Schrems II

EU-parlamentet brøt EU-reglene for informasjonskapsler

EU-parlamentet får smekk på fingrene for å ha brutt Schrems II på interne nettsider. NOYB tror vedtaket vil få konsekvenser for fremtidig informasjonskapsel-bruk.

Selv EU-parlamentets interne nettsider sliter med cookie-praksisen, viser vedtaket.
Selv EU-parlamentets interne nettsider sliter med cookie-praksisen, viser vedtaket. (Illustrasjonsfoto: Colourbox)

EU-parlamentet får smekk på fingrene for å ha brutt Schrems II på interne nettsider. NOYB tror vedtaket vil få konsekvenser for fremtidig informasjonskapsel-bruk.

Det var NOYB (Non of your Business) som leverte klagen i januar i fjor.

– Kjennelsen er en av de første avgjørelsene som implementerer «Schrems II» i praksis, og kan vise vei for hundrevis av andre saker som er til behandling, skriver NOYB på egne nettsider.

Nettsiden som har blitt undersøkt ble lansert høsten 2020 og brukes av EU-parlamentsmedlemmer til å bestille Covid-tester. Det var NOYB som klagde på den interne nettstedet, på vegne av seks EU-parlamentsmedlemmer.

Nettsiden hadde villedende informasjonskapsel-bannere, vage og uklare personvern-bestemmelser og overførte data ulovlig til USA, mente NOYB.

I et vedtak datert 5. januar, sier EDPS seg enig. EU-parlamentet får ingen bot, men må innen en måned sørge for å innrette seg etter reglene.

Overføring av data til USA

Schrems II-kjennelsen begrenser muligheten til å dele europeiske data med blant annet amerikanske selskaper, men kjennelsen har lite rettspraksis. Spesielt bruk av amerikanske skytjenester har fått stor oppmerksomhet, og svenske myndigheter har blant annet gått ut og sagt de vil skrote amerikanske skytjenester.

Derfor kan vedtaket få betydning for fremtidige saker om dataflyt mellom Europa og USA, tror NOYB, som har sendt klager på over hundre lignende saker.

– Vi forventer flere slike avgjørelser om bruk av amerikanske leverandører i løpet av de neste månedene, sier Max Schrems, grunnleggeren av NOYB.

Nå er det klart at også informasjonskapsler fra amerikanske selskaper er noe europeiske nettsider må være oppmerksomme på.

EDPS slår fast at informasjonskapsler, selv om de ikke inneholder identiteten til den som bruker nettsiden, er å regne som persondata. Persondata kan ikke overføres til amerikansk-eide selskaper hvis det ikke "er sørget for passende sikkerhetstiltak". 

– EDPS gjorde det klart at bare det å plassere en informasjonskapsel av en amerikansk leverandør på nettstedet er i strid med EUs personvernlovgivning. Ingen skikkelig beskyttelse mot amerikansk overvåking var på plass, til tross for at europeiske politikere er et kjent mål for overvåking, sier Schrems.

Kopiert fra annen løsning

NOYB brukte det danske verktøyet webbkoll fra selskapet Dataskydd til å analysere nettsiden. Da oppdaget de at både Google analytics and Stripe cookies, begge amerikansk-eide løsninger, fantes på siden.

Da nettstedet ble satt opp av en ekstern leverandør, ble det laget som underside av en etablert nettside for bestilling av covid-tester på flyplass, forklarer vedtaket.

Informasjonskapsel-løsningen til Stripe fulgte med som nissen på lasset, men har ikke blitt aktivert, siden det interne nettstedet ikke krevde betaling for testingen, kommer det frem i vedtaket.

Google analytics var ifølge leverandøren brukt for å «Minimere risikoen for spoofing og for å optimere nettsiden».

Alle informasjonskapsler ble tatt bort fra siden i februar 2021.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen