AKTUALIZACE: Další příkaz DPA EU k zastavení služby Google Analytics
Italský orgán pro ochranu údajů (GPDP) se připojil ke konsensu, který sdílí evropský inspektor ochrany údajů, stejně jako francouzský a rakouský orgán pro ochranu údajů, a zakázal používání služby Google Analytics (GA). V návaznosti na našich 101 stížností týkajících se předávání údajů dospěl GPDP k závěru, že webové stránky využívající GA shromažďují interakce uživatelů a předávají údaje uživatelů do USA; země bez odpovídající úrovně ochrany údajů, což činí uvedené předávání nezákonným.
Garante je čtvrtým úřadem pro ochranu údajů, který se postavil na stranu noyb v otázce předávání údajů. Italský orgán pro ochranu údajů označil používání nástroje Google Analytics za nezákonné, protože provozovatelé webových stránek používající GA shromažďovali údaje o uživatelích prostřednictvím souborů cookie a předávali je do USA. Při určování nezákonnosti zpracování italský orgán pro ochranu údajů zopakoval, že IP adresa je osobním údajem a nebude anonymizována, ani kdyby byla zkrácena - vzhledem k možnostem společnosti Google obohatit tyto údaje o další informace, které má k dispozici.
Evropský inspektor ochrany údajů sankcionuje Parlament v souvislosti s předáváním údajů. Začátkem letošního roku vydal evropský inspektor ochrany údajů (EDPS) po stížnosti podané společností noyb rozhodnutí, v němž potvrdil, že Evropský parlament porušil zákon o ochraně údajů na svých testovacích webových stránkách COVID. Evropský inspektor ochrany údajů zdůraznil, že používání nástroje Google Analytics porušuje rozhodnutí Soudního dvora EU (SDEU)"Schrems II" o předávání údajů mezi EU a USA. Toto rozhodnutí představovalo jedno z prvních rozhodnutí provádějících rozsudek Schrems II a připravilo půdu pro podobná rozhodnutí.
Následovalo rozhodnutí rakouského úřadu DPA. Poté, co rakouský orgán pro ochranu údajů zveřejnil své rozhodnutí, které poprvé označilo používání GA za nezákonné, vydal DSB druhé rozhodnutí, v němž prohlásil používání anonymizace IP adresy společnosti Google za zbytečné ochranné opatření pro předávání údajů mezi EU a Spojenými státy. Orgán pro řešení sporů rovněž odmítl koncepci "přístupu založeného na riziku", kterou společnost Google argumentovala a která by umožnila předávání údajně "málo rizikových případů", např. při předávání online identifikátorů nebo IP adres.
Francouzský úřad CNIL nařizuje dodržování předpisů. Jen několik týdnů po rakouském rozhodnutí nařídil francouzský CNIL třem webovým stránkám, aby se přizpůsobily GDPR a vynechaly používání služby Google Analytics. Poté, co CNIL obdržel stížnosti ze strany noyb.eu, snažil se kolektivně vyvodit důsledky rozsudku Soudního dvora EU ve věci Schrems II a upozornil na riziko, že americké zpravodajské služby budou mít přístup k osobním údajům předávaným do Spojených států, pokud předávání nebude řádně regulováno.
Národní přístupy navzdory evropské pracovní skupině. Orgány pro ochranu údajů měly v plánu zaujmout koordinovaný přístup ohledně 101 stížností noyb, ale instalovaná pracovní skupina zřejmě nesplnila svůj účel: zatímco italský, rakouský a francouzský orgán pro ochranu údajů důkladně prošetřily nástroje používané k přenosu osobních údajů, španělský orgán pro ochranu údajů stížnost zamítl, protože poskytovatel webových stránek po podání stížnosti odstranil z webových stránek nástroj Google Analytics. Podobně lucemburský orgán pro ochranu údajů zamítl tři stížnosti týkající se přenosu údajů na servery Facebooku v USA, protože webové stránky tyto nástroje odstranily. Žádný orgán pro ochranu údajů dosud neodmítl věcné argumenty noyb nebo neprohlásil předávání údajů za legální.
