You are here
L’évolution de l’amende sur la base du GDPR Comptabilité 

L’évolution de l’amende sur la base du GDPR

Le nouveau règlement européen sur la protection des données (GDPR) entre en vigueur le 25 mai. Comment se développera la pratique consistant à imposer des amendes à l’Autorité nationale de protection des données et de l’information (NAIH)? Que peut-on attendre du 25 mai, l’utilisation de GDPR, et NAIH dans ce domaine? L’avocat de SBGK et avocat des brevets répond à toutes les questions dans une déclaration complète.

a déclaré qu’une question récurrente systématique sur le nouveau règlement européen sur la protection des données (GDPR) est de savoir comment l’Autorité nationale de protection des données et d’information (NAIH) sera condamnée à une amende pour ce qui peut être attendu du 25 mai .

Sur la base des déclarations faites par le NAIH et des positions affichées sur son site internet, aucune réponse précise ne peut être donnée à cette proposition.

Dans le même temps, le NAIH a pris un certain nombre de décisions au cours des dernières années qui sont basées sur les dispositions juridiques qui les sous-tendent et les décisions prises dans les décisions sont conformes aux exigences du GDPR.

Par conséquent, il semble probable que, si ces exigences ne sont pas satisfaites par les responsables du traitement des données, une procédure engagée à leur encontre peut aboutir à une amende, en fonction des circonstances de l’affaire.

La présentation de plus de deux cents décisions et résolutions de la NAIH ainsi que la comparaison avec GDPR iraient au-delà des limites d’un article, donc cet article se concentre uniquement sur trois domaines d’une série de mauvaises pratiques qui pourraient éventuellement infliger des amendes aux contrôleurs de données – Krisztián Osztopáni.

Exigences pour le consentement

Un certain nombre de décisions de la NAIH ont examiné la pratique des contrôleurs de données d’obtenir une contribution.

Dans une décision d’octobre 2013, le NAIH a souligné que deux objectifs distincts de gestion et de gestion des données (enregistrement et soumission de bulletins publicitaires) pourraient être limités lors de l’inscription sur le site du responsable du traitement.

Cette pratique de contrôle des données est également en contradiction avec les dispositions du GDPR, comme en vertu de la législation européenne: “le consentement ne peut être considéré comme volontaire s’il ne permet pas une contribution distincte à diverses opérations de gestion des données personnelles”.

En outre, dans une décision de décembre 2016, l’Autorité l’a considérée comme illégale lorsque le responsable du traitement a placé la marque dans la case à cocher.

De l’avis de NAIH, il n’y a pas de consentement explicite lorsqu’un comportement actif non actif est nécessaire pour la gestion des données (par exemple, un enregistrement). De telles pratiques ne peuvent pas être acceptées dans le cadre du GDPR. “L’écoute, la case présélectionnée ou la non-action n’est pas un consentement”, dit la loi de l’UE.

Information de gestion des données – facilement compréhensible

En ce qui concerne les informations de gestion des données, il existe également une quantité considérable de pratique officielle à la disposition des contrôleurs de données “, a déclaré SBGK Attorneys et Patent Attorneys.

Dans une recommandation de 2015, la NAIH a défini les exigences en matière de contenu et de forme auxquelles elle doit satisfaire avec une brochure de gestion des données détaillant l’exigence de lisibilité dans un article distinct.

En janvier 2016, la NAIH a jugé qu’il s’agissait d’une violation de la loi, car le libellé et l’expression du prospectus sont difficiles ou incompréhensibles pour un utilisateur moyen (par exemple, l’approche du «consentement tacite»). gestion des données par le gestionnaire de données).

En outre, la violation de l’obligation de lisibilité signifie que le responsable du traitement répète littéralement dans le prospectus ou cite le texte de la loi hongroise sur la protection des données en omettant certains mots, car cela peut rendre difficile la compréhension du prospectus pour les utilisateurs moyens.

Le NAIH a également examiné l’exigence de lisibilité dans ses récentes décisions, par exemple dans une décision de janvier 2018, affirmant que l’information de gestion des données «est un texte abstrait et abstrait difficile à comprendre pour les utilisateurs ordinaires en raison de son libellé».

GDPR s’attend également à ce que les contrôleurs de données disposent des informations de gestion des données en tant que document «clair et compréhensible». Cette exigence, à la lumière d’un avis de l’UE de 2011, qui a également servi de base à la recommandation NAIH, signifie également que, conformément à la législation européenne, les responsables du traitement devraient fournir des informations sur leur gestion des données dans un texte simple et sans jargon.

Si le prospectus est basé sur la répétition du texte juridique, il ne répond certainement pas à l’exigence de clarté et de clarté, Dr. Krisztián Osztopáni.

Signaler et enquêter sur les incidents

Depuis la modification d’octobre 2015 de la loi hongroise sur la protection des données, tous les responsables du traitement des données doivent tenir des registres internes des incidents de protection des données, en consignant le temps, les circonstances, les impacts et les mesures prises pour y remédier.

Le GDPR étend cette obligation en exigeant en principe que les responsables du traitement des données signalent les incidents de protection des données à l’Autorité.

L’un des éléments obligatoires de la notification est que le responsable du traitement des données doit fournir des informations sur l’incident survenu, les risques, les conséquences pour la personne concernée et les mesures prises par le responsable du traitement pour y remédier.

Le NAIH s’attend à ce que les contrôleurs de données soient tenus d’enquêter sur l’incident. Dans sa décision de janvier 2018 clôturant la procédure relative à l’incident de protection des données du BKK, le NAIH a également ordonné au responsable du traitement de «prendre les mesures nécessaires pour révéler les circonstances et les risques probables de l’incident».

De plus, il s’attend également à ce que le responsable du traitement des données forme une “procédure interne pour traiter les incidents”.

Cette exigence peut être déduite d’autres dispositions de la législation de l’UE (par exemple, l’article 24 définissant les tâches du responsable du traitement ou le principe de la responsabilité), bien que le GDPR ne définisse pas les attentes spécifiques des responsables du traitement des données.

Jeu ouvert et au milieu

L’abolition de telles mauvaises pratiques comme celles de cet écrit signifie l’élimination de problèmes spectaculaires.

Cela ne peut pas remplacer l’identification et la correction des problèmes supplémentaires soulevés, par exemple par un audit de protection des données ou une autre enquête interne, ou se préparer à une nouvelle obligation, comme le traitement obligatoire de certaines données.

Il est donc important que tous les contrôleurs de données, en plus de traiter les lacunes frappantes, examinent également si une assistance juridique est nécessaire pour assurer que leur gestion des données est conforme aux dispositions de GDPR, selon les avocats de SBGK et les avocats en brevets.

 

Share Button

További Hírek:

Leave a Comment