Съвсем скоро ще изминат точно 5 години от влизането в сила на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, ОРЗД). В посочения период се натрупа достатъчно практика, която да бъде отправна точка на компаниите относно това как да организират дейностите, свързани с обработване на лични данни. Друг важен сигнал, който европейските решаващи органи дават на администраторите е, че уредбата в областта не следва да бъде пренебрегвана или изпълнявана просто „проформа“.
В настоящия материал ще представим в обобщен вид информация относно актуални решения на европейски органи по защита на данните (местни органи, действащи на национално ниво в съответната държава-членка на ЕС) и такива на Европейския съд на справедливостта (Court of Justice of the European Union, CJEU), които разглеждат въпросите по обработване на лични данни през призмата на използване посредством бисквитки и т.нар. „технологии за проследяване“ в онлайн среда.
Макар, че голяма част от решенията, които ще бъдат разгледани по-долу, са постановени от местни органи по защита на данните, същите не следва да бъдат пренебрегвани, доколкото правят анализ и в крайна сметка прилагат обща европейска уредба с директен ефект и единно действие във всички държави-членки.
През юли 2020 г., известен период след приемане на ОРЗД, CJEU постанови своето знаково решение по казуса Schrems II (срещу Facebook, Ireland). Решението касае износа на данни извън територията на ЕС и трансфера им към Съединените американски щати (САЩ) при използване на Privacy Shield Decision. Анализирайки приложимата местна уредба, CJEU стига до извода, че същата не осигурява достатъчно и адекватно ниво на закрила на данните на субектите от ЕС. Основното съображение на съда е, че по силата на относимото американско право местните разузнавателни служби разполагат с много широка възможност за достъп до данните и в крайна сметка неограничени възможности за тяхното използване, което се приема, че е в противоречие с действащите на територията на Съюза принципи за защита на личните данни. Поради горното CJEU отмени Privacy Shield Decision и даде допълнителни указания към компаниите, че в случай, че желаят да извършват трансфер към територията на САЩ на база инструмента Стандартни договорни клаузи (Standard contractual clauses, SCC), то те следва да съблюдават спазването на допълнителни изисквания с цел осигуряване на адекватно ниво на защита на данните. В случай, че не могат да изпълнят посоченото, то те следва да преустановят износа на данни.
Към момента европейските институции работят усилено по приемането на нов инструмент EU-US Data Privacy Framework, на база на който може да се извършва трансфер на данни от компании в ЕС към такива в САЩ.
Сериозно внимание се обръща и на финализирането на т.нар. E-privacy regulation (EU cookie law), който бидейки специален акт спрямо ОРЗД, следва да урегулира подробно обработването на данни в онлайн среда посредством бисквитки и други подобни инструменти. Независимо от това с какви темпове се развива финализирането на акта, към момента е категорично ясно, че същият ще бъде структуриран по аналогия на ОРЗД и ще ползва същите основополагащи принципи при обработването на данни.
Как обаче решението по казуса Schrems II рефлектира върху големите тех-компании до момента?
През 2022 г. редица национални органи по защита на данните имаха възможност да се произнесат по въпроси, свързани с трансфера на лични данни към САЩ, събрани посредством Google Analytics.
През януари 2022 г. Австрийският орган по защита на данните (Austrian data protection authority) прие, че посредством използването на Google Analytics и поддържаните от него бисквитки австрийски уебсайт нарушава постановките, залегнали в решението по казуса Schrems II. Данните, които могат да се съберат при използване на Google Analytics (макар и част от тях в агрегиран вид), включват IP адреси, прекарано време на определена страница, начин на използване на конкретен уебсайт, приблизително местоположение, език, на който се извършва търсенето и др.
В решението на австрийския орган изрично се посочва, че:
- анонимизирането на данните не представлява достатъчно силна мярка за защита, доколкото процесът по анонимизация се извършва именно след като данните са внесени в САЩ;
- криптирането на данните също не осигурява нужната защита, доколкото американските разузнавателни служби разполагат със законово правомощие на достъп до ключа за декриптирането им.
В свое решение от февруари 2022 г. Френският орган по защита на данните (Commission nationale de l’informatique et des libertes, CNIL) постановява, че използването на Google Analytics е в директно противоречие с чл. 44 от ОРЗД. Като основно свое съображение френският орган отбелязва, че трансферът на данни на база SCC в процесния случай е незаконосъобразен, доколкото не са осигурени необходимите технически, организационни и юридически мерки за защита на данните. Отново мерките по криптиране, а в този случай и по псевдонимизация на данните се приемат за недостатъчни.
През юни 2022 г. Италианският орган по защита на данните (Italy’s data protection authority) постановява сходно на горните две решения, като изрично отбелязва, че трансферът на база SCC не осигурява адекватно ниво на защита на данните.
Към днешна дата проверки по подобни казуси се извършват от компетентните органи в Нидерландия, а към вече постановените становища на Австрийския орган се присъединява и местният орган по защита на данните в Норвегия.
Преди по-малко от месец обект на проверка от страна на Австрийския орган по защита на данните бяха и инструментите за проследяване на Meta (Facebook login и Meta pixel). По сходни на изразените съображения относно Google Analytics австрийският орган прие, че трансферът на данни (които включват в частност IP адрес, потребителско име, данни за извършени търсения, резолюция на екрана, данни, събрани посредством бисквитките на Facebook и др.), събрани посредством инструментите за проследяване на Meta, е в противоречие с чл. 44 от ОРЗД.
Какво ни казват всички тези решения?
Очевидно, за компаниите не е опция да отрекат и загърбят изцяло използването на подобни на описаните инструменти в онлайн среда, тъй като тяхната подпомагаща положителна роля за развитието на бизнеса е неоспорима. За да могат обаче да правят това и занапред, препоръката ни е да извършат подробен анализ на обработваните чрез тях данни, специфичните локации на тяхното съхранение и прилаганите мерки за защита, като в случай, че последните се преценят като недостатъчни, да положат допълнителни усилия за внедряването на допълнителни мерки, които в крайна сметка ще осигурят достатъчно ниво на защита на данните.
Екипът на Адвокатско дружество „Мургова и партньори“ притежава дългогодишна опит в консултирането на бизнеса за постигане на нормативното съответствие и въвеждането на нови регулаторни изисквания на европейско и национално ниво. Материалът има информативен характер и не следва да бъде тълкуван като правен съвет. При нужда от консултация или допълнителна информация по повод повдигнатите въпроси в настоящия материал, бихте могли да се свържете чрез https://murgova.com/
Статията е публикувана и в Колонката на Мургова и партньори в сайта на списание „твоят БИЗНЕС“.