce urmăresc interesele publice importante acoperite de acorduri, ar putea fi necesară o aliniere suplimentară cu legislația actuală a Uniunii și jurisprudența privind protecția datelor, precum și cu orientările CEPD.

––––––––––––––––––––––––––-
1 A se vedea la https://edpb.europa.eu/news/news/2021/edpb-adopted-documents-48th-plenary_ro
2 CEPD – Ghidul 8/2020, pag. 4-5.
3 CEPD – Ghidul 8/2020, pag.39-40.

Articolul precedentMario Ovcharov, keynote speaker la forumul internațional The New Normal
Articolul următorMetode inovatoare vs. convenționale în plăți și marketing digital