Stížnost na ochranu soukromí se zaměřuje na webovou stránku Evropského parlamentu pro rezervaci testů COVID-19 – TechCrunch

Stížnost na ochranu soukromí se zaměřuje na webovou stránku Evropského parlamentu pro rezervaci testů COVID-19 – TechCrunch

Evropský parlament je vyšetřován hlavním regulátorem údajů EU kvůli stížnosti, že web vytvořený poslanci Evropského parlamentu za účelem objednání testů na koronaviry mohl porušovat zákony na ochranu údajů.

Stížnost, kterou podalo šest členů Evropského parlamentu, je podpořena skupinou pro ochranu osobních údajů noyb„Tvrzení, že sledovače třetích stran byly sestřeleny bez řádného souhlasu A že bannery cookie prezentované návštěvníkům byly matoucí a klamně navržené.

Rovněž tvrdí, že osobní údaje byly předány do Spojených států bez platného právního základu, a to s odkazem na zásadní právní rozhodnutí vydané Evropským nejvyšším soudem loni v létě (známé také jako Schrems II).

Evropský inspektor ochrany údajů (EDPS), který dohlíží na dodržování databází institucemi EU, potvrdil přijetí stížnosti a uvedl, že zahájil vyšetřování.

Rovněž uvedla, že „sporové cookies“ byly po stížnostech deaktivovány, a dodala, že jí Parlament sdělil, že mimo Evropskou unii ve skutečnosti nebyly předávány žádné uživatelské údaje.

„Někteří členové Evropského parlamentu již podali stížnost týkající se testovacího místa pro koronaviry v Evropském parlamentu; EDPS zahájil vyšetřování v souladu s čl. 57 odst. 1 písm. E) EUDPR (GDPR pro instituce Evropské unie),“ řekl mluvčí EDPS pro TechCrunch. . „Po této stížnosti informoval Úřad pro ochranu údajů Evropského parlamentu EDPS, že soudní cookies jsou nyní na webových stránkách deaktivovány, a potvrdil, že mimo Evropskou unii nebyly zasílány žádné uživatelské údaje.“

„EDPS v současné době hodnotí tento web, aby zajistil soulad s požadavky EUDPR. Výsledky EDPS budou správci a stěžovatelům včas sděleny.“

Alexandra Geese, německá členka parlamentu za Stranu zelených, podala jménem jiných poslanců předběžnou stížnost na EDPS.

Dva členové Evropského parlamentu, kteří se připojili ke stížnosti a oznámili své jméno, jsou Patrick Breyer a Mikuláš Bixa – oba jsou členy Pirátské strany v Německu a České republice.

Spojili jsme se s Evropským parlamentem a společností, která jej použila, aby poskytla testovací web k vyjádření.

Stížnost je pozoruhodná ze dvou důvodů. Zaprvé proto, že tvrzení o nedodržování regionálních pravidel ochrany údajů se pro instituci EU jeví jako velmi trapná. Ochrana údajů se také může jevit jako obzvláště důležitá pro „lidi, kteří jsou politicky exponovaní, jako jsou poslanci a zaměstnanci Evropského parlamentu,“ říká Neub.

V roce 2019 byl evropský parlament rovněž sankcionován EDPS za to, že americká společnost NationBuilder využívá digitální kampaně ke zpracování údajů o voličích občanů před jarními volbami – při vůbec první implementaci tohoto druhu pro instituci EU.

READ  Vybere si futures kontrakt, kdo vyhraje

Není to tedy poprvé, co se Parlament věnuje pozornosti detailům tváří v tvář zpracovatelům dat třetích stran (stránky pro registraci testů Parlamentu COVID-19 poskytuje německá společnost s názvem Ecolog Deutschland GmbH). Jednou to může být přehlédnutí, dvakrát to začne vypadat špinavě …

Zadruhé, stížnost by mohla poskytnout relativně rychlou cestu k postoupení Nejvyššímu soudu Evropské unie, SDEU, k objasnění výkladu Schrems II – rozhodnutí s důsledky pro tisíce společností zapojených do předávání osobních údajů mimo Evropskou unii – pokud by došlo k odvolání na základě rozhodnutí EDPS.

