Данная статья описывает последние новости, связанные с регулированием защиты данных в Европе и основные обновления Европейского общего регламента о защите данных.
1. Суд Европейского Союза постановил, что согласие на использование файлов cookie должно быть активным и явным.
Суд Европейского Союза (CJEU) вынес решение по делу, которое касалось использования компаниями файлов cookie в соответствии с Европейским общим регламентом о защите данных (GDPR) и Директивой об электронной конфиденциальности.
Эти нормативные документы являются основными законодательными проектами, которые отвечают за регулирование защиты данных в Европейском Союзе. CJEU постановил, что предварительно помеченное заявление о согласии пользователей на файлы cookie не считается надлежащим механизмом согласия в рамках GDPR и что согласие пользователей на файлы cookie на их устройстве должно быть активным и явным. CJEU также пояснил, что в соответствии с Директивой ePrivacy требуется явное согласие, даже если файлы cookie не собирают и не обрабатывают личную информацию пользователей. Он также постановил, что пользователи должны быть уведомлены о продолжительности хранения файлов cookie на устройстве и о том, будет ли их информация передаваться третьим лицам. Соответственно, всем компаниям, которые используют файлов cookie, необходимо придерживаться обновленным правилам регулирования согласно требованиям GDPR и получить согласие от пользователей ЕС перед обработкой их персональных данных.
2. Управление по защите конфиденциальности в Испании налагает штраф за нарушение практики согласия на использование файлов cookie. Управление по защите конфиденциальности в Испании наложило на авиакомпанию Vueling штраф в размере 18 000 евро за нарушение GDPR и испанского закона об электронной конфиденциальности.
Компания сообщила пользователям своего веб-сайта о файлах cookie, используя информацию, опубликованную на баннере. На баннере указывалось, что, продолжая просматривать сайт, пользователи соглашаются на использование файлов cookie. Политика конфиденциальности компании уведомляла пользователей о том, что они могут заблокировать использование файлов cookie через настройки своего браузера. Управление по защите конфиденциальности в Испании обнаружило, что практика явного согласия вместо явного согласия идет вразрез с GDPR. Также было установлено, что компания должна была применить механизм согласия, позволяющий пользователям выбирать тип файлов cookie, с которыми они хотят согласиться. Если Вам требуется помощь по составлению правил, согласно нормам GDPR, Вы можете записаться на консультирование по соблюдению правил GDPR в компании IncFine.
3. Совет Европейского Союза (CEU) опубликовал проект предлагаемого Регламента ePrivacy.
Регламент призван заменить Директиву ePrivacy. Он будет иметь экстерриториальный охват и будет применяться к защите информации, собираемой с оборудования конечных пользователей (например, посредством использования файлов cookie), и к передаче сообщений прямого маркетинга конечным пользователям, которые находятся в ЕС.
Регламент налагает согласие и обязательства по уведомлению на компании, которые используют cookie для сбора информации о конечных пользователях в ЕС. Это также потребует от компаний обеспечения совместимости обработки данных с целью, для которой они были первоначально собраны, реализации определенных мер защиты (таких как анонимность данных), перед их передачей третьим сторонам, и т.д. Следовательно, для соответствия требованиям GDPR компаниям необходимо тщательно изучить условия, чтобы не упустить ни одного пункта. Стоит учитывать, что штрафы, которые налагаются за нарушение таких требований могут достигать нескольких миллионов евро и сильно ударить по экономическому состоянию предприятий.
4. EDPS расследует Microsoft за нарушения GDPR.
Ранее в этом году Европейский супервизор по защите данных (EDPS) начал расследование использования продуктов и услуг Microsoft учреждениями ЕС.
Хотя расследование все еще продолжается, в этом месяце EDPS опубликовали заявление, в котором говорится, что предварительные результаты свидетельствуют о серьезной обеспокоенности по поводу соответствия соответствующих договорных условий правилам защиты данных и роли Microsoft в качестве процессора для учреждений ЕС. EDPS призвали обсудить создание стандартных контрактов, которые заменят условия, предоставляемые крупными поставщиками ИТ-услуг, такими как Microsoft, и обеспечат соответствие этих аутсорсинговых услуг требованиям GDPR.
5. Апелляционный суд Великобритании одобрил групповой иск против Google за тайное отслеживание пользователей Safari.
Коллективный иск против Google в Великобритании выдвинут на том основании, что интернет-гигант тайно отслеживал пользователей, используя исключение в браузере Apple Safari, позволяя ему собирать значительные объемы информации пользователей Safari без их ведома или согласия.
В иске утверждается, что Google продал эту информацию рекламодателям, чтобы предоставить пользователям прямую рекламу.
Организатором иска против Гугл стал Ричард Ллойд, который был директором компании, занимающейся исследованиями потребительского рынка. Ричард Ллойд учредил организацию "Google You Owe Us" ("Гугл, Вы должны нам") от имени которой выступает в суде.
Истец утверждал, что при этом Google нарушил Закон о защите данных Великобритании 1998 года (который был заменен ВВПР в 2018 году). Хотя нижестоящий суд отклонил групповой иск в связи с отсутствием причиненного ущерба, Апелляционный суд отменил это решение и утвердил групповой иск.
Консультация по соблюдению правил GDPR от сотрудников компании IncFine поможет более детально разобраться в этой теме. Наши эксперты окажут необходимую помощь по составлению правил согласно требованиям GDPR.