noyb voittaa: Ensimmäinen suuri sakko (1 miljoona euroa) Google Analyticsin käytöstä
Ruotsin tietosuojaviranomainen (IMY) teki 101 kantelua EU:n ja Yhdysvaltojen välisistä laittomista tiedonsiirroista ja antoi päätökset neljää yritystä vastaan ja määräsi 12 miljoonan Ruotsin kruunun (1 miljoonan euron) sakon teleoperaattorille Tele2:lle ja 300 000 kruunun sakon verkkokauppiaalle CDON:lle, koska nämä olivat käyttäneet Google Analytics -palvelua verkkosivullaan. Vaikka monet muut eurooppalaiset viranomaiset (esim. Itävalta, Ranska ja Italia) ovat jo todenneet, että Google Analyticsin käyttö on yleisen tietosuoja-asetuksen vastaista, tämä on ensimmäinen yrityksille Google Analyticsin käytöstä langetettu sakko, vaikka EU:n tuomioistuin on antanut EU:n ja Yhdysvaltojen välisiä tiedonsiirtoja koskevia päätöksiä.
- Ruotsin tietosuojaviranomaisen lehdistötiedote (EN)
- Päätös CDON:ia vastaan (EN automaattikäännös)
- Päätös Coopia vastaan (FI automaattikäännös)
- Päätös Dagens Industri -lehteä vastaan (FI automaattikäännös)
- Päätös Tele2:ta vastaan (FI automaattikäännös)
EUT totesi EU:n ja Yhdysvaltojen väliset siirrot laittomiksi (useimmissa tapauksissa). Vuonna 2020 EUT on todennut, että EU:n ja Yhdysvaltojen väliset tiedonsiirrot ovat suurelta osin laittomia, kun otetaan huomioon Yhdysvaltojen hallituksen laajat valvontamahdollisuudet. Monet EU:n yritykset käyttävät kuitenkin edelleen Googlen, Metan, Microsoftin, Amazonin ja vastaavien palveluja. Monet yritykset eivät kuitenkaan edelleenkään ota huomioon näitä päätöksiä ja vetoavat "täydentäviin toimenpiteisiin" ja niin sanottuihin vakiosopimuslausekkeisiin (SCC) liittyviin vaatimuksiin. noyb on tehnyt 101 valitusta vuonna 2020 Googlen ja Facebookin palveluiden käyttäjiä vastaan käytännössä kaikissa EU:n jäsenvaltioissa.
Aiemmat päätökset muissa EU:n jäsenvaltioissa. Sittemmin muut Euroopan tietosuojaviranomaiset ovat jo todenneet, että Google Analyticsin jatkuva käyttö rikkoo EU:n lainsäädäntöä (ks. esim. Itävallan, Ranskan ja Italian päätökset). Oikeuskäytäntö oli siis selkeä, mutta monet yritykset vastustavat edelleen lain noudattamista.
Ensimmäinen taloudellinen seuraamus. Ruotsin IMY on nyt ensimmäinen tietosuojaviranomainen, joka ei ainoastaan todennut, että siirrot ovat laittomia ja määräsi ne lopetettaviksi, vaan myös määräsi kahdelle yritykselle (suuren) sakon: Tele 2 (ruotsalainen televiestintäyhtiö) ja CDON (ruotsalainen verkkokauppa). Kaksi muuta yritystä (Coop ja Dagens Industri) selvisi ilman rangaistusta.
Googlen "täydentävät toimenpiteet" eivät riittäneet. IMY korosti myös, että niin sanotut "täydentävät toimenpiteet" eivät olleet riittäviä. Google on tähän mennessä suurelta osin osoittanut EU:n yrityskäyttäjille, että näillä toimenpiteillä on tarkoitus korjata Yhdysvaltain lainsäädännön puutteet. EU:n sääntelyviranomainen hylkäsi tämän nyt (jälleen kerran).
Marco Blocher: " Vihdoinkin tietosuojaviranomainen on määrännyt merkittävän sakon sellaisen työkalun jatkuvasta käytöstä, joka siirtää henkilötietoja Yhdysvaltoihin yleisen tietosuoja-asetuksen vastaisesti - ja kieltänyt kyseisen työkalun käytön jatkossa. Tämä on miellyttävä muutos verrattuna siihen, että muut tietosuojaviranomaiset vain toteavat, että rikkomus on tapahtunut, mutta eivät kannusta noudattamaan sääntöjä tulevaisuudessa. Toivomme, että muut tietosuojaviranomaiset seuraavat Ruotsin tietosuojaviranomaisten esimerkkiä ja lopettavat laittomat tiedonsiirrot."
Tuleva sopimus. EU ja Yhdysvallat ovat ilmoittaneet uudesta sopimuksesta keväällä 2022. Toistaiseksi sitä ei ole vielä viimeistelty, mutta sen sanotaan tulevan tässä kuussa. Koska uusi sopimus on rakenteeltaan sama kuin kaksi aiempaa sopimusta, on hyvin todennäköistä, että EUT kumoaa sen jälleen.