»

Evropska komisija je z uporabo Microsoft 365 kršila uredbo o osebnih podatkih

Slo-Tech - Evropski nadzornik za varstvo podatkov (EDPS) je sklenil preiskavo, ki jo je začel maja 2021. V njej je ugotovil, da je Evropska komisija z uporabo rešitve v oblaku Microsoft 365 kršila evropsko zakonodajo o varstvu podatkov. Evropska komisija je kršila uredbo 2018/1725 (o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov), zlasti vzpostavitev ustreznih mehanizmov za zaščito pri prenosu izven EU. Prav tako Komisija v pogodbi z Microsoftom ni ustrezno določila, katere osebne podatke bo zbirala in s katerim namenom. Komisija je nezakonito prenašala in obdelovala osebne podatke.

Evropski nadzornik Wojciech Wiewiórowski je dejal, "da imajo vse evropske inštitucije, pisarne, agencije in druga telesa odgovornost, da zagotovijo varno obdelovanje osebnih podatkov na območju Unije in v tujini, za kar morajo vzpostaviti ustrezne varovalke in uvesti ukrepe. To je ključno za zagotavljanje zaščite osebni...

11 komentarjev

EU in ZDA blizu novega dogovora o iznosu osebnih podatkov

Slo-Tech - Evropska unija in ZDA sta danes sporočili, da sta dosegli načelen dogovor, ki bo ponovno vzpostavil tok osebnih podatkov Evropejcev čez Lužo. To je že tretji poizkus, potem ko je prva dva sodišče razveljavilo, ker nista nudila zadostnih garancij za varno in namensko obdelavo podatkov v tujini. Leta 2015 je Sodišče Evropske unije razveljavilo dogovor o varnem pristanu med ZDA in Evropo, saj je Komisija z njegovo sklenitvijo brez varovalk prekoračila pooblastila. Pet let pozneje je sodišče za nov dogovor odločilo enako. Glavna težava je, da imajo v ZDA vsem zagotovilom podjetij navkljub dostop do podatkov tudi tajne in obveščevalne službe, ki ne potrebujejo sodnih odredb.

Zamisel dogovora je preprosta. V Evropski uniji osebne podatke varuje stroga zakonodaja, zato jih podjetja ne smejo iznašati v tujino, kjer bi jih lahko obdelovala po milejši zakonodaji. Zato je treba pred vsakim iznosom dokazati, da bodo podatki varovani enako kot v EU. Ker je za vsak iznos posebej to zamudno in...

12 komentarjev

Google Analytics v Franciji

Slo-Tech - Podobno kot avstrijski pooblaščenec (DSB) prejšnji mesec je zdaj tudi Francoska Komisija za informatiko in svoboščine (CNIL) ugotovila, da je raba priljubljenega orodja za merjenje obiskanosti spletnih strani Google Analytics nezakonita, ker se pri tem nedovoljeno prenaša osebne podatke evropskih uporabnikov spletne strani v ZDA.

Prenos osebnih podatkov v ZDA ni dovoljen, od kar je Sodišče Evropske unije julija 2020 razveljavilo čezoceanski dogovor o prenosih osebnih podatkov Privacy Shield, v zdajh že dobro znani sodbi Schrems II. Sodišče je namreč ocenilo, da je tveganje, da bodo do osebnih podatkov po njihovem prenosu v ZDA dostopale tamkajšnje obveščevalne službe, tako veliko, da takšen prenos ne more več biti dopusten. Osebne podatke Evropejcev je v skladu s 44. členom Splošne uredbe o varstvu podatkov (GDPR) namreč dovoljeno prenašati le v tiste države, ki zagotavljajo vsaj primerljivo raven varstva kot EU.

CNIL je v svoji izjavi za javnost zapisala, da je Google sicer...

25 komentarjev

Lepi fonti so nezakoniti samo v Nemčiji

Slo-Tech - Pred dobrim tednom je Deželno sodišče v Muenchnu ugotovilo, da so Google Fonti problem.

Kot se izkaže, Splošna uredba o varstvu podatkov (GDPR) zelo posega na področje delovanja spleta. Bolj kot večina navadnih uporabnikov razume in bolj kot si je večina strokovnjakov pripravljena priznati.

Splošna uredba ureja obdelave osebnih podatkov. Ob upoštevanju, da je IP naslov osebni podatek, je pravzaprav vse, kar internet dela, ena velika obdelava osebnih podatkov. Imetniki spletnih strežnikov so z vidika Splošne uredbe upravljavci osebnih podatkov. In za upravljavce veljajo pravila!

Eno od pravil je, da je treba imeti za vsako obdelavo ustrezno pravno podlago. In ker je uporaba česarkoli na internetu obdelava osebnih poatkov, je treba res paziti na to, kako izdelate vašo spletno stran. Ustrezne pravne podlage so na primer soglasje (a bi kdo piškotke?) ali pa legitimni interes. Ostale podlage (npr. pogodba) bodo prišle v poštev redkeje.

