Euroopan tietosuojavaltuutettu rankaisee parlamenttia EU:n ja Yhdysvaltojen välisistä tiedonsiirroista Googlelle ja Stripelle

Jan 11, 2022

Euroopan tietosuojavaltuutettu rankaisee Euroopan parlamenttia muun muassa laittomista EU:n ja Yhdysvaltojen välisistä tiedonsiirroista

Euroopan tietosuojavaltuutettu (EDPS) antoi päätöksen noybin tekemän kantelun jälkeen, jossa vahvistetaan, että Euroopan parlamentti rikkoi tietosuojalainsäädäntöä COVID-testisivustollaan. Euroopan tietosuojavaltuutettu korostaa, että Google Analyticsin ja maksupalveluntarjoajan Stripen (molemmat yhdysvaltalaisia yrityksiä) käyttö rikkoi Euroopan yhteisöjen tuomioistuimen (EUT)"Schrems II" -päätöstä EU:n ja Yhdysvaltojen välisistä tiedonsiirroista. Tuomio on yksi ensimmäisistä päätöksistä, joillaSchrems II -laki pannaan täytäntöön käytännössä, ja se voi näyttää tietä sadoille muille sääntelyviranomaisten käsiteltävänä oleville tapauksille.

Kantelu jätettiin vuosi sitten.Tammikuussa 2021noybjätti kantelun euroopan parlamenttia vastaan kuuden Euroopan parlamentin jäsenen puolesta sisäisen koronatestaussivuston vuoksi. Esille otettuja asioita olivat harhaanjohtavat evästebannerit, epämääräiset ja epäselvät tietosuojailmoitukset sekä tietojen laiton siirto Yhdysvaltoihin. Euroopan tietosuojavaltuutettu tutki asian ja antoi parlamentille huomautuksen "EU:n toimielimille tarkoitetun yleisen tietosuoja-asetuksen" rikkomisesta (Asetus (EU) 2018/1725 jota sovelletaan ainoastaan EU:n toimielimiin).

Laittomat tiedonsiirrot Yhdysvaltoihin.niin sanotussa "Schrems II" -tapauksessa EU:n tuomioistuin teki selväksi, että henkilötietojen siirtoon EU:sta Yhdysvaltoihin sovelletaan hyvin tiukkoja ehtoja. Verkkosivustojen on pidättäydyttävä siirtämästä henkilötietoja Yhdysvaltoihin, jos henkilötietojen riittävää suojan tasoa ei voida taata. Euroopan tietosuojavaltuutettu vahvisti, että verkkosivusto todella siirsi tietoja Yhdysvaltoihin varmistamatta tietojen riittävää suojan tasoa, ja korosti:"parlamentti ei toimittanut mitään asiakirjoja, todisteita tai muita tietoja sopimusperusteisista, teknisistä tai organisatorisista toimenpiteistä, joilla varmistetaan olennaisesti vastaava suojelun taso Yhdysvaltoihin siirretyille henkilötiedoille verkkosivuston evästeiden käytön yhteydessä."

Elokuussa 2020 noyb on tehnyt 101 valitusta EU:n yrityksiä vastaan jotka sisällyttivät verkkosivuilleen Googlen ja Facebookin toimintoja. Kun asianomaiset tietosuojaviranomaiset ovat muodostaneet "työryhmän", noyb odottaa pian, että yksityisiä verkkosivustoja koskevat päätökset noudattavat Euroopan tietosuojavaltuutetun päätöstä.

"Euroopan tietosuojavaltuutettu teki selväksi, että jopa yhdysvaltalaisen palveluntarjoajan tekemä evästeen sijoittaminen rikkoo EU:n tietosuojalainsäädäntöä. Mitään kunnollisia suojatoimia yhdysvaltalaista valvontaa vastaan ei ollut käytössä, vaikka eurooppalaiset poliitikot ovat tunnetusti valvonnan kohteena. Odotamme lisää vastaavia päätöksiä yhdysvaltalaisten palveluntarjoajien käytöstä lähikuukausina, sillä myös muissa tapauksissa on odotettavissa päätös."Max Schrems,noyb.eu:n kunniapuheenjohtaja

Hämmentävä evästebanneri.Kantelussatuotiin esiin myös, ettäsivuston evästebannerit olivat epäselviä ja harhaanjohtavia. Esimerkiksi bannereissa ei lueteltu kaikkia evästeitä ja kieliversioiden välillä oli eroja. Näin ollen käyttäjät eivät voineet antaa pätevää suostumusta. Tutkimuksen aikana parlamentti poisti kaikki evästeet verkkosivustoltaan. noyb käsittelee parhaillaan vastaavia evästebannereita koskevia valituksia, mitä tämä päätös tukee.

Epäselvää ja epäolennaista tietoa Lisäksi kantelussa todettiin, että tietosuojaseloste ei ollut selkeä ja avoin, koska siinä viitattiin Brysselin lentoaseman COVID-testaukseen tai väärään oikeusperustaan. Tutkinnan aikana parlamentti muutti politiikkaansa, mutta teki siitä osittain vieläkin huonomman. noyb nosti esiin erilaisia epäjohdonmukaisuuksia EP:n uudessa yksityisyyden suojaa koskevassa politiikassa. Euroopan tietosuojavaltuutettu oli samaa mieltä siitä, että parlamentin antamat tiedot rikkoivat avoimuusvelvoitetta, joka on tietosuojalainsäädännön mukainen oikeudellinen perusvaatimus. Lopuksi Euroopan tietosuojavaltuutettu katsoi myös, että parlamentti ei vastannut asianmukaisesti kantelijoiden pyyntöön saada tutustua tietoihin.

Ei sakkoa, mutta huomautus ja määräys noudattaa sääntöjä.euroopan tietosuojavaltuutettu antoi parlamentille huomautuksen eri rikkomuksista Tietosuoja-asetuksen rikkomuksista joita sovelletaan EU:n toimielimiin. Toisin kuin tietosuoja-asetuksen mukaiset kansalliset tietosuojaviranomaiset, Euroopan tietosuojavaltuutettu voi määrätä sakkoja vain rajoitetuissa olosuhteissa, jotka eivät täyttyneet tässä tapauksessa. Lisäksi Euroopan tietosuojavaltuutettu antoi parlamentille kuukauden aikaa päivittää tietosuojailmoituksensa ja puuttua avoimuuteen liittyviin jäljellä oleviin ongelmiin