隐私权投诉针对欧洲议会的COVID-19测试预订网站
该投诉已由六个欧洲议会议员提出,并得到隐私运动团体noyb的支持。该投诉称,第三方跟踪器未经适当同意即被丢弃,向访客展示的cookie横幅令人困惑且具有欺骗性。
它还声称个人数据是在没有合法法律依据的情况下被转移到美国的,并提及了去年夏天欧洲最高法院(又名Schrems II)做出的具有里程碑意义的法律裁决。
负责监督欧盟机构对数据规则的遵守情况的欧洲数据保护监督员(EDPS)确认收到投诉,并表示已开始调查。
它还说,在投诉之后,“诉讼性Cookie”已被禁用,并补充说议会表示实际上没有用户数据被转移到欧盟以外。
“确实有一些欧洲议会议员对欧洲议会的冠状病毒测试网站提出了投诉; EDPS的发言人开始对TechCrunch表示,“ EDPS已根据第57(1)(e)条EUDPR(欧盟机构的GDPR)进行了调查。” “在此投诉之后,欧洲议会数据保护办公室告知EDPS,诉讼cookie现在已在网站上禁用,并确认没有用户数据发送到欧盟以外。”
“ EDPS目前正在评估该网站,以确保符合EUDPR要求。 EDPS的发现将在适当的时候通知控制者和投诉人。”
欧洲议会议员,德国绿党议员亚历山德拉·盖斯(Alexandra Geese)代表其他议员向EDPS提出了初步申诉。
参加申诉并公开其姓名的两个欧洲议会议员分别是德国和捷克共和国的海盗党成员Patrick Breyer和MikulášPeksa。
我们已与欧洲议会及其用来提供测试网站的公司联系,以征求评论。
该投诉值得注意,原因有两个。首先,因为未能遵守区域数据保护规则的指控对于欧盟机构而言非常尴尬。正如noyb所说,数据保护对于“像欧洲议会议员和工作人员这样的政治人物来说”可能也特别重要。
早在2019年,EDPS还因使用美国数字竞选公司NationBuilder处理春季选举之前处理公民的选民数据而受到欧洲议会的制裁-这是监管机构对欧盟机构的首次此类执法。
因此,这不是议会第一次对关注细节的问题与第三方数据处理程序相提并论(议会的COVID-19测试注册网站由一家名为Ecolog Deutschland GmbH的德国公司提供)。一次可能是疏忽,两次开始显得草率……
其次,该投诉可以为转介至欧盟最高法院CJEU提供一个相对快捷的途径,以进一步澄清对Schrems II的解释,该裁决对涉及从欧盟转移个人数据的数千家企业产生了影响。 EDPS的决定面临后续挑战。
noyb在新闻稿中指出:“ EDPS的决定可以直接向欧盟法院提出质疑。” “这意味着可以直接向欧盟最高法院提起上诉,以统一解释欧盟法律。尤其有趣的是,noyb正在处理其他多个在国家DPA之前提出类似问题的案件。”
到目前为止,对于试图了解如何(或通常是否能够)遵守数据保护法(Schrems II)的参与将数据从欧盟转移出去的企业的指导仅限于欧盟监管机构提出的内容。
CJEU的进一步解释可能会带来更多的澄清信息-实际上,对于希望合法地继续在池塘边掠夺欧洲人数据的加工者而言,摆动空间较小,具体取决于Cookie的破碎方式(如果您原谅双关语)。
noyb指出,该投诉要求EDPS禁止违反欧盟法律的转让。
“公共当局,特别是欧盟机构,必须以身作则,以遵守法律,” noyb名誉主席马克斯·施雷姆斯(Max Schrems)在一份声明中说。 “在欧盟以外的地区进行数据传输时也是如此。通过使用美国提供商,欧洲议会使NSA能够访问其员工及其成员的数据。”
根据投诉,在去年欧洲议会议员使用追踪器扫描工具分析了COVID-19测试预订网站并发现总共150个第三方请求和一个第三方请求后,对第三方追踪器和数据传输的担忧最初于去年10月向议会提出。 cookie放在她的浏览器上。
