Avizul nr. 2/2018 referitor la proiectul de listă al autorității de supraveghere competente din Belgia privind operațiunile de prelucrare care fac obi

Documente similare
Avizul nr. 3/2018 referitor la proiectul de listă al autorității de supraveghere competente din Bulgaria privind operațiunile de prelucrare care fac o

Avizul 25/2018 privind proiectul de listă al autorității de supraveghere competente din Croația privind operațiunile de prelucrare care fac obiectul c

Ghidul 4/2018 privind acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul general privind protecția datelor (2016/679)

Avizul nr. 4/2019 privind proiectul de acord administrativ pentru transferul de date cu caracter personal între autoritățile de supraveghere financiar

Notă de informare privind transferurile de date efectuate în conformitate cu RGPD în cazul unui Brexit fără acord Adoptat la 12 februarie 2019 Introdu

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2016/ AL COMISIEI - din 16 octombrie de stabilire a unor standarde tehnice de

Ghid Privind aplicarea regimului de avizare în temeiul articolului 4 alineatul (3) din Regulamentul privind agențiile de rating de credit 20/05/2019 E

COMISIA EUROPEANĂ Bruxelles, C(2018) 2526 final REGULAMENTUL DELEGAT (UE) / AL COMISIEI din de completare a Regulamentului (UE) nr

C(2015)6507/F1 - RO

Utilizare curentă EIOPA EIOPA-BoS-19/040 RO 19 februarie 2019 Recomandări pentru sectorul asigurărilor în contextul retragerii Regatului Unit din Uniu

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2017/ AL COMISIEI - din 14 decembrie de stabilire a standardelor tehnice de p

AM_Ple_LegReport

TA

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2015/ AL COMISIEI - din 8 septembrie privind cadrul de interoperabilitate prev

REGULAMENTUL (UE) 2019/ AL COMISIEI - din 27 februarie de modificare a anexei III la Regulamentul (CE) nr. 110/ al

Guidelines on LGD estimates under downturn conditions_RO.docx

COMISIA EUROPEANĂ Bruxelles, C(2017) 8435 final DECIZIA DE PUNERE ÎN APLICARE A COMISIEI din privind standardele tehnice pentru

Microsoft Word - informare_protectie_date_clienti

SC COMPANIA ROMPREST SERVICE SA

COMISIA EUROPEANĂ Bruxelles, C(2018) 2980 final REGULAMENTUL DELEGAT (UE) / AL COMISIEI din de modificare a Regulamentului de pune

TA

Recomandarea Comisiei din 18 iulie 2018 privind orientările pentru implementarea armonizată a Sistemului european de management al traficului feroviar

DIRECTIVA (UE) 2018/ A CONSILIULUI - din 4 decembrie de modificare a Directivei 2006/ 112/ CE în ceea ce privește armo

NOTĂ DE FUNDAMENTARE

Consiliul Uniunii Europene Bruxelles, 10 mai 2017 (OR. en) 8964/17 NOTĂ PUNCT I/A Sursă: Destinatar: Secretariatul General al Consiliului ENV 422 FIN

COMISIA EUROPEANĂ Bruxelles, SWD(2017) 479 final DOCUMENT DE LUCRU AL SERVICIILOR COMISIEI REZUMATUL EVALUĂRII IMPACTULUI care însoţeşte do

POLITIA LOCALA A MUNICIPIULUI BOTOSANI Str. Mihail Kogălniceanu nr. 16, judeţul Botoşani Telefon 0231/513100, 0331/401541, Fax , poli

Lege pentru modificarea și completarea Legii nr. 16/2017 privind detaşarea salariaţilor în cadrul prestării de servicii transnaţionale Parlamentul Rom

CL2001L0018RO bi_cp 1..1

COMISIA EUROPEANĂ Bruxelles, C(2019) 1294 final REGULAMENTUL (UE) / AL COMISIEI din de modificare a Regulamentului (UE) 2017/2400

RO Jurnalul Oficial al Uniunii Europene L 39/1 I (Acte adoptate în temeiul Tratatelor CE/Euratom a căror publicare este obligatorie) REGULAM

Raportul privind conturile anuale ale Agenției Uniunii Europene pentru Căile Ferate pentru exercițiul financiar 2016, însoțit de răspunsul agenției

