Európsky dozorný úradník pre ochranu údajov sankcionuje Európsky parlament za nezákonný prenos údajov medzi EÚ a USA - okrem iných porušení
Európsky dozorný úradník pre ochranu údajov (EDPS) vydal rozhodnutie po sťažnosti podanej spoločnosťou noyb, v ktorej potvrdil, že Európsky parlament porušil zákon o ochrane údajov na svojej testovacej webovej stránke COVID. Európsky dozorný úradník pre ochranu údajov zdôrazňuje, že používanie služby Google Analytics a poskytovateľa platieb Stripe (obe spoločnosti z USA) porušilo rozhodnutie Súdneho dvora (SDEÚ)"Schrems II" o prenose údajov medzi EÚ a USA. Toto rozhodnutie je jedným z prvých rozhodnutí, ktorými sa uplatňuje"Schrems II" v praxi, a môže ukázať cestu pre stovky ďalších prípadov, ktoré čakajú na regulačné orgány.
Sťažnosť podaná pred rokom. V januári 2021 podal noyb sťažnosť proti Európskemu parlamentu v mene šiestich poslancov Európskeho parlamentu v súvislosti s interným webovým sídlom na testovanie korunky. Išlo o klamlivé bannery s cookies, nejasné a neurčité oznámenia o ochrane údajov a nezákonný prenos údajov do USA. Európsky dozorný úradník pre ochranu údajov záležitosť prešetril a udelil Parlamentu pokarhanie za porušenie "GDPR pre inštitúcie EÚ" (Nariadenie (EÚ) 2018/1725 ktoré sa vzťahuje len na inštitúcie EÚ).
Nezákonné prenosy údajov do USA. V takzvanej veci "Schrems II" Súdny dvor EÚ jasne uviedol, že prenos osobných údajov z EÚ do USA podlieha veľmi prísnym podmienkam. Webové stránky sa musia zdržať prenosu osobných údajov do USA, ak nie je možné zabezpečiť primeranú úroveň ochrany osobných údajov. Európsky dozorný úradník pre ochranu údajov potvrdil, že webová stránka skutočne preniesla údaje do USA bez toho, aby bola zabezpečená primeraná úroveň ochrany údajov, a zdôraznil:"Parlament neposkytol žiadnu dokumentáciu, dôkazy alebo iné informácie týkajúce sa zavedených zmluvných, technických alebo organizačných opatrení na zabezpečenie v podstate rovnocennej úrovne ochrany osobných údajov prenášaných do USA v súvislosti s používaním súborov cookie na webovej stránke."
V auguste 2020 noyb podal 101 sťažností proti spoločnostiam z EÚ ktoré na svojich webových stránkach zahŕňali funkcie spoločností Google a Facebook. Po vytvorení "pracovnej skupiny" príslušnými orgánmi na ochranu údajov noyb čoskoro očakáva rozhodnutie pre súkromné webové stránky, ktoré bude nasledovať rozhodnutie EDPS.
"EDPS jasne uviedol, že aj umiestnenie súboru cookie poskytovateľom z USA je porušením právnych predpisov EÚ o ochrane osobných údajov. Nebola zavedená žiadna riadna ochrana proti sledovaniu zo strany USA, a to napriek tomu, že európski politici sú známym cieľom sledovania. V nasledujúcich mesiacoch očakávame viac takýchto rozhodnutí o používaní amerických poskytovateľov, keďže sa má rozhodnúť aj v ďalších prípadoch." Max Schrems, čestný predseda noyb.eu
Mätúci banner so súbormi cookie. V sťažnosti sa tiež uvádza, že bannery s cookies na stránke sú nejasné a zavádzajúce. Napríklad bannery neuvádzali všetky súbory cookie a medzi jazykovými verziami boli rozdiely. V dôsledku toho používatelia nemohli udeliť platný súhlas. Počas vyšetrovania parlament odstránil všetky súbory cookie zo svojej webovej stránky. noyb v súčasnosti pracuje na podobných sťažnostiach týkajúcich sa bannerov so súbormi cookie, čo podporuje aj toto rozhodnutie.
Nejasné a irelevantné informácie. Okrem toho sa v sťažnosti uvádzalo, že zásady ochrany osobných údajov neboli jasné a transparentné, keďže odkazovali na testovanie COVID bruselského letiska alebo na nesprávny právny základ. Počas vyšetrovania Parlament svoju politiku zmenil, ale čiastočne ju ešte zhoršil. noyb upozornil na rôzne nezrovnalosti v novej politike ochrany osobných údajov EP. Európsky dozorný úradník pre ochranu údajov súhlasil s tým, že informácie poskytnuté Parlamentom porušujú povinnosť transparentnosti, ktorá je základnou právnou požiadavkou podľa zákona o ochrane údajov. Nakoniec európsky dozorný úradník pre ochranu údajov tiež konštatoval, že Parlament primerane neodpovedal na žiadosť sťažovateľov o prístup.
Žiadna pokuta, ale pokarhanie a príkaz na splnenie povinnosti. Európsky dozorný úradník pre ochranu údajov udelil Parlamentu pokarhanie za rôzne porušenia Nariadenia o ochrane údajov ktoré sa vzťahujú na inštitúcie EÚ. Na rozdiel od vnútroštátnych orgánov na ochranu údajov podľa nariadenia GDPR môže európsky dozorný úradník pre ochranu údajov udeliť pokutu len za obmedzených okolností, ktoré v tomto prípade neboli splnené. Okrem toho dal EDPS Parlamentu jeden mesiac na aktualizáciu jeho oznámenia o ochrane údajov a riešenie zostávajúcich otázok týkajúcich sa transparentnosti.