Spletna stran v konkretnem nemškem primeru je...

54 komentarjev

Avstrijski informacijski pooblaščenec: Google Analytics ni v skladu z GDPR

Slo-Tech - Avstrijski informacijski pooblaščenec (DSB) je ugotovil (odločba v izvirniku), da uporaba Google Analytics krši Splošno uredbo (GDPR). Konkretno gre za kršitev 44. člena, ki ureja splošna načela za prenose v tretje države ali mednarodne organizacije ter jih dovoljuje le, če tudi tam obdelovalec spoštuje GDPR.

Geneza primera sega v julij 2020, ko je Sodišče EU razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu za izvoz osebnih podatkov v ZDA ter trditve Komisije, da je stopnja zaščite osebnih podatkov v ZDA primerljiva z evropsko. Ker je sodišče ugotovilo da, splošnih odpustkov ni in bi to moral posebej dokazovati vsak upravljavec osebnih podatkov za svoj primer. Razveljavitev Privacy Shielda, podobno kot razveljavitev Safe Harborja iz leta 2015, pa ima posledice na vse, ki se ukvarjajo z osebnimi podatki izven meja ZDA. A velikani, kot je Google, so nadaljevali dotedanje prakse, saj so v svoje pogoje uporabe in pogodbe dodali le nekaj vrstic besedila in s tem...

8 komentarjev

Google ponudil alternativo za mikroplačila: izpolnjevanje kratkih anket

Izpolnjena anketa stane 10 centov. Google pravi, da je tam 10x manj kot z najemom tržno-raziskovalne hiše.

vir: Google
Google - Plačevanje za spletne vsebine je ta hip eden večjih problemov, ki pretresajo časopisno industrijo. Za razliko od papirja so vsebine na spletu tipično brezplačne, uporabniki pa so tega navajeni, tako da bodo raje šli drugam, kakor investirali v plačilo po članku ali mesečno naročnino (paywall, ala nytimes ali piano), oziroma vsaj tako se zdi. Kot eno od rešitev se že dlje časa omenjajo mikroplačila, vendar se ta niso nikoli zares prijela.

Google je medtem mnenja, da lahko zaradi ogromne baze podatkov o spletnih uporabnikih ponudi konkretno in ekonomsko vzdržno alternativo - plačevanje spletnih vsebin z izpolnjevanjem kratkih spletnih anket, povezanih s pravkar gledano vsebino. Ankete dobavijo in plačajo zunanji naročniki, prej oglaševalci, zdaj podjetja, željna tržnih raziskav.

"Surveywall", kot se storitvi "Google...

3 komentarji

Francija in Komisija: Googlova nova politika zasebnosti krši evropsko zakonodajo

Slo-Tech - Začela je veljati Googlova nova politika o zasebnosti, ki združuje osebne podatke prijavljenih uporabnikov z Googlovim računom prek vseh storitev (Gmail, Google, YouTube, Calendar ...). Napovedali so jo že januarja in že tedaj je dvignila veliko prahu, saj ima Google ogromno bazo podatkov o svojih uporabnikih. Konsolidacija prek vseh storitev jo bo še povečala in povečala njeno uporabnost vrednost, kar marsikomu ni všeč. Tako imajo resne pomisleke tudi evropski in ameriški varuhi zasebnosti. V ZDA je tožbo zoper Google zaradi nove politike vložil EPIC, saj naj bi kršili določila poravnave z Zvezno komisijo za trgovino v primeru Buzz, medtem ko so v Evropi glasovi proti močnejši in prihajajo tudi iz vrst...

18 komentarjev

Po mnenju nemških vladnih uradnikov je uporaba Google Analytics v Nemčiji lahko nezakonita

TechCrunch - Kot poročajo pri TechCrunch, so nemški vladnih uradniki, ki skrbijo za varstvo osebnih podatkov mnenja, da je početje Google Analyticsa v Nemčiji nezakonito, saj gre za zbiranje osebnih podatkov (predvsem brskalnih navad posameznikov) brez privolitve oz. ustrezne zakonske podlage.

Posebej zaskrbljeni so zaradi zbiranja podatkov na spletnih straneh povezanih z zdravjem. Zagovorniki uporabe Google Analyticsa (po nekaterih ocenah v Nemčiji to storitev uporablja okrog 13% spletnih strani na domeni .de), so mnenja, da tovrstno zbiranje osebnih podatkov ni sporno, saj imajo uporabniki možnost Googlove spletne piškotke zavrniti.

Vendar pa ta argumentacija morda ne bo vzdržala, saj je Evropska unija v začetku novembra pripravila novo direktivo s katero bodo za določene spletne piškotke uvedli načelo opt-in (in ne tim. opt-out, kot je to sedaj).

To pomeni, da bo uporabnik moral za namestitev (oz. sprejem) spletnega piškotka dati izrecno in informirano soglasje (ni torej dovolj, da ima...

49 komentarjev