Datatillsynsmannen sanktionerar Europaparlamentet för olagliga dataöverföringar mellan EU och USA - bland andra överträdelser
Europeiska datatillsynsmannen (EDPS) utfärdade ett beslut efter ett klagomål från noyb som bekräftar att Europaparlamentet bröt mot dataskyddslagstiftningen på sin webbplats för covid-19-testning. Datatillsynsmannen betonar att användningen av Google Analytics och betalningsleverantören Stripe (båda amerikanska företag) bröt mot EU-domstolens (CJEU)"Schrems II"-avgörande om dataöverföringar mellan EU och USA. Avgörandet är ett av de första besluten som implementerar "Schrems II" i praktiken och kan visa vägen för hundratals andra fall som ligger hos tillsynsmyndigheter.
Klagomålet lämnades in för ett år sedan. I januari 2021 lämnade noyb in ett klagomål mot Europaparlamentet på uppdrag av sex ledamöter av Europaparlamentet om en intern webbplats för koronatestning. De frågor som togs upp var vilseledande cookie-banners, vaga och oklara dataskyddsmeddelanden och olaglig överföring av uppgifter till USA. Datatillsynsmannen undersökte ärendet och tilldelade parlamentet en reprimand för överträdelse av "GDPR för EU:s institutioner" (Förordning (EU) 2018/1725 endast tillämplig på EU:s institutioner).
Olaglig överföring av uppgifter till USA. I det så kallade "Schrems II"-målet klargjorde EU-domstolen att överföringen av personuppgifter från EU till USA omfattas av mycket strikta villkor. Webbplatser måste avstå från att överföra personuppgifter till USA där en adekvat skyddsnivå för personuppgifterna inte kan garanteras. Datatillsynsmannen bekräftade att webbplatsen faktiskt överförde uppgifter till USA utan att säkerställa en adekvat skyddsnivå för uppgifterna och betonade"Parlamentet tillhandahöll ingen dokumentation, bevisning eller annan information om de avtalsenliga, tekniska eller organisatoriska åtgärder som vidtagits för att säkerställa en i allt väsentligt likvärdig skyddsnivå för de personuppgifter som överförts till USA i samband med användningen av kakor på webbplatsen."
I augusti 2020 noyb lämnat in 101 klagomål mot EU-företag som inkluderade Google- och Facebook-funktioner på sina webbplatser. Efter att de relevanta dataskyddsmyndigheterna har bildat en "arbetsgrupp" förväntar sig noyb snart att beslut för privata webbplatser följer datatillsynsmannens beslut.
"Datatillsynsmannen klargjorde att även om en amerikansk leverantör placerar ut en cookie bryter det mot EU:s integritetslagar. Inga lämpliga skydd mot amerikansk övervakning fanns på plats, trots att europeiska politiker är ett känt mål för övervakning. Vi förväntar oss fler sådana beslut om användningen av amerikanska leverantörer under de närmaste månaderna, eftersom andra fall också ska avgöras." Max Schrems, hedersordförande för noyb.eu
Förvirrande cookie-banner. I klagomålet till framhölls också att webbplatsens cookie-banners var otydliga och vilseledande. Till exempel angavs inte alla cookies i banderollerna och det fanns skillnader mellan språkversionerna. Följaktligen kunde användarna inte ge ett giltigt samtycke. Under utredningen tog parlamentet bort alla cookies från sin webbplats. noyb arbetar för närvarande med liknande klagomål om cookie-banners, vilket stöds av detta beslut.
Otydlig och irrelevant information. I klagomålet angavs också att integritetspolicyn inte var tydlig och transparent eftersom den hänvisade till covid-testningen av Bryssels flygplats eller till en felaktig rättslig grund. Under utredningen ändrade parlamentet sin policy men gjorde den delvis ännu värre. noyb tog upp de olika inkonsekvenserna i parlamentets nya integritetspolicy. Datatillsynsmannen höll med om att den information som parlamentet lämnat bryter mot kravet på öppenhet, vilket är ett grundläggande rättsligt krav enligt dataskyddslagstiftningen. Slutligen ansåg datatillsynsmannen också att parlamentet inte på ett adekvat sätt besvarat klagandenas begäran om tillgång.
Inga böter, men en reprimand och ett föreläggande att rätta sig efter beslutet. Europeiska datatillsynsmannen utfärdade en reprimand mot parlamentet för de olika överträdelserna av Dataskyddsförordningen som är tillämplig på EU:s institutioner. I motsats till nationella dataskyddsmyndigheter enligt GDPR kan datatillsynsmannen endast utfärda böter under begränsade omständigheter, som inte uppfylldes i detta fall. Dessutom gav datatillsynsmannen parlamentet en månad på sig att uppdatera sitt dataskyddsmeddelande och ta itu med de återstående frågorna om öppenhet.