Consiliul Uniunii Europene Bruxelles, 21 noiembrie 2018 (OR. en) 14565/18 ENV 802 MI 875 DELACT 158 NOTĂ DE ÎNSOȚIRE Sursă: Data primirii: 19 noiembri

COMISIA EUROPEANĂ Bruxelles, COM(2011) 377 final 2011/0164 (NLE) Propunere de DIRECTIVĂ A CONSILIULUI de modificare a Directivei 76/768/CEE

COMISIA EUROPEANĂ Bruxelles, C(2018) 7508 final DIRECTIVA DELEGATĂ (UE) / A COMISIEI din de modificare, în scopul adaptării la p

Notificare privind Confidențialitatea InfoCert S.p.A., având sediul social situat în Piazza Sallustio 9, Roma (Italia) ( InfoCert sau Operator

Consiliul Uniunii Europene Bruxelles, 24 mai 2017 (OR. en) 9645/17 REZULTATUL LUCRĂRILOR Sursă: Data: 23 mai 2017 Destinatar: Secretariatul General al

CODE2APC

COMISIA EUROPEANĂ Bruxelles, COM(2012) 628 final 2012/0297 (COD) Propunere de DIRECTIVĂ A PARLAMENTULUI EUROPEAN ŞI A CONSILIULUI de modifi

GRUPUL DE LUCRU ARTICOLUL 29 PRIVIND PROTECȚIA DATELOR 17/RO WP259 rev.01 Grupul de lucru Articolul 29 Orientări privind consimțământul în temeiul Reg

Consiliul Uniunii Europene Bruxelles, 1 iunie 2016 (OR. en) Dosar interinstituțional: 2013/0302 (COD) 7532/16 ADD 1 TRANS 93 MAR 105 CODEC 370 PROIECT

COMISIA EUROPEANĂ Bruxelles, COM(2019) 112 final 2019/0062 (NLE) Propunere de DECIZIE A CONSILIULUI privind poziția care urmează să fie adopt

Responsabilul cu protecţia datelor cu caracter personal (DPO) OFICIUL RESPONSABILULUI CU PROTECŢIA DATELOR PERSONALE - MAI

Recomandarea Comitetului european pentru risc sistemic din 5 decembrie 2018 de modificare a Recomandării CERS/2015/2 privind evaluarea efectelor trans

TA

CONSILIUL UNIUNII EUROPENE Bruxelles, 8 aprilie 2014 (OR. en) 7472/14 ADD 1 REV 1 PROIECT DE PROCES-VERBAL Subiect: PV CONS 14 SOC 188 SAN 124 CONSOM

NOTA DE FUNDAMENTARE

Consiliul Uniunii Europene Bruxelles, 21 septembrie 2015 (OR. en) Dosar interinstituțional: 2012/0267 (COD) 12042/15 NOTĂ Sursă: Destinatar: Secretari

Ghid privind măsurile EMIR de marjă anti-prociclicitate pentru contrapărțile centrale 15/04/2019 ESMA RO

AM_Ple_LegReport

DIRECTIVA (UE) 2018/ A CONSILIULUI - din 20 decembrie de modificare a Directivei 2006/ 112/ CE privind sistemul comun a

SANTE/11059/2016-EN Rev. 2

Propunere subiecte de discuție adresate de AmCham România și HR Management Club către ANSPDCP Contextul inițiativei: În cursul derulării proiectelor d

Addresseex

COMISIA EUROPEANĂ Bruxelles, COM(2019) 157 final RAPORT AL COMISIEI CĂTRE CONSILIU privind progresele înregistrate de statele membre în ceea

wp250rev_en

NORMĂ pentru aplicarea Ghidului ESMA privind raportările referitoare la decontarea internalizată conform articolului 9 din regulamentul privind depozi

Raportul privind conturile anuale ale Unității de Cooperare Judiciară a Uniunii Europene pentru exercițiul financiar 2016, însoțit de răspunsul Euroju

RO Acte_RO+date et nr.doc

ICS Policy

Jurnalul Oficial al Uniunii Europene L 92 Ediția în limba română Legislație Anul 62 1 aprilie 2019 Cuprins II Acte fără caracter legislativ DECIZII De

