Pisali smo o kazni, konkretnije, o javnoj opomeni Europskom parlamentu od strane EDPS-a (European Data Protection Supervisor) kao nadzornog tijela za zaštitu podataka u EU tijelima, koje je zadalo rok od mjesec dana za ispravljanje neusklađenosti od strane Europskog parlamenta:

https://www.biconsult.hr/gdprcroatia/1731-europski-parlament-dobio-kaznu-zbog-koristenja-google-analytics-kolacica-na-web-stranici

 

Potaknuti upitima nakon prve objave, odlučili smo detaljnije opisati činjenice koje ne želimo interpretirati već ćemo ih izvući iz Odluke EDPS-a, kako bi svatko o čitatelja mogao sam uočiti činjenice.

Cjelovita Odluka EDPS-a dostupna je na ovom linku:

https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf

 

Izvatke smo preveli alatom za prevođenje koji koriste članovi Vijeća EU.

 

"…parlament je prenosio osobne podatke koji se odnose na zastupnike u Europskom parlamentu i zaposlenike Europskog parlamenta izvan Europske unije, s naglaskom na Google i Stripe u SAD.

….takav prijenos osobnih podataka u suprotnosti je s nedavnom presudom Suda Europske unije u predmetu Schrems II.

…U pogledu prijenosa Googleu, podnositelji pritužbe izjavili su da je takav prijenos potvrđen kroz

obavijesti o zaštiti podataka na internetskoj stranici gdje je navedeno da se „informacije prikupljene korištenjem Google Analytics prenose se na Google poslužitelj u SAD i pohranjuju na njemu.”

…na prvom sloju trake za upravljanje kolačićima nije postojala opcija „Odbaci sve”, što predstavlja neispunjavanje uvjeta valjane privole.

…Podnositelji pritužbe dodatno su tvrdili da je dizajn trake kolačića dovodio u zabludu, budući da su prisiljavali posjetitelje web stranice da „prihvate sve” kolačiće, naglašavajući odgovarajuće polje za klik. Također su dodali kako nema informacija o povlačenju privole za korištenje kolačića na web stranici.

…Tvrdnja parlamenta da su Google Analytics kolačići bili korišteni na internetskoj stranici „bez naputaka Europskog parlamenta" ne mijenja činjenicu da je primarna dužnost poštovanja obveza bila na Europskom parlamentu kao voditelju obrade.

…Kolačići za praćenje posjetitelja, kao što su Stripe i Google Analytics, smatraju se osobnim podacima, čak i u slučaju da tradicionalni identifikacijski parametri praćenih korisnika nisu poznati ili su izbrisani od strane trackera nakon prikupljanja.

…Svi zapisi koji sadrže identifikatore koji se mogu koristiti za izdvajanje pojedinog korisnika, smatraju se osobnim podacima.

…Zaključak da je došlo do prijenosa u SAD je pojačan okolnostima koje su istaknuli podnositelji pritužbe, prema kojima se „svi podaci prikupljeni pomoću Google Analytics pohranjuju dalje obrađuju u SAD. Osim toga, prva se verzija obavijesti Europskog parlamenta o zaštiti podataka referira na upotrebu Standardnih ugovornih klauzula (SCC) za prijenos podataka izvan EU-a, na što Google upućuje u svojoj obavijesti o zaštiti podataka radi informiranja o prijenosu podataka izvan EU/EEA.

…EDPS podsjeća da uz izostanak odluka Europske komisije o primjerenosti zaštite u pojedinim zemljama za prijenose u treće zemlje, među ostalim i SAD, voditelji i izvršitelji obrada mogu prenijeti osobne podatke u treću zemlju samo ako su potrebne zaštitne mjere omogućene i pod uvjetom da su dostupna ostvariva prava ispitanika i učinkoviti pravni lijekovi za ispitanike.

…Takve zaštitne mjere mogu se osigurati kroz Standardne ugovorne klauzule ili druge mehanizme prijenosa. Mehanizam prijenosa na koji se voditelj ili izvršitelj obrade oslanja mora osigurati da se pojedincima čiji se osobni podaci prenose u treću zemlju u skladu s tim prijenosom pruža razina zaštite u toj trećoj zemlji koja je u osnovi jednaka razini zajamčenoj u EU.

…Međutim, upotreba Standardnih ugovornih klauzula ili drugog alata za prijenos (npr. ad hoc ugovorne klauzule) nije zamjena za pojedinačnu procjenu svakog pojedinačnog slučaja koju voditelj obrade mora provesti u skladu s presudom Schrems II, i pri tom utvrditi je li u kontekstu specifičnog prijenosa, razina zaštite u trećoj odredišnoj zemlji jednaka onoj u EU.

...Ako esencijalno jednaka razina zaštite prenesenih podataka nije učinkovito osigurana, jer pravo ili praksa treće zemlje ugrožava učinkovitost odgovarajuće zaštitne mjere sadržane u korištenim Standardnim ugovornim klauzulama, tada voditelj obrade mora provoditi ugovorne, tehničke i organizacijske mjere kako bi učinkovito dopunio zaštitne mjere za prijenos, prema potrebi zajedno s uvoznikom osobnih podataka izvan EU/EEA.

…Europski je sud je u presudi Schrems II utvrdio da je razina zaštite osobnih podataka u SAD problematična zbog nedostatka proporcionalnosti uzrokovane programima masovnog tajnog sigurnosnog nadzora na temelju odjeljka 702. FISA i drugih zakona

…EDPS smatra da prijenos osobnih podataka u SAD može biti ostvaren samo ako osiguraju učinkovite dodatne mjere kako bi se osigurala u biti jednaka razina zaštite prenesenih osobnih podataka.

…Europski parlament nije dostavio dokumentaciju, dokaze ili druge informacije u pogledu ugovornih, tehničkih ili organizacijskih mjera koje su na snazi kako bi se osigurala u osnovi jednaka razini zaštite osobnih podataka prenesenih u SAD u kontekst korištenja kolačića na web stranici.

…Kolačići za praćenje, kao npr. social plug-ins, oglašavanja trećih strana i analitički kolačići jasno zahtijevaju pristanak pojedinca. Čak i first-party analitički kolačići, koji se često smatraju neophodnima za funkcionalnost web stranice nisu nužno potrebni za pružanje funkcionalnosti web stranice i zbog toga je potrebna privola posjetitelja web stranice.

…Na temelju navedenog, tekst obavijesti o kolačićima trebao bi se odnositi na vrste informacija kojima se pristupa ili pohranjuje putem kolačića, kao i na svrhe takvog prikupljanja i pohrane.

…Konačno, posjetiteljima web stranice se mora omogućiti da pristanu ili ne pristanu na obradu nenužnih kolačića.

…U tom smislu, trake za kolačiće moraju uključivati polje za odabir koji korisnicima omogućuje prihvaćanje kolačića, tako da je jasno da klikom na određeno polje pristaje na postavljanje kolačića.

…Takav odabir ne smije biti pred predodabran.

…Posjetitelji web stranice ne smiju biti prisiljeni dodatno intervenirati kako bi spriječili instalaciju kolačića."

 

Vjerujemo da putem ovih izvadaka iz Odluke EDPS-a svaki vlasnik web stranice, uključujući i naša tijela javne vlasti, može prepoznati gdje eventualno griješi kad je u pitanju primjena Google Analytics i drugih ne-neophodnih kolačića.

Na svakom od nas je da procijenimo koje su činjenice…

 

 

Photo by Christian Lue on Unsplash