Репост от Алексея Мунтяна:
Датский надзорный орган в сфере персональных данных (Datatilsynet) 11.02.2020 опубликовал информацию о своем решении (https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/feb/dmis-behandling-af-personoplysninger-om-hjemmesidebesoegende/) в отношении жалобы пользователя сайта Датского Метеорологического Института (DMI) на неправомерную обработку его персональных данных в рекламных целях. Позиция датского надзорного органа во многом совпадает с другими европейскими DPA, но есть и особенности:
1. Опираясь на решения CJEU по делам Wirtschaftsakademie и Fashion ID, Datatilsynet пришел к выводу, что оператора веб-сайта (DMI) вместе с Google следует рассматривать как совместных контроллеров, но только в отношении сбора и раскрытия данных посетителей веб-сайта DMI, а вот любая последующая обработка данных, включая профилирование, Google уже осуществляет без влияния DMI - как самостоятельный контроллер.
2. Datatilsynet подверг критике cookie-баннер DMI, в котором пользователю предлагается только две опции: нажать «ОК», тем самым дав согласие на сбор файлов cookie как для статистических, так и для маркетинговых целей, или «Показать подробности», дав отдельное согласие на каждую из категорий файлов cookie. Такие опции не отвечают требованиям прозрачности и гранулярности согласия (пользователя косвенно подталкивают к даче согласия на использование всех файлов cookie), так как пользователь фактически лишен возможности дать отдельное согласие при первоначальном взаимодействии с cookie-баннером. Иначе говоря, возможность воздержаться от предоставления согласия на обработку персональных данных в cookie-баннере DMI не имеет такого же коммуникационного эффекта, как возможность дать согласие.
3. Было указано, что субъекты данных должны быть в простой и легко понятной форме осведомлены о контроллерах и целях обработки файлов cookie. Так, в описании маркетинговых файлов cookie кратко описывается их поставщик (DoubleClick) и нет достаточно четкой информации о том, что для таких файлов совместными контроллерами являются Google и DMI. Вместо этого пользователям предоставлялись часто непонятные или избыточные для них сведения о веб-сайтах, псевдонимах или названиях продуктов, используемых контроллером.
17.02.2020 Datatilsynet выпустил свои рекомендации (https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/feb/nye-retningslinjer-om-behandling-af-personoplysninger-om-hjemmesidebesoegende/) по обработке персональных данных пользователей веб-сайтов.
Датский надзорный орган в сфере персональных данных (Datatilsynet) 11.02.2020 опубликовал информацию о своем решении (https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/feb/dmis-behandling-af-personoplysninger-om-hjemmesidebesoegende/) в отношении жалобы пользователя сайта Датского Метеорологического Института (DMI) на неправомерную обработку его персональных данных в рекламных целях. Позиция датского надзорного органа во многом совпадает с другими европейскими DPA, но есть и особенности:
1. Опираясь на решения CJEU по делам Wirtschaftsakademie и Fashion ID, Datatilsynet пришел к выводу, что оператора веб-сайта (DMI) вместе с Google следует рассматривать как совместных контроллеров, но только в отношении сбора и раскрытия данных посетителей веб-сайта DMI, а вот любая последующая обработка данных, включая профилирование, Google уже осуществляет без влияния DMI - как самостоятельный контроллер.
2. Datatilsynet подверг критике cookie-баннер DMI, в котором пользователю предлагается только две опции: нажать «ОК», тем самым дав согласие на сбор файлов cookie как для статистических, так и для маркетинговых целей, или «Показать подробности», дав отдельное согласие на каждую из категорий файлов cookie. Такие опции не отвечают требованиям прозрачности и гранулярности согласия (пользователя косвенно подталкивают к даче согласия на использование всех файлов cookie), так как пользователь фактически лишен возможности дать отдельное согласие при первоначальном взаимодействии с cookie-баннером. Иначе говоря, возможность воздержаться от предоставления согласия на обработку персональных данных в cookie-баннере DMI не имеет такого же коммуникационного эффекта, как возможность дать согласие.
3. Было указано, что субъекты данных должны быть в простой и легко понятной форме осведомлены о контроллерах и целях обработки файлов cookie. Так, в описании маркетинговых файлов cookie кратко описывается их поставщик (DoubleClick) и нет достаточно четкой информации о том, что для таких файлов совместными контроллерами являются Google и DMI. Вместо этого пользователям предоставлялись часто непонятные или избыточные для них сведения о веб-сайтах, псевдонимах или названиях продуктов, используемых контроллером.
17.02.2020 Datatilsynet выпустил свои рекомендации (https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/feb/nye-retningslinjer-om-behandling-af-personoplysninger-om-hjemmesidebesoegende/) по обработке персональных данных пользователей веб-сайтов.