Evropský inspektor ochrany údajů sankcionuje Evropský parlament za nezákonné předávání údajů mezi EU a USA - mimo jiné za porušení předpisů
Evropský inspektor ochrany údajů (EDPS) vydal rozhodnutí na základě stížnosti podané společností noyb, která potvrzuje, že Evropský parlament porušil zákon o ochraně údajů na svých testovacích webových stránkách COVID. Evropský inspektor ochrany údajů zdůrazňuje, že používání nástroje Google Analytics a poskytovatele plateb Stripe (obě společnosti z USA) porušilo rozhodnutí Soudního dvora EU (SDEU)"Schrems II" o předávání údajů mezi EU a USA. Toto rozhodnutí je jedním z prvních rozhodnutí provádějících"Schrems II" v praxi a může ukázat cestu pro stovky dalších případů, které řeší regulační orgány.
Stížnost podána před rokem. V lednu 2021 podal noyb stížnost proti Evropskému parlamentu jménem šesti poslanců Evropského parlamentu kvůli interní webové stránce pro testování korunky. Jednalo se o klamavé bannery s cookies, nejasná a nejasná oznámení o ochraně údajů a nezákonné předávání údajů do USA. Evropský inspektor ochrany údajů záležitost prošetřil a udělil Parlamentu výtku za porušení "GDPR pro orgány EU" ("GDPR for EU institutions")Nařízení (EU) 2018/1725 platné pouze pro orgány EU).
Nezákonné předávání údajů do USA. V takzvané věci "Schrems II" Soudní dvůr EU jasně uvedl, že předávání osobních údajů z EU do USA podléhá velmi přísným podmínkám. Webové stránky se musí zdržet předávání osobních údajů do USA, pokud nelze zajistit odpovídající úroveň ochrany osobních údajů. Evropský inspektor ochrany údajů potvrdil, že webové stránky skutečně předaly údaje do USA, aniž by byla zajištěna odpovídající úroveň ochrany údajů, a zdůraznil:"Parlament nepředložil žádnou dokumentaci, důkazy ani jiné informace týkající se zavedených smluvních, technických nebo organizačních opatření, která by zajistila v zásadě rovnocennou úroveň ochrany osobních údajů předávaných do USA v souvislosti s používáním souborů cookie na internetových stránkách."
V srpnu 2020 noyb podal 101 stížností na společnosti z EU které na svých webových stránkách zahrnovaly funkce společností Google a Facebook. Po vytvoření "pracovní skupiny" příslušnými orgány pro ochranu údajů noyb brzy očekává rozhodnutí pro soukromé webové stránky, které se bude řídit rozhodnutím evropského inspektora ochrany údajů.
"Evropský inspektor ochrany údajů dal jasně najevo, že i umístění souboru cookie americkým poskytovatelem porušuje zákony EU o ochraně osobních údajů. Nebyla zavedena žádná řádná ochrana proti sledování ze strany USA, přestože evropští politici jsou známým cílem sledování. V příštích měsících očekáváme další podobná rozhodnutí týkající se využívání amerických poskytovatelů, protože se mají rozhodnout i další případy." Max Schrems, čestný předseda noyb.eu
Matoucí banner se soubory cookie. Stížnost rovněž vznesla, že bannery s cookies na stránkách jsou nejasné a klamavé. Například bannery neuváděly všechny soubory cookie a mezi jazykovými verzemi byly rozdíly. V důsledku toho uživatelé nemohli udělit platný souhlas. V průběhu šetření parlament všechny soubory cookie ze svých webových stránek odstranil. noyb v současné době pracuje na podobných stížnostech týkajících se bannerů se soubory cookie, což toto rozhodnutí podporuje.
Nejasné a irelevantní informace. Stížnost dále upozorňovala na to, že zásady ochrany osobních údajů nebyly jasné a transparentní, protože odkazovaly na testování COVID bruselského letiště nebo na nesprávný právní základ. Během šetření Parlament svou politiku změnil, ale částečně ji ještě zhoršil. noyb upozornil na různé nesrovnalosti v nové politice ochrany osobních údajů EP. Evropský inspektor ochrany údajů souhlasil s tím, že informace poskytnuté Parlamentem porušují povinnost transparentnosti, která je základním právním požadavkem podle zákona o ochraně údajů. Nakonec EIOÚ rovněž konstatoval, že Parlament na žádost stěžovatelů o přístup k údajům odpovídajícím způsobem neodpověděl.
Žádná pokuta, ale napomenutí a příkaz vyhovět. Evropský inspektor ochrany údajů udělil Parlamentu výtku za různá porušení právních předpisů Nařízení o ochraně údajů vztahující se na orgány EU. Na rozdíl od vnitrostátních orgánů pro ochranu údajů podle GDPR může evropský inspektor ochrany údajů udělit pokutu pouze za omezených okolností, které v tomto případě nebyly splněny. Kromě toho dal evropský inspektor ochrany údajů Parlamentu jeden měsíc na to, aby aktualizoval své oznámení o ochraně údajů a vyřešil zbývající problémy týkající se transparentnosti.
