Европарламент нарушил законодательства ЕС в отношении передачи данных

11.01.2022

Главный надзорный орган Европейского союза по защите данных European Data Protection Supervisor (EDPS) наложил санкции на Европейский парламент в связи с рядом нарушений правил защиты данных, сообщает SecurityLab.

Вмешательство EDPS касается web-сайта бронирования тестов на коронавирусную инфекцию (COVID-19), который Европейский парламент запустил в сентябре 2020 года с использованием стороннего поставщика под названием Ecolog.

Web-сайт вызвал ряд жалоб, поданных шестью депутатами Европарламента в прошлом году при поддержке некоммерческой организации NOYB (none of your business), по поводу наличия сторонних трекеров и запутанных баннеров с согласием на использование cookie-файлов, а также множества других проблем с соблюдением требований, которые также включали вопросы прозрачности и доступа к данным.

В результате расследования Европарламент был признан виновным по нескольким пунктам. Как показали результаты расследования, сайт бронирования тестов устанавливал cookie-файлы, связанные с Google Analytics и Stripe. Европарламент не смог продемонстрировать, что он применил какие-либо специальные меры для обеспечения надлежащей защиты любых связанных передач личных данных в США.

Еще одно нарушение было связано с тем, что провайдер Ecolog скопировал код с другого разработанного им сайта для испытательного центра в международном аэропорту Брюсселя — отсюда и наличие cookie-файлов для платежной компании Stripe на сайте парламента (несмотря на то, что на самом деле никаких платежей за бронированное тестов через сайт не требуется).

Файлы cookie Google Analytics, по-видимому, были включены провайдером, с целью «свести к минимуму риск спуфинга и в целях оптимизации», согласно выводам EDPS.

EDPS объявил выговор, предписав исправить все нерешенные проблемы в течение одного месяца.