Zabrana obrade podataka web stranicama na Cloudflare-u

Portugalsko nadzorno tijelo CNPD donijelo je odluku protiv tamošnjeg državnog zavoda za statistiku (Instituto Nacional de Estatística). Zavod je dužan u roku od 12 sati od donošenja odluke obustaviti prijenose osobnih podataka prema trećim zemljama, uključujući SAD. CNPD je reagirao po prijavama ispitanikâ koji su se žalili da se osobni podaci koje dostavljaju Zavodu prenose u SAD. Sporni su prijenosi osobnih podataka putem web stranice Zavoda prema američkoj tvrtki Cloudflare Inc.

Naime, dio funkcionalnosti dostupnih na web stranicama omogućuje Cloudflare, uključujući i elektroničke certifikate za enkripciju mrežnog prometa. CNPD je u istrazi potvrdio da nema nikakvog jamstva da će osobni podaci preneseni putem web stranica biti obrađivani u EU, budući da Cloudflare ima mrežu servera u više od stotinu zemalja diljem svijeta. Sukladno ugovoru između Zavoda i Cloudflare-a, prijenosi osobnih podataka temelje se na standardnim ugovornim klauzulama (SCC).

CNPD je zaključio da Zavod:

  • nije proveo obveznu procjenu učinka na zaštitu podataka (DPIA),
  • nije bio u stanju procijeniti rizike povezane s ovom obradom osobnih podataka i prijenosima tih podataka u SAD,
  • nije tražio savjet nadzornog tijela prije provođenja obrade.

CNPD također napominje da oslanjanje na standardne ugovorne klauzule ne oslobađa voditelja obrade od obveze da osigura primjerenu razinu zaštite osobnih podataka pri prijenosima u treće zemlje.

Više: GDPRhub