INSTRUMENTE ADOPTATE DE CEPD ÎN MARTIE 2023

De Mugurel Olariu, RPD protectie date

La 28 martie 2023, Comitetul European pentru Protecția Datelor – CEPD a adoptat în ședința plenară la distanță, următoarele documente de lucru*1, de interes pentru operatorii din industrie:
✔ Orientările nr. 8/2022 privind identificarea autorității lider, forma finală (după consultare publică)*2;
✔ Orientările nr. 9/2022 privind notificarea incidentelor de securitate, forma finală (după consultare publică)*3.

Prezentăm în continuare, aspectele esențiale ale documentelor, după cum urmează:

Orientările 8/2022 privind identificarea autorității de supraveghere lider a unui operator sau a unei persoane împuternicite de operator*4

La 5 aprilie 2017, Grupul de lucru „Articol 29” și-a adoptat Orientările pentru identificarea unui operator sau a persoanei împuternicite de operator (WP244 rev.01), care au fost aprobate de Comitetul European pentru Protecția Datelor (denumit în continuare CEPD) în prima sa reuniune plenară. Acest document este o versiune ușor actualizată a acestor ghiduri. Orice referire la Orientările WP29 pentru identificarea unui operator sau a unei autorități de supraveghere lider a operatorului (WP244 rev.01) ar trebui, de acum înainte, să fie interpretată ca o trimitere la aceste orientări CEPD.
CEPD a observat că era nevoie de clarificări suplimentare, în special în ceea ce privește noțiunea de sediu principal în contextul operatorului asociat și ținând cont de Orientările CEPD 07/2020 privind conceptele de operator și persoană împuternicită în RGPD.
Alineatul referitor la această problemă a fost revizuit și actualizat, în timp ce restul documentului a fost lăsat neschimbat, cu excepția modificărilor editoriale. Revizuirea se referă, mai precis, la Secțiunea 2.1.3 privind operatorii asociați.
RGPD nu tratează în mod specific problema desemnării unei autorități de supraveghere principală în cazul în care doi sau mai mulți operatori stabiliți în SEE determină în comun scopurile și mijloacele de prelucrare – și anume operatorii asociați. Articolul 26 alineatul (1) și considerentul 79 din RGPD precizează că, în situațiile de control comun, operatorii își stabilesc, într-un mod transparent, responsabilitățile respective pentru respectarea obligațiilor care le revin în temeiul RGPD.
După cum a reamintit CEPD în Orientările sale privind conceptul de operator și persoane împuternicite, operatorii asociați trebuie să stabilească cine ce face, decid între ei cine va trebui să îndeplinească anume sarcini, pentru a se asigura că prelucrarea respectă prevederile obligațiilor aplicabile în temeiul RGPD în legătură cu prelucrarea comună în cauză.
În cazul în care prelucrarea este efectuată de un grup de întreprinderi care își are sediul în SEE, se presupune că sediul întreprinderii cu control general este centrul decizional referitor la prelucrarea datelor cu caracter personal și, prin urmare, va fi luat în considerare să fie sediul principal al grupului, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare sunt luate de o altă unitate. Este probabil ca sediul-mamă sau sediul operațional al grupului de întreprinderi din SEE să fie sediul principal, deoarece acesta ar fi locul administrației sale centrale.
Măsurile de conformitate și obligațiile conexe pe care operatorii asociați ar trebui să le ia în considerare atunci când își determină responsabilitățile respective, pe lângă cele menționate în mod special la articolul 26 alineatul (1) – Operatori asociați din RGPD, includ, printre altele, organizarea contactului cu persoanele vizate și autoritățile de supraveghere.
Referirea în definiție la locul unei administrații centrale a operatorilor funcționează bine pentru organizațiile care au un sediu central de decizie și o structură de tip sucursală. În astfel de cazuri, este clar că puterea de a lua decizii cu privire la prelucrarea transfrontalieră și de a le duce la îndeplinire se află în sediul companiei. În astfel de cazuri, determinarea locației unității principale – și, prin urmare, care autoritate de supraveghere este autoritatea de supraveghere principală – este simplă. Cu toate acestea, sistemul de decizie al grupului de societăți ar putea fi mai complex, dând competențe independente de luare a deciziilor în legătură cu prelucrarea transfrontalieră diferitelor unități. Criteriile menționate mai sus ar trebui să ajute grupurile de întreprinderi să își identifice sediul principal.
Trebuie reamintit că autoritățile de supraveghere nu sunt obligate să respecte condițiile unui astfel de acord, nici în ceea ce privește calificarea părților ca operatori asociați, nici în ceea ce privește punctul de contact desemnat.
În plus, puterea de decizie a operatorilor asociați nu cuprinde determinarea autorității de supraveghere competente în conformitate cu articolele 55 – Competența și 56 – Competența autorității de supraveghere principale din RGPD sau capacitatea acestor autorități de supraveghere de a-și exercita sarcinile și competențele descrise la articolele 57 – Sarcini și 58 – Competențe din RGPD.
Noțiunea de sediu principal este legată, în virtutea RGPD, de un singur operator și nu poate fi extinsă la o situație de operatori asociați. Acest lucru nu aduce atingere posibilității ca fiecare operator asociat să aibă propriul său sediu principal. Cu alte cuvinte, sediul principal al unui operator nu poate fi considerat ca fiind sediul principal al operatorilor asociați pentru prelucrarea efectuată sub controlul lor comun. Prin urmare, operatorii asociați nu pot desemna (dintre unitățile în care se iau decizii privind scopurile și mijloacele prelucrării) un sediu principal comun pentru ambii operatori asociați.

