09 مه 2023
Proisk & Co
برای چاپ این مقاله کافی است در سایت Mondaq.com ثبت نام کنید یا وارد شوید.
بر 28 مارس 2023، هیئت حفاظت از داده های اروپا (“EDPB“) دستورالعمل های به روز شده ای را در مورد ا،ام کنترل کنندگان مستقر غیر اتحادیه اروپا برای اطلاع مقامات نظارتی اتخاذ کرد (“بر“) به دنبال نقض داده های شخصی. ماده 4 (12) مقررات عمومی حفاظت از داده ها (“GDPR“) تصریح می کند که نقض داده های شخصی زم، رخ می دهد که وجود داشته باشد
“ت،یب تصادفی یا غیرقانونی، از دست دادن، تغییر، افشای غیرمجاز، یا دسترسی به داده های شخصی منتقل شده، ذخیره شده یا پردازش شده است.”
طبق ماده 33 (1) GDPR، کنترلکنندگان دادهها باید بدون تأخیر بیرویه، و در صورت امکان، حدا،ر 72 ساعت پس از اطلاع از نقض اطلاعات شخصی، به SA اطلاع دهند. علاوه بر این که کنترلکنندهها مجبور میشوند به SA ملی خود هشدار دهند، در صورت نقض فرامرزی، این موضوع نیز باید به SA هر کشور عضو اتحادیه اروپا که در آن افراد تحت تأثیر داده در آن ،ن هستند، اطلاع داده شود.
“فروشگاه یک مرحله ای” (“OSS“) سازوکار
EDPB در ت، برای مق، با بار اداری که کنترلکنندهها با چندین SA از کشورهای عضو اتحادیه اروپا مواجه میشوند، مک،سم OSS را معرفی کرد که دستورالعملهای آن در ابتدا توسط کارگروه ماده 29 ارائه شده بود (“WP29“) (سلف EDPB) در 13 دسامبر 2016.
مک،سم OSS به کنترل کننده ها این امکان را می دهد که فقط به SA سرب کشور عضوی که مؤسسه اصلی و نماینده آنها در آن واقع شده است اطلاع دهند. این بدان م،ی است که مسئولیت اجرا اساساً بر عهده رهبر SA است که پس از آن وظیفه تشدید نقض و هماهنگی با سایر SAهای مربوطه را بر عهده دارد.
دستورالعمل های به روز شده برای مؤسسات غیر اتحادیه اروپا
در 10 اکتبر 2022، EDPB مشاوره ای را برای بحث در مورد کاربرد مک،سم OSS و چگونگی شفاف سازی ا،ام اعلان در دستورالعمل ها برای مؤسسات غیر اتحادیه اروپا که، مطابق با ماده 27 (1) GDPR، دارای نماینده هستند، راه اندازی کرد. در اتحادیه اروپا
پس از مشورت، EDPB اکنون به تعهد اطلاع رس، برای مؤسسات غیر اتحادیه اروپا در پاراگراف 70-74 دستورالعمل های به روز پرداخته است. بند 73 آن را تأیید می کند “حضور صرف یک نماینده در یک کشور عضو باعث راهاندازی سیستم یک مرحلهای نمیشود. به همین دلیل، نقض باید به هر مرجع نظارتی که موضوع دادههای تحت تاثیر آن در کشور عضو آنها ،ن هستند، اطلاع داده شود.” دستورالعمل های به روز شده EDPB به صراحت بیان می کند که تعهد به اطلاع رس، در دست کنترل کننده غیر اتحادیه اروپا باقی می ماند، که وضوح بسیار مورد نیاز را برای دستورالعمل های WP29 تأیید شده از قبل به ارمغان می آورد.
دستورالعمل به روز شده EDPB همچنین مشخص می کند که برای نهادهای غیرتاسیس اتحادیه اروپا، “وظیفه نماینده در اتحادیه با نقش یک DPO خارجی سازگار نیست”. در عمل این بدان م،ی است که اگرچه یک نماینده می تواند باشد گرفتار در فرآیند اطلاع رس، هنگامی که به صراحت در دستور کتبی نماینده تصریح شده باشد، “مسئولیت اطلاع رس، مطابق با ماده 27 (5) بر عهده کنترل کننده است.” GDPR
به طور کلی، نتیجه این دستورالعملهای بازنگریشده و بهروزرس، شده این ایده را تأیید میکند که به دنبال نقض دادههای شخصی، کنترلکنندههای غیر اتحادیه اروپا که مشمول GDPR هستند باید با همه SAهای مربوطه بهطور جداگانه برخورد کنند و مسئولیتهای آنها نمیتواند به طور کامل به کشورشان واگذار شود. SA یا نماینده.
شاید تعجب آور نباشد که این امر منجر به انتقادات از سوی مؤسسات غیر اتحادیه اروپا شده است که اکنون به حال خود رها شده اند تا به چندین نهاد مختلف اتحادیه اروپا و مقامات ملی در بازه های زم، مربوطه پس از نقض داده های شخصی اطلاع دهند، با پشتیب، هماهنگی بسیار کمی که از طرف سازمان به آنها ارائه شده است. اتحادیه اروپا این امر به طور بالقوه میتواند مسئولیت ارسال حدا،ر ۲۷ اعلانهای فردی را در زم، که نقض دادههای شخصی منجر به آسیب فرامرزی به سوژههای داده در سراسر اتحادیه اروپا میشود، بر عهده مؤسسات غیر اتحادیه اروپا بگذارد.
دستورالعمل های به روز شده EDPB را پیدا کنید اینجا.
محتوای این مقاله به منظور ارائه راهنمای کلی در مورد موضوع است. باید در مورد شرایط خاص خود از یک متخصص مشاوره بگیرید.
مقالات پرطرفدار در مورد: حریم خصوصی از اتحادیه اروپا
پیامدهای سیاست داده بریت،ا پس از برگزیت
کاتن موچین روزنمن LLP
در مقاله ای که توسط Retail Risk منتشر شده است، سارا سیم،، یکی از همکاران ارشد مالکیت م،وی، لایحه پس از برگزیت را برجسته می کند که رژیم جدید حفاظت از داده های بریت،ا را پیشنهاد می کند.
منبع: http://www.mondaq.com/Article/1313376