Avrupa Birliği’nin baş veri koruma denetçisi, bloğun veri koruma kurallarının bir dizi ihlali nedeniyle Avrupa Parlamentosu’na yaptırım uyguladı.
Karar, bölgedeki sitelere ve hizmetlere, kişisel veri akışlarının ve aktarımlarının – herhangi bir üçüncü taraf sağlayıcının, eklentilerin veya diğer gömülü kod bitlerinin uygun şekilde incelenmesi de dahil olmak üzere – durum tespitinin gerekliliği konusunda yüksek sesli bir uyarı niteliğindedir. pahalı yasal yaptırım. Her ne kadar parlamento bu kez mali bir cezadan kurtulmuş olsa da.
Avrupa Veri Koruma Denetçisinin (EDPS) müdahalesi, Avrupa Parlamentosu’nun Eylül 2020’de Ecolog adlı bir üçüncü taraf sağlayıcı kullanarak başlattığı bir COVID-19 test rezervasyon web sitesiyle ilgilidir.
Web sitesi, Avrupa gizlilik kampanyası grubunun desteğiyle geçen yıl altı MEP tarafından sunulan bir dizi şikayeti çekti. noyb — şeffaflık ve veri erişimi sorunlarını da içeren bir dizi başka uyum sorununun yanı sıra üçüncü taraf izleyicilerin ve kafa karıştırıcı çerez onay afişlerinin varlığı üzerine.
Bir soruşturmanın ardından, EDPS bulundu Parlamento birkaç açıdan kusurluydu ve bir kınama yayınladı – bekleyen sorunların bir ay içinde düzeltilmesi emrini verdi.
Test rezervasyonu web sitesinin Google Analytics ve Stripe ile ilişkili çerezleri bıraktığı tespit edildi – ancak parlamento, Schrems’in dönüm noktası ışığında ABD’ye ilgili tüm kişisel veri aktarımlarının yeterince korunmasını sağlamak için herhangi bir özel önlem uyguladığını gösteremedi. AB üst mahkemesinin II kararı.
Temmuz 2020’de, ABAD, bloğun ABD ile yaptığı amiral gemisi veri aktarım anlaşmasını (diğer bir deyişle AB-ABD Gizlilik Kalkanı) iptal etti ve AB halkının kişisel verilerinin üçüncü ülkelere aktarımının bir davada risk değerlendirmesi yapılması gerektiğine dair ek rehberlik yayınladı. vaka bazında.
Karar ayrıca, AB düzenleyicilerinin, insanların bilgilerinin risk altında olduğuna inanırlarsa devreye girmeleri ve veri akışlarını askıya almaları gerektiğini de açıkça ortaya koydu. Bu nedenle, bazı aktarımların yasal olması için (AB-ABD veri akışları gibi) koruma düzeyini AB hukukuyla gerekli temel eşdeğerlik standardına yükseltmek için ek önlemler gerekebilir – Avrupa Veri Koruma Kurulu (EDPB) böyle bir şey. hakkında ayrıntılı kılavuz yayınladı beri.
Ancak – parlamentonun COVID-19 test rezervasyon sitesi durumunda – EDPS, kendisinin veya sağlayıcısının, Google Analytics ve Stripe çerezlerinin dahil edilmesinden kaynaklanan AB-ABD transferlerini korumak için bu tür ekstra önlemler uyguladığına dair hiçbir kanıt bulamadı.
Sağlayıcının Brüksel Uluslararası Havalimanı’ndaki bir test merkezi için kendi oluşturduğu başka bir web sitesinden kodu kopyalayıp yapıştırdığı ortaya çıktı – bu nedenle parlamento sitesinde ödeme şirketi Stripe için çerezlerin varlığı (web sitesi aracılığıyla rezerve edilen test için gerçekte herhangi bir ödeme gerekmemesine rağmen) ).
Bu arada, EDPS’nin bulgularına göre, Google Analytics çerezleri, görünüşe göre sağlayıcı tarafından “sahtecilik riskini en aza indirmek ve web sitesi optimizasyonu amacıyla” dahil edilmişti.
Schrems II’den sonra, ABD merkezli sağlayıcılara işlenmek üzere veri göndermek üzere tasarlanmış çerezlerin varlığı, AB merkezli web siteleri ve/veya müşterileri için acil yasal risk oluşturur (bu durumda EDPS tarafından parlamentonun tek yetkili olduğu tespit edilmiştir). veri kontrolörü, Ecolog ise veri işlemcisiydi). Bu nedenle, Google Analytics’i dahil etmek, sitenizin AB veri koruma yasasına uygunluğunu “optimize etmenin” tam tersini yapabilir.