Microsoft Word - Lege mandat macroprudential 1 sept 2014 ok.doc

CL2009R0976RO bi_cp 1..1

Avizul cu privire la taxa pe activele financiare ale băncilor și cu privire la indicele de referință al ratei dobânzii pentru contractele de credit pe

COM(2017)47/F1 - RO (annex)

Nr / Aprobat, Manager Dr. Banciu Stelian POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL la nivelul Spitalului Clinic de Pediat

Font scris: Georgia

Ghid privind raportările referitoare la decontarea internalizată conform articolului 9 din regulamentul privind depozitarii centrali de titluri de val

A. DATE DE IDENTIFICARE FORMULAR DE CERERE PIC DE CONTROL la numărul de fax 06/ atenție: a se indica întotdeauna numerele de telefon/adresele

Jurnalul Oficial al Uniunii Europene L 242 Ediția în limba română Legislație Anul septembrie 2017 Cuprins I Acte legislative REGULAMENTE Regulam

INFORMAREA PERSOANEI VIZATE potrivit Regulamentului european general privind protecția datelor (GDPR) 1. CATEGORII DE DATE. SCOP. TEMEI. Colaboratori

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind li

COMISIA EUROPEANĂ Bruxelles, COM(2012) 336 final 2012/0164 (APP) Propunere de REGULAMENT AL CONSILIULUI de instituire a unui mecanism de asi

TA

TA

Versiune publică Regulile corporatiste obligatorii ale Capgemini Pentru activitățile Operatorului și Persoanei imputernicite de operator

DECIZIA DE PUNERE ÎN APLICARE (UE) 2015/ A COMISIEI - din 8 septembrie de stabilire a specificațiilor referitoare la

COM(2015)671/F1 - RO

Repertoriul jurisprudenței HOTĂRÂREA CURȚII (Camera a treia) 1 octombrie 2015 * Trimitere preliminară Directiva 95/46/CE Prelucrarea datelor cu caract

AM_Ple_LegConsolidated

COMISIA EUROPEANĂ Bruxelles, COM(2018) 675 final RAPORT AL COMISIEI PRIVIND ACTIVITATEA COMITETELOR ÎN ANUL 2017 {SWD(2018) 432 final} RO R

LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27

Raportul privind conturile anuale ale Agenției Executive pentru Inovare și Rețele pentru exercițiul financiar 2016, însoțit de răspunsul agenției

OG revizuire CPF _Procedura amiabila_2 august 2019 FINAL

CL2001L0018RO bi_cp 1..1

G H I D al AUTORITĂȚII DE SIGURANȚĂ FEROVIARĂ ROMÂNĂ ASFR, întocmit în conformitate cu Capitolul V din DIRECTIVA (UE) 2016/797 a Parlamentului Europea

TA

AM_Ple_LegReport

EUIPO DANGEROUS COUNTERFEIT STUDY.docx

TA

Regulamentul (UE) nr. 69/2014 al Comisiei din 27 ianuarie 2014 de modificare a Regulamentului (UE) nr. 748/2012 de stabilire a normelor de punere în a

PR_COD_1amCom

Microsoft Word - decizia_2012_987_referat aprobare.doc

Decizia de punere în aplicare a Comisiei din 21 octombrie 2013 de stabilire a listei țărilor terțe și teritoriilor autorizate pentru importurile de câ

proposal Directive T4.3 tractors

COMISIA EUROPEANĂ Bruxelles, COM(2017) 769 final 2017/0347 (COD) Propunere de REGULAMENT AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI de abr

AM_Ple_NonLegReport

PR_COD_1amCom

Consiliul Uniunii Europene Bruxelles, 17 iunie 2015 (OR. en) 9305/1/15 REV 1 UEM 201 ECOFIN 410 SOC 373 COMPET 282 ENV 370 EDUC 190 RECH 178 ENER 225

Transcriere:

Avizul nr. 2/2018 referitor la proiectul de listă al autorității de supraveghere competente din Belgia privind operațiunile de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor [articolul 35 alineatul (4) din RGPD] Adoptat la 25 septembrie 2018

