Prvo rješenje HAKOM-a o kršenju pravila o kolačićima

19. studenoga 2019.

Nove smjernice za obradu posebnih kategorija osobnih podataka od ICO-a

Britanski ICO izdao je smjernice za obradu posebnih kategorija osobnih podataka Lawfull basis for proccessing Special category data. Dokument, između ostalog, navodi primjere kombinacija pravnih osnova za obradu osobnih podataka iz članka 6. i uvjeta iz članka 9. GDPR-a, odnosno britanskog nacionalnog zakona Data Protection Act iz 2018., koji detaljnije definira uvjete za obradu posebnih kategorija osobnih podataka.

Zbog čestog pogrešnog shvaćanja definicije biometrijskih podataka, posebno u obradama fotografija ispitanika izdvajamo pojašnjenje ICO-a:

If you process digital photographs of individuals, this is not automatically biometric data even if you use it for identification purposes. Although a digital image may allow for identification using physical characteristics, it only becomes biometric data if you carry out “specific technical processing”. Usually this involves using the image data to create an individual digital template or profile, which in turn you use for automated image matching and identification.

EDPB o teritorijalnom području primjene GDPR-a

Europski odbor za zaštitu podataka (EDPB) je nakon postupka javnog savjetovanja objavio službenu verziju smjernica o teritorijalnom području primjene GDPR-a Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)Version 2.0 .

Iako je sasvim jasno da se GDPR-om ne štite prava građana Europske unije, EDPB je prepoznao potrebu da to posebno naglasi:

This provision of the GDPR reflects EU primary law which also lays down a broad scope for the protection of personal data, not limited to EU citizens, with Article 8. of the Charter of Fundamental Rights providing that the right to the protection of personal data is not limited but is for “everyone”.

Dobra vijest za sve koji svojim klijentima s poslovnim nastanom izvan EU pružaju uslugu predstavnika voditelja obrade (EU Representative) je pojašnjenje da se predstavnik ne može smatrati odgovornim za obveze koje su dužni ispuniti voditelj i izvršitelj. Naravno, kao i u slučaju službenika za zaštitu osobnih podataka, predstavnik je dužan odgovorno obavljati svoje zadatke, a u protivnom može biti smijenjen, odnosno razriješen s dužnosti.

Uz navedeno, smjernice sadrže niz praktičnih primjera koji pojašnjavaju u kojim slučajevima nuđenje robe ili usluga te praćenje ponašanja osoba u EU znači i obvezu primjene GDPR-a.

Još jedne smjernice o kolačićima (AEPD)

Španjolski AEPD je objavio smjernice (na španjolskom jeziku) za upotrebu kolačića odnosno pravnu osnovu za njihovo postavljanje. Nakon što su svoje smjernice za kolačiće objavili britanski ICO i francuski CNIL, o čemu smo već pisali, možemo reći da imamo tri dokumenta s različitim uputama.

Postavljanje kolačića uređeno je Direktivom 2002/58 o privatnosti i elektroničkim komunikacijama, te njezinom izmjenom i dopunom iz 2009. godine. Direktiva je u svakoj zemlji članici implementirana kroz nacionalni zakon iz kojeg i proizlaze različita tumačenja i mišljenja vezano za to što se smatra privolom u ovom kontekstu.

I dok su smjernice CNIL-a i ICO-a donekle ujednačene te zahtijevaju afirmativni pristanak u skladu s uvjetima iz GDPR-a, AEPD smatra da korisnik nastavkom pregleda stranice, odnosno odabirom neke druge sekcije nakon što se na stranici pojavila obavijest o kolačićima, potvrđuje suglasnost za korištenje kolačića (str. 24. Smjernica). Da bi se ova radnja smatrala pristankom, obavijest o kolačićima mora biti postavljena na vidljivo mjesto, a zbog svoje boje, oblika i veličine obavijest ne smije biti neopažena.

Kao i CNIL i ICO, AEPD ove smjernice temelji na nacionalnom zakonu, a to je u Španjolskoj Zakon 34/2002 o uslugama informacijskog društva i elektroničkoj trgovini te one nisu relevantne za RH.

Zanimljivo je da je isto ovo tijelo nedavno izreklo upravnu novčanu kaznu od 30 tisuća eura (smanjeno na 18 tisuća) tvrtki Vueling zato što posjetiteljima web stranice nije omogućila da sami konfiguriraju postavke kolačića.

