Το EDPS κυρώνει το Κοινοβούλιο για τις μεταφορές δεδομένων ΕΕ-ΗΠΑ στην Google και στο Stripe

Ιαν 11, 2022

Ο ΕΕΠΔ κυρώνει το Ευρωπαϊκό Κοινοβούλιο για παράνομες διαβιβάσεις δεδομένων ΕΕ-ΗΠΑ - μεταξύ άλλων παραβιάσεων

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) εξέδωσε απόφαση μετά από καταγγελία που κατέθεσε η noyb επιβεβαιώνοντας ότι το Ευρωπαϊκό Κοινοβούλιο παραβίασε τη νομοθεσία περί προστασίας δεδομένων στον ιστότοπό του για τεστ COVID. Ο ΕΕΠΔ υπογραμμίζει ότι η χρήση του Google Analytics και του παρόχου πληρωμών Stripe (και οι δύο εταιρείες των ΗΠΑ) παραβίασε την απόφαση του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων (ΔΕΕ) " Schrems II " σχετικά με τις μεταφορές δεδομένων ΕΕ-ΗΠΑ. Η απόφαση είναι μία από τις πρώτες αποφάσεις που εφαρμόζουν το " Schrems II " επί τόπου και μπορεί να δείξει το δρόμο για εκατοντάδες άλλες υποθέσεις που εκκρεμούν ενώπιον των ρυθμιστικών αρχών.

Καταγγελία που υποβλήθηκε πριν από ένα χρόνο. Τον Ιανουάριο του 2021, η noyb υπέβαλε καταγγελία κατά του Ευρωπαϊκού Κοινοβουλίου εξ ονόματος έξι βουλευτών του Ευρωπαϊκού Κοινοβουλίου σχετικά με έναν εσωτερικό ιστότοπο για τεστ κορωνοϊού. Τα ζητήματα που τέθηκαν ήταν παραπλανητικά banner cookie, ασαφείς και ασαφείς ειδοποιήσεις προστασίας δεδομένων και η παράνομη μεταφορά δεδομένων στις ΗΠΑ. Ο ΕΕΠΔ ερεύνησε το θέμα και εξέδωσε επίπληξη στο Κοινοβούλιο για παραβίαση του «ΓΚΠΔ για τα θεσμικά όργανα της ΕΕ» ( Κανονισμός (ΕΕ) 2018/1725 που ισχύει μόνο για τα θεσμικά όργανα της ΕΕ).

Παράνομες μεταφορές δεδομένων στις ΗΠΑ. Στην αποκαλούμενη υπόθεση «Schrems II », το ΔΕΕ κατέστησε σαφές ότι η μεταφορά προσωπικών δεδομένων από την ΕΕ στις ΗΠΑ υπόκειται σε πολύ αυστηρούς όρους. Οι ιστότοποι πρέπει να απέχουν από τη μεταφορά προσωπικών δεδομένων στις ΗΠΑ όπου δεν μπορεί να εξασφαλιστεί επαρκές επίπεδο προστασίας για τα προσωπικά δεδομένα. Ο ΕΕΠΔ επιβεβαίωσε ότι ο ιστότοπος διαβίβασε πραγματικά δεδομένα στις ΗΠΑ χωρίς να διασφαλίσει επαρκές επίπεδο προστασίας για τα δεδομένα και τόνισε: «Το Κοινοβούλιο δεν παρείχε τεκμηρίωση, αποδεικτικά στοιχεία ή άλλες πληροφορίες σχετικά με τα ισχύοντα συμβατικά, τεχνικά ή οργανωτικά μέτρα που να διασφαλίζουν ουσιαστικά ισοδύναμο επίπεδο προστασίας των προσωπικών δεδομένων που μεταφέρονται στις ΗΠΑ στο πλαίσιο της χρήσης cookies στον ιστότοπο ."

Τον Αύγουστο του 2020 Η noyb έχει υποβάλει 101 καταγγελίες κατά εταιρειών της ΕΕ που περιλάμβαναν λειτουργίες της Google και του Facebook στους ιστότοπούς τους. Μετά τη συγκρότηση μιας «task force» από τις αρμόδιες αρχές προστασίας δεδομένων, η noyb αναμένει σύντομα την έκδοση απόφασης για ιδιωτικούς ιστότοπους ακολουθώντας την απόφαση του ΕΕΠΔ.

«Ο ΕΕΠΔ κατέστησε σαφές ότι ακόμη και η τοποθέτηση cookie από πάροχο των ΗΠΑ παραβιάζει τη νομοθεσία της ΕΕ περί απορρήτου. Δεν υπήρχαν κατάλληλα μέτρα προστασίας κατά της επιτήρησης των ΗΠΑ, παρά το γεγονός ότι οι Ευρωπαίοι πολιτικοί είναι γνωστός στόχος παρακολούθησης. Αναμένουμε περισσότερες τέτοιες αποφάσεις σχετικά με τη χρήση παρόχων των ΗΠΑ τους επόμενους μήνες, καθώς και άλλες περιπτώσεις αναμένεται να ληφθούν απόφαση». Max Schrems, Επίτιμος Πρόεδρος του noyb.eu

Μπερδεμένο πανό cookie. ο   Η καταγγελία έθεσε επίσης αυτό   Τα banner cookie του ιστότοπου ήταν ασαφή και παραπλανητικά. Για παράδειγμα, δεν καταγράφηκαν όλα τα cookie από τα banner και υπήρχε απόκλιση μεταξύ των γλωσσικών εκδόσεων. Κατά συνέπεια, οι χρήστες δεν ήταν σε θέση να δώσουν έγκυρη συγκατάθεση. Κατά τη διάρκεια της έρευνας, το Κοινοβούλιο αφαίρεσε όλα τα cookies από τον ιστότοπό του. Η noyb εργάζεται επί του παρόντος σε παρόμοιες καταγγελίες σε banner cookie , κάτι που υποστηρίζεται από αυτήν την απόφαση.

Ασαφείς και άσχετες πληροφορίες. Επιπλέον, η καταγγελία σημείωσε ότι η πολιτική απορρήτου δεν ήταν σαφής και διαφανής, καθώς αναφερόταν στο τεστ COVID στο αεροδρόμιο των Βρυξελλών ή σε εσφαλμένη νομική βάση. Κατά τη διάρκεια της έρευνας, το Κοινοβούλιο άλλαξε την πολιτική του, αλλά την έκανε εν μέρει ακόμη χειρότερη. Το noyb έθεσε τις διάφορες ασυνέπειες στη νέα πολιτική απορρήτου του ΕΚ. Ο ΕΕΠΔ συμφώνησε ότι οι πληροφορίες που παρείχε το Κοινοβούλιο παραβίαζαν την υποχρέωση διαφάνειας, η οποία αποτελεί βασική νομική απαίτηση βάσει της νομοθεσίας περί προστασίας δεδομένων. Τέλος, ο ΕΕΠΔ έκρινε επίσης ότι το Κοινοβούλιο δεν απάντησε επαρκώς στο αίτημα πρόσβασης των καταγγελλόντων.

Όχι πρόστιμο, αλλά επίπληξη και εντολή συμμόρφωσης. Ο ΕΕΠΔ εξέδωσε επίπληξη κατά του Κοινοβουλίου για τις διάφορες παραβιάσεις του Κανονισμού για την Προστασία Δεδομένων που ισχύει για τα θεσμικά όργανα της ΕΕ. Σε αντίθεση με τις εθνικές ΑΠΔ βάσει του GDPR, ο ΕΕΠΔ μπορεί να εκδώσει πρόστιμο μόνο σε περιορισμένες περιπτώσεις που δεν τηρήθηκαν σε αυτήν την περίπτωση. Επιπλέον, ο ΕΕΠΔ έδωσε στο Κοινοβούλιο προθεσμία ενός μηνός για να επικαιροποιήσει την ειδοποίησή του για την προστασία δεδομένων και να αντιμετωπίσει τα εναπομείναντα ζητήματα σχετικά με τη διαφάνεια.