Cuprins 1. Expunerea sumară a faptelor... 5 2. Evaluare... 5 2.1 Raționamentul general al CEPD cu privire la lista prezentată... 5 2.2 Aplicarea mecanismului pentru asigurarea coerenței în cazul proiectului de listă... 6 2.3 Analiza proiectului de listă... 6 Trimiterea la orientări... 6 Datele biometrice... 7 Datele genetice... 7 Datele colectate prin intermediul unor părți terțe (articolul 19 din RGPD)... 7 Monitorizarea angajaților... 7 Prelucrarea efectuată cu ajutorul unui implant... 7 Prelucrarea cu ajutorul unor tehnologii noi/inovatoare... 8 3. Concluzii/Recomandări... 8 4. Observații finale... 8 2

Comitetul European pentru Protecția Datelor, având în vedere articolul 63, articolul 64 alineatul (1) litera (a) și alineatele (3)-(8) și articolul 35 alineatele (1), (3), (4) și (6) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare RGPD ), având în vedere Acordul privind SEE, în special anexa XI și Protocolul 37 la acesta, astfel cum a fost modificat prin Decizia nr. 154/2018 a Comitetului mixt al SEE din 6 iulie 2018, având în vedere articolele 10 și 22 din Regulamentul său de procedură din 25 mai 2018, întrucât: (1) Rolul principal al Comitetului este de a asigura aplicarea coerentă a Regulamentului (UE) 2016/679 (RGDP) în întregul Spațiu Economic European. În conformitate cu articolul 64 alineatul (1) din RGPD, Comitetul trebuie să emită un aviz de fiecare dată când o autoritate de supraveghere intenționează să adopte o listă de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor în temeiul articolului 35 alineatul (4) din RGPD. Scopul prezentului aviz este, prin urmare, de a crea o abordare armonizată în ceea ce privește prelucrarea transfrontalieră sau prelucrarea care poate afecta libera circulație a datelor cu caracter personal sau a persoanelor fizice în întreaga Uniune Europeană. Deși nu impune o listă unică, RGPD promovează coerența. Comitetul urmărește să atingă acest obiectiv în avizele sale, în primul rând solicitând autorităților de supraveghere să includă anumite tipuri de prelucrare pe listele lor, în al doilea rând, solicitându-le să elimine unele criterii pe care Comitetul nu le consideră că generează neapărat riscuri ridicate pentru persoanele vizate și, în cele din urmă, solicitând acestor autorități să utilizeze unele criterii într-un mod armonizat. (2) În ceea ce privește articolul 35 alineatele (4) și (6) din RGPD, autoritățile de supraveghere competente întocmesc liste cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (denumită în continuare EIPD ). Totuși, aceste autorități aplică mecanismul pentru asigurarea coerenței în cazul în care listele respective implică operațiuni de prelucrare care au legătură cu furnizarea de bunuri sau prestarea de servicii către persoanele vizate ori cu monitorizarea comportamentului acestor persoane în mai multe state membre sau care pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. (3) Deși proiectele de listă ale autorităților de supraveghere competente fac obiectul mecanismului pentru asigurarea coerenței, acest lucru nu înseamnă că listele ar trebui să fie identice. Autoritățile de supraveghere competente dispun de o marjă de apreciere în ceea ce privește contextul național sau regional și ar trebui să țină seama de legislația lor locală. 3

