Zatvori

Europski parlament sankcioniran zbog nezakonitog međunarodnog transfera

Međunarodni transfer osobnih podataka u Sjedinjene Američke Države (SAD) je moguć pod posebnim uvjetima. U pravilu, gdje se ne mogu osigurati odgovarajuće zaštitne mjere, prijenos osobnih podataka u SAD nije zakonit i podložan je sankciji. Kako su i subjekti u Hrvatskoj obvezni poslovati u skladu sa Općom uredbom (GDPR), nepridržavanje navedenom ih izlaže riziku od korektivnih mjera i administrativnih kazni zbog kršenja GDPR.

Europski parlament dobio je korektivnu mjeru nakon pritužbe Europskog centra za digitalna prava NOYB (None of Your Business) ne zbog samog korištenja Google analitike kako se to ponegdje naglašava, već radi korištenja više alata kojima se omogućuje identifikacija korisnika i pri tome se vrši transfer podataka u US.

Naime, EDPS objašnjava kako sukladno Izjavi 18. Uredbe 218/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

Google analitika sama po sebi ne omogućava nedvojbenu identifikaciju pojedinca bez korištenja posebnih tehnika iako dolazi do prikupljanja IP adrese. Međutim, uz korištenje kolačića Stripe koji se koristi pri elektroničkom plaćanju a koji također vrši transfer podataka u US, omogućuje se identifikacija korisnika. Iz tog razloga potebne su onda posebne mjere za transfer podataka u US i što se tiče kolačića Stripe i što se tiče Google analitike (jer kombinacijom dolazi do identifikacije) te je o tom prijenosu potrebno pružiti sve relevantne obavijesti i osigurati prava ispitanika u skladu s GDPR a isto nije učinjeno.

Naime, iako je utvrđeno da je došlo do pogreške prilikom postavljanja kolačića Stripe jer EU parlament nije provodio nikakvu vrstu plaćanja na stranici na kojoj su kolačići bili instalirani, Europski povjerenik utvrdio je da su ispitanici o takvoj obradi svejedno morali biti obaviješteni na ispravan način s obzirom da je kolačić bio instaliran, uključujući da su trebale biti predočene mjere koje se koriste u svrhu sigurnog transfera podataka u US i omogućiti ostvarivanje prava ispitanika sukladno GDPR. Pri tome je utvrđeno i više drugih propusta kao primjerice, pružanje više različitih obavijesti o obradi osobnih podataka, jezični prijevodi tih obavijesti također su se međusobno razlikovali, a podaci koji su se pružali nisu bili točni. Nije bilo omogućeno na ispravan način odbijaje kolačića, nisu bili utvrđeni rokovi brisanja podataka niti su bili navedeni primatelji podataka i drugo. EU parlament uklonio je sporne kolačiće, Stripe odmah po utvrđivanju a kasnije i Google analitiku jer ista prije svega nije potrebna za stranicu na kojoj su se koristili (pomoćna stranica-cijepljenje parlamentaraca).

Europski povjerenik neovisno o uklanjanju kolačića naložio je i uklanjanje svih ostalih nedostataka te pružanje ispravne obavijesti o obradi osobnih podataka i omogućavanje ostvarivanje prava ispitanika.

Odluku EU povjerenika pročitajte ovdje.

TEME:  
AUTOR: Ines i Marko Krečak
Ines i Marko Krečak su voditelji Centra Feralis i profesionalni službenici za zaštitu podataka. Ostvarili su poslovne suradnje s više od 200 klijenata u savjetovanju u zaštiti osobnih podataka. Web stranica
PODIJELITE OVAJ ČLANAK:
Sva prava pridržana © 2022 PoslovniPuls.com
cross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram