EDPS trừng phạt Nghị viện Châu Âu vì chuyển dữ liệu bất hợp pháp sang Mỹ

Sau đơn khiếu nại của sáu MEP, bao gồm Patrick Breyer của Đảng Cướp biển, Giám sát Bảo vệ Dữ liệu Châu Âu (EDPS) đã xác nhận rằng trang web thử nghiệm COVID của Nghị viện Châu Âu đã vi phạm các quy tắc bảo vệ dữ liệu. [1] EDPS nhấn mạnh rằng việc sử dụng Google Analytics và nhà cung cấp thanh toán Stripe (cả hai công ty của Hoa Kỳ) đã vi phạm phán quyết "Schrems II" của Tòa án Công lý Châu Âu (CJEU) "Schrems II" về việc chuyển dữ liệu giữa Liên minh Châu Âu và Hoa Kỳ.

Phán quyết này là một trong những quyết định đầu tiên để triển khai "Schrems II" trên thực tế và có thể mang tính đột phá đối với nhiều trường hợp khác hiện đang được các cơ quan quản lý xem xét. Thay mặt cho sáu MEP, tổ chức bảo vệ dữ liệu noyb đã đệ đơn khiếu nại về bảo vệ dữ liệu chống lại Nghị viện Châu Âu vào tháng 2021 năm XNUMX.[2]

Các vấn đề chính được nêu ra là các biểu ngữ cookie lừa đảo của một trang web thử nghiệm corona nội bộ, thông báo bảo vệ dữ liệu mơ hồ và không rõ ràng, và việc chuyển dữ liệu bất hợp pháp sang Hoa Kỳ. EDPS đã điều tra vấn đề và đưa ra lời khiển trách đối với Nghị viện do vi phạm "GDPR cho các tổ chức EU" (Quy định (EU) 2018/1725 chỉ áp dụng cho các tổ chức EU).

Chuyển dữ liệu bất hợp pháp sang Mỹ Trong cái gọi là vụ "Schrems II", CJEU nhấn mạnh rằng việc chuyển dữ liệu cá nhân từ EU sang Mỹ phải tuân theo những điều kiện rất nghiêm ngặt. Các trang web phải hạn chế chuyển dữ liệu cá nhân sang Hoa Kỳ nơi không thể đảm bảo mức độ bảo vệ thích hợp cho dữ liệu cá nhân.

EDPS xác nhận rằng trang web thực sự đã chuyển dữ liệu sang Hoa Kỳ mà không đảm bảo mức độ bảo vệ thích hợp cho dữ liệu và nêu rõ: "Nghị viện không cung cấp tài liệu, bằng chứng hoặc thông tin khác liên quan đến các biện pháp hợp đồng, kỹ thuật hoặc tổ chức để đảm bảo mức độ bảo vệ tương đương đối với dữ liệu cá nhân được chuyển đến Hoa Kỳ trong bối cảnh sử dụng cookie trên trang web. "

Người đồng khiếu nại và MEP Patrick Breyer (Đảng Cướp biển) nhận xét: "Phán quyết của Schrems II là một thắng lợi lớn đối với việc bảo vệ quyền riêng tư và bảo mật thông tin liên lạc và sử dụng internet của chúng tôi. Thật không may, trường hợp này cho thấy dữ liệu của chúng tôi vẫn đang bị bất hợp pháp được chuyển đến Hoa Kỳ với số lượng lớn. Với quyết định của mình, EDPS nói rõ rằng điều này phải kết thúc. Không được tiết lộ dữ liệu cá nhân của chúng tôi sang Hoa Kỳ một cách không cần thiết nữa mà không có sự đồng ý của chúng tôi, thậm chí không dựa trên cái gọi là các điều khoản hợp đồng tiêu chuẩn, không bảo vệ chúng tôi trước các kế hoạch giám sát hàng loạt của NSA. "

Không phạt tiền, nhưng khiển trách và lệnh tuân thủ EDPS đã đưa ra lời khiển trách đối với Nghị viện về các vi phạm khác nhau đối với quy định bảo vệ dữ liệu áp dụng cho các tổ chức của Liên minh Châu Âu. Không giống như các cơ quan bảo vệ dữ liệu quốc gia theo GDPR, EDPS chỉ có thể phạt tiền trong một số trường hợp nhất định, điều này không được đáp ứng trong trường hợp này. Ngoài ra, EDPS đã cho Nghị viện một tháng để cập nhật thông báo bảo vệ dữ liệu của mình và giải quyết các vấn đề minh bạch còn lại.

quảng cáo

[1]
[2]
[3]

Chia sẻ bài viết này: