Az európai adatvédelmi biztos - egyéb jogsértések mellett - illegális EU-USA adattovábbítás miatt szankcionálja az Európai Parlamentet
Az Európai Adatvédelmi Biztos (EDPS) a noyb által benyújtott panaszt követően határozatot hozott, amelyben megerősítette, hogy az Európai Parlament megsértette az adatvédelmi jogszabályokat a COVID tesztelési weboldalán. Az európai adatvédelmi biztos kiemeli, hogy a Google Analytics és a Stripe fizetési szolgáltató (mindkettő amerikai vállalat) használata megsértette az Európai Bíróság (EUB)"Schrems II" ítéletét az EU-USA adattovábbításról. Az ítélet az egyik első olyan döntés, amely a"Schrems II" gyakorlati végrehajtását szolgálja, és utat mutathat a szabályozó hatóságok előtt folyamatban lévő több száz további ügynek.
Egy évvel ezelőtt benyújtott panasz. A noyb 2021 januárjában nyújtott be panaszt az Európai Parlament ellen hat európai parlamenti képviselő nevében egy belső koronatesztelési weboldal miatt. A felvetett problémák a megtévesztő cookie-bannerek, a homályos és nem egyértelmű adatvédelmi tájékoztatók, valamint az adatok jogellenes továbbítása az Egyesült Államokba voltak. Az európai adatvédelmi biztos kivizsgálta az ügyet, és megrovásban részesítette a Parlamentet a "GDPR az uniós intézmények számára" ((EU) 2018/1725 rendelet amely csak az uniós intézményekre alkalmazandó).
Illegális adattovábbítás az Egyesült Államokba. Az úgynevezett "Schrems II" ügyben az EUB egyértelművé tette, hogy a személyes adatoknak az EU-ból az USA-ba történő továbbítása nagyon szigorú feltételekhez kötött. A weboldalaknak tartózkodniuk kell a személyes adatok USA-ba történő továbbításától, amennyiben a személyes adatok megfelelő szintű védelme nem biztosítható. Az európai adatvédelmi biztos megerősítette, hogy a weboldal ténylegesen úgy továbbított adatokat az Egyesült Államokba, hogy nem biztosította az adatok megfelelő szintű védelmét, és kiemelte:"a Parlament nem nyújtott be dokumentációt, bizonyítékot vagy egyéb információt a szerződéses, technikai vagy szervezeti intézkedésekre vonatkozóan, amelyek biztosítják az USA-ba továbbított személyes adatok lényegében azonos szintű védelmét a weboldalon a cookie-k használatával összefüggésben."
2020 augusztusában noyb 101 panaszt nyújtott be uniós vállalatok ellen amelyek a Google és a Facebook funkcióit szerepeltették honlapjaikon. Miután az illetékes adatvédelmi hatóságok "munkacsoportot" alakítottak, a noyb hamarosan a magánweboldalakra vonatkozó, az európai adatvédelmi biztos határozatát követő döntést vár.
"Az európai adatvédelmi biztos világossá tette, hogy még egy amerikai szolgáltató által elhelyezett süti is sérti az uniós adatvédelmi jogszabályokat. Nem volt megfelelő védelem az amerikai megfigyeléssel szemben, annak ellenére, hogy az európai politikusok a megfigyelés ismert célpontjai. A következő hónapokban további hasonló döntésekre számítunk az amerikai szolgáltatók használatával kapcsolatban, mivel más ügyekben is döntés várható." Max Schrems, a noyb.eu tiszteletbeli elnöke
Zavaró cookie-banner. A panaszban az is felmerült, hogy a oldal cookie-bannerjei nem egyértelműek és megtévesztőek. Például nem minden cookie-t soroltak fel a bannerek, és a nyelvi változatok között eltérések voltak. Következésképpen a felhasználók nem tudtak érvényes hozzájárulást adni. A vizsgálat során a Parlament eltávolította az összes sütit a weboldaláról. a noyb jelenleg is dolgozik a sütibannerekkel kapcsolatos hasonló panaszokon, amit ez a döntés is alátámaszt.
Nem egyértelmű és irreleváns információk. A panaszban továbbá megjegyezték, hogy az adatvédelmi irányelvek nem voltak világosak és átláthatóak, mivel a brüsszeli repülőtér COVID-tesztjére vagy téves jogalapra hivatkoztak. A vizsgálat során a Parlament megváltoztatta a politikáját, de részben még rosszabbá tette azt. a noyb felvetette az EP új adatvédelmi politikájának különböző következetlenségeit. Az európai adatvédelmi biztos egyetértett azzal, hogy a Parlament által nyújtott tájékoztatás sérti az átláthatósági kötelezettséget, amely az adatvédelmi jog egyik alapvető jogi követelménye. Végül az európai adatvédelmi biztos azt is megállapította, hogy a Parlament nem válaszolt megfelelően a panaszosok hozzáférési kérelmére.
Nem bírság, hanem megrovás és felszólítás a megfelelésre. Az európai adatvédelmi biztos megrovásban részesítette a Parlamentet a következők különböző megsértése miatt Adatvédelmi rendelet megsértése miatt az uniós intézményekre alkalmazandó adatvédelmi rendelet megsértése miatt. Az általános adatvédelmi rendelet szerinti nemzeti adatvédelmi hatóságokkal ellentétben az európai adatvédelmi biztos csak korlátozott körülmények között szabhat ki bírságot, amelyek ebben az esetben nem teljesültek. Ezen túlmenően az európai adatvédelmi biztos egy hónapot adott a Parlamentnek arra, hogy frissítse adatvédelmi tájékoztatóját, és foglalkozzon az átláthatósággal kapcsolatos fennmaradó kérdésekkel.
