Gegevensoverdracht naar de VS en onvoldoende cookie-informatie: noyb dient namens zes leden van het Europees Parlement een klacht in tegen het Europees Parlement.

Jan 22, 2021

Gegevensoverdracht naar de VS en onvoldoende cookie-informatie
noyb dient namens zes leden van het Europees Parlement een klacht in tegen het Europees Parlement.

Vandaag dient noyb namens zes Europarlementariërs een klacht in tegen het Europees Parlement. De belangrijkste kwesties die aan de orde zijn gesteld zijn de bedrieglijke cookies banners van een interne corona test website, de vage en onduidelijke melding van gegevensbescherming en de illegale overdracht van gegevens naar de VS

COVID-testwebsite stuurt gegevens door naar derden. Het Europees Parlement (EP) biedt COVID-19 PCR-tests aan alle medewerkers en leden van het Europees Parlement (EP-leden) aan. Het EP deed een beroep op de diensten van de aanbieder EcoCare om een testcentrum op te zetten waarvoor medewerkers en leden van het EP zich op het intranet kunnen registreren. Bij de toegang tot de website ontdekten de EP-leden dat de website meer dan 150 verzoeken van derden stuurde, waaronder verzoeken aan de in de VS gevestigde bedrijven Google en Stripe. Bovendien werd niet alleen een Stripe-cookie op hun browser gedropt, maar stond in de mededeling over gegevensbescherming van de website ook dat er Google Analytics-cookies werden gebruikt op de website. Er werden echter geen gezondheidsgegevens naar derden gestuurd, omdat de pagina alleen betrekking had op de registratie van testafspraken.

Illegale gegevensoverdracht naar de VS, ondanks Schrems II. Zowel Google als Stripe zijn gevestigd in de VS. In het Schrems II-arrest heeft het Hof van Justitie van de EU duidelijk gemaakt dat de overdracht van persoonsgegevens van de EU naar de VS aan zeer strikte voorwaarden is onderworpen. Websites moeten afzien van de overdracht van persoonsgegevens naar de VS wanneer een adequaat niveau van bescherming van de persoonsgegevens niet kan worden gewaarborgd. Stripe en Google vallen duidelijk onder de relevante toezichtswetten van de VS die het mogelijk maken zich op EU-burgers te richten. Dit is met name relevant voor politiek prominente personen zoals leden en personeel van het Europees Parlement. Daarom wordt de EDPS in de klacht verzocht dergelijke doorgiften die in strijd zijn met het EU-recht te verbieden

"Overheidsinstanties, en met name de EU-instellingen, moeten het goede voorbeeld geven om de wet na te leven. Dit geldt ook voor de doorgifte van gegevens buiten de EU. Door gebruik te maken van Amerikaanse aanbieders heeft het Europees Parlement de Amerikaanse autoriteiten toegang gegeven tot gegevens van zijn personeel en zijn leden - Max Schrems, Erevoorzitter van noyb.eu

Bedrieglijke cookiebanner en onduidelijke informatie. Bovendien waren de cookie-banners van de site onduidelijk en bedrieglijk: de banners vermelden niet alle cookies die op de browser worden geplaatst, en duwen de gebruikers aan om alle cookies te accepteren. De verwerking van gegevens op de website en het plaatsen van cookies op basis van toestemming van de gebruiker, schieten dan ook tekort op een geldige wettelijke basis

Ook de informatie op de website is verwarrend. De gebruikers kregen zelfs te maken met twee verschillende gegevensbeschermingsverklaringen met verschillende informatie

noyb vertegenwoordigt zes leden van het Europees Parlement. noyb heeft de krachten gebundeld met zes leden van het Europees Parlement om hen te steunen in een klacht die is ingediend bij de Europese Toezichthouder voor gegevensbescherming (EDPS). De eerste klacht werd eind oktober 2020 ingediend door mevrouw Alexandra GEESE namens andere EP-leden. De EDPS is de speciale gegevensbeschermingsautoriteit (DPA) die alleen verantwoordelijk is voor de EU-instellingen en -agentschappen.

Rechtstreekse toegang tot het Hof van Justitie, relevant voor grotere cookiekwesties. De EDPS zal nu de aanvullende opmerkingen van noyb analyseren en zou te zijner tijd een besluit over deze kwestie moeten nemen. De klacht bij de EDPS geeft mogelijk ook rechtstreeks toegang tot de hoogste Europese rechtbank. Een besluit kan rechtstreeks worden aangevochten bij het Europees Hof van Justitie (EHJ). Dit betekent dat fundamentele kwesties van het Europese gegevensbeschermingsrecht ook kunnen worden opgehelderd met een eenvoudige klacht over een EU-website.