Scopul evaluării/avizului CEPD nu este acela de a ajunge la o listă unică la nivelul UE, ci mai degrabă de a evita inconsecvențele semnificative care ar putea afecta protecția echivalentă a persoanelor vizate. (4) Efectuarea unei EIPD este obligatorie numai pentru operator în temeiul articolului 35 alineatul (1) din RGPD, în cazul în care prelucrarea este susceptibil[ă] să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Articolul 35 alineatul (3) din RGPD ilustrează ceea ce poate duce la un risc ridicat. Aceasta nu este o listă exhaustivă. În Orientările privind evaluarea impactului asupra protecției datelor 1, astfel cum au fost aprobate de către CEPD 2, Grupul de Lucru Articolul 29 a clarificat criteriile care pot contribui la identificarea cazurilor în care operațiunile de prelucrare fac obiectul cerinței de efectuare a unei EIPD. În Orientările WP248 ale Grupului de Lucru Articolul 29 se precizează că, în majoritatea cazurilor, un operator de date poate considera că o prelucrare care îndeplinește două criterii ar necesita efectuarea unei EIPD; cu toate acestea, în unele cazuri, un operator de date poate considera că o prelucrare care îndeplinește doar unul dintre aceste criterii necesită o EIPD. (5) Listele întocmite de către autoritățile de supraveghere competente sprijină același obiectiv de identificare a operațiunilor de prelucrare susceptibile să genereze un risc ridicat și a operațiunilor de prelucrare care necesită, prin urmare, o EIPD. Ca atare, criteriile definite în orientările Grupului de Lucru Articolul 29 ar trebui aplicate atunci când se evaluează dacă proiectele de liste ale autorităților de supraveghere competente nu afectează aplicarea coerentă a RGPD. (6) Douăzeci și două de autorități de supraveghere competente au transmis CEPD proiectele lor de liste. O evaluare globală a acestor proiecte de liste sprijină obiectivul unei aplicări coerente a RGPD, deși complexitatea subiectului crește. (7) Avizul CEPD se adoptă în temeiul articolului 64 alineatul (3) din RGPD coroborat cu articolul 10 alineatul (2) din Regulamentul de Procedură al CEPD în termen de opt săptămâni de la prima zi lucrătoare după ce președintele și autoritatea de supraveghere competentă au decis că dosarul este complet. În urma deciziei președintelui, această perioadă poate fi prelungită cu încă șase săptămâni, ținând seama de complexitatea subiectului, 1 Grupul de Lucru Articolul 29, Orientări privind evaluarea impactului asupra protecției datelor și stabilirea dacă prelucrarea este susceptibilă să genereze un risc ridicat în sensul Regulamentului 2016/679, (WP 248 rev. 01). 2 CEPD, Aprobarea 1/2018. 4

ADOPTĂ PREZENTUL AVIZ: 1. Expunerea sumară a faptelor Autorité de la protection des données (APD-GBA) ( autoritatea de supraveghere belgiană ) a prezentat proiectul său de listă Comitetului european pentru protecția datelor. Decizia privind caracterul complet al dosarului a fost luată la 26 iunie 2018. Perioada până la care avizul urmează să fie adoptat a fost prelungită până la 25 septembrie, ținând seama de complexitatea subiectului, având în vedere că, în același timp, douăzeci și două de autorități de supraveghere competente au prezentat proiectele de liste; prin urmare, a apărut necesitatea unei evaluări globale. 2. Evaluare 2.1 Raț ionamentul general al CEPD cu privire la lista prezentată Orice listă prezentată CEPD a fost interpretată ca o precizare suplimentară a articolului 35 alineatul (1), care va prevala în orice caz. Prin urmare, nicio listă nu poate fi exhaustivă. În conformitate cu articolul 35 alineatul (10) din RGPD, Comitetul consideră că, în cazul în care o EIPD a fost efectuată deja ca parte a unei evaluări generale a impactului în contextul adoptării temeiului juridic, obligația de a efectua o EIPD în conformitate cu articolul 35 alineatele (1)-(7) din RGPD nu se aplică decât dacă statul membru consideră că este necesar. În plus, în cazul în care Comitetul solicită efectuarea unei EIPD pentru o anumită categorie de prelucrare și o măsură echivalentă este deja impusă de legislația națională, autoritatea de supraveghere belgiană adaugă o trimitere la această măsură. Prezentul aviz nu reflectă elementele prezentate de către autoritatea de supraveghere belgiană, care au fost considerate ca fiind în afara domeniului de aplicare al articolului 35 alineatul (6) din RGPD. Aceasta vizează elemente care nu se referă nici la furnizarea de bunuri sau prestarea de servicii către persoane vizate în mai multe state membre, nici la monitorizarea comportamentului persoanelor vizate în mai multe state membre. În plus, este puțin probabil ca acestea [să afecteze] în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. Acest lucru este valabil în special pentru elementele referitoare la legislația națională și, în special, în cazul în care legislația națională prevede obligația de a efectua o EIPD. În plus, operațiunile de prelucrare care au legătură cu asigurarea respectării legii au fost considerate în afara domeniului de aplicare, deoarece nu intră sub incidența RGPD. Comitetul a constatat că mai multe autorități de supraveghere au inclus în listele lor unele tipuri de prelucrare care înseamnă în mod necesar prelucrare locală. Având în vedere că numai prelucrarea transfrontalieră și prelucrarea care poate afecta libera circulație a datelor cu caracter personal și a persoanelor vizate intră sub incidența articolului 35 alineatul (6), Comitetul nu va prezenta observații cu privire la aceste operațiuni de prelucrare locală. 5

