Avizul 25/2018 privind proiectul de listă al autorității de supraveghere competente din Croația privind operațiunile de prelucrare care fac obiectul c

Documente similare
Avizul nr. 3/2018 referitor la proiectul de listă al autorității de supraveghere competente din Bulgaria privind operațiunile de prelucrare care fac o

Avizul nr. 2/2018 referitor la proiectul de listă al autorității de supraveghere competente din Belgia privind operațiunile de prelucrare care fac obi

Ghidul 4/2018 privind acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul general privind protecția datelor (2016/679)

Avizul nr. 4/2019 privind proiectul de acord administrativ pentru transferul de date cu caracter personal între autoritățile de supraveghere financiar

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2016/ AL COMISIEI - din 16 octombrie de stabilire a unor standarde tehnice de

Notă de informare privind transferurile de date efectuate în conformitate cu RGPD în cazul unui Brexit fără acord Adoptat la 12 februarie 2019 Introdu

Ghid Privind aplicarea regimului de avizare în temeiul articolului 4 alineatul (3) din Regulamentul privind agențiile de rating de credit 20/05/2019 E

C(2015)6507/F1 - RO

COMISIA EUROPEANĂ Bruxelles, C(2018) 2526 final REGULAMENTUL DELEGAT (UE) / AL COMISIEI din de completare a Regulamentului (UE) nr

AM_Ple_LegReport

Utilizare curentă EIOPA EIOPA-BoS-19/040 RO 19 februarie 2019 Recomandări pentru sectorul asigurărilor în contextul retragerii Regatului Unit din Uniu

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2017/ AL COMISIEI - din 14 decembrie de stabilire a standardelor tehnice de p

Guidelines on LGD estimates under downturn conditions_RO.docx

Recomandarea Comisiei din 18 iulie 2018 privind orientările pentru implementarea armonizată a Sistemului european de management al traficului feroviar

TA

Microsoft Word - informare_protectie_date_clienti

TA

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2015/ AL COMISIEI - din 8 septembrie privind cadrul de interoperabilitate prev

COMISIA EUROPEANĂ Bruxelles, C(2018) 2980 final REGULAMENTUL DELEGAT (UE) / AL COMISIEI din de modificare a Regulamentului de pune

COMISIA EUROPEANĂ Bruxelles, C(2017) 8435 final DECIZIA DE PUNERE ÎN APLICARE A COMISIEI din privind standardele tehnice pentru

CL2001L0018RO bi_cp 1..1

SC COMPANIA ROMPREST SERVICE SA

Lege pentru modificarea și completarea Legii nr. 16/2017 privind detaşarea salariaţilor în cadrul prestării de servicii transnaţionale Parlamentul Rom

Ghid privind măsurile EMIR de marjă anti-prociclicitate pentru contrapărțile centrale 15/04/2019 ESMA RO

NORMĂ pentru aplicarea Ghidului ESMA privind raportările referitoare la decontarea internalizată conform articolului 9 din regulamentul privind depozi

COMISIA EUROPEANĂ Bruxelles, COM(2019) 112 final 2019/0062 (NLE) Propunere de DECIZIE A CONSILIULUI privind poziția care urmează să fie adopt

DIRECTIVA (UE) 2018/ A CONSILIULUI - din 4 decembrie de modificare a Directivei 2006/ 112/ CE în ceea ce privește armo

REGULAMENTUL (UE) 2019/ AL COMISIEI - din 27 februarie de modificare a anexei III la Regulamentul (CE) nr. 110/ al

Responsabilul cu protecţia datelor cu caracter personal (DPO) OFICIUL RESPONSABILULUI CU PROTECŢIA DATELOR PERSONALE - MAI

Ghid privind raportările referitoare la decontarea internalizată conform articolului 9 din regulamentul privind depozitarii centrali de titluri de val

NOTĂ DE FUNDAMENTARE

RO Jurnalul Oficial al Uniunii Europene L 39/1 I (Acte adoptate în temeiul Tratatelor CE/Euratom a căror publicare este obligatorie) REGULAM