Bununla birlikte, bu belirli uyum sorununun uygulanması, 2020 ABAD kararından bu yana bile yavaş bir yanık olmuştur – yalnızca düzenleyicilerin öncülük ettiği soruşturmaların bir kısmı ve en net liderliğin EDPS’nin kendisinden gelmesiyle.
Bu arada, Facebook’un AB-ABD veri aktarımlarına karşı, 2013 Snowden’in NSA’in sosyal ağları ve İnternet verilerini toplu gözetimi hakkındaki açıklamalarının ardından noyb kurucusu Max Schrems tarafından getirilen (çok) uzun süredir devam eden bir şikayet, hala nihai bir sonuçla sonuçlanmadı. önde gelen veri koruma denetçisi İrlanda Veri Koruma Komisyonu’nun (DPC) kararı – ikincisi aynı fikirde olmasına rağmen tam bir yıl önce şikayeti “hızlı bir şekilde” sonuçlandıracağını söyledi.
Yine de bu, EDPS’nin meclis şikayetine müdahalesini daha da önemli kılıyor. tl;dr: AB banhammer’ları yavaş yavaş düşüyor.
Parlamento aleyhindeki başka bir bulguda, EDPS, test rezervasyon web sitesini ziyaret edenlere gösterilen kafa karıştırıcı çerez onay bildirimleriyle ilgili sorunu ele aldı – bunun yanlış bilgi sağladığını tespit etti; üçüncü taraf takibini reddetmek için her zaman net seçenekler sunmadı; ve onayı manipüle edebilecek aldatıcı tasarım içeriyordu.
Buna karşılık, insanların verilerini işlemek için yasal bir temel olarak rızaya ilişkin AB hukuku, seçimin bilgilendirilmesi, spesifik (yani toplu değil, amaca yönelik) ve özgürce verilmesi gerektiğini açıkça gerektirmektedir.
Parlamentonun ayrıca, Avrupalılara kişisel verileriyle ilgili bir dizi erişim hakkı sağlayan ek yasal gereklilikler yasasını ihlal ederek, şikayetçilerin bilgi taleplerine yeterince yanıt vermediği de tespit edildi.
Parlamento, EDPS tarafından azarlanmak gibi utanç verici bir duruma düşmüş olsa da, düzenleyicinin bu ihlallerin tetiklemediğini söylediği mali cezalar vermek için yalnızca dar yetkileri olduğundan, para cezasından kaçındı.
Ancak bloğun baş veri koruma denetçisinin kusur bulguları, Adalet Divanı’nın Schrems II kararının ardından Google Analytics (veya aslında Facebook Sayfaları) gibi ABD tabanlı araçların rutin bölgesel kullanımı etrafında yeni kırmızı çizgiler çiziyor. Avrupa Birliği.
Standart analitik çağrılarıyla kodu kopyalayıp yapıştırmak, bir web sitesi oluşturucu için hızlı bir kazanç gibi görünebilir – ancak ziyaretçilerin bilgilerini korumaktan sorumlu kuruluş AB tabanlı yasal riski uygun şekilde değerlendiremezse değil.
Noyb tarafından Ağustos 2020’de blok genelindeki web sitelerini hedef alan benzer şikayetlerin puanları göz önüne alındığında, EDPS’nin parlamentoya yönelik kınaması, AB düzenleyicileri tarafından uyumlu bir karar dalgasını önceden şekillendirmesi muhtemel göründüğü için daha geniş bir öneme sahip.
Noyb’ın onursal başkanı Max Schrems TechCrunch’a “Bu konuyla ilgili önümüzdeki ay daha fazla karar bekliyoruz” dedi. “EDPS’nin net bir pozisyon alması, diğer DPA’lar için iyiye işarettir.”
EDPS’nin kafa karıştırıcı çerez banner’ları nedeniyle parlamentoya verdiği yaptırım, aynı zamanda, AB’de kafa karıştırıcı karanlık kalıpların hala utanç verici bir şekilde yaygın olmasına rağmen, kullanıcıların izleme için onayını alma konusunda neyin kabul edilebilir olduğu ve neyin olmadığı konusunda güçlü bir sinyal gönderiyor.
(Bunun özellikle ironik bir örneği için bkz. analist Forrester’ın blog yazısı – düzenleyicilerin “karanlık kalıplar” için geldikleri konusunda uyarır, analistin kendi web sayfası uyumsuz bir tanımlama bilgisi bildirimi gibi görünen bir şey sunsa bile, tek bariz düğmenin “Çerezleri kabul et” yazdığı ve alt menüler aracılığıyla birden çok tıklama aldığı göz önüne alındığında izleme çerezlerini reddetme seçeneği bulmak için, yani…)
noyb ayrıca geçen yıl bu tür çerez uyumsuzluğunu hedefleyen büyük bir çabayı başlattı – bunun AB düzenleyicilerine şüpheli çerez afişleri hakkında 10.000’e kadar şikayette bulunmasına yol açabileceğini öne sürdü.
