U fokusu evropskih tela za zaštitu podataka o ličnosti: Pravila o kolačićima i prenos podataka partnerima rukovaoca

U fokusu evropskih tela za zaštitu podataka o ličnosti: Pravila o kolačićima i prenos podataka partnerima rukovaoca

27. mart 2024.

U jednom od naših prethodnih tekstova (dostupan ovde) pisali smo o smernicama Evropskog odbora za zaštitu podataka (“EDPB”) u pogledu izgleda i sadržine obaveštenja o kolačićima (cookies). Sa tim u vezi, u nastavku donosimo informacije o aktuelnoj praksi nekoliko evropskih tela za zaštitu podataka o ličnosti.

Belgija

Belgijski organ nadležan za pitanja zaštite podataka o ličnosti odbio je nedavno pritužbu izjavljenu povodom nedostatka opcije „Odbij sve“ na prvom, odnosno početnom nivou, tj. sloju banera za kolačiće.

Ova odluka je doneta iz razloga što je korisniku u konkretnom slučaju, na navedenom, tj. prvom nivou predmetnog banera, bila omogućena opcija „Potvrdi moje izbore“, čiji odabir nije implicirao postavljanje bilo kojih kolačića koji nisu nužni.

Naime, korisnik je mogao da bira između opcija „Prihvati sve“ i „Potvrdi moje izbore“, pri čemu je druga opcija u konkretnom slučaju imala isti efekat kao „Odbij sve“, tj. upotrebu samo onih kolačića koji su strogo neophodni.

Pored toga, postupajući organ je u obzir uzeo i činjenicu da se baneru moglo pristupiti u svakom trenutku, radi izmene postavki kolačića (putem ikonice u uglu veb-sajta).

Španija

U julu 2023. godine, Agencija za zaštitu podataka Španije (“AEPD“) izmenila je svoje smernice o upotrebi kolačića kako bi se uskladila sa najnovijim direktivama EDPB-a. Ove ažurirane smernice, koje su stupile na snagu 11. januara 2024. godine, obavezne su za sve veb-sajtove koji su namenjeni španskim posetiocima.

Prema novim smernicama, određeni kolačići koji se koriste za dobijanje podataka o posetama ili statistike u pogledu performansi mogu biti oslobođeni zahteva za pristanak korisnika pod sledećim uslovima:

  • Podaci prikupljeni moraju strogo biti ograničeni na ono što je potrebno za pružanje usluge.
  • Obrada ovih podataka mora se vršiti isključivo u ime vlasnika veb-sajta.
  • Obrada može biti korišćena samo za generisanje anonimnih statističkih podataka.
  • Ovi kolačići ili slične tehnologije ne smeju povezivati prikupljene podatke sa drugim obradama.
  • Podaci prikupljeni putem ovih kolačića ili sličnih tehnologija ne smeju se deliti sa trećim stranama.
  • Ovi kolačići ili slične tehnologije ne smeju omogućavati praćenje korisnikovih aktivnosti pregledanja na drugim veb-sajtovima ili aplikacijama.

Za kolačiće koji zahtevaju pristanak korisnika, AEPD predlaže da pristanak ostane važeći najduže 24 meseca. Nakon ovog perioda, veb-sajtovi bi trebalo da ponovo zatraže pristanak od korisnika kako bi nastavili sa korišćenjem kolačića.

Što se tiče kolačića koji obavljaju funkcije koje ne zahtevaju eksplicitan pristanak, preporučuje se minimiziranje njihovog trajanja koliko je moguće u okviru svrhe obrade kojoj su namenjeni. Ovaj pristup usklađen je sa širim principima zaštite podataka, obezbeđujući da korisnički podaci ne budu zadržani duže nego što je potrebno i da korisničke preference redovno budu ažurirane kako bi odražavale aktuelni pristanak.

Francuska

U Francuskoj je nedavno izrečena novčana kazna rukovaocu zbog telefonskog anketiranja lica korišćenjem podataka u odnosu na koje ne postoji pravni osnov za obradu.

Naime, rukovalac je društvo koje se bavi marketingom i upravljanjem programima lojalnosti (npr. karticama) i koje je, u cilju promovisanja svojih aktivnosti, telefonskim putem anketiralo potencijalne kupce, koristeći podatke prethodno otkupljene od strane različitih dobavljača, a koji su te podatke prethodno prikupili putem određenih onlajn formulara.

U okviru sprovedene istrage, postupajući organ je utvrdio da su pomenuti dobavljači, u vezi sa popunjavanjem navedenih formulara, licima na koja se podaci odnose komunicirali da davanjem podataka daju i pristanak da se isti mogu korisiti od strane partnera dobavljača. Međutim, rukovalac nije bio sadržan na listi tih partnera, niti je samo obaveštenje o obradi dato u skladu sa regulatornim zahtevima (dovoljno transparentno).

Saglasno navedenom, postupajući organ je našao da u konkretnom slučaju rukovalac nema odgovarajući pravni osnov za obradu podataka o ličnosti, tj. legitimni interes ili pristanak lica na koja se podaci odnose.

Naime, rukovalac nije prikupio podatke direktno od lica na koja se odnose, što samo po sebi nije nedozvoljeno. Međutim, u konkretnom slučaju pristanak nije pribavljen i u ime, odnosno za račun rukovaoca, kao ni naknadno, tj. direktno od strane rukovaoca. Pored toga, rukovalac se u konkretnom slučaju, iz istih razloga, nije mogao „osloniti“ ni na legitimni interes, odnosno nije obezbedio da obrada ne narušava prava i interese lica na koja se podaci odnose, uzimajući u obzir njihova razumna očekivanja.

Austrija

U vezi sa prethodno pomenutom listom partnera sa kojima se dele podaci o ličnosti, u jednom od naših prethodnih tekstova (dostupan ovde) pisali smo o obimu, odnosno domašaju prava na pristup podacima o ličnosti.

Naime, shodno stavu Evropskog suda pravde, pre nego što je konkretan prenos podataka o ličnosti izvršen, pa nije moguće identifikovati individualne primaoce navedenih podataka, rukovalac je dužan da licu na koje se podaci odnose predoči informacije o licima kojima ti podaci mogu biti saopšteni, a što može podrazumevati i određenu kategoriju primalaca. Međutim, nakon što je prenos podataka izvršen, rukovalac je dužan da, na zahtev lica na koje se podaci odnose, to lice obavesti o identitetu konkretnih primalaca kojima su podaci saopšteni.

Drugim rečima, kako bi lica na koja se podaci o ličnosti odnose mogla da ostvare svoje pravo na pristup tim podacima u punom obimu, tj. kako bi se ostvarila svrha radi koje je predmetno pravo ustanovljeno, njima mora biti poznat identitet pojedinačnih primalaca tih podataka, tj. lica sa kojima je rukovalac iste podelio.

Kao što se može videti, načelo zakonitosti, poštenja i transparentnosti, kao i načelo odgovornosti za postupanje, koji su garantovani GDPR-om i Zakonom o zaštiti podataka o ličnosti Republike Srbije, dosledno se sprovode i kroz pravo lica na koje se podaci odnose da bude informisano o svim relevantnim aspektima obrade pre početka obrade, kao i kroz prateće pravo na pristup, koje po svojoj prirodi takođe predstavlja pravo na informisanost.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.