Propunere subiecte de discuție adresate de AmCham România și HR Management Club către ANSPDCP Contextul inițiativei: În cursul derulării proiectelor d

wp250rev_en

Consiliul Uniunii Europene Bruxelles, 21 septembrie 2015 (OR. en) Dosar interinstituțional: 2012/0267 (COD) 12042/15 NOTĂ Sursă: Destinatar: Secretari

Raportul privind conturile anuale ale Agenției Uniunii Europene pentru Căile Ferate pentru exercițiul financiar 2016, însoțit de răspunsul agenției

COMISIA EUROPEANĂ Bruxelles, SWD(2017) 479 final DOCUMENT DE LUCRU AL SERVICIILOR COMISIEI REZUMATUL EVALUĂRII IMPACTULUI care însoţeşte do

COMISIA EUROPEANĂ Bruxelles, C(2018) 7508 final DIRECTIVA DELEGATĂ (UE) / A COMISIEI din de modificare, în scopul adaptării la p

AM_Ple_LegReport

DIRECTIVA (UE) 2018/ A CONSILIULUI - din 20 decembrie de modificare a Directivei 2006/ 112/ CE privind sistemul comun a

Consiliul Uniunii Europene Bruxelles, 1 iunie 2016 (OR. en) Dosar interinstituțional: 2013/0302 (COD) 7532/16 ADD 1 TRANS 93 MAR 105 CODEC 370 PROIECT

COMISIA EUROPEANĂ Bruxelles, COM(2012) 628 final 2012/0297 (COD) Propunere de DIRECTIVĂ A PARLAMENTULUI EUROPEAN ŞI A CONSILIULUI de modifi

PR_COD_1amCom

Notificare privind Confidențialitatea InfoCert S.p.A., având sediul social situat în Piazza Sallustio 9, Roma (Italia) ( InfoCert sau Operator

Jurnalul Oficial al Uniunii Europene L 92 Ediția în limba română Legislație Anul 62 1 aprilie 2019 Cuprins II Acte fără caracter legislativ DECIZII De

Consiliul Uniunii Europene Bruxelles, 21 noiembrie 2018 (OR. en) 14565/18 ENV 802 MI 875 DELACT 158 NOTĂ DE ÎNSOȚIRE Sursă: Data primirii: 19 noiembri

CL2001L0018RO bi_cp 1..1

SANTE/11059/2016-EN Rev. 2

COMISIA EUROPEANĂ Bruxelles, C(2019) 1294 final REGULAMENTUL (UE) / AL COMISIEI din de modificare a Regulamentului (UE) 2017/2400

POLITIA LOCALA A MUNICIPIULUI BOTOSANI Str. Mihail Kogălniceanu nr. 16, judeţul Botoşani Telefon 0231/513100, 0331/401541, Fax , poli

COMISIA EUROPEANĂ Bruxelles, COM(2011) 377 final 2011/0164 (NLE) Propunere de DIRECTIVĂ A CONSILIULUI de modificare a Directivei 76/768/CEE

Recomandarea Comitetului european pentru risc sistemic din 5 decembrie 2018 de modificare a Recomandării CERS/2015/2 privind evaluarea efectelor trans

Jurnalul Oficial al Uniunii Europene L 242 Ediția în limba română Legislație Anul septembrie 2017 Cuprins I Acte legislative REGULAMENTE Regulam

CODE2APC

NOTA DE FUNDAMENTARE

ICS Policy

Microsoft Word - Lista reactualizata final.doc

Regulamentul (UE) nr. 69/2014 al Comisiei din 27 ianuarie 2014 de modificare a Regulamentului (UE) nr. 748/2012 de stabilire a normelor de punere în a

Raportul privind conturile anuale ale Unității de Cooperare Judiciară a Uniunii Europene pentru exercițiul financiar 2016, însoțit de răspunsul Euroju

TA

CL2009R0976RO bi_cp 1..1

GRUPUL DE LUCRU ARTICOLUL 29 PRIVIND PROTECȚIA DATELOR 17/RO WP259 rev.01 Grupul de lucru Articolul 29 Orientări privind consimțământul în temeiul Reg

RO Jurnalul Oficial al Uniunii Europene L 338/55 COMISIE DECIZIA COMISIEI din 19 noiembrie 2008 de stabilire a orientărilor detaliate pentr

