Ponekad smo odgovorniji nego što mislimo... ili nego što želimo biti.

Pravni nadzor – rujan 2019.

To je slučaj kada instalirate jednostavan dodatak na svoju web stranicu, čak i ako nemate pristup podacima prikupljenim na taj način.

Nedavna presuda Suda Europske unije, poznata kao "Fashion ID", potvrđuje ovo zapažanje pojašnjavajući odgovornost upravitelja web stranica koji na svoju stranicu ubacuju ikonu "sviđa mi se".

Umetanje ovog jednostavnog dodatka stoga može imati za posljedicu da upravitelj stranice bude suodgovoran za obradu s društvenom mrežom koja prikuplja te podatke.

S tehničkog gledišta, jednostavno umetanje dodatka na web stranicu omogućuje automatsku komunikaciju podataka o povezivanju posjetitelja te stranice s dotičnom društvenom mrežom, bez obzira kliknu li posjetitelji na ikonu dodatka ili ne. U ovom slučaju, podaci posjetitelja web stranice Fashion ID, njemačkog online trgovca modnom odjećom, sustavno su se prenosili Facebooku. To se zapravo događa s mnogim web stranicama danas, bilo da se radi o online prodaji, stranicama s vijestima ili blogovima. A obrazloženje usmjereno na Facebook u ovom slučaju može se proširiti na bilo koju društvenu mrežu ili drugi entitet koji koristi istu tehnologiju.

Sud je pojasnio da činjenica da upravitelj stranice nema pristup tako prenesenim podacima ne umanjuje njegovu odgovornost. Činjenica da zajedno s Facebookom određuje svrhe i sredstva obrade ostaje odlučujući faktor. Sud zaključuje moguću zajedničku odgovornost stranice i Facebooka iz uzajamnih ekonomskih koristi koje ostvaruju iz ove suradnje: za Facebook, obogaćivanje njegove baze podataka, a za upravitelja stranice, optimizacija oglašavanja njegovih proizvoda na društvenoj mreži Facebook čim posjetitelj klikne na ikonu "sviđa mi se".

Sud pojašnjava da se pravne odgovornosti i obveze razlikuju ovisno o različitim aspektima obrade: u ovom slučaju, Fashion ID ne može biti odgovoran za način na koji Facebook naknadno obrađuje podatke. Facebook također mora pružiti posebnu pravnu osnovu za ovu obradu. Međutim, operater web stranice dužan je zasebno informirati i dobiti privolu svojih posjetitelja u vezi s prikupljanjem i prijenosom tih podataka društvenoj mreži.

Iz ove važne presude može se izvući nekoliko pouka. Stoga je preporučljivo:

• Sustavno provjeravajte uvjete korištenja dodataka na vašoj web stranici i moguće uvjete prijenosa podataka trećim stranama,
• Provjerite klauzule o odgovornosti u ugovorima s tim trećim stranama;
• Posjetitelje posebno obavijestite o ovoj zbirci i pribavite njihov zaseban pristanak.

Ove mjere opreza su tim relevantnije otkako je CNIL nedavno pojasnio stroge uvjete za dobivanje privole u vezi s ciljanim online oglašavanjem i najavio da će svoje aktivnosti praćenja u 2019. usmjeriti na pitanja raspodjele odgovornosti između različitih strana koje obrađuju osobne podatke. 

Ova se pitanja rješavaju i na europskoj razini. EDPB, koji okuplja tijela Europske unije za zaštitu podataka (CNIL), pokrenuo je rasprave u koje su uključene razne sektorske organizacije kako bi se ažuriralo referentno mišljenje nadzornih tijela o identifikaciji i ulozi kontrolora, zajedničkih kontrolora i obrađivača.

I također:

• u Europi:

Brexit:

Koji bi bili uvjeti za prijenos podataka u Ujedinjeno Kraljevstvo ako bi zemlja napustila Europsku uniju bez sporazuma? EDPB je početkom 2019. objavio bilješku u kojoj se detaljno opisuju uvjeti i različite primjenjive pravne osnove. Britansko tijelo za zaštitu podataka također odgovara na mnoga pitanja na svojoj službenoj web stranici.

Biometrija:

Švedsko tijelo za zaštitu podataka izdalo je svoju prvu sankciju prema GDPR-u 21. kolovoza. Školi je izrečena kazna od 20.000 eura zbog implementacije sustava za prepoznavanje lica učenika, čime je prekršeno nekoliko načela GDPR-a: nevažeći pristanak, osjetljivi biometrijski podaci, nedostatak prethodne procjene utjecaja i neuspjeh u konzultiranju s tijelom za zaštitu podataka.

Zaštita podataka u oblaku:

Izgledi za europski oblak s usklađenim pravilima sve su bliži. Dana 29. kolovoza u Haagu održan je prvi sastanak dionika javnog i privatnog sektora na europskoj i međunarodnoj razini.

• u svijetu:

Elektronički dokazi:

Uvjeti pod kojima pravosudna tijela mogu pristupiti elektroničkim dokazima („e-dokazima“) koje posjeduju tvrtke predmet su razvoja u Europi i na međunarodnoj razini. Cilj je uskladiti ta pravila u Europi, ali i postići dogovor sa Sjedinjenim Državama o uvjetima pristupa tim podacima, kao dio borbe protiv kriminala. Prema američkom „Zakonu o oblaku“, Sjedinjene Države imaju pristup podacima američkih tvrtki sa sjedištem u Europi od ožujka 2018. Cilj je postići dogovor o tim uvjetima pristupa s obje strane Atlantika, u skladu s pravilima o zaštiti podataka.

ISO standard:

Novi standard ISO/IEC/27701 objavljen je početkom kolovoza. Riječ je o proširenju standarda ISO/IEC 27001 i ISO/IEC 27002 koje obuhvaća upravljanje privatnošću, a uzima u obzir i zahtjeve GDPR-a.

1 Presuda primjenjuje Direktivu 95/46/EZ, koja je stavljena izvan snage Uredbom (EU) 2016/679 ili GDPR-om. Odredbe o (su)odgovornosti, međutim, ostale su identične u novoj Uredbi.