Bölgesel düzenleyiciler, bu kadar çok ihlali temizlemek için çalışmalarını açıkça durduracaklar – bu da DPA’ları gerekli değişim ölçeğini yönlendirmek için yaptırımları standartlaştırma konusunda koordine etmeye teşvik edebilir.
EDPS kararı, AB yasa koyucularına veri koruma yasasını nasıl yorumlayacakları ve uygulayacakları konusunda uzman rehberliği sağlamaktan sorumlu kuruluştan, kafa karıştırıcı çerez afişlerinin uyumlu olmayan çerez afişleriyle aynı olduğuna dair net bir sinyal göndererek yüksek düzeyde hızlandırıcı ekler.
İşte kararının açıklayıcı bir pasajı – bu, şikayetler sırasında çerez bildirimlerini ayrıştırmaya çalışırken meclis web sitesine gelen ziyaretçilerin başına gelen kafa karışıklığının bir kısmını açıklar (izleme çerezleri siteden kaldırılmıştır):
“İngilizce sürüm yalnızca temel çerezlere atıfta bulundu ve kullanıcıdan ‘tümünü kabul et’ veya ‘kaydet’ düğmesini tıklamasını istedi. İki düğme arasındaki fark belirsizdi. Çerez başlığının ikinci katmanının Fransızca versiyonu, hem temel çerezlere hem de ‘harici medyaya’ atıfta bulunmuştur. Bu harici medya tanımlama bilgileri, Facebook, Google Haritalar, Instagram, OpenStreetMap, Twitter, Vimeo ve Youtube’dan gelen tanımlama bilgilerini içeriyordu. Ziyaretçi ayrıca ‘tümünü kabul et’ veya ‘kaydet’ arasında seçim yapabilir. Çerez başlığının ikinci katmanının Almanca versiyonu, temel çereze ek olarak yalnızca bir ‘harici medya’ çerezine (Google Haritalar) atıfta bulundu.”
EDPS’nin vardığı sonuç, her üç dilde de çerez banner’larının AB rıza standardını karşılamadığıydı.
Şu anda bölgede ortaya çıkan çerez (çerez) uyumsuzluğu hesabının bir başka işareti olarak, bazı AB düzenleyicileri fiilen harekete geçiyorlar – örneğin geçen hafta Google ve Facebook’a büyük bir tokat atarak 170 milyon dolarlık para cezası açıklayan Fransa’nın CNIL’i gibi ve tanımlama bilgisi izin akışlarında net seçimler yerine koyu desen tasarımını seçmek için sırasıyla 68 milyon dolar.
DPA’ların Genel Veri Koruma Yönetmeliği gibi pan-AB kurallarını uygulamasını destekleyen EDPB, çerez konusunda bir görev gücü oluşturdu. Geçen sonbaharda – noyb, “çerez afişleriyle ilgili şikayetlere verilen yanıtı koordine edeceğini” söyleyerek bir dizi bölgesel ajansa başvurmuştu.
Schrems, bu adımı “iyi” bir gelişme olarak nitelendiriyor – ancak aynı zamanda işleri yavaşlattığını da söyledi.
Seyahat yönünün, izleme için basit bir evet/hayır gerektirecek bir standarda doğru olduğunu öne sürmesine rağmen. (Ne kadar az kişinin reklamlar tarafından takip edilmekten hoşlandığı göz önüne alındığında, bu durum elbette çoğu durumda kesin bir “hayır” anlamına gelir – bu nedenle Birleşik Krallık DPA’nın adtech’e izlemenin sonunun yakın olduğuna dair son uyarısı.)
Schrems, “CNIL ve EDPS kararları, adil ‘evet veya hayır’ seçeneklerine geçmemiz gerektiği yönündeki görüşümüzü destekliyor” dedi. Diğer yetkililerin de bu yolu izlemesini bekliyoruz” dedi.
Facebook’un AB-ABD transferleriyle ilgili eski veri akışları şikayeti ne olacak? İrlanda’nın söz konusu şikayet için vaat edilen “hızlı” çözümüne dair herhangi bir işaret var mı – bu, Facebook’un yıllar önce veri akışını askıya alması için bir DPA emrine yol açmalıydı? Ancak şimdiye kadar yalnızca Eylül 2020’de Facebook’un transferleri askıya aldığı bir ön siparişe yol açtı.
“Her zaman her kararın herhangi bir gün geleceğini söylüyorlar – bu söylentileri takip etmeyi bıraktım ama şu anda bununla ilgili bir söylenti var…” dedi Schrems, DPC’de, metnini bir göz kırpma emojisi ile sonlandırdı.