DECIZIA DE PUNERE ÎN APLICARE (UE) 2015/ A COMISIEI - din 8 septembrie de stabilire a specificațiilor referitoare la

Consiliul Uniunii Europene Bruxelles, 10 mai 2017 (OR. en) 8964/17 NOTĂ PUNCT I/A Sursă: Destinatar: Secretariatul General al Consiliului ENV 422 FIN

A. DATE DE IDENTIFICARE FORMULAR DE CERERE PIC DE CONTROL la numărul de fax 06/ atenție: a se indica întotdeauna numerele de telefon/adresele

Font scris: Georgia

OG revizuire CPF _Procedura amiabila_2 august 2019 FINAL

PR_COD_1amCom

PowerPoint Presentation

RO Acte_RO+date et nr.doc

EUIPO DANGEROUS COUNTERFEIT STUDY.docx

C(2017)7782/F1 - RO

COMISIA EUROPEANĂ Bruxelles, COM(2012) 336 final 2012/0164 (APP) Propunere de REGULAMENT AL CONSILIULUI de instituire a unui mecanism de asi

LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27

proposal Directive T4.3 tractors

COM(2015)671/F1 - RO

Nr / Aprobat, Manager Dr. Banciu Stelian POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL la nivelul Spitalului Clinic de Pediat

Addresseex

PR_COD_1amCom

AM_Ple_LegReport

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2015/ AL COMISIEI - din 12 august de stabilire a normelor detaliate de puner

Microsoft Word - Lege mandat macroprudential 1 sept 2014 ok.doc

Raportul privind conturile anuale ale Agenției Executive pentru Inovare și Rețele pentru exercițiul financiar 2016, însoțit de răspunsul agenției

AM_Ple_LegConsolidated

TA

Versiune publică Regulile corporatiste obligatorii ale Capgemini Pentru activitățile Operatorului și Persoanei imputernicite de operator

NOTA DE FUNDAMENTARE

Consiliul Uniunii Europene Bruxelles, 24 mai 2017 (OR. en) 9645/17 REZULTATUL LUCRĂRILOR Sursă: Data: 23 mai 2017 Destinatar: Secretariatul General al

Consiliul Uniunii Europene Bruxelles, 17 iunie 2015 (OR. en) 9305/1/15 REV 1 UEM 201 ECOFIN 410 SOC 373 COMPET 282 ENV 370 EDUC 190 RECH 178 ENER 225

Microsoft Word - selgros dep .doc

Decizia Băncii Centrale Europene din 26 septembrie 2013 privind măsuri suplimentare legate de operațiunile de refinanțare din Eurosistem și eligibilit

TA

Avizul cu privire la taxa pe activele financiare ale băncilor și cu privire la indicele de referință al ratei dobânzii pentru contractele de credit pe

TA

COM(2017)47/F1 - RO (annex)

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind li

COM(2019)541/F1 - RO

COMISIA EUROPEANĂ Bruxelles, COM(2017) 769 final 2017/0347 (COD) Propunere de REGULAMENT AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI de abr

Transcriere:

Avizul 25/2018 privind proiectul de listă al autorității de supraveghere competente din Croația privind operațiunile de prelucrare care fac obiectul cerinței de evaluare a impactului asupra protecției datelor [articolul 35 alineatul (4) din RGPD] Adoptat la 4 decembrie 2018

CUPRINS 1 Expunerea sumară a faptelor...4 2 Evaluare...5 2.1 Raționamentul general al CEPD cu privire la lista prezentată...5 2.2 Aplicarea mecanismului pentru asigurarea coerenței în cazul proiectului de listă...6 2.3 Analiza proiectului de listă...6 2.3.1 Trimiterea la orientări...6 2.3.2 Datele biometrice...6 2.3.3 Datele genetice...7 2.3.4 Prelucrarea datelor cu caracter personal generate de dispozitivele cu senzori...7 3 Concluzii/Recomandări...7 4 Observații finale...8 2

