Jeste li u „trendu“ s GDPR-om?
Što se sve događalo tijekom 2022. godine na području GDPR-a?
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu u iznosu od 940.000,00 kuna voditelju obrade odnosno društvu iz područja energetskog sektora zbog nedostavljanja snimki videonadzornih kamera (kopije osobnih podataka) na zahtjev ispitanika i upravnu novčanu kaznu u iznosu od 675.000,00 kuna zbog nepoduzimanja odgovarajućih mjera sigurnosti obrade osobnih podataka od strane trgovačkog lanca kao voditelja obrade.
Kolačići
O kolačićima i pritužbama NOYB-a smo već puno pisali na našim web stranicama:
https://www.akademija.hr/prve-prituzbe-nadzornim-tijelima-zbog-nepravilnog-koristenja-kolacica/
https://www.akademija.hr/cookie-banneri-drugi-val-prituzbi-u-tijeku/
https://presido.hr/blog/alternative-kolacicima-trecih-strana-138/
Ako već niste, morate hitno uskladiti svoje skočne prozore:
Nove smjernice
Donosimo vam kratak pregled novih smjernica koje je EDPB donio tijekom 2022. godine:
Nove smjernice o načinu izvješćivanja u slučajevima povrede osobnih podataka
Smjernice za primjenu članka 60. GDPR-a
Smjernice o pravima ispitanika na pristup informacijama
Standardne ugovorne klauzule (SCC) Europska komisija usvojila je dana 4. lipnja 2021. (u smislu čl. 46 GDPR).
SCC klauzule predviđaju dodatne preventivne odredbe za zaštitu podataka. Stranke moraju jamčiti da "nemaju razloga vjerovati" da u zemlji odredišta postoje tijela koja mogu pristupiti podacima bez ikakvog jamstva pravne zaštite (i određenih drugih minimalnih zahtjeva), a ako neko tijelo pokuša pristupiti podacima, moraju obavijestiti ispitanika i pokušati spriječiti pristup. U tu svrhu mora se provesti Procjena učinka prijenosa podataka (TIA) jer jedino na taj način možete biti sigurni da ste poduzeli sve potrebne korake prije početka prijenosa.
Nove SCC klauzule moraju se koristiti u svim novim ugovorima od 28. rujna 2021. Prijašnje (stare) SCC klauzule potpisane do 27. rujna 2021. moraju se zamijeniti do 27. prosinca 2022. Dakle, svi koji još uvijek žele koristiti stare SCC klauzule su to morali učiniti (potpisati ih) prije 28. rujna 2021.
Zabrana prijenosa podataka u SAD?
Europski nadzornik za zaštitu podataka (EDPS) donio je odluku nakon žalbe koju je podnio NOYB kojom se potvrđuje da je Europski parlament prekršio Opću uredbu o zaštiti podataka (GDPR) na svojoj web stranici.
EDPS ističe da je korištenje Google Analyticsa i Stripe-a prekršilo odluku Suda Europske unije (CJEU) "Schrems II" o prijenosu podataka između EU-a i SAD-a. Ova presuda je jedna od prvih odluka kojom se provodi "Schrems II" na terenu i može pokazati put za stotine drugih slučajeva koji su na čekanju pred europskim nadzornim tijelima.
Austrijsko tijelo za zaštitu podataka ("Datenschutzbehörde" ili "DSB") odlučilo je o slučaju NOYB-a da kontinuirana upotreba Google Analyticsa krši GDPR. Ovo je prva odluka za 101 pritužbe koju je podnio NOYB nakon odluke "Schrems II".
Nakon zaprimanja pritužbi udruge NOYB, CNIL je u suradnji sa svojim europskim kolegama analizirao uvjete pod kojima se podaci prikupljeni putem ovog servisa prenose u Sjedinjene Američke Države. CNIL smatra da su ovi prijenosi nezakoniti i naređuje francuskom vlasniku web stranice da se pridržava GDPR-a i, ako je potrebno, da prestane koristiti ovu uslugu pod trenutnim uvjetima.
SCHREMS II odluka unijela je puno pomutnje u svijet marketingaša, ali i svih drugih koji koriste pružatelje usluga sa sjedištem u SAD-u, osobito onih koji koriste GA.
Od donošenja odluke SCHREMS II do zadnjih odluka nadzornih tijela u EU, osobito onih u vezi neadekvatno zaštićenih prijenosa osobnih podataka u SAD, Google Analytics došao je pod povećalo europske javnosti i pokušao riješiti problem.
Jedno od rješenja koje je ponudio Google je GA4 verzija koja će od iduće godine biti jedina verzija GA dostupna korisnicima.
Praćenje i profiliranje korisnika interneta za online personalizirano oglašavanje
Belgijsko nadzorno tijelo utvrdilo je da TCF - Transparency and Consent Framework (Okvir za transparentnost i pristanak) koji je razvio IAB Europe, nije u skladu s GDPR-om.
Mehanizam upravljanja pristankom IAB Europe koristi se za praćenje i profiliranje korisnika interneta za online personalizirano oglašavanje. Omogućuje tisućama tvrtki aktivnih u oglasno-tehnološkom okruženju da dobiju pristup podacima potrošača kako bi ih ciljali oglasima na temelju njihovih interesa, aktivnosti i ponašanja. Prema belgijskom nadzornom tijelu, ovaj mehanizam krši pravila EU-a o zaštiti podataka na više načina. Nije transparentan, ne štiti osobne podatke korisnika, niti im omogućuje ostvarivanje svojih prava.
FUTURE (IN) COMPLIANCE
Virtualno poslovanje, digitalni marketing i razni oblici oglašavanja ubrzano napreduju, a propisa je sve više - želimo uštedjeti Vaše vrijeme i u jednom danu predstaviti novosti, pravila, upute i smjernice kao i njihovu primjenu u praksi.
Mogu li institucije propisima pratiti novu tehnologiju?
Cilj naše nove konferencije je na jednom mjestu predstaviti najvažnije regulatorne izazove i obveze s kojima se poslovni subjekti susreću u poslovanju, osobito pri provođenju marketinških aktivnosti. Kroz predavanja i raspravu sudionika saznat ćete sve o usklađivanju poslovanja u području zaštite potrošača, zaštite osobnih podataka, ali i drugih propisa koji su ključni za poslovanje (primjerice uvođenje eura).
Okupili smo na jednom mjestu hrvatske i inozemne stručnjake, predstavnike poslovnog sektora, predstavnike EU institucija te predstavnike Vlade, državnih i nadzornih tijela koji će odgovarati na sva Vaša pitanja te ćemo zajedno prezentirati najbolje prakse koje omogućavaju slobodu poslovanja uz poštivanje pravnih propisa, sve bez rizika od kazni.
Prednosti pravno usklađenog poslovanja su brojne te je iznimno važno pravovremeno implementirati novosti.
Konferenciju organiziraju Presido i Vision Compliance u suradnji s partnerima.
Više informacija i prijava: https://presido.hr/blog/future-compliance-145/