Avizul vizează definirea unui nucleu coerent de operațiuni de prelucrare care sunt recurente pe listele furnizate de autoritățile de supraveghere. Aceasta înseamnă că, pentru un număr limitat de tipuri de operațiuni de prelucrare, care vor fi definite într-un mod armonizat, toate autoritățile de supraveghere vor solicita efectuarea unei EIPD, iar Comitetul va recomanda autorităților de supraveghere să își modifice listele în consecință, pentru a asigura coerența. În cazul în care prezentul aviz nu se referă la mențiunile din lista prezentată în vederea EIPD, atunci Comitetul nu îi solicită autorității de supraveghere belgiene să ia măsuri suplimentare. În cele din urmă, Comitetul reamintește faptul că transparența este esențială pentru operatorii de date și pentru persoanele împuternicite de aceștia. Pentru a clarifica mențiunile din listă, Comitetul consideră că efectuarea unei trimiteri explicite în liste, pentru fiecare tip de prelucrare, a criteriilor stabilite în orientări ar putea îmbunătăți această transparență. Prin urmare, Comitetul consideră că ar putea fi adăugată o explicație cu privire la criteriile pe care autoritatea de supraveghere belgiană le-a avut în vedere pentru crearea propriei liste. 2.2 Aplicarea mecanismului pentru asigurarea coerenț ei în cazul proiectului de listă Proiectul de listă prezentat de către autoritatea de supraveghere belgiană se referă la furnizarea de bunuri sau prestarea de servicii către persoane vizate, la monitorizarea comportamentului acestora în mai multe state membre și/sau poate afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, în principal din cauza faptului că operațiunile de prelucrare din proiectul de listă prezentat nu se limitează la persoanele vizate din această țară. 2.3 Analiza proiectului de listă Ținând seama de faptul că: a. articolul 35 alineatul (1) din RGPD prevede o EIPD atunci când este probabil ca activitatea de prelucrare să aibă ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice și că b. articolul 35 alineatul (3) din RGPD prevede o listă neexhaustivă a tipurilor de prelucrare care necesită efectuarea unei EIPD, Comitetul consideră următoarele: TRIMITEREA LA ORIENTĂRI Comitetul consideră că analiza efectuată în cadrul Orientărilor WP248 ale Grupului de Lucru Articolul 29 reprezintă un element esențial pentru asigurarea coerenței la nivelul Uniunii. Prin urmare, acesta solicită diferitelor autorități de supraveghere să adauge o declarație la documentul care conține lista lor în care să se clarifice faptul că lista lor se bazează pe aceste orientări și completează și specifică orientările. 6