Comitetul European pentru Protecția Datelor, având în vedere articolul 63, articolul 64 alineatul (1) litera (a) și alineatele (3) -(8) și articolul 35 alineatele (1), (3), (4) și (6) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare RGPD ), având în vedere Acordul privind SEE, în special anexa XI și Protocolul 37 la acesta, astfel cum a fost modificat prin Decizia nr. 154/2018 a Comitetului mixt al SEE din 6 iulie 2018, având în vedere articolele 10 și 22 din Regulamentul său de procedură din 25 mai 2018, întrucât: (1) Rolul principal al Comitetului este de a asigura aplicarea coerentă a Regulamentului (UE) 2016/679 (denumit în continuare RGPD ) în întregul Spațiu Economic European. În conformitate cu articolul 64 alineatul (1) din RGPD, Comitetul emite un aviz atunci când o autoritate de supraveghere intenționează să adopte o listă de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor în temeiul articolului 35 alineatul (4) din RGPD. Scopul prezentului aviz este, prin urmare, de a crea o abordare armonizată în ceea ce privește prelucrarea transfrontalieră sau prelucrarea care poate afecta libera circulație a datelor cu caracter personal sau a persoanelor fizice în întreaga Uniune Europeană. Deși nu impune o listă unică, RGPD promovează coerența. Comitetul urmărește să atingă acest obiectiv în avizele sale, în primul rând solicitând autorităților de supraveghere să includă anumite tipuri de prelucrare pe listele lor, în al doilea rând, solicitându-le să elimine unele criterii pe care Comitetul nu le consideră că generează neapărat riscuri ridicate pentru persoanele vizate și, în cele din urmă, solicitând acestor autorități să utilizeze unele criterii într-un mod armonizat. (2) În ceea ce privește articolul 35 alineatele (4) și (6) din RGPD, autoritățile de supraveghere competente întocmesc liste cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (denumită în continuare EIPD ). Totuși, aceste autorități aplică mecanismul pentru asigurarea coerenței în cazul în care listele respective implică operațiuni de prelucrare care au legătură cu furnizarea de bunuri sau prestarea de servicii către persoanele vizate ori cu monitorizarea comportamentului acestor persoane în mai multe state membre sau care pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. (3) Deși proiectele de listă ale autorităților de supraveghere competente fac obiectul mecanismului pentru asigurarea coerenței, acest lucru nu înseamnă că listele ar trebui să fie identice. Autoritățile de supraveghere competente dispun de o marjă de apreciere în ceea ce privește contextul național sau regional și ar trebui să țină seama de legislația lor locală. Scopul evaluării/avizului CEPD nu este acela de a ajunge la o listă unică la nivelul UE, ci mai degrabă de a evita inconsecvențele semnificative care ar putea afecta protecția echivalentă a persoanelor vizate. 3

(4) Efectuarea unei EIPD este obligatorie numai pentru operator în temeiul articolului 35 alineatul (1) din RGPD, în cazul în care prelucrarea este susceptibil[ă] să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Articolul 35 alineatul (3) din RGPD ilustrează elementele susceptibile să genereze un risc ridicat. Aceasta nu este o listă exhaustivă. În Orientările privind evaluarea impactului asupra protecției datelor 1, astfel cum au fost aprobate de CEPD 2, Grupul de Lucru Articolul 29 a clarificat criteriile care pot contribui la identificarea cazurilor în care operațiunile de prelucrare fac obiectul cerinței de efectuare a unei EIPD. În Orientările WP248 ale Grupului de Lucru Articolul 29 se precizează că, în majoritatea cazurilor, un operator de date poate considera că o prelucrare care îndeplinește două criterii ar necesita efectuarea unei EIPD; cu toate acestea, în unele cazuri, un operator de date poate considera că o prelucrare care îndeplinește doar unul dintre aceste criterii necesită o EIPD. (5) Listele întocmite de către autoritățile de supraveghere competente sprijină același obiectiv de identificare a operațiunilor de prelucrare susceptibile să genereze un risc ridicat și a operațiunilor de prelucrare care necesită, prin urmare, o EIPD. Ca atare, criteriile definite în orientările Grupului de Lucru Articolul 29 ar trebui aplicate atunci când se evaluează dacă proiectele de liste ale autorităților de supraveghere competente nu afectează aplicarea coerentă a RGPD. (6) Douăzeci și două de autorități de supraveghere competente au primit un aviz cu privire la proiectele lor de liste din partea CEPD la data de 5 septembrie 2018. Alte 4 autorități de supraveghere și-au prezentat proiectul de listă la începutul lunii octombrie. O evaluare globală a acestor proiecte de liste sprijină obiectivul unei aplicări coerente a RGPD, deși complexitatea subiectului crește. (7) Avizul CEPD se adoptă în temeiul articolului 64 alineatul (3) din RGPD coroborat cu articolul 10 alineatul (2) din Regulamentul de Procedură al CEPD în termen de opt săptămâni de la prima zi lucrătoare după ce președintele și autoritatea de supraveghere competentă au decis că dosarul este complet. În urma deciziei președintelui, această perioadă poate fi prelungită cu încă șase săptămâni, ținând seama de complexitatea subiectului, ADOPTĂ PREZENTUL AVIZ: A. EXPUNEREA SUMARĂ A FAPTELOR Autoritatea de supraveghere competentă din Croația a transmis CEPD proiectul său de listă. Decizia privind caracterul complet al dosarului a fost luată la 9 octombrie 2018. Perioada până la care trebuie să fie adoptat avizul a fost prelungită până la 16 ianuarie 2019, ținând seama de complexitatea subiectului, luând în considerare, de asemenea, necesitatea de a avea în vedere rezultatul revizuirii celor douăzeci și două de proiecte de liste prezentate anterior de către autoritățile de supraveghere competente și necesitatea unei evaluări globale a tuturor acestora. 1 Grupul de Lucru Articolul 29, Orientări privind evaluarea impactului asupra protecției datelor și stabilirea dacă prelucrarea este susceptibilă să genereze un risc ridicat în sensul Regulamentului 2016/679, (WP 248 rev. 01). 2 CEPD, Aprobarea 1/2018. 4

B. EVALUARE a. Raționamentul general al CEPD cu privire la lista prezentată Orice listă prezentată CEPD a fost interpretată ca o precizare suplimentară a articolului 35 alineatul (1), care va prevala în orice caz. Prin urmare, nicio listă nu poate fi exhaustivă. În conformitate cu articolul 35 alineatul (10) din RGPD, Comitetul consideră că, în cazul în care o EIPD a fost efectuată deja ca parte a unei evaluări generale a impactului în contextul adoptării temeiului juridic, obligația de a efectua o EIPD în conformitate cu articolul 35 alineatele (1)-(7) din RGPD nu se aplică decât dacă statul membru consideră că este necesar. În plus, în cazul în care Comitetul solicită efectuarea unei EIPD pentru o anumită categorie de prelucrare și o măsură echivalentă este deja impusă de legislația națională, Agencija za zaštitu osobnih podataka ( autoritatea de supraveghere croată ) adaugă o trimitere la această măsură. Prezentul aviz nu reflectă elementele prezentate de către autoritatea de supraveghere croată, care au fost considerate ca fiind în afara domeniului de aplicare al articolului 35 alineatul (6) din RGPD. Aceasta vizează elemente care nu se referă nici la furnizarea de bunuri sau prestarea de servicii către persoane vizate în mai multe state membre, nici la monitorizarea comportamentului persoanelor vizate în mai multe state membre. În plus, este puțin probabil ca acestea [să afecteze] în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. Acest lucru este valabil în special pentru elementele referitoare la legislația națională și, în special, în cazul în care legislația națională prevede obligația de a efectua o EIPD. În plus, operațiunile de prelucrare care au legătură cu asigurarea respectării legii au fost considerate în afara domeniului de aplicare, deoarece nu intră sub incidența RGPD. Comitetul a constatat că mai multe autorități de supraveghere au inclus în listele lor unele tipuri de prelucrare care înseamnă în mod necesar prelucrare locală. Având în vedere că numai prelucrarea transfrontalieră și prelucrarea care poate afecta libera circulație a datelor cu caracter personal și a persoanelor vizate sunt vizate de articolul 35 alineatul (6), Comitetul nu va prezenta observa ții cu privire la aceste operațiuni de prelucrare locală. Avizul vizează definirea unui nucleu coerent de operațiuni de prelucrare care sunt recurente pe listele furnizate de autoritățile de supraveghere. Aceasta înseamnă că, pentru un număr limitat de tipuri de operațiuni de prelucrare, care vor fi definite întrun mod armonizat, toate autoritățile de supraveghere vor solicita efectuarea unei EIPD, iar Comitetul va recomanda autorităților de supraveghere să își modifice listele în consecință, pentru a asigura coerența. În cazul în care prezentul aviz nu se referă la mențiunile din lista prezentată în vederea EIPD, atunci Comitetul nu îi solicită autorității de supraveghere croate să ia măsuri suplimentare. În cele din urmă, Comitetul reamintește faptul că transparența este esențială pentru operatorii de date și pentru persoanele împuternicite de aceștia. Pentru a clarifica mențiunile din listă, Comitetul consideră că efectuarea unei trimiteri explicite în liste, pentru fiecare tip de prelucrare, a criteriilor stabilite în orientări ar putea îmbunătăți această transparență. Prin urmare, Comitetul consideră că ar putea fi adăugată o explicație cu privire la criteriile pe care autoritatea de supraveghere croată le-a avut în vedere pentru crearea propriei liste. 5

