EDPS nakłada na Parlament sankcje w związku z przekazywaniem danych między UE a USA do Google i Stripe

sty 11, 2022

Inspektor nakłada na Parlament Europejski sankcje za nielegalne przekazywanie danych między UE a USA - wśród innych naruszeń

Europejski Inspektor Ochrony Danych (EIOD) wydał decyzję w następstwie skargi złożonej przez noyb, w której potwierdził, że Parlament Europejski naruszył prawo o ochronie danych na swojej stronie internetowej poświęconej testom COVID. Inspektor podkreśla, że korzystanie z Google Analytics i dostawcy płatności Stripe (obie firmy z USA) naruszyło orzeczenie Trybunału Sprawiedliwości (TSUE)"Schrems II" w sprawie przekazywania danych między UE a USA. Orzeczenie to jest jedną z pierwszych decyzji wdrażających"Schrems II" w praktyce i może wskazać drogę dla setek innych spraw toczących się przed organami regulacyjnymi.

Skarga złożona rok temu.W styczniu 2021 rokunoybzłożył skargę przeciwko Parlamentowi Europejskiemu w imieniu sześciu posłów do Parlamentu Europejskiego w sprawie wewnętrznej strony internetowej poświęconej testom korony. Poruszone kwestie dotyczyły zwodniczych banerów z plikami cookie, niejasnych i nieprecyzyjnych informacji o ochronie danych oraz nielegalnego przekazywania danych do USA. Inspektor zbadał tę sprawę i udzielił Parlamentowi nagany za naruszenie "GDPR dla instytucji UE" (Rozporządzenie (UE) 2018/1725 mające zastosowanie wyłącznie do instytucji UE).

Nielegalne przekazywanie danych do USA.w tzw. sprawie "Schrems II" TSUE wyjaśnił, że przekazywanie danych osobowych z UE do USA podlega bardzo rygorystycznym warunkom. Strony internetowe muszą powstrzymać się od przekazywania danych osobowych do USA w przypadku, gdy nie można zapewnić odpowiedniego poziomu ochrony danych osobowych. Inspektor potwierdził, że strona faktycznie przekazała dane do USA bez zapewnienia odpowiedniego poziomu ochrony danych, i podkreślił:"Parlament nie przedstawił żadnej dokumentacji, dowodów ani innych informacji dotyczących środków umownych, technicznych lub organizacyjnych wprowadzonych w celu zapewnienia zasadniczo równoważnego poziomu ochrony danych osobowych przekazywanych do USA w kontekście stosowania plików cookie na stronie internetowej"

W sierpniu 2020 r noyb złożył 101 skarg przeciwko firmom z UE które na swoich stronach internetowych umieszczały funkcje Google i Facebooka. Po utworzeniu "grupy zadaniowej" przez odpowiednie organy ochrony danych, noyb wkrótce spodziewa się orzeczeń dla prywatnych stron internetowych, które podążają za decyzją Inspektora.

"EIOD jasno stwierdził, że nawet umieszczenie pliku cookie przez dostawcę z USA jest naruszeniem prawa prywatności UE. Nie wprowadzono odpowiednich zabezpieczeń przed inwigilacją ze strony USA, mimo że europejscy politycy są znanym celem inwigilacji. W najbliższych miesiącach spodziewamy się więcej takich decyzji w sprawie korzystania z usług amerykańskich dostawców, ponieważ inne sprawy również wymagają rozstrzygnięcia."Max Schrems, honorowy przewodniczącynoyb.eu

Mylący baner plików cookie.W skardze podniesiono również, że banery plików cookie na stronie były niejasne i wprowadzające w błąd. Na przykład, nie wszystkie pliki cookie były wymienione przez banery i istniały rozbieżności między wersjami językowymi. W związku z tym użytkownicy nie byli w stanie wyrazić ważnej zgody. w trakcie dochodzenia Parlament usunął wszystkie pliki cookie ze swojej strony internetowej. noyb pracuje obecnie nad podobnymi skargami dotyczącymi banerów cookie, co jest poparte tą decyzją.

Niejasne i nieistotne informacje Ponadto w skardze zauważono, że polityka prywatności nie była jasna i przejrzysta, ponieważ odnosiła się do testów COVID na lotnisku w Brukseli lub do niewłaściwej podstawy prawnej. W trakcie dochodzenia Parlament zmienił swoją politykę, ale częściowo jeszcze ją pogorszył. noyb podniósł różne niespójności w nowej polityce PE dotyczącej prywatności. Inspektor zgodził się, że informacje przedstawione przez Parlament naruszały obowiązek przejrzystości, który jest podstawowym wymogiem prawnym w ramach prawa o ochronie danych. Wreszcie Inspektor stwierdził również, że Parlament nie udzielił odpowiedniej odpowiedzi na wniosek o dostęp złożony przez skarżących.

Nie nałożono grzywny, lecz naganę i nakaz zastosowania się do przepisów.inspektor udzielił Parlamentowi nagany w związku z różnymi naruszeniami Rozporządzenia o ochronie danych mającego zastosowanie do instytucji UE. W przeciwieństwie do krajowych organów ochrony danych na mocy GDPR, Inspektor może wydać grzywnę tylko w ograniczonych okolicznościach, które nie zostały spełnione w tym przypadku. Ponadto Inspektor dał Parlamentowi miesiąc na zaktualizowanie informacji o ochronie danych i zajęcie się pozostałymi kwestiami dotyczącymi przejrzystości