Privacy Advocates
12.9K subscribers
491 photos
25 videos
146 files
3.59K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🇪🇺⚖️‼️ #gdpr #cjeu #прецедент #алгоритмы
01.08.2022 Суд Европейского Союза ("CJEU") вынес предварительное решение по делу OT v Vyriausioji tarnybinės etikos komisija (Главная комиссия по служебной этике, Литва), согласно которому специальной категорией персональных данных являются не только носящие предположительных характер чувствительные сведения о физическом лице, но и сведения, которые были использованы для формирования предположения.
🔸По мнению суда, обработка данных, которые косвенно могут раскрыть чувствительную информацию («специальные категории персональных данных») о физическом лице, не исключается из режима усиленной защиты, т.к. необходимо принять во внимание обработку не только изначально чувствительных данных, но и данных, раскрывающих информацию такого характера косвенно, после интеллектуальной операции, включающей дедукцию (аналитику) или перекрестные ссылки. Например, публикация имени супруга или партнера будет равнозначна обработке специальной категории данных, поскольку она может раскрыть сексуальную ориентацию. И, косвенно, что то же правило применяется к умозаключениям, связанным с другими типами данных специальной категории.
🔸Последствия могут быть еще шире - решение повышает юридический риск для целого ряда других форм онлайн-обработки данных, от приложений для знакомств до отслеживания местоположения и т.д. Так, если человеку понравилась страница Fox News, то это может быть достаточно для вывода о том, что он придерживается правых политических взглядов; или связывание членства в онлайн-группе по изучению Библии с христианскими убеждениями; или покупку детской коляски и кроватки, или поход в определенный магазин для вывода о беременности; или вывод о том, что пользователь приложения Grindr является геем или квиром.
🔸Ранее Федеральный административный суд Австрии своим решением от 26.11.2020 подтвердил позицию Австрийского управления по защите данных ("Datenschutzbehörde") о том, что данные о физическом лице подпадают под понятие "персональные данные", даже если они отражают лишь вероятные, а не фактические характеристики человека.
🔸Суд Европейского Союза ("CJEU") 09.02.2023 вынес предварительное решение по делу C-453/21 X-FAB Dresden GmbH & Co. KG v FC по запросу Федерального суда по трудовым спорам Германии ("Суд по трудовым спорам") в отношении ст. 38(3) и 38(6) GDPR касательно увольнения сотрудника компании X-FAB с должности DPO.
🔸CJEU постановил, что второе предложение ст.38(3) GDPR не препятствует принятию национального законодательства, предусматривающего, что контроллер или процессор может уволить внутреннего DPO только при наличии уважительной причины, даже если увольнение не связано с выполнением задач этого DPO, в той мере, в какой такое законодательство не подрывает достижение целей GDPR.
🔸CJEU высказал мнение, что ст.38(6) GDPR должна быть истолкована как означающая, что "конфликт интересов" может существовать, когда на DPO возложены другие задачи или обязанности, в результате которых он будет определять цели и методы обработки персональных данных со стороны контроллера или его процессора. Существование конфликта интересов в таких случаях должен определять национальный суд в каждом конкретном случае, оценивая все соответствующие обстоятельства, включая организационную структуру контроллера или процессора, и, в свете всех применимых правил, любую политику контроллера или процессора.
🇪🇺👨‍💻⚖️ #gdpr #dpo #cjeu
🔸В 2020 году Министерство высшего образования, исследований и искусств земли Гессен утвердило правила для школьного образования во время пандемии COVID-19, которые включали возможность для учеников посещать занятия в режиме видеоконференции при условии, что ученики или их родители предоставят свое согласие. Однако эти правила не включала положений, требующих согласия учителей, присутствующих на занятиях в режиме прямой трансляции. Министерство посчитало, что согласно ст.88(1) GDPR обработка персональных данных, связанная с прямой трансляцией занятий в режиме видеоконференции, подпадает под действие национального законодательства, поэтому она может осуществляться без получения согласия соответствующих учителей.
🔸Эта позиция была оспорена Комитетом учителей в Административном суде Висбадена. Административный суд поддержал позицию Министерства, но обратился в Суд Европейского Союза ("CJEU") за предварительным решением в отношении того, совместимо ли данное национальное законодательство с условиями, изложенными в ст.88(2) GDPR (см. дело C-34/21 Principal Staff Committee for Teachers at the Hessian Ministry of Education v Hessian Ministry of Education).
🔸CJEU 30.03.2023 постановил, что обработка персональных данных учителей во время прямой трансляции в режиме видеоконференции подпадает под материальную сферу действия GDPR. Применение национальных положений, обеспечивающих защиту прав и свобод работников в отношении обработки их персональных данных, должно быть отменено, если они не соответствуют условиям и ограничениям, установленным в статьях 88(1) и 88(2) GDPR, если только эти национальные положения не являются правовой основой согласно статье 6(3) GDPR.
🇪🇺⚖️ #gdpr #cjeu #школа #вкс