具体来说,我们发现EcoCare COVID-19测试注册网站删除了美国公司Stripe的cookie,并包含了来自Google和Stripe的更多第三方请求。
投诉还指出,该网站上的数据保护通知告知用户,通过使用Google Analytics(分析)生成的有关其使用情况的数据“已传输到并存储在美国的Google服务器上”。
涉及同意的情况下,发现该站点为用户提供了两个不同的相互冲突的数据保护通知,其中一个包含(可能是复制粘贴的)布鲁塞尔机场的引用。
根据用户所在的地区,还提出了不同的同意流程,某些访问者没有明确的选择退出按钮。 Cookie通知中还包含一个指向“绿色”按钮的“深色图案”,用于“接受所有”处理,以及措辞不清的替代方案。
欧盟对(合法)收集(非必要)Cookie和其他第三方跟踪技术有严格的要求,其中规定必须明确告知,明确且自由地给予同意。
在2019年,欧洲最高法院进一步确认,在放弃非必要的追踪器之前必须获得同意。 (与健康相关的数据通常也带有较高的同意书,可以在欧盟内合法处理,尽管在这种情况下,个人信息与任命登记有关,而不是特殊类别的医疗数据)。
投诉称网站上未满足EU Cookie同意要求。
根据Schrems II判决,虽然存在对基于美国的服务的请求(以及在美国存储数据的引用)是一个法律问题。
在欧洲委员会破坏了欧盟委员会授予的充分安排(使欧盟-美国隐私保护机制无效)之后,美国不再享有从欧盟流出的法律上的无摩擦法律(反过来,这意味着将欧盟人民的数据转移至美国-基础的公司很复杂。
数据控制者负责根据个案评估每个此类提议的传输。 CJEU并未使称为标准合同条款的数据传输机制无效。但是法院明确表示,SCC只能用于向数据保护基本上等同于欧盟提供的法律制度的第三国的转移,同时也表示美国不符合该标准。
裁定后,欧洲数据保护委员会的指南表明,某些欧美数据传输可能符合欧洲法律。例如那些涉及加密数据而接收美国实体无法访问的数据。
此外,对于一定要遵守美国监督法的公司子集(例如Google),合规门槛可能不会很高-因为监督法是欧美转让的主要法律依据。
因此,再一次,议会网站在其COVID-19测试网站上发出通知称,个人数据将被转移到美国的Google服务器上并不是一个好兆头。 (即使该功能没有被激活,就像声称的那样。)
针对欧洲议会的投诉值得关注的另一个原因是,它进一步突显了欧洲内部正在使用的Web基础设施中有多少可能因未能遵守区域数据保护规则而面临法律制裁的风险。如果欧洲议会做错了,那是谁?
去年,noyb向欧盟网站提出了一系列投诉,并确定在Schrems II裁决后不久,该网站仍在通过Google Analytics(分析)和/或Facebook Connect集成向美国发送数据。 (欧盟DPA正在调查这些投诉。)
Facebook的欧盟数据传输在这里也非常困难。本月初,这家科技巨头的欧盟主要数据监管机构同意“迅速解决”长期以来对其转让进行的投诉。
Schrems一直在2013年提出申诉。他告诉我们,他希望此案能在今年解决,大概在六到九个月内。因此,最终决定应该在2021年做出。
他以前曾建议Facebook解决数据传输问题的唯一方法是联合其服务,在本地存储欧洲用户的数据。去年,这家科技巨头被迫否认,如果其主要的欧盟监管机构遵循强制执行暂停转让的初步命令(该专利申请对爱尔兰DPC程序进行司法审查而被阻止),它将关闭在欧洲的服务。
Facebook一直在游说的另一种结果是某种政治解决方案,解决了使欧美数据传输蒙上阴影的法律不确定性。但是,欧盟委员会警告说,目前还没有快速解决方案,因此需要对美国的监督法进行改革。
因此,面对挑战性的CJEU裁定和持续的战略诉讼(如最新的由noyb支持的投诉压力),面对美国科技巨头的欧盟数据保护执法机构不断结冰的选择,这将继续为欧盟的私有化改革奠定基础美国监视法。并不是说Facebook已经公开支持改革FISA。