Europski nadzornik za zaštitu podataka (EDPS) izrekao je kaznu Europskom parlamentu (EP) zbog kršenja Uredbe (EU) 2018/1725, tzv. „GDPR-a za EU institucije“. Radi se o prekršajima u kontekstu interne mrežne stranice za prijavu na COVID testiranje koji su istraženi nakon što je šestero članova EP-a uložilo pritužbu EDPS-u. Na mrežnoj stranici bili su nezakonito postavljeni kolačići, obavijesti o zaštiti podataka nisu bile dovoljno jasne, te su se provodili nezakoniti prijenosi podataka u treće zemlje.
Kolačići su se odnosili na funkcionalnosti Google Analytics i Stripe. Google Analytics je usluga koja upravitelju mrežne stranice omogućuje provedbu analitike i određenih marketinških aktivnosti, a Stripe je servis koji omogućuje funkcionalnosti online plaćanja. U kontekstu EP-ove mrežne stranice za prijavu na COVID testiranje, EDPS je zaključio da niti jedna od tih funkcionalnosti nije nužna te da ti kolačići nisu smjeli biti postavljeni.
Budući da su Google i Stripe tvrtke sa sjedištem u SAD-u, prijenos podataka u tom slučaju podložan je pravilima prijenosa podataka u treće zemlje. EP je morao uspostaviti dodatne mjere zaštite kako bi osigurao da su podaci koji se prenose u SAD primjereno zaštićeni, međutim EDPS je utvrdio da EP to nije učinio.
“However, the Parliament provided no documentation, evidence or other information regarding the contractual, technical or organisational measures in place to ensure an essentially equivalent level of protection to the personal data transferred to the US in the context of the use of cookies on the website. The EDPS therefore considers that the Parliament failed to meet the requirements of Article 46 and Article 48(2)(b) of the Regulation […]”
– iz odluke EDPS-a u slučaju 2020-1013
Zbog svega navedenog, EDPS je EP-u izrekao „ukor“ i zadao obvezu da unutar mjesec dana ažurira obavijesti o zaštiti podataka i ispravi nedostatke na mrežnoj stranici. Novčana kazna nije izrečena u ovom slučaju, budući da EDPS može to učiniti samo u određenim situacijama. Unatoč tome, zaključci koji proizlaze iz ove odluke EDPS-a, iako se radi o „GDPR-u za EU institucije“, jednako se mogu primijeniti i kod voditelja i izvršitelja obrade koji su obvezni uskladiti se s GDPR-om.
Pročitajte odluku EDPS-a: PDF
U drugom slučaju, austrijsko nadzorno tijelo DSB donijelo je odluku iz koje proizlazi da je korištenje Google Analytics kolačića u Europskoj uniji potpuno nezakonito! U velikoj mjeri to je posljedica odluke Suda EU u slučaju Schrems II još iz 2020. godine, u kojoj je zaključeno da prijenosi osobnih podataka davateljima elektroničkih komunikacijskih usluga u SAD-u koji su obveznici primjene zakonâ koji omogućuju sigurnosnim službama neograničen i neproporcionalan nadzor podataka ne mogu biti usklađeni s GDPR-om.
Odluka DSB-a: [Original na njemačkom jeziku] [Strojno prevedeno na EN]
Objava NOYB: noyb.eu
Voditeljima obrade koji još uvijek nisu uskladili svoje mrežne stranice, te posebice marketinškim i drugim agencijama koje svojim klijentima nude usluge izrade i održavanja mrežnih stranica, ove odluke trebaju biti još jedan podsjetnik da je krajnje vrijeme da obrate pozornost na funkcionalnosti svojih mrežnih stranica i da poduzmu potrebne korake da ih usklade s regulativom.
Podsjetimo se:
