Европарламент обвинили в нарушении норм защиты ПД – его сайт посредством cookie-файлов передавал данные европейцев в США

261

Уполномоченный по защите данных ЕС (European Data Protection Supervisor, EDPS) Войцех Вевьюровский (Wojciech Wiewiorowski) предписал Европарламенту устранить нарушения закона и привести веб-ресурсы в соответствие с требованиями регламента ЕС 2018/1725 (аналог GDPR, регулирующий обработку персональных данных центральными органами и учреждениями ЕС). Как сообщил во вторник TechCrunch, Европарламент запустил сайт, который использовал cookie-файлы для сбора данных европейцев и отправки их в США.

Напомним, сookies (буквальный перевод с английского – «печенье») – термин, которым обозначают файлы с данными о пользователе и его действиях на сайте. Эти файлы на компьютере пользователя оставляет сам сайт. В дальнейшем cookies применяются не только для демонстрации пользователю адресной («таргетированной») рекламы, они обеспечивают сбор персональных данных, допускающих разнообразную (и не обязательно законную) обработку. Cookies, записанные при посещении одного сайта, могут использоваться и, как правило, действительно используются рекламными онлайн-сервисами (и другими сайтами) для получения данных о пользователе. После введения в действие европейского регламента о защите данных сайты при первом посещении требуют от пользователя разрешить запись cookies и в случае отказа могут не допустить на сайт.

По информации EDPS, Европейский парламент при участии стороннего провайдера Ecolog запустил в сентябре 2020 года веб-сайт записи на тестирование на COVID-19. Оказалось, что провайдер скопировал код с другого созданного им сайта для центра тестирования в Брюссельском международном аэропорту.

В результате сайт для Европарламента стал использовать файлы cookie, связанные с Google Analytics и американской платёжной системой Stripe.

Файлы cookie в свою очередь использовались для передачи персональных данных европейцев в США.

Согласно решению высшего суда ЕС регулирующие органы блока должны вмешаться и приостановить передачу данных, если они считают, что права субъектов персональных данных находятся под угрозой. Таким образом, для того чтобы передача данных была законной, в некоторых случаях могут потребоваться дополнительные меры для повышения уровня защиты.

Однако в случае с парламентским сайтом тестирования на COVID-19 EDPS не обнаружил никаких доказательств того, что были применены какие-либо дополнительные меры для защиты данных, передаваемых между ЕС и США, в процессе использования файлов cookie Google Analytics и Stripe.

EDPS также обратил внимание на запутанные уведомления о согласии на использование cookie, показанные посетителям сайта. Эти баннеры предоставляли неточную информацию; не всегда предлагали четкий выбор для отказа от отслеживания третьих лиц; и включали обманчивый дизайн, который позволял манипулировать согласием.

Также EDPS было установлено, что Европарламент не отвечал должным образом на запросы заявителей о предоставлении информации об обработке данных, нарушив права субъектов персональных данных на доступ, исправление и удаление.

EDPS установил, что Европарламент нарушил несколько правовых норм, и дал месяц на устранение нарушений.

Напомним, EDPB создал целевую группу по вопросу cookie прошлой осенью, заявив, что она будет «координировать рассмотрение жалоб, касающиеся баннеров cookie». Эти жалобы в ряд региональных надзорных органов подала организация по защите частной жизни noyb.

Создание EDPB целевой группы глава noyb Максимилиан Шремс (Maximillian Schrems) назвал «хорошим», хотя и медленным, развитием событий. Он предположил, что следует двигаться к стандарту, который будет требовать простого ответа «да/нет» для отслеживания (что, конечно, будет означать твердое «нет» в подавляющем большинстве случаев, учитывая, как мало людей любят, когда их преследуют рекламные объявления — отсюда недавнее предупреждение ICO (Information Commissioner’s Office, управление уполномоченного по вопросам информации) Великобритании рекламной отрасли о том, что конец отслеживания близок. К аналогичному выводу приходит и французская CNIL (Национальная комиссия по информации и гражданским свободам, La Commission Nationale de Plnformatique et des Libertes).

Надзорный орган Австрии 13 января 2022 года принял решение о незаконности передачи персональных данных в США через использование Google Analytics.

Справка

«Google Аналитика» – инструмент, позволяющий отслеживать поведение пользователей на сайте. Установив теги JavaScript (библиотеки), владелец сайта сможет получать информацию о страницах, на которых побывал пользователь.

Чтобы запомнить, что пользователь делал на просмотренных ранее страницах или во время предыдущих посещений, библиотеки JavaScript Google Аналитики применяют файлы cookie HTTP.

См. также: Шремс: третий эпизод >>> 

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: