Plenara CEPD nr.51/7 iulie 2021
De Mugurel Olariu, RPD protectie date
Organismul european/supranațional specializat în protecția datelor – Comitetul European pentru Protecția Datelor/CEPD, a desfășurat cea de-a 51-a ședință plenară în data de 7 iulie 2021, având în analiză o serie de documente și instrumente de lucru importante, dintre care menționăm:
1. Ghid intern privind gestionarea reclamațiilor împotriva autorităților publice sau a organismelor private care acționează în baza articolului 6 alineatul (1) litera (c) sau (e) RGPD.
2. Ghid privind Codurile de Conduită ca instrument pentru transferuri.
3. Ghid privind Utilizarea rețelelor sociale de către organismele publice – cerere de mandat.
4. Ghid privind asistenții vocali Virtuali (după consultarea publică).
5. Ghid privind conceptele de operator și persoană împuternicită (după consultarea publică).
Instrumentele de lucru menționate, urmează a fi publicate de CEPD în viitorul apropiat, astfel că o analiză detaliată o vom efectua după apariția acestora. Până la acel moment, vom face câteva precizări de ordin teoretic, din perspectiva regulamentului general.
1. Legalitatea prelucrării, potrivit art.6 din RGPD vizează două condiții și situații distincte, atât pentru autoritățile pubice, cât și pentru organismele private care îndeplinesc o sarcină ce servește interesului public, circumstațiat la alin.(1) lit. c) și e), care prevăd:
c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
Astfel, circumstanțierea se referă doar la activitatea de gestionare a reclamațiilor/cererilor persoanelor vizate de către autoritățile publice sau organismele private, respectiv la necesitatea prelucrării datelor personale care vizează:
– îndeplinirea unei obligații legale,
– îndeplinirea unei sarcini care servește interesului public, sau
– rezultă din exercitarea autorității publice cu care este investit operatorul.
Rezultă că destinatarii acestui ghid intern sunt calificați la autorități publice sau organisme private, care desfășoară prelucrări de date ce se încadrează în una dintre cele trei ipoteze prezentate.
Indubitabil, și ceilalți operatori privați pot prelua modelul ce va fi publicat, ca un minimum necesar, în situația în care încă nu au dispus măsuri corespunzătoare, de natură tehnică și organizatorică pentru gestionarea cererilor persoanelor vizate.
Plenara CEPD nr.51/7 iulie 2021
2. Ghidul privind codurile de conduită ca instrumente de transfer, rezultă din prevederile art. 40 alin. (2) lit. j) și alin.(3) și ale art. 46 alin.(2) lit. E) din RGPD.
Astfel, pe de o parte, obligația ca în Codul de conduită potrivt căreia în cadrul acestora trebuie să existe prevederi în scopul de a specifica modul de aplicare la j) transferul de date cu caracter personal către țări terțe sau organizații internaționale; din perspectiva art. 40 alin.(2), pentru operatorii ori persoanele împuternicite cărora li se aplică sau nu RGPD, din perspectiva art.40 alin.(3), iar pe de altă parte, de a oferi o astfel de garanție adecvată prin intermediul Codului de conduită aprobat, din perspectiva art.46, alin.(2) lit.e) din RGPD.
Reamintim faptul că garanțiile adecvate în cadrul transferului de date personale prevăzute de art.46 alin.(2) din RGPD, arată că:
(2) Garanțiile adecvate menționate la alineatul 1 pot fi furnizate fără să fie nevoie de nicio autorizație specifică din partea unei autorități de supraveghere, prin:
a) un instrument obligatoriu din punct de vedere juridic și executoexecutoriu între autoritățile sau organismele publice;
b) reguli corporatiste obligatorii în conformitate cu articolul 47;
c) clauze standard de protecție a datelor adoptate de Comisie în conformitate cu procedura de examinare menționată la articolul 93 alineatul (2);
d) clauze standard de protecție a datelor adoptate de o autoritate de supraveghere și aprobate de Comisie în conformitate cu procedura de examinare menționată la articolul 93 alineatul (2);
e) un cod de conduită aprobat în conformitate cu articolul 40, însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate; sau
f) un mecanism de certificare aprobat în conformitate cu articolul 42, însoțit de un angajament obligatoriu și executoriu din partea operatorului sau a persoanei împuternicite de operator din țara terță de a aplica garanții adecvate, inclusiv cu privire la drepturile persoanelor vizate.
Plenara CEPD nr.51/7 iulie 2021
3. Cererea de mandat care face obiectul Ghidului privind utilizarea rețelelor sociale de către autoritățile publice, vor reglementa limitele mandatului pentru autoritățile publice vizând această utilizare. În mai puține cuvinte, se va reglementa și circumstanția modalitatea concretă și cazurile în care autoritățile publice pot utiliza rețelele de socializare.
Evident că acest Ghid va avea în vedere și o strânsă legătură cu Orientările 8/2020 privind direcționarea / targhetarea utilizatorilor de social media.
4. Ghidul privind asistenții vocali virtuali, adoptat la 9 martie 2021 – Ghidul 8/2020 este definitivat în versiunea 2.0, după consultarea publică.
5. Ghid privind conceptele de operator și persoană împuternicită, adoptat la 7 septembrie 2020 – Ghidul 7/2020, este definitivat în versiunea 2.0, după consultarea publică.
Reiterăm precizarea că, vom reveni în articolele viitoare cu detalii ale instrumentelor prezentate, de natură să clarifice pentru operatorii din industrie aspectele reglementate la nivelul Comitetului.
Plenara CEPD nr.51/7 iulie 2021
De Mugurel Olariu, RPD protectie date
Citește și celelalte articole din ediția curentă.
Aici te poți abona la…