НАДБАВКА: Още една заповед на DPA от ЕС за спиране на Google Analytics

Jul 05, 2022

НАДБАВКА: Още една заповед на DPA от ЕС за спиране на Google Analytics

Италианският орган за защита на данните (GPDP) се присъедини към консенсуса, споделян от ЕНОЗД, както и от френския и австрийския орган за защита на данните, и забрани използването на Google Analytics (GA). След нашите 101 жалби относно прехвърлянето на данни, GPDP заключи, че уебсайтовете, използващи GA, събират данни за взаимодействията на потребителите и ги прехвърлят в САЩ - страна без адекватно ниво на защита на данните, което прави това прехвърляне незаконно

Garante е четвъртият орган за защита на данните, който застава на страната на Нойб по отношение на прехвърлянето на данни. Италианската ДЗД обяви използването на Google Analytics за незаконно, тъй като операторите на уебсайтове, използващи GA, са събирали данни за потребителите чрез "бисквитки" и са ги предавали на САЩ. При определянето на обработката като незаконна италианският орган за защита на данните отново подчерта, че IP адресът е лична информация и не би могъл да бъде анонимизиран дори ако бъде съкратен - предвид възможностите на Google да обогатява тези данни чрез допълнителна информация, която притежава.

ЕНОЗД налага санкции на Парламента относно предаването на данни В началото на тази година Европейският надзорен орган по защита на данните (ЕНОЗД) издаде решение след подадена жалба от noyb, с което потвърди, че Европейският парламент е нарушил закона за защита на данните на своя уебсайт за тестване COVID. ЕНОЗД подчерта, че използването на Google Analytics е нарушило решението на Съда на Европейския съюз (СЕС)"Schrems II" относно предаването на данни между ЕС и САЩ. Решението отбеляза едно от първите решения за прилагане на Schrems II и проправи пътя за подобни решения

Последва решение на австрийската DPA. След като австрийският DPA публикува решението си, с което за първи път обяви използването на GA за незаконно, DSB издаде второ решение, с което обяви използването на IP анонимизацията на Google за безполезна мярка за защита при предаването на данни между ЕС и САЩ. ОРС отхвърли и идеята за "подход, основан на риска", за който Google настояваше и който би позволил предаването на предполагаемо "нискорискови случаи", например когато се предават онлайн идентификатори или IP адреси

Френският CNIL разпорежда спазване на изискванията. Само няколко седмици след австрийското решение френският CNIL нареди на три уебсайта да се съобразят с GDPR и да не използват Google Analytics. След като получи жалби от noyb.eu, CNIL имаше за цел колективно да извлече последиците от решението Schrems II на Съда на ЕС и изтъкна риска американските разузнавателни служби да получат достъп до лични данни, предадени на САЩ, ако предаването не е надлежно регулирано.

Национални подходи въпреки европейската работна група Органите за защита на данните планираха да възприемат координиран подход по отношение на 101 жалби на noyb, но инсталираната работна група изглежда не е постигнала резултати: докато италианският, австрийският и френският орган за защита на данните задълбочено са проучили инструментите, използвани за прехвърляне на лични данни, испанският орган за защита на данните е отхвърлил жалба, защото доставчикът на уебсайта е премахнал Google Analytics от уебсайта след жалбата. По подобен начин ДЗД на Люксембург отхвърли три жалби относно прехвърляне на данни към сървъри на Facebook в САЩ, тъй като уебсайтовете са премахнали инструментите. Досега нито един орган за защита на данните не е отхвърлил съществените аргументи на noyb или не е обявил трансферите за законни.