Întrucât documentul autorității de supraveghere belgiene nu conține o astfel de declarație, Comitetul recomandă autorității respective să își modifice documentul în consecință. DATELE BIOMETRICE Lista prezentată de către autoritatea de supraveghere belgiană în vederea unui aviz al Comitetului prevede că prelucrarea datelor biometrice în scopul identificării unice a unei persoane fizice, coroborată cu cel puțin un alt criteriu, necesită o EIPD. În această privință, Comitetul recunoaște că lista îndeplinește obiectivul în materie de coerență. DATELE GENETICE Lista prezentată de către autoritatea de supraveghere belgiană în vederea unui aviz al Comitetului prevede că prelucrarea datelor genetice, coroborată cu cel puțin un alt criteriu, necesită o EIPD. Comitetul consideră că prelucrarea datelor genetice în sine nu este în mod necesar susceptibilă de a reprezenta un risc ridicat. Cu toate acestea, prelucrarea datelor genetice în combinație cu cel puțin un alt criteriu necesită efectuarea unei EIPD. Comitetul ia notă de includerea acestui criteriu în lista autorității de supraveghere belgiene. DATELE COLECTATE PRIN INTERMEDIUL UNOR PĂRȚI TERȚE (ARTICOLUL 19 DIN RGPD) Comitetul consideră că tipurile de activități de prelucrare care ar putea priva persoanele vizate de drepturile care le revin, în coroborare cu cel puțin un alt criteriu, prezintă un risc ridicat. În plus, Comitetul consideră că o activitate de prelucrare efectuată de operator în temeiul articolului 19 din RGPD și în cazul în care informarea destinatarilor s-ar dovedi imposibilă sau ar necesita un efort disproporționat nu implică efectuarea unei EIPD decât dacă această prelucrare implică cel puțin un alt criteriu. Lista prezentată de către autoritatea de supraveghere belgiană în vederea unui aviz al Comitetului prevede că pentru acest tip de prelucrare, coroborată cu cel puțin un alt criteriu, există obligația efectuării unei EIPD. Comitetul ia notă de includerea pe listă a acestui criteriu. MONITORIZAREA ANGAJAȚILOR Comitetul consideră că, având în vedere natura sa specifică, prelucrarea în cadrul monitorizării angajaților, care îndeplinește criteriul persoanelor vizate vulnerabile și al monitorizării sistematice în cadrul orientărilor, ar putea necesita o EIPD. Dat fiind faptul că lista prezentată de către autoritatea de supraveghere belgiană în vederea unui aviz al Comitetului prevede deja că acest tip de prelucrare necesită o evaluare a impactului asupra protecției datelor, Comitetul recomandă exclusiv efectuarea unei trimiteri explicite la cele două criterii cuprinse în Orientările WP248 ale Grupului de Lucru Articolul 29. În plus, Comitetul este de părere că Orientările WP249 ale Grupului de Lucru Articolul 29 rămân valabile în momentul definirii conceptului de prelucrare sistematică a datelor privind angajații. PRELUCRAREA EFECTUATĂ CU AJUTORUL UNUI IMPLANT Comitetul este de părere că prelucrarea datelor fără caracter medical cu ajutorul unui implant nu necesită o EIPD în fiecare caz. Lista prezentată de către autoritatea de supraveghere belgiană în vederea unui aviz al Comitetului nu clarifică în prezent faptul că urmează să se 7

efectueze o EIPD pentru prelucrarea datelor medicale cu ajutorul unui implant. Ca atare, Comitetul solicită autorității de supraveghere belgiene să își modifice lista în consecință, precizând că, în orice caz, prelucrarea datelor medicale cu ajutorul unui implant necesită efectuarea unei EIPD. PRELUCRAREA CU AJUTORUL UNOR TEHNOLOGII NOI/INOVATOARE Lista prezentată de către autoritatea de supraveghere belgiană în vederea unui aviz al Comitetului prevede că prelucrarea datelor cu caracter personal prin utilizarea unor tehnologii inovatoare, coroborată cu cel puțin un alt criteriu, necesită o EIPD. Comitetul ia notă de includerea pe listă a acestui criteriu. 3. Concluzii/Recomandări Proiectul de listă al autorității de supraveghere belgiene poate duce la o aplicare incoerentă a cerinței privind EIPD și trebuie efectuate următoarele modificări: în ceea ce privește trimiterea la orientări: Comitetul solicită autorității de supraveghere belgiene să își modifice documentul în consecință; în ceea ce privește monitorizarea forței de muncă: Comitetul recomandă exclusiv efectuarea unei trimiteri explicite la cele două criterii cuprinse în Orientările WP248 ale Grupului de Lucru Articolul 29 ; în ceea ce privește prelucrarea efectuată cu ajutorul unui implant: Comitetul solicită autorității de supraveghere belgiene să își modifice lista în consecință, precizând că numai prelucrarea datelor medicale cu ajutorul unui implant necesită efectuarea unei EIPD. 4. Observaț ii finale Acest aviz este adresat Autorité de la protection des données (APD-GBA) ( autoritatea de supraveghere belgiană ) și va fi făcut public în temeiul articolului 64 alineatul (5) litera (b) din RGPD. În conformitate cu articolul 64 alineatele (7) și (8) din RGPD, autoritatea de supraveghere transmite președintelui, prin mijloace electronice, în termen de două săptămâni de la primirea avizului, dacă își va modifica sau menține proiectul de listă. În același termen, aceasta transmite proiectul de listă modificat sau, în cazul în care nu intenționează să urmeze avizul Comitetului, prezintă motivele relevante pentru care nu intenționează să urmeze avizul, integral sau parțial. Pentru Comitetul European pentru Protecția Datelor, Președintele (Andrea Jelinek) 8

2024 © DocPlayer.ro Politica de confidențialitate | Reguli de utilizare | Feedback-ul