ΕΝΗΜΕΡΩΣΗ: Περαιτέρω DPA της ΕΕ παραγγέλνει διακοπή του Google Analytics

Ιουλ 05, 2022

ΕΝΗΜΕΡΩΣΗ: Περαιτέρω DPA της ΕΕ παραγγέλνει διακοπή του Google Analytics

Η ιταλική DPA (GPDP) προσχώρησε στη συναίνεση που μοιράζεται ο EDPS , καθώς και η γαλλική και η αυστριακή DPA και έχει απαγορεύσει τη χρήση του Google Analytics (GA). Μετά τις 101 καταγγελίες μας σχετικά με τις μεταφορές δεδομένων, το GPDP κατέληξε στο συμπέρασμα ότι οι ιστότοποι που χρησιμοποιούν GA συνέλεγαν αλληλεπιδράσεις χρηστών και μετέφεραν δεδομένα χρηστών στις ΗΠΑ. χώρα χωρίς επαρκές επίπεδο προστασίας δεδομένων, καθιστώντας την εν λόγω διαβίβαση παράνομη.

Η Garante είναι η τέταρτη DPA που τάσσεται υπέρ του noyb στις μεταφορές δεδομένων . Η ιταλική DPA κατέστησε τη χρήση του Google Analytics ως παράνομη , καθώς οι χειριστές ιστοτόπων που χρησιμοποιούν GA συνέλεγαν δεδομένα χρηστών μέσω cookies και τα μετέφεραν στις ΗΠΑ. Καθορίζοντας ότι η επεξεργασία ήταν παράνομη, η ιταλική DPA επανέλαβε ότι μια διεύθυνση IP είναι προσωπικά δεδομένα και δεν θα παρέμενε ανώνυμη ακόμη και αν συντομευόταν – δεδομένων των δυνατοτήτων της Google να εμπλουτίζει τέτοια δεδομένα μέσω πρόσθετων πληροφοριών που διατηρεί.

Ο ΕΕΠΔ κυρώνει το Κοινοβούλιο για μεταφορές. Στις αρχές του τρέχοντος έτους, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) εξέδωσε απόφαση μετά από καταγγελία που υποβλήθηκε από το noyb , επιβεβαιώνοντας ότι το Ευρωπαϊκό Κοινοβούλιο παραβίασε τη νομοθεσία περί προστασίας δεδομένων στον ιστότοπό του για τεστ COVID. Ο ΕΕΠΔ τόνισε ότι η χρήση του Google Analytics παραβίασε την απόφαση του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων (ΔΕΕ) " Schrems II " σχετικά με τις μεταφορές δεδομένων ΕΕ-ΗΠΑ. Η απόφαση σηματοδότησε μια από τις πρώτες αποφάσεις εφαρμογής του Schrems II και άνοιξε το δρόμο για παρόμοιες αποφάσεις.

Ακολούθησε η απόφαση της Αυστριακής DPA . Αφού η αυστριακή DPA δημοσίευσε την απόφασή της που καθιστούσε παράνομη τη χρήση του GA για πρώτη φορά, το DSB εξέδωσε μια δεύτερη απόφαση, χαρακτηρίζοντας τη χρήση της ανωνυμοποίησης IP της Google ως άχρηστο μέτρο προστασίας για τις μεταφορές δεδομένων μεταξύ ΕΕ και Ηνωμένων Πολιτειών. Το DSB απέρριψε επίσης την έννοια της «προσέγγισης βάσει κινδύνου», την οποία η Google είχε υποστηρίξει και θα επέτρεπε τη μεταφορά υποτιθέμενων «υποθέσεων χαμηλού κινδύνου», π.χ. όταν μεταφέρονται διαδικτυακά αναγνωριστικά ή διευθύνσεις IP.

Η γαλλική CNIL διατάσσει συμμόρφωση. Μόλις εβδομάδες μετά την αυστριακή απόφαση, το γαλλικό CNIL διέταξε τρεις ιστότοπους να συμμορφωθούν με τον GDPR και να παραλείψουν τη χρήση του Google Analytics. Αφού έλαβε καταγγελίες από το noyb.eu , το CNIL στόχευε στη συλλογική εξαγωγή των συνεπειών της απόφασης Schrems II από το ΔΕΕ και τόνισε τον κίνδυνο οι αμερικανικές υπηρεσίες πληροφοριών να έχουν πρόσβαση σε προσωπικά δεδομένα που μεταφέρθηκαν στις Ηνωμένες Πολιτείες εάν οι διαβιβάσεις δεν ρυθμίζονταν σωστά.

Εθνικές προσεγγίσεις παρά την ευρωπαϊκή ομάδα εργασίας. Οι DPA σχεδίαζαν να ακολουθήσουν μια συντονισμένη προσέγγιση σχετικά με τις 101 καταγγελίες του noyb , αλλά η εγκατεστημένη ομάδα εργασίας δεν φάνηκε να ανταποκρίνεται: ενώ η ιταλική, η αυστριακή και η γαλλική DPA ερεύνησαν διεξοδικά τα εργαλεία που χρησιμοποιούνται για τη μεταφορά προσωπικών δεδομένων, η ισπανική DPA απέρριψε μια καταγγελία επειδή ο πάροχος ιστότοπου έχει αφαιρέσει το Google Analytics από τον ιστότοπο μετά την καταγγελία. Ομοίως, η DPA του Λουξεμβούργου απέρριψε τρεις καταγγελίες σχετικά με τις μεταφορές δεδομένων σε διακομιστές Facebook στις ΗΠΑ, επειδή οι ιστότοποι είχαν αφαιρέσει τα εργαλεία. Μέχρι στιγμής, καμία DPA δεν έχει απορρίψει τα ουσιαστικά επιχειρήματα του noyb ούτε έχει κηρύξει νόμιμες τις μεταφορές.