Ο επικεφαλής επόπτης προστασίας δεδομένων της Ευρωπαϊκής Ένωσης επέβαλε κυρώσεις στο Ευρωπαϊκό Κοινοβούλιο για σειρά παραβάσεων των κανονισμών προστασίας δεδομένων.
Η απόφαση αποτελεί μια ηχηρή προειδοποίηση προς τους ιστότοπους και τις υπηρεσίες στην Ευρώπη, σχετικά με την αναγκαιότητα της δέουσας επιμέλειας των μεταβιβάσεων προσωπικών δεδομένων, συμπεριλαμβανομένου του κατάλληλου ελέγχου τρίτων παρόχων, πρόσθετων προγραμμάτων ή άλλων ενσωματωμένων κωδικών, για να αποφευχθεί ο κίνδυνος δαπανηρών νομικών κυρώσεων.
Η παρέμβαση του Ευρωπαϊκού Data Protection Supervisor (EDPS) αφορά έναν ιστότοπο κρατήσεων για τεστ COVID-19, τον οποίο το Ευρωπαϊκό Κοινοβούλιο εγκαινίασε τον Σεπτέμβριο του 2020 χρησιμοποιώντας έναν τρίτο πάροχο, το Ecolog. Ο ιστότοπος συγκέντρωσε μια σειρά καταγγελιών σχετικά με την παρουσία ανιχνευτών τρίτων μερών και μπερδεμένων banners συγκατάθεσης cookies, μεταξύ μιας σειράς άλλων προβλημάτων συμμόρφωσης, τα οποία περιλάμβαναν επίσης ζητήματα διαφάνειας και πρόσβασης στα δεδομένα. Μετά από έρευνα, ο ΕDPS διαπίστωσε ότι το κοινοβούλιο υπέπεσε σε σφάλματα από πολλές απόψεις και εξέδωσε επίπληξη, διατάσσοντας τη διόρθωση όλων των εκκρεμών ζητημάτων εντός ενός μηνός.
Τον Ιούλιο του 2020, το Δικαστήριο της Ευρωπαϊκής Ένωσης ακύρωσε τη συμφωνία μεταφοράς δεδομένων με τις ΗΠΑ (γνωστή και ως Ασπίδα Προστασίας της Ιδιωτικότητας ΕΕ-ΗΠΑ) και εξέδωσε περαιτέρω οδηγίες ότι οι μεταφορές προσωπικών δεδομένων των πολιτών της ΕΕ σε όλες τις τρίτες χώρες πρέπει να αξιολογούνται κατά περίπτωση ως προς τον κίνδυνο. Συνεπώς, οι ρυθμιστικές αρχές της ΕΕ πρέπει να παρεμβαίνουν και να αναστέλουν τη ροή δεδομένων, εάν πιστεύουν ότι οι πληροφορίες των πολιτών διατρέχουν κίνδυνο. Έτσι, προκειμένου ορισμένες διαβιβάσεις να είναι νόμιμες, ενδέχεται να απαιτούνται πρόσθετα μέτρα για να αυξηθεί το επίπεδο προστασίας.
Ωστόσο, στην περίπτωση του ιστότοπου κρατήσεων COVID-19 τεστ του Κοινοβουλίου, ο ΕDPS δε βρήκε κάποια ένδειξη ότι είχαν εφαρμοστεί τέτοια πρόσθετα μέτρα για τη διασφάλιση των μεταβιβάσεων ΕΕ-ΗΠΑ που προκύπτουν από τη συμπερίληψη των cookies της Google Analytics. Μάλιστα, αποδείχθηκε ότι ο πάροχος είχε αντιγράψει κώδικα από έναν άλλο δικτυακό τόπο που είχε κατασκευάσει.
Η παρουσία cookies που έχουν σχεδιαστεί για την αποστολή δεδομένων σε παρόχους με έδρα τις ΗΠΑ για επεξεργασία δημιουργεί άμεσο νομικό κίνδυνο για τους ιστότοπους με έδρα την ΕΕ και/ή τους πελάτες τους. Στην περίπτωση αυτή, το κοινοβούλιο κρίθηκε ότι ήταν ο μοναδικός υπεύθυνος επεξεργασίας δεδομένων, ενώ η Ecolog ήταν ο εκτελών την επεξεργασία των δεδομένων.
Σε ένα άλλο πόρισμα κατά του κοινοβουλίου, ο EDPS έθεσε το ζήτημα με τις συγκεχυμένες ειδοποιήσεις συγκατάθεσης για τα cookies που εμφανίζονταν στους επισκέπτες του ιστότοπου κρατήσεων τεστ, οι οποίες παρείχαν ανακριβείς πληροφορίες, δεν προσέφεραν πάντα σαφείς επιλογές για την απόρριψη της παρακολούθησης από τρίτους και περιλάμβαναν παραπλανητικό σχεδιασμό που επηρέαζε την συγκατάθεση. Αντίθετα, η νομοθεσία της ΕΕ σχετικά με τη συγκατάθεση ως νομική βάση για την επεξεργασία των δεδομένων των ανθρώπων απαιτεί να είναι σαφές ότι η επιλογή πρέπει να είναι ενημερωμένη, συγκεκριμένη και να δίνεται ελεύθερα.
Διαπιστώθηκε επίσης ότι το κοινοβούλιο απέτυχε να ανταποκριθεί επαρκώς στα αιτήματα των καταγγελλόντων για πληροφορίες, παραβιάζοντας πρόσθετες νομικές απαιτήσεις του νόμου, που παρέχουν στους Ευρωπαίους μια σειρά δικαιωμάτων πρόσβασης που σχετίζονται με τα προσωπικά τους δεδομένα.
Αν και το κοινοβούλιο βρέθηκε στη δυσάρεστη θέση να λάβει επίπληξη από τον EDPS, τουλάχιστον απέφυγε την επιβολή προστίμου, καθώς η ρυθμιστική αρχή έχει μόνο περιορισμένες εξουσίες για την επιβολή οικονομικών κυρώσεων, τις οποίες δεν ενεργοποίησαν αυτές οι παραβάσεις.
Ωστόσο, τα ευρήματα περί σφαλμάτων από τον επικεφαλής επόπτη προστασίας δεδομένων θέτουν νέα όρια γύρω από τη συνήθη περιφερειακή χρήση εργαλείων με έδρα τις ΗΠΑ, όπως το Google Analytics ή οι σελίδες του Facebook. Έτσι, η επίπληξη του EDPS προς το κοινοβούλιο έχει ευρύτερη σημασία, καθώς φαίνεται ότι προοιωνίζεται ένα κύμα εναρμονισμένων αποφάσεων από τις ρυθμιστικές αρχές της ΕΕ, δεδομένων των δεκάδων παρόμοιων καταγγελιών που υποβλήθηκαν τον Αύγουστο του 2020 προς άλλους ιστότοπους.
Η κύρωση που επέβαλε ο ΕΕΠΔ στο κοινοβούλιο σχετικά με τα μπερδεμένα banner cookies στέλνει επίσης ένα ισχυρό μήνυμα σχετικά με το τι είναι αποδεκτό και τι όχι, όταν πρόκειται για τη λήψη της συγκατάθεσης των χρηστών για την παρακολούθηση.
Οι περιφερειακές ρυθμιστικές αρχές θα έχουν σαφώς πολλή δουλειά για να καθαρίσουν τόσες πολλές παραβάσεις – γεγονός που με τη σειρά του μπορεί να ενθαρρύνει τις Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα να συντονιστούν για την τυποποίηση των μέτρων επιβολής, ώστε να προωθήσουν την απαραίτητη κλίμακα αλλαγής.
ή αποκτήστε ετήσια συνδρομή εδώ.