EDPS sancties Europees Parlement wegens illegale gegevensoverdracht naar de VS

Na een klacht van zes leden van het Europees Parlement, waaronder Patrick Breyer van de Piratenpartij, heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) bevestigd dat de COVID-testwebsite van het Europees Parlement de regels voor gegevensbescherming heeft geschonden.[1] De EDPS benadrukt dat het gebruik van Google Analytics en de betalingsprovider Stripe (beide Amerikaanse bedrijven) in strijd is met de uitspraak van het Europese Hof van Justitie (HvJ-EU) "Schrems II" over gegevensoverdracht tussen de EU en de VS.

De uitspraak is een van de eerste besluiten om "Schrems II" in de praktijk te implementeren en zou baanbrekend kunnen zijn voor veel andere zaken die momenteel door regelgevers worden overwogen. Namens zes Europarlementariërs heeft de gegevensbeschermingsorganisatie noyb in januari 2021 een klacht over gegevensbescherming ingediend tegen het Europees Parlement.[2]

De belangrijkste problemen zijn de misleidende cookies-banners van een interne corona-testwebsite, de vage en onduidelijke gegevensbeschermingsverklaring en de illegale overdracht van gegevens naar de VS. De EDPS heeft de zaak onderzocht en het Parlement een berisping gegeven wegens schending van de "AVG voor EU-instellingen" (Verordening (EU) 2018/1725 die alleen van toepassing is op EU-instellingen).

Illegale gegevensdoorgifte naar de VS In de zogenaamde "Schrems II"-zaak benadrukte het HvJ dat de doorgifte van persoonsgegevens van de EU naar de VS aan zeer strikte voorwaarden is onderworpen. Websites dienen zich te onthouden van doorgifte van persoonsgegevens naar de VS waar een passend beschermingsniveau voor de persoonsgegevens niet kan worden gegarandeerd.

De EDPS bevestigde dat de website daadwerkelijk gegevens naar de VS heeft overgedragen zonder een passend beschermingsniveau voor de gegevens te waarborgen en benadrukte: "Het Parlement heeft geen documentatie, bewijsmateriaal of andere informatie verstrekt over de contractuele, technische of organisatorische maatregelen die zijn genomen om een ​​in wezen gelijkwaardig niveau van bescherming als de persoonsgegevens die naar de VS worden verzonden in het kader van het gebruik van cookies op de website."

Medeklager en Europarlementariër Patrick Breyer (Piratenpartij) merkt op: "De uitspraak Schrems II was een grote overwinning voor de bescherming van onze privacy en de vertrouwelijkheid van onze communicatie en internetgebruik. Helaas toont deze zaak aan dat onze gegevens nog steeds illegaal worden massaal aan de VS overgedragen. Met zijn besluit maakt de EDPS duidelijk dat hier een einde aan moet komen. Er mag geen onnodige verstrekking van onze persoonsgegevens aan de VS meer plaatsvinden zonder onze toestemming, ook niet op basis van de zogenaamde standaard contractuele clausules, die ons niet beschermen tegen de massasurveillanceschema's van de NSA."

Geen boete, maar een berisping en een bevel tot naleving De EDPS heeft het Parlement een berisping gegeven voor de verschillende inbreuken op de gegevensbeschermingsverordening die van toepassing is op EU-instellingen. In tegenstelling tot nationale gegevensbeschermingsautoriteiten op grond van de AVG, kan de EDPS alleen een boete opleggen in bepaalde omstandigheden, waaraan in dit geval niet is voldaan. Bovendien gaf de EDPS het Parlement een maand de tijd om zijn gegevensbeschermingsverklaring bij te werken en de resterende transparantieproblemen op te lossen.

advertentie

[1]
[2]
[3]

Deel dit artikel: