EU-Parlamentet får alvorlig kritik: Sender persondata ulovligt til USA

EU-Parlamentet i Bruxelles Illustration: areporter | Bigstock
EU-Parlamentet får kritik af flere brud på GDPR på en intern hjemmeside til corona-test af den overordnede europæiske datatilsynsmyndighed. Parlamentet har én måned til at rette op.

Den overordnede europæiske datatilsynsmyndighed (EDPS) kritiserer i en ny afgørelse EU-Parlamentet for at overtræde flere GDPR-regler.

Overtrædelserne er foregået gennem en intern corona-testside, som Parlamentet har stået for. Konkret er der tale om problematiske cookie-bannere, mangelfulde og uklare informationer om databeskyttelse og ulovlige dataoverførsler til USA.

Hjemmesiden bruger nemlig Google Analytics og betalingstjenesten ‘Stripe’, som begge er amerikanske, skriver privacy-organisationen ‘None of Your Business’ (noyb), der startede sagen med en klage i januar 2021.

Organisationen står også bag Schrems II-afgørelsen, der sidste sommer underkendte overførselsgrundlaget Privacy Shield og satte spotlight på problematisk amerikansk lovgivning, der går imod europæiske databeskyttelsesprincipper.

I afgørelsen understreger EDPS, at Parlamentet overførte persondata uden at sikre tilstrækkelig databeskyttelse:

»Parlamentet har ikke givet nogen form for dokumentation, evidens eller anden form for information i forhold til de kontraktuelle, tekniske og organisatoriske foranstaltninger, som skal sikre et tilsvarende databeskyttelsesniveau for oplysningerne, der overføres til USA i forbindelse med brugen af cookies på hjemmesiden.«

Ifølge noyb er sagen en af de første, der kritiserer en dataansvarlig for overtrædelser i forbindelse med Schrems II-dommen, og det kan bane vejen for flere afgørelser:

»EDPS har gjort det klart, at selv brugen af en cookie fra en amerikansk leverandør er en overtrædelse af europæiske databeskyttelsesregler. Man havde ingen ordentlig sikkerhed mod amerikansk overvågning på trods af, at EU-politikere er kendte mål for overvågning. Vi forventer flere lignende afgørelser på brugen af amerikanske leverandører i de kommende måneder, da andre sager er ved at blive afsluttet,« udtaler Max Schrems, grundlægger af noyb, i pressemeddelelsen.

Udover kritik har EDPS også givet EU-Parlamentet et påbud om at få bragt sin compliance i orden, inden der er gået én måned.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere