Međunarodni transfer osobnih podataka u Sjedinjene Američke Države (SAD) je moguć pod posebnim uvjetima. U pravilu, gdje se ne mogu osigurati odgovarajuće zaštitne mjere, prijenos osobnih podataka u SAD nije zakonit i podložan je sankciji. Kako su i subjekti u Hrvatskoj obvezni poslovati u skladu sa Općom uredbom (GDPR), nepridržavanje navedenom ih izlaže riziku od korektivnih mjera i administrativnih kazni zbog kršenja GDPR.
Europski parlament dobio je korektivnu mjeru nakon pritužbe Europskog centra za digitalna prava NOYB (None of Your Business) ne zbog samog korištenja Google analitike kako se to ponegdje naglašava, već radi korištenja više alata kojima se omogućuje identifikacija korisnika i pri tome se vrši transfer podataka u US.
Naime, EDPS objašnjava kako sukladno Izjavi 18. Uredbe 218/1725 o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.
Google analitika sama po sebi ne omogućava nedvojbenu identifikaciju pojedinca bez korištenja posebnih tehnika iako dolazi do prikupljanja IP adrese. Međutim, uz korištenje kolačića Stripe koji se koristi pri elektroničkom plaćanju a koji također vrši transfer podataka u US, omogućuje se identifikacija korisnika. Iz tog razloga potebne su onda posebne mjere za transfer podataka u US i što se tiče kolačića Stripe i što se tiče Google analitike (jer kombinacijom dolazi do identifikacije) te je o tom prijenosu potrebno pružiti sve relevantne obavijesti i osigurati prava ispitanika u skladu s #gdpr a isto nije učinjeno.
Naime, iako je utvrđeno da je došlo do pogreške prilikom postavljanja kolačića Stripe jer EU parlament nije provodio nikakvu vrstu plaćanja na stranici na kojoj su kolačići bili instalirani, Europski povjerenik utvrdio je da su ispitanici o takvoj obradi svejedno morali biti obaviješteni na ispravan način s obzirom da je kolačić bio instaliran, uključujući da su trebale biti predočene mjere koje se koriste u svrhu sigurnog transfera podataka u US i omogućiti ostvarivanje prava ispitanika sukladno GDPR. Pri tome je utvrđeno i više drugih propusta kao primjerice, pružanje više različitih obavijesti o obradi osobnih podataka, jezični prijevodi tih obavijesti također su se međusobno razlikovali a podaci koji su se pružali nisu bili točni. Nije bilo omogućeno na ispravan način odbijaje kolačića, nisu bili utvrđeni rokovi brisanja podataka niti su bili navedeni primatelji podataka i drugo. EU parlament uklonio je sporne kolačiće, Stripe odmah po utvrđivanju a kasnije i Google analitiku jer ista prije svega nije potrebna za stranicu na kojoj su se koristili (pomoćna stranica-cijepljenje parlamentaraca).
Europski povjerenik neovisno o uklanjanju kolačića naložio je i uklanjanje svih ostalih nedostataka te pružanje ispravne obavijesti o obradi osobnih podataka i omogućavanje ostvarivanje prava ispitanika.
Odluka EU povjerenika: OVDJE
Autori: Ines i Marko Krečak, Službenik za zaštitu podataka Feralis
Feralis kolumne u medijima:
PoslovniPuls - Evo zašto bismo trebali izvući pouku iz GDPR kazni za Google i Facebook
SeeBiz - GDPR Politika privatnosti web stranice - vodič
Glas Istre - E-mail adresa za slanje newslettera
Povezane teme:
Prijedlozi digitalnih i podatkovnih strategija & GDPR
EU COVID potvrde - kontrola od strane poslodavaca
Biometrijski osobni podaci & GDPR
Povezane usluge:
Službenik za zaštitu podataka
GDPR usklađivanje poslovanja