De asemenea, în Anexă sunt clarificate sub forma de întrebări și răsunsuri, aspectele privind:
➢ Operatorul sau persoana împuternicită de operator efectuează prelucrarea transfrontalieră a datelor cu caracter personal?
➢ Cum se identifică autoritatea principală de supraveghere?
➢ Există autorități de supraveghere interesate?

Orientările 9/2022 privind notificarea încălcării securității datelor cu caracter personal conform GDPR*5

La 3 Octombrie 2017, Grupul de lucru 29 (denumit în continuare „WP29”) și-a adoptat Orientările privind notificarea încălcării datelor cu caracter personal în temeiul Regulamentului 2016/679 (WP250 rev.01), care au fost aprobate de Comitetul European pentru Protecția Datelor (denumit în continuare „ CEPD”) la prima sa reuniune plenară. Acest document este o versiune ușor actualizată a acestor ghiduri. Orice referire la Orientările WP29 privind notificarea încălcării securității datelor cu caracter personal în temeiul Regulamentului 2016/679 (WP250 rev.01) ar trebui, de acum înainte, să fie interpretată ca o trimitere la aceste Orientări 9/2022 ale CEPD.

CEPD a observat că era necesar să se clarifice cerințele de notificare privind încălcările securității datelor cu caracter personal la unitățile din afara UE. Paragraful referitor la această problemă a fost revizuit și actualizat, în timp ce restul documentului a fost lăsat neschimbat, cu excepția modificărilor editoriale. Revizuirea se referă, mai precis, la punctul 73 din Secțiunea II.C.2 din document.

În cazul în care un operator care nu este stabilit în UE este supus articolului 3 alineatul (2) sau articolului 3 alineatul (3) din RGPD și se confruntă cu o încălcare, acesta este, prin urmare, obligat să respecte obligațiile de notificare în temeiul articolelor 33 și 34 din RGPD.

Articolul 27 din RGPD prevede ca un operator (și persoană împuternicită) să desemneze un reprezentant în UE acolo unde se aplică articolul 3 alineatul (2) din RGPD. Cu toate acestea, simpla prezență a unui reprezentant într-un stat membru nu declanșează sistemul de ghișeu unic. Din acest motiv, încălcarea va trebui notificată fiecărei autorități de supraveghere pentru care persoanele vizate au reședința în statul lor membru.

Această (Aceste) notificare(i) va fi responsabilitatea operatorului. În conformitate cu orientările 3/2018 privind domeniul de aplicare teritorial al RGPD (articolul 3)*6, CEPD consideră că funcția de reprezentant în Uniune nu este compatibilă cu rolul unui responsabil extern cu protecția datelor („RPD” extern), prin urmare responsabilitatea de a notifica autoritatea de supraveghere în cazul unei încălcări a securității datelor cu caracter personal rămâne cea a operatorului, în conformitate cu articolul 27 alineatul (5) RGPD. Un reprezentant poate fi totuși implicat în procesul de notificare dacă acest lucru a fost stipulat în mod explicit în mandatul scris.

În Anexă sunt clarificate sub forma de diagramă și exemple, aspectele privind:
A. Diagramă care arată cerințele de notificare.
B. Exemple de încălcări ale securității datelor cu caracter personal și pe cine să notifice.

––––––––––––––––––––––––––––––––
*1 https://www.dataprotection.ro/?page=Comunicat_Presa_05.04.2023&lang=ro
*2 https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202208_identifyinglsa_targetedupdate_en.pdf
*3 https://edpb.europa.eu/our-worktools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_ro
*4 Adoptarea orientărilor (versiunea actualizată a orientărilor anterioare WP244 rev.01 adoptată de Grupul de lucru 29 și aprobată de EDPB la 25 mai 2018) pentru o consultare publică direcționată.
*5 Adoptarea orientărilor (versiunea actualizată a orientărilor anterioare WP250 (rev.01) adoptată de grupul de lucru 29 și aprobată de EDPB la 25 mai 2018) pentru o consultare publică specifică – versiunea 1.0 la 10 octombrie 2022. Adoptarea orientărilor în urma consultării publice specifice – versiunea 2.0 la 28 martie 2023 cu privire la subiectul notificării privind încălcarea datelor pentru operatorii care nu sunt stabiliți în SEE.
*6 Disponibil la https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scopegdprarticle-3-version_en

Articolul precedentCriptomonedele, între metodă de plată universală și schemă PONZI
Articolul următorPalace Casino de la Casa Vernescu București, primăvara, tradiție și gambling tradițional