b. Aplicarea mecanismului pentru asigurarea coerenței în cazul proiectului de listă Proiectul de listă prezentat de către autoritatea de supraveghere croată se referă la furnizarea de bunuri sau prestarea de servicii către persoane vizate, la monitorizarea comportamentului acestora în mai multe state membre și/sau poate afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, în principal din cauza faptului că operațiunile de prelucrare din proiectul de listă prezentat nu se limitează la persoanele vizate din această țară. c. Analiza proiectului de listă Ținând seama de faptul că: c. articolul 35 alineatul (1) din RGPD prevede o EIPD atunci când este probabil ca activitatea de prelucrare să aibă ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice și că d. articolul 35 alineatul (3) din RGPD prevede o listă neexhaustivă a tipurilor de prelucrare care necesită efectuarea unei EIPD, Comitetul consideră următoarele: 1.1.1 Trimiterea la orientări Comitetul consideră că analiza efectuată în cadrul Orientărilor WP248 ale Grupului de Lucru Articolul 29 reprezintă un element esențial pentru asigurarea coerenței la nivelul Uniunii. Prin urmare, acesta solicită diferitelor autorități de supraveghere să adauge o declarație la documentul care conține lista lor în care să se clarifice faptul că lista lor se bazează pe aceste orientări și completează și specifică orientările. Autoritatea de supraveghere croată precizează: Orientările ce privesc EIPD au fost analizate, alături de materialele disponibile și de documentele altor instituții și autorități din domeniul protecției datelor cu caracter personal din UE. Comitetul recomandă autorității de supraveghere croate să clarifice în documentul său semnificația Orientărilor privind evaluarea impactului asupra protecției datelor (WP248) ale Grupului de lucru Articolul 29, având în vedere faptul că respectivele orientări nu sunt cunoscute de către toți cititorii. Mai mult, acesta solicită autorității de supraveghere croate să clarifice faptul că lista sa se bazează pe aceste orientări și completează și specifică orientările. 1.1.2 Datele biometrice Lista prezentată de către autoritatea de supraveghere croată în vederea unui aviz al Comitetului prevede că pentru prelucrarea datelor biometrice în sine există obligația efectuării unei EIPD. Comitetul consideră că prelucrarea datelor biometrice nu este în mod necesar susceptibilă de a reprezenta un risc ridicat în sine. Cu toate acestea, prelucrarea datelor biometrice în scopul identificării unice a unei persoane fizice, în coroborare cu cel puțin un alt criteriu, necesită efectuarea unei EIPD. Prin urmare, Comitetul solicită autorității de supraveghere croate să își modifice lista în consecință, în primul rând, prin clarificarea faptului că elementul care se referă la prelucrarea datelor biometrice se aplică în cazul în care scopul prelucrării identifică în mod unic o persoană fizică, iar în al doilea rând, prin adăugarea la acest element a obligației de efectuare a unei EIPD numai atunci când aceasta se realizează în coroborare cu cel puțin un alt criteriu, ținând seama de faptul că lista EIPD trebuie să fie aplicată fără a aduce atingere articolului 35 alineatul (3) din RGPD. 6