„Proti rozhodnutím evropského inspektora ochrany údajů se lze přímo odvolat k Soudnímu dvoru Evropské unie,“ uvádí Neub v tiskové zprávě. To znamená, že lze podat odvolání přímo u nejvyššího soudu v Evropské unii, který odpovídá za jednotný výklad práva Evropské unie. To je obzvláště zajímavé, protože noyb pracuje na mnoha dalších problémech, které podobné problémy nastolují před vnitrostátními orgány pro ochranu údajů. “

Směrnice pro společnosti podílející se na přenosu údajů z Evropské unie, které se po Schrems II snaží pochopit, jak (nebo často, pokud mohou) dodržovat právní předpisy o ochraně údajů, se zatím omezuje na to, co regulační orgány zavedly v Evropské unii.

Větší výklad ze strany SDEU by mohl přinést více jasného světla – a ve skutečnosti menší manévrovací prostor pro zpracovatele, kteří chtějí legálně uchovat údaje Evropanů o fondu, v závislosti na tom, jak se soubor cookie rozpadá (pokud se omluvíte slovní hříčkou).

Neub poznamenává, že stížnost žádá ministerstvo ochrany osobních údajů, aby zabránilo přenosům, které porušují právo Evropské unie.

„Veřejné orgány, a zejména instituce Evropské unie, musí jít příkladem, aby dodržovaly zákon,“ uvedl ve svém prohlášení čestný prezident Neueb Max Schrimis. „To platí také, pokud jde o přenos dat mimo Evropskou unii. Použitím poskytovatelů služeb z USA umožnil Evropský parlament NSA přístup k údajům svých zaměstnanců a členů.“

Podle stížnosti byly obavy týkající se sledovacích zařízení třetích stran a přenosu dat původně vzneseny Parlamentu loni v říjnu – poté, co MEP použil nástroj pro průzkum sledovacích nástrojů k analýze stránky pro rezervaci testů COVID-19 a v jeho prohlížeči našel celkem 150 sledovacích zařízení a souborů cookie třetích stran.

Konkrétně bylo zjištěno, že na webu pro registraci testu EcoCare COVID-19 byl vypuštěn soubor cookie od americké společnosti Stripe Company, který také obsahuje četné žádosti třetích stran od společností Google a Stripe.

READ  Klasický feministický film, který má svůj dort a taky ho žere

Stížnost rovněž uvádí, že oznámení o ochraně údajů na webu informovalo uživatele, že údaje týkající se jejich používání vyplývající z používání Google Analytics byly „odeslány a uloženy na serveru Google ve Spojených státech“.

Pokud jde o souhlas, bylo zjištěno, že stránka poskytuje uživatelům dvě protichůdná oznámení o ochraně údajů – jedno z nich obsahuje signál (pravděpodobně zkopírovaný) na bruselské letiště.

Byly také nabízeny různé streamy schválení, v závislosti na oblasti uživatele, přičemž někteří návštěvníci nezobrazovali tlačítko pro jasné zrušení. Rovněž byla nalezena oznámení o souborech cookie, která obsahovala „odvážný styl“ stisknutí směrem k jasně zelenému tlačítku s cílem oslovit „přijmout vše“ a matoucí formulace pro nejasné alternativy.

Snímek obrazovky se souhlasem se soubory cookie vyžaduje, aby se parlamentní stránky pro rezervaci testů COVID-19 zobrazily v době psaní tohoto článku – bez zjevného jasného odstranění nepodstatných souborů cookie (kredit obrázku: TechCrunch)

Evropská unie má přísné požadavky na shromažďování souhlasů (legálně) pro (nepodstatné) soubory cookie a sledovací technologie jiných třetích stran, které stanoví, že souhlas musí být jasně promyšlen, specifikován a poskytován svobodně.

v 2019, To potvrdil Nejvyšší soud Evropy Před vyřazením nepotřebných sledovacích nástrojů si vyžádejte souhlas. (Údaje týkající se zdraví také obecně mají vyšší standard souhlasu s legálním zpracováním v Evropské unii, ačkoli v tomto případě se osobní údaje vztahují spíše na registrace jmenování než lékařské údaje specifické pro danou kategorii).

Stížnosti tvrdí, že na webových stránkách nejsou splněny požadavky na souhlas se soubory cookie Evropské unie.

