欧洲数据保护主管(EDPS)
EDPS 制裁欧洲议会非法向美国传输数据
在包括海盗党的 Patrick Breyer 在内的六名欧洲议会议员提出投诉后,欧洲数据保护监督员 (EDPS) 已确认欧洲议会的 COVID 测试网站违反了数据保护规则。 [1] EDPS 强调,谷歌分析和支付提供商 Stripe(均为美国公司)的使用违反了欧洲法院 (CJEU) 关于欧盟和美国之间数据传输的“Schrems II”裁决。
该裁决是在实践中实施“Schrems II”的首批决定之一,对于监管机构目前正在考虑的许多其他案件可能具有开创性。 2021 年 XNUMX 月,数据保护组织 noyb 代表六个欧洲议会议员向欧洲议会提出了数据保护投诉。[2]
提出的主要问题是内部电晕测试网站的欺骗性 cookie 横幅、模糊不清的数据保护通知以及向美国非法传输数据。 EDPS 对此事进行了调查,并对议会违反了“欧盟机构的 GDPR”(Regulation (EU) 2018/1725 仅适用于欧盟机构)发出了谴责。
向美国的非法数据传输 在所谓的“Schrems II”案中,欧洲法院强调,将个人数据从欧盟传输到美国需要遵守非常严格的条件。 网站必须避免将个人数据传输到无法确保对个人数据提供充分保护的美国。
EDPS 确认该网站实际上将数据传输到美国,但并未确保对数据的充分保护,并强调:“议会没有提供有关合同、技术或组织措施的文件、证据或其他信息,以确保基本上与在网站上使用 cookie 的情况下传输到美国的个人数据具有同等水平的保护。”
共同申诉人和环保部帕特里克布雷耶(海盗党)评论说:“施雷姆斯二世的裁决是保护我们的隐私以及我们的通信和互联网使用的机密性的巨大胜利。不幸的是,这个案例表明我们的数据仍然是非法的大量转移到美国。在他的决定中,EDPS明确表示必须结束。不得再未经我们同意将我们的个人数据不必要地披露给美国,即使是基于所谓的标准合同条款,不能保护我们免受 NSA 大规模监视计划的影响。”
没有罚款,但有谴责和合规令 EDPS 就各种违反适用于欧盟机构的数据保护法规的行为向议会发出了谴责。 与 GDPR 下的国家数据保护机构不同,EDPS 只能在某些情况下处以罚款,而在本案中并未满足这些情况。 此外,EDPS 给了议会一个月的时间来更新其数据保护通知并解决剩余的透明度问题。
分享此文章:
欧盟外交政策负责人在全球对抗中与英国达成共同目标
世界新闻自由日:停止媒体禁令宣布欧洲请愿反对摩尔多瓦政府镇压新闻。
为什么欧盟议会将伊斯兰革命卫队列为恐怖组织的呼吁尚未得到解决?
俄罗斯大规模移民对吉尔吉斯斯坦种族紧张局势的影响
将成员国排除在欧盟无边界区之外的成本是多少
印度 vs 中国:谁会拿到钱?
BOTAS -Bulgargaz 协议的披露为欧盟委员会带来了机会
