Den Europeiska Datatillsynsmannen (EDPS) har utfärdat ett beslut efter ett klagomål från noyb som bekräftar att Europaparlamentet har brutit mot dataskyddslagstiftningen på sin webbplats för COVID-testning. EDPS framhåller att användningen av Google Analytics och betalningsleverantören Stripe (båda amerikanska företag) strider mot EU-domstolens dom i Schrems II-målet om överföring av personuppgifter mellan EU och USA.
I januari 2021 lämnade noyb in ett klagomål mot Europaparlamentet på uppdrag av sex ledamöter i Europaparlamentet om en intern webbplats för COVID-testning. De frågor som togs upp var vilseledande cookie-banners, vaga och otydliga meddelanden om dataskydd och olaglig överföring av uppgifter till USA. EDPS undersökte ärendet och utfärdade en reprimand mot Europaparlamentet för brott mot GDPR för EU:s institutioner (förordning (EU) 2018/1725 som endast är tillämplig på EU:s institutioner).
I det så kallade Schrems II-målet klargjorde EU-domstolen att överföringen av personuppgifter från EU till USA omfattas av mycket strikta villkor. Webbplatser måste avstå från att överföra personuppgifter till USA om en adekvat skyddsnivå för personuppgifterna inte kan garanteras. EDPS bekräftar i sitt beslut att webbplatsen faktiskt överförde uppgifter till USA utan att garantera en adekvat skyddsnivå för uppgifterna och framhöll bland annat att Europaparlamentet inte tillhandahållit någon dokumentation, bevis eller annan information om de avtalsmässiga, tekniska eller organisatoriska åtgärder som vidtagits för att säkerställa en i huvudsak likvärdig skyddsnivå för de personuppgifter som överförts till USA i samband med användningen av cookies på webbplatsen.
I klagomålet tog noyb också upp att webbplatsens cookie-banners var otydliga och vilseledande. Till exempel listades inte alla cookies och det fanns skillnader mellan språkversionerna. Följaktligen kunde användarna inte ge ett giltigt samtycke. Under EDPS utredning tog Europaparlamentet bort alla cookies från sin webbplats.
I klagomålet noterades dessutom att integritetspolicyn inte var tydlig och transparent eftersom den bland annat hänvisade till en felaktig rättslig grund. Under utredningen ändrade Europaparlamentet sin policy men gjorde den delvis ännu värre enligt noyb. EDPS höll med om att den information som Europaparlamentet tillhandahöll bröt mot kravet på öppenhet, vilket är ett grundläggande rättsligt krav enligt dataskyddslagstiftningen. Slutligen ansåg EDPS också att Europaparlamentet inte hade besvarat klagandenas begäran om tillgång till information på ett tillfredsställande sätt.
Mot bakgrund av bristerna utfärdade EDPS en reprimand mot Europaparlamentet för de olika överträdelserna. I motsats till nationella dataskyddsmyndigheter enligt GDPR kan EDPS endast utfärda böter under begränsade omständigheter som inte uppfylldes i detta fall. Dessutom fick Europaparlamentet en månad på sig att uppdatera sin integritetspolicy och ta itu med de återstående frågorna om öppenhet.