EDPS legt Europees Parlement sancties op wegens illegale gegevensoverdracht EU-VS - naast andere schendingen
De Europese Toezichthouder voor gegevensbescherming (EDPS) heeft een besluit genomen na een klacht van noyb waarin wordt bevestigd dat het Europees Parlement de wetgeving inzake gegevensbescherming heeft geschonden op zijn COVID-testwebsite. De EDPS wijst erop dat het gebruik van Google Analytics en de betalingsprovider Stripe (beide Amerikaanse bedrijven) in strijd was met het"Schrems II"-arrest van het Hof van Justitie (HJEU) over de doorgifte van gegevens tussen de EU en de VS. Het arrest is een van de eerste besluiten waarbij"Schrems II" in de praktijk wordt gebracht en kan de weg wijzen voor honderden andere zaken die bij regelgevende instanties aanhangig zijn.
Klacht een jaar geleden ingediend.In januari 2021 diendenoybeen klacht tegen het Europees Parlement namens zes leden van het Europees Parlement over een interne corona-testwebsite. Aan de orde kwamen misleidende cookiebanners, vage en onduidelijke mededelingen over gegevensbescherming en de illegale overdracht van gegevens naar de VS. De EDPS heeft de zaak onderzocht en het Parlement een berisping gegeven wegens overtreding van de "GDPR voor EU-instellingen" (Verordening (EU) 2018/1725 die alleen van toepassing is op EU-instellingen).
Illegale doorgifte van gegevens naar de VS.in de zogenaamde "Schrems II"-zaak heeft het HvJEU duidelijk gemaakt dat de doorgifte van persoonsgegevens van de EU naar de VS aan zeer strikte voorwaarden is onderworpen. Websites moeten afzien van de doorgifte van persoonsgegevens naar de VS wanneer een passend beschermingsniveau voor de persoonsgegevens niet kan worden gewaarborgd. De EDPS bevestigde dat de website daadwerkelijk gegevens aan de VS heeft doorgegeven zonder een passend beschermingsniveau voor de gegevens te waarborgen en benadrukte:"het Parlement heeft geen documentatie, bewijs of andere informatie verstrekt met betrekking tot de contractuele, technische of organisatorische maatregelen die zijn genomen om een in wezen gelijkwaardig niveau van bescherming te waarborgen voor de persoonsgegevens die in het kader van het gebruik van cookies op de website aan de VS zijn doorgegeven."
In augustus 2020 noyb 101 klachten ingediend tegen EU-bedrijven die functies van Google en Facebook op hun websites hadden opgenomen. Na de vorming van een "task force" door de relevante gegevensbeschermingsautoriteiten, verwacht noyb binnenkort een uitspraak voor particuliere websites die het besluit van de EDPS volgt.
"De EDPS heeft duidelijk gemaakt dat zelfs het plaatsen van een cookie door een Amerikaanse aanbieder in strijd is met de EU-privacywetgeving. Er was geen behoorlijke bescherming tegen surveillance door de VS, ondanks het feit dat Europese politici een bekend doelwit voor surveillance zijn. Wij verwachten de komende maanden meer van dergelijke uitspraken over het gebruik van Amerikaanse providers, aangezien ook in andere zaken een uitspraak moet worden gedaan."Max Schrems, erevoorzitter vannoyb.eu
Verwarrende cookie-banner.In de klacht werd ook aangevoerd dat de cookiebanners van de site onduidelijk en misleidend waren. Zo werden bijvoorbeeld niet alle cookies door de banners vermeld en waren er verschillen tussen de taalversies. Bijgevolg konden de gebruikers geen geldige toestemming geven. Tijdens het onderzoek heeft het Parlement alle cookies van zijn website verwijderd. noyb werkt momenteel aan soortgelijke klachten over cookiebanners, wat door dit besluit wordt ondersteund.
Onduidelijke en irrelevante informatie Daarnaast werd in de klacht opgemerkt dat het privacybeleid niet duidelijk en transparant was omdat het verwees naar de COVID-tests van de Brusselse luchthaven of naar een verkeerde rechtsgrondslag. Tijdens het onderzoek wijzigde het Parlement zijn beleid, maar maakte het deels nog slechter. noyb stelde de verschillende inconsistenties in het nieuwe privacybeleid van het EP aan de orde. De EDPS was het ermee eens dat de door het Parlement verstrekte informatie in strijd was met de transparantieverplichting, die een wettelijke basisvereiste is krachtens de wetgeving inzake gegevensbescherming. Tot slot was de EDPS ook van mening dat het Parlement niet adequaat had geantwoord op het verzoek om toegang van de klagers.
Geen boete, maar een berisping en een bevel tot naleving.de EDPS heeft het Parlement een berisping gegeven voor de verschillende schendingen van de Verordening gegevensbescherming die van toepassing is op de EU-instellingen. In tegenstelling tot de nationale gegevensbeschermingsautoriteiten in het kader van de GDPR, kan de EDPS alleen een boete opleggen in beperkte omstandigheden, waaraan in dit geval niet was voldaan. Bovendien heeft de EDPS het Parlement een maand de tijd gegeven om zijn mededeling over gegevensbescherming bij te werken en de resterende problemen met betrekking tot transparantie aan te pakken
