Нарушаване на регламента GDPR коства глоба на Европейската комисия
(снимка: CC0 Public Domain)
За първи път Европейската комисия наруши собствените си правила при прехвърляне на информация и ще плати 400 евро за нарушение на Общия регламент за защита на данните (GDPR). Инцидентът е свързан с регистрация на потребител за конференция на уебсайта на Европейския съюз чрез функцията „Вход с Facebook”.
Общият съд на ЕС нареди на Европейската комисия да плати обезщетение на германски гражданин за нарушаване на правото му на защита на личните данни, става ясно от съдебно решение, публикувано на уебсайта на институцията.
Нарушението
Според Европейския съд, ищецът се е оплакал от нарушения, докато е посещавал сайта и се е регистрирал за една от конференциите през 2021-2022 г. След като се регистрирал през EU Login с опция за влизане през Facebook, той посочил, че личните му данни, в частност неговият IP адрес, информация за браузъра и терминала са прехвърлени на компаниите Amazon Web Services (AWS) и Meta, която притежава социалната мрежа Facebook.
Ищецът твърди, че Съединените щати, където са били прехвърлени данните му, нямат адекватно ниво на защита. Това създава риск от достъп до личната му информация на американските служби за сигурност и разузнаване.
В жалбата се посочва също, че Европейската комисия не е предоставила подходящи гаранции, които биха могли да оправдаят прехвърлянето на данни.
Ролята на Европейската комисия
Комисията е най-висшият изпълнителен орган (правителство) на Европейския съюз. Състои се от 28 членове, по един от всяка страна-членка. При упражняване на правомощията си те са независими, действат само в интерес на ЕС и нямат право да извършват други дейности. Държавите-членки нямат право да влияят на членовете на Европейската комисия.
Комисията играе централна роля в осигуряването на ежедневните дейности на ЕС, насочени към прилагане на основните договори. Тя предлага законодателни инициативи и след одобрение следи за тяхното изпълнение. В случай на нарушение на правото на ЕС, Комисията може да прибегне до санкции, включително обжалване пред Съда на Европейските общности.
Органът има значителни автономни правомощия в различни области, включително селско стопанство, търговия, конкуренция, транспорт, регионални и други. Комисията разполага с изпълнителен офис и също така управлява бюджета и различни фондове и програми на Европейския съюз.
Претенциите на ищеца и решението на съда
Ищецът е поискал от съда да наложи няколко санкции: 400 евро обезщетение за неимуществени вреди, дължащи се на прехвърляне на данни; анулиране на трансфера на данни; и още 800 евро обезщетение за морални вреди, поради нарушение на правото на достъп до информация.
Съдът отхвърля последните две искания. В решението се посочва, че Европейската комисия има договор с AWS за съхраняване на данни в Европа.
Личните данни по GDPR са всяка информация, която се отнася до физическо лице и която може да се използва за идентифициране на собственика пряко или непряко. Всъщност това е всякаква информация за дадено лице: име, снимка, имейл адрес, банкови данни, публикации в социални медии, медицинска информация, IP адрес, аналитични кодове и други.
Но съдът установява, че с хипервръзката „Вход с Facebook” Европейската комисия е създала условия за прехвърляне на неговия IP адрес на американската компания Meta. Няма обаче решение на Европейската комисия, че САЩ са осигурили адекватно ниво на защита на личните данни на гражданите на ЕС.
Според решението на съда, Европейската комисия не е спазила условията, определени в законодателството на ЕС относно предаването на лични данни на трета държава. Съдът постановява, че Европейската комисия е извършила достатъчно сериозно нарушение и се съгласява с глоба от 400 евро.
Говорител на Европейската комисия каза, че висшият изпълнителен орган на ЕС е взел под внимание решението на съда и ще разгледа внимателно последиците.
Регламентът на ЕС за защита на данните
На 25 май 2018 г. в Европа влязоха в сила нови правила за обработка на лични данни, определени от регламента на ЕС за защита на данните, наречен GDPR. Тази регулация засяга всички компании, които работят с данни на жители на ЕС, дори ако компанията не е регистрирана в европейска държава.
Новият регламент дава на европейците инструменти за пълен контрол на личните им данни. Те имат право да получават тези данни, да ги коригират, изтриват и ограничават достъпа до тях. Ако даден бизнес събира лични данни по някакъв начин, той трябва да получи изрично разрешение от потребителите за това. За нарушение на правилата за обработка на лични данни по GDPR са предвидени глоби до 20 милиона евро или 4% от годишния глобален доход на компанията.
Новите правила изискват фирмите да получат изрично съгласие от потребителите за обработка на лични данни. Ръководството на компанията също трябва да подготви ясна политика за поверителност с подробна информация и описание на това къде се съхраняват потребителските данни и как се обработват. Политиката трябва да посочва правото на потребителя да оттегли съгласието си за използване на лични данни.
Клаузата „Предоставяне на клиентите право на достъп до техните данни” означава, че бизнесът трябва да осигури на клиентите възможност да получат копие от техните данни в четима форма. Ако потребителите ги помолят да им дадат тези данни, ИТ специалистите са длъжни да предоставят съхранената информация.
По искане на потребителя услугата или платформата трябва да изтрие данните на купувача. Ако купувач поиска от ИТ отдела да изтрие поръчката му, според новите правила той е длъжен да го направи.
Съгласно правилата, компаниите в ЕС са длъжни да уведомяват регулаторите и потребителите за всякакви нарушения или изтичане на лични данни. Такова уведомление трябва да бъде изпратено в рамките на 72 часа от откриването на инцидента с данните.
Тия напълно са се побъркали !
Защо “ищецът” е използвал “опция за влизане през Facebook” ?
А не по нормален начин ?