EDPB clarifies notion of main establishment and calls on EU legislators to make sure CSAM Regulation respects rights to privacy and data protection

14 February 2024

Bruxelles, 14 februarie – În cursul ultimei sale sesiuni plenare, CEPD a adoptat un aviz privind noțiunea de sediu principalși criteriile de aplicare a mecanismului ghișeului unic, înurma unei cereri formulate în temeiul articolului 64 alineatul (2) din RGPD din parteaAutorității franceze pentru protecția datelor (APD). Avizul clarifică noțiunea de „sediu principal” al unui operator în UE, în special în cazurile în care deciziile privind prelucrarea sunt luate în afara UE.

Președintele CEPD, Anu Talus, a declarat: „Noțiunea de sediu principal este una dintre pietrele de temelie ale ghișeului unic. Este esențial pentru a stabili care, dacă este cazul, este autoritatea de supraveghere principală în cazurile transfrontaliere de protecție a datelor. Avizul CEPD clarifică în continuare condițiile în care operatorii au acces la ghișeul unic și oferă orientări suplimentare pentru autoritățile pentru protecția datelor atunci când stabilesc care APD se află în frunte.”

În avizul său, CEPD consideră că „locul administrației centrale” al unui operator în UE poate fi considerat un sediu principal în temeiul articolului 4 alineatul (16) litera (a) din RGPD numai dacă ia decizii privind scopurile și mijloacele de prelucrare a datelor cu caracter personal și dacă are competența de a obține punerea în aplicare a unor astfel de decizii. CEPD explică, de asemenea, că mecanismul ghișeului unic se poate aplica numai dacă există dovezi că unul dintre sediile operatorului din Uniune ia decizii cu privire la scopurile și mijloacele operațiunilor de prelucrare relevante și are competența de a obține punerea în aplicare a acestor decizii. Aceasta înseamnă că, atunci când deciziile privind scopurile și mijloacele de prelucrare sunt luate în afara UE, nu ar trebui să existe un sediu principal al operatorului în Uniune și, prin urmare, ghișeul unic nu ar trebui să se aplice.

Prezentul aviz este cel mai recent dintr-o serie de acțiuni concrete întreprinse de CEPD în urma Declarației sale de la Viena privind aplicarea transfrontalieră, cu scopul de a raționaliza asigurarea respectării legislației și cooperarea între autoritățile pentru protecția datelor. 

În continuare, CEPD a adoptat o declarație privind evoluțiile legislative în ceea ce privește propunerea de regulament de stabilire a normelor de prevenire și combatere a abuzului sexual asupra copiilor. Declarația urmează Avizul comun CEPD-AEPD privind propunerea de regulament a Comisiei Europene și se axează pe cele mai recente evoluții legislative, în special pe poziția Parlamentului European din noiembrie 2023. 

CEPD salută numeroasele îmbunătățiri propuse de Parlament, cum ar fi exceptarea comunicațiilor criptate end-to-end de la ordinele de detectare. Cu toate acestea, CEPD regretă faptul că textul propus de Parlament nu pare să rezolve pe deplin problemele importante semnalate de CEPD și AEPD legate de monitorizarea generală și nediferențiată a comunicațiilor private, în special în ceea ce privește emiterea ordinelor de detectare. 

Președintele CEPD, Anu Talus, a declarat: „Abuzul sexual asupra copiilor este o infracțiune deosebit de odioasă și necesită soluții eficiente. Este important ca orice nou instrument juridic să fie lipsit de ambiguitate și să respecte drepturile fundamentale la viață privată și la protecția datelor. Un nivel excesiv de acces la comunicațiile online ar submina aceste principii importante și ar putea avea el însuși efecte negative asupra drepturilor și siguranței atât a adulților, cât și a copiilor; trebuie să fim foarte atenți la acțiunile care, în cele din urmă, fac mai mult rău decât bine. CEPD este de părere că formularea propusă de Parlament ar trebui să ofere garanții adecvate că ordinele de detectare vor fi suficient de bine direcționate, pentru a se asigura că acesta poate proteja victimele fără a afecta în mod disproporționat drepturile și libertățile protejate de legislația UE.”

CEPD subliniază că este important să se limiteze și mai mult riscul ca ordinele respective să afecteze persoanele care sunt puțin probabil să fie implicate în infracțiuni legate de abuzul sexual asupra copiilor. În plus, CEPD regretă faptul că ordinele de detectare nu se limitează la materialele care conțin abuzuri sexuale asupra copiilor (CSAM) care sunt deja cunoscute de autorități, în ciuda faptului că tehnologiile utilizate pentru detectarea noilor CSAM s-au dovedit în trecut a avea rate de eroare semnificative.

În cursul sesiunii plenare, CEPD a discutat, de asemenea, domeniul de aplicare al orientărilor referitoare la modelul de consimțământ sau de remunerare. În plus față de viitorul aviz prevăzut la articolul 64 alineatul (2), care va aborda modelul de consimțământ sau de plată în contextul platformelor online mari, s-a convenit că este necesar să se elaboreze în mod consecutiv orientări cu un domeniu de aplicare mai larg.

În cele din urmă, CEPD a desemnat mai mulți reprezentanți care să participe la echipa de revizuire a cadrului de confidențialitate a datelor a Comisiei Europene, la subgrupul la nivel înalt al Actului legislativ privind piețele digitale, la articolul 5 alineatul (2) din DMA, și, respectiv, la grupul operativ privind verificarea vârstei din cadrul Actului legislativ privind serviciile digitale

Comunicatul de presă publicat aici a fost tradus automat din limba engleză.  CEPD nu garantează acuratețea traducerii. Vă rugăm să consultați textul oficial în versiunea sa în limba engleză, în cazul în care există îndoieli.