Zatímco žádosti o služby se sídlem v USA (a odkaz na ukládání dat v USA) jsou ve světle rozhodnutí Schrems II právní problém.

USA již nemají legální tření osobních údajů bez tření mimo Evropskou unii poté, co SDEU provedl torpédování výhodných opatření poskytovaných Komisí (zrušení mechanismu ochrany soukromí mezi EU a USA) – což zase znamenalo předávání údajů o lidech z EU do USA – zavedené subjekty Složitý.

Správci údajů jsou odpovědní za hodnocení každého navrhovaného přenosu, a to případ od případu. Mechanismus přenosu dat s názvem „Standardní smluvní doložky“ nebyl SDEU odvolán. Soud však objasnil, že SCC lze použít pouze pro předávání do třetích zemí, kde je ochrana údajů v zásadě rovnocenná právnímu systému zavedenému v Evropské unii – přitom přitom uvádí, že USA tuto normu nesplňují.

Směrnice Evropské rady pro ochranu údajů v návaznosti na toto rozhodnutí naznačují, že některé přenosy údajů mezi Evropskou unií a Spojenými státy mohou být podle evropského práva proveditelné. Například ty, které obsahují šifrovaná data bez přístupu přijímajícího subjektu ve Spojených státech.

READ  Fantastický filmový festival Neuchâtel oslavuje nečekané

Lišta souladu se však liší podle konkrétního kontextu a stavu.

U podskupiny společností, které rozhodně podléhají zákonům o dohledu v USA (jako je Google), může být limit dodržování předpisů neuvěřitelně vysoký – protože zákon o dozoru je hlavním právním bodem pro převody mezi Evropskou unií a Spojenými státy.

Opět tedy není dobré, aby web Parlamentu dostával oznámení na testovacím webu COVID-19, že osobní údaje budou přeneseny na server Google v USA. (I když tato funkce nebyla aktivována, zdá se, že byla také nárokována.)

Dalším pozoruhodným důvodem stížnosti proti Evropskému parlamentu je, že dále zdůrazňuje množství webové infrastruktury používané v Evropě, které by mohlo vést k právním postihům za nedodržování regionálních pravidel ochrany údajů. Pokud to Evropský parlament nemůže udělat správně, kdo to je?

Noyb podal v loňském roce řadu stížností na weby v EU, které zjistily, že krátce po rozhodnutí Schrems II stále posílají data do USA prostřednictvím integrace Google Analytics a / nebo Facebook Connect. (Tyto stížnosti posuzuje DPA v celé Evropské unii).

Přenos dat do EU Facebookem má také zde velké problémy. Začátkem tohoto měsíce přední technologický gigant Evropské unie v oblasti regulace dat souhlasil s „zrychleným“ řešením dlouhodobé stížnosti na jeho převody.

Schrems podal tuto stížnost celou cestu v roce 2013. Říká nám, že očekává, že případ bude vyřešen letos, pravděpodobně za šest až devět měsíců. Konečné rozhodnutí tedy musí přijít v roce 2021.

Předtím navrhl, že jediným způsobem, jak může Facebook vyřešit problém s přenosem dat, je standardizovat své služby a lokálně ukládat data evropských uživatelů. Technologický gigant byl v loňském roce donucen popřít, že ukončí své služby v Evropě, pokud přední evropský regulační úřad bude postupovat podle původního příkazu k pozastavení převodů (což jej zablokovalo žádostí o soudní přezkum irských DPC).

Alternativní výsledek, který Facebook prosazuje, je jakýmsi politickým řešením právní nejistoty ohledně přenosu dat mezi Evropskou unií a Spojenými státy. Evropská komise však varovala, že neexistuje žádná rychlá oprava – a je nutná reforma amerického zákona o dohledu.

Takže s možnostmi pokračujícího prosazování ochrany údajů v Evropské unii proti americkým technologickým gigantům, které se rychle rozpouštějí tváří v tvář rozhodnutím SDEU o stanovení bariéry a probíhajících strategických soudních sporech, jako je tlak nejnovější stížnosti podporované noybem, bude pokračovat výstavba reformy zákona USA o dozoru pro ochranu soukromí. Ne to, že by Facebook veřejně vyšel na podporu reformy zákona o zahraničních zpravodajských službách (FISA).

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *