Нарушаване на регламента GDPR коства глоба на Европейската комисия(снимка: CC0

Нарушаване на регламента GDPR коства санкция на Европейската комисия
(снимка: CC0 Public Domain)

За първи път Европейската комисия наруши личните си правила при прекачване на информация и ще заплати 400 евро за нарушаване на Общия правилник за отбрана на данните (GDPR). Инцидентът е обвързван с регистрация на консуматор за конференция на уеб страницата на Европейския съюз посредством функционалността „ Вход с Фейсбук ”.

Общият съд на Европейски Съюз подреди на Европейската комисия да заплати обезщетение на немски жител за нарушение на правото му на отбрана на персоналните данни, излиза наяве от правосъдно решение, оповестено на уеб страницата на институцията.

Нарушението

Според Европейския съд, ищецът се е оплакал от нарушавания, до момента в който е посещавал уеб страницата и се е записал за една от конференциите през 2021-2022 година След като се записал през EU Login с алтернатива за влизане през Фейсбук, той показал, че персоналните му данни, в частност неговият IP адрес, информация за браузъра и терминала са трансферирани на фирмите Amazon Web Services (AWS) и Meta, която има обществената мрежа Фейсбук.

Ищецът твърди, че Съединените щати, където са били трансферирани данните му, нямат съответно равнище на отбрана. Това основава риск от достъп до персоналната му информация на американските служби за сигурност и разузнаване.

В жалбата се показва също, че Европейската комисия не е предоставила подобаващи гаранции, които биха могли да оправдаят прехвърлянето на данни.

Ролята на Европейската комисия

Комисията е най-висшият изпълнителен орган (правителство) на Европейския съюз. Състои се от 28 членове, по един от всяка страна-членка. При практикуване на пълномощията си те са самостоятелни, работят единствено в полза на Европейски Съюз и нямат право да правят други действия. Държавите-членки нямат право да въздействат на членовете на Европейската комисия.

Комисията играе централна роля в обезпечаването на ежедневните действия на Европейски Съюз, ориентирани към използване на главните контракти. Тя предлага законодателни начинания и след утвърждение следи за тяхното осъществяване. В случай на нарушаване на правото на Европейски Съюз, Комисията може да прибегне до наказания, в това число обжалване пред Съда на Европейските общности.

Органът има обилни самостоятелни пълномощия в разнообразни области, в това число селско стопанство, търговия, конкуренция, превоз, районни и други. Комисията разполага с изпълнителен офис и също по този начин ръководи бюджета и разнообразни фондове и стратегии на Европейския съюз.

Претенциите на ищеца и решението на съда

Ищецът е изискал от съда да наложи няколко наказания: 400 евро обезщетение за неимуществени вреди, дължащи се на прекачване на данни; отменяне на прехвърлянето на данни; и още 800 евро обезщетение за морални вреди, заради нарушаване на правото на достъп до информация.

Съдът отхвърля последните две претенции. В решението се показва, че Европейската комисия има контракт с AWS за запазване на данни в Европа.

Личните данни по GDPR са всяка информация, която се отнася до физическо лице и която може да се употребява за идентифициране на притежателя директно или непряко. Всъщност това е всякаква информация за обещано лице: име, фотография, имейл адрес, банкови данни, изявления в обществени медии, здравна информация, IP адрес, аналитични кодове и други.

Но съдът открива, че с хипервръзката „ Вход с Фейсбук ” Европейската комисия е основала условия за прекачване на неговия IP адрес на американската компания Meta. Няма обаче решение на Европейската комисия, че Съединени американски щати са обезпечили съответно равнище на отбрана на персоналните данни на жителите на Европейски Съюз.

Според решението на съда, Европейската комисия не е спазила изискванията, избрани в законодателството на Европейски Съюз по отношение на предаването на персонални данни на трета страна. Съдът постановява, че Европейската комисия е направила задоволително съществено нарушаване и се съгласява с санкция от 400 евро.

Говорител на Европейската комисия сподели, че висшият изпълнителен орган на Европейски Съюз е взел под внимание решението на съда и ще прегледа деликатно последствията.

Регламентът на Европейски Съюз за отбрана на данните

На 25 май 2018 година в Европа влязоха в действие нови правила за обработка на персонални данни, избрани от регламента на Европейски Съюз за отбрана на данните, наименуван GDPR. Тази регулация визира всички компании, които работят с данни на поданици на Европейски Съюз, даже в случай че компанията не е записана в европейска страна.

Новият правилник дава на европейците принадлежности за цялостен надзор на персоналните им данни. Те имат право да получават тези данни, да ги поправят, изтриват и лимитират достъпа до тях. Ако даден бизнес събира персонални данни по някакъв метод, той би трябвало да получи категорично позволение от потребителите за това. За нарушаване на разпоредбите за обработка на персонални данни по GDPR са планувани санкции до 20 милиона евро или 4% от годишния световен приход на компанията.

Новите правила изискват компаниите да получат категорично единодушие от потребителите за обработка на персонални данни. Ръководството на компанията също би трябвало да приготви ясна политика за дискретност с подробна информация и изложение на това къде се съхраняват потребителските данни и по какъв начин се обработват. Политиката би трябвало да показва правото на потребителя да отдръпна единодушието си за потребление на персонални данни.

Клаузата „ Предоставяне на клиентите право на достъп до техните данни ” значи, че бизнесът би трябвало да обезпечи на клиентите опция да получат копие от техните данни в четима форма. Ако потребителите ги помолят да им дадат тези данни, ИТ експертите са длъжни да дават съхранената информация.

По искане на потребителя услугата или платформата би трябвало да изтрие данните на купувача. Ако покупател изиска от ИТ отдела да изтрие поръчката му, съгласно новите правила той е задължен да го направи.

Съгласно разпоредбите, фирмите в Европейски Съюз са длъжни да уведомяват регулаторите и потребителите за всевъзможни нарушавания или приключване на персонални данни. Такова съобщение би трябвало да бъде изпратено в границите на 72 часа от откриването на случая с данните.