I HAKOM o kolačićima – utvrđeno kršenje ZEK-a

Vezano za kolačiće, i u Republici Hrvatskoj je izrečeno prvo rješenje regulatornog tijela HAKOM-a. Nakon provedenog nadzora utvrđeno je da je predmetno trgovačko društvo prekršilo Zakon o elektroničkim komunikacijama (članak 100. stavak 4.) jer je postavilo kolačiće bez prethodne privole korisnika usluga.

HAKOM se u rješenju poziva i na presudu Suda EU C-673/17 (Planet 49) te navodi:

Iz navedene presude može se zaključiti kako bilo kakva presumpcija privole korisnika koja nije izričita, nedvosmislena, aktivna i zasebna, nije valjana. Dakle, privola bi prema spomenutoj presudi trebala biti aktivna, dana jasnom potvrdnom radnjom, ne ostavljajući samo mogućnost korisniku da odbije, odnosno da otkloni unaprijed označenu privolu. Pritom je posebno istaknuto kako druge aktivnosti na internetu, poput čitanja stranice ili gledanja videa, ne mogu biti dio iste radnje davanja privole. Isto tako, privola mora biti posebna, odvojena za svaku pojedinu svrhu obrade.

Trgovačko društvo mora u roku od 30 dana od donošenja rješenja na web stranicama prilagoditi obavijesti o kolačićima i korisnicima omogućiti prethodno označavanje privole za svaku od pojedinih vrsta kolačića.

U slučaju nepostupanja po rješenju, odgovornoj osobi u trgovačkom društvu izreći će se novčana kazna u iznosu od 50 tisuća kuna.

Obzirom na zajedničku nadležnost HAKOM-a i AZOP-a u dijelu Zakona o elektroničkim komunikacijama koji se odnosi na zaštitu podataka i sigurnost elektroničkih komunikacija, zatraženo je stručno mišljenje AZOP-a koje do donošenja rješenja nije dostavljeno.

Termini edukacija

U najavi...

Edukacije u 2020.

U 2020. godini nastavljamo održavati tečajeve i radionice u javnim terminima.

Plan termina tečajeva ćemo uskoro objaviti, a do tada pratite naše ostale objave!

» Ponuda edukacija

Povezane vijesti

Kazna od 9,55 milijuna eura za 1&1 Telecom u Njemačkoj

Njemački 1&1 Telecom “zaradio” 9,55 milijuna eura kazne zbog neprimjerenih tehničkih mjera zaštite. Vlada UK definira nužne korake za izmjene i dopune nacionalnog zakonodavstva koje regulira zaštitu osobnih podataka. U SAD-u ukraden nezaštićeni uređaj s podacima o plaćama oko 29 tisuća Facebookovih zaposlenika. Sud EU presudio vezano za obradu osobnih podataka putem sustava video nadzora u stambenoj zgradi. EDPB potvrdio predložak ugovora između voditelja i izvršitelja obrade.

Facebook kažnjen s 3,6 milijuna eura zbog – zavaravajuće poslovne prakse!

Wojciech Wiewiórowski je novi Europski nadzornik za zaštitu podataka. Europski parlament pod istragom zbog nepravilnosti u obradi podataka. Njemačkoj bolnici 105 tisuća eura kazne. Mađari kaznili Facebook sa 3,6 milijuna eura zbog zavaravajuće poslovne prakse. IAPP objavio vodič o sličnostima i različitostima smjernica nacionalnih nadzornih tijela o upotrebi kolačića.

Neuvažavanje prigovora ispitanika – kazna od 500 tisuća eura

Francuska tvrtka kažnjena zbog brojnih nepravilnosti u obradi osobnih podataka. Još nije usvojena ePrivacy uredba, ali je postignut dogovor o nacrtu druge, nove direktive – o mjerama zaštite kolektivnih interesa potrošača. EDPB je izdao smjernice za primjenu načela tehničke i integrirane zaštite podataka. U Srbiji privremeno obustavljen projekt sustavnog nadzora građana zbog nezadovoljavajuće procjene učinka na zaštitu podataka (DPIA). AZOP promijenio adresu sjedišta.