1.1.3 Datele genetice Lista prezentată de către autoritatea de supraveghere croată în vederea unui aviz al Comitetului prevede că pentru prelucrarea datelor genetice în sine există obligația efectuării unei EIPD. Comitetul consideră că prelucrarea datelor genetice nu este în mod necesar susceptibilă de a reprezenta un risc ridicat în sine. Cu toate acestea, prelucrarea datelor genetice în combinație cu cel puțin un alt criteriu necesită efectuarea unei EIPD. Prin urmare, Comitetul solicită autorității de supraveghere croate să își modifice lista în consecință, prin adăugarea mențiunii că elementul care se referă la prelucrarea datelor genetice necesită efectuarea unei EIPD numai atunci când aceasta se realizează în coroborare cu cel puțin un alt criteriu, urmând a fi aplicată fără a aduce atingere articolului 35 alineatul (3) din RGPD. 1.1.4 Prelucrarea datelor cu caracter personal generate de dispozitivele cu senzori Comitetul este de părere că prelucrarea datelor cu caracter personal generate de dispozitivele cu senzori care transmit date prin intermediul Internetului sau al altor tehnologii de transfer de informații nu ar trebui să fie un criteriu care să antreneze obligația de a efectua o EIPD, ca atare sau în coroborare cu un alt criteriu, și că aceasta nu este în mod necesar susceptibilă de a reprezenta un risc ridicat, deoarece formularea actuală a proiectului de listă EIPD are o sferă de aplicare prea largă. Dat fiind faptul că lista prezentată de către autoritatea de supraveghere croată în vederea unui aviz al Comitetului prevede acest tip de prelucrare care necesită o evaluare a impactului asupra protecției datelor, Comitetul solicită autorității de supraveghere croate să elimine acest element din lista sa. E. CONCLUZII/RECOMANDĂRI Proiectul de listă al autorității de supraveghere croate poate duce la o aplicare incoerentă a cerinței privind EIPD și trebuie efectuate următoarele modificări: în ceea ce privește trimiterea la orientări: Comitetul solicită autorității de supraveghere croate să clarifice faptul că lista sa se bazează pe aceste orientări și completează și specifică orientările; în ceea ce privește datele biometrice: Comitetul solicită autorității de supraveghere croate să își modifice lista în consecință, în primul rând, prin clarificarea faptului că elementul care se referă la prelucrarea datelor biometrice se aplică în cazul în care scopul prelucrării identifică în mod unic o persoană fizică, iar în al doilea rând, prin adăugarea la acest element a obligației de efectuare a unei EIPD numai atunci când aceasta se realizează în coroborare cu cel puțin un alt criteriu; în ceea ce privește datele genetice: Comitetul solicită autorității de supraveghere croate să își modifice lista, prin adăugarea mențiunii că elementul care se referă la prelucrarea datelor genetice necesită efectuarea unei EIPD numai atunci când aceasta se realizează în coroborare cu cel puțin un alt criteriu; în ceea ce privește prelucrarea datelor cu caracter personal generate de dispozitivele cu senzori: Comitetul solicită autorității de supraveghere croate să elimine acest element din lista sa. 7

F. OBSERVAȚII FINALE Prezentul aviz este adresat Agencija za zaštitu osobnih podataka ( autoritatea de supraveghere croată ) și va fi făcut public în temeiul articolului 64 alineatul (5) litera (b) din RGPD. În conformitate cu articolul 64 alineatele (7) și (8) din RGPD, autoritatea de supraveghere transmite președintelui, prin mijloace electronice, în termen de două săptămâni de la primirea avizului, dacă își va modifica sau menține proiectul de listă. În același termen, aceasta transmite proiectul de listă modificat sau, în cazul în care nu intenționează să urmeze avizul Comitetului, prezintă motivele relevante pentru care nu intenționează să urmeze avizul, integral sau parțial. Pentru Comitetul European pentru Protecția Datelor, Președintele (Andrea Jelinek) 8

2024 © DocPlayer.ro Politica de confidențialitate | Reguli de utilizare | Feedback-ul