PÄIVITYS: EU:n tietosuojavaltuutettu määrää Google Analyticsin lopettamisesta uudelleen

Jul 05, 2022

PÄIVITYS: EU:n tietosuojavaltuutettu määrää Google Analyticsin lopettamisesta uudelleen

Italian tietosuojavaltuutettu on liittynyt Euroopan tietosuojavaltuutetun sekä Ranskan ja Itävallan tietosuojavaltuutettujen yksimielisyyteen ja kieltänyt Google Analyticsin (GA) käytön. Tietojensiirtoja koskevien 101 valituksemme jälkeen tietosuojavaltuutettu totesi, että GA:ta käyttävät verkkosivustot keräsivät käyttäjien vuorovaikutustietoja ja siirsivät niitä Yhdysvaltoihin, maahan, jossa ei ole asianmukaista tietosuojan tasoa, minkä vuoksi siirto oli lainvastainen

Garante on neljäs tietosuojaviranomainen, joka on noybin puolella tiedonsiirroissa. Italian tietosuojaviranomainen totesi Google Analyticsin käytön laittomaksi, koska GA:ta käyttävät verkkosivustojen ylläpitäjät keräsivät käyttäjätietoja evästeiden avulla ja siirsivät ne Yhdysvaltoihin. Määritellessään, että käsittely oli laitonta, Italian tietosuojaviranomainen toisti, että IP-osoite on henkilötieto, eikä sitä anonymisoida, vaikka se lyhennettäisiinkin - ottaen huomioon Googlen mahdollisuudet rikastuttaa tällaisia tietoja hallussaan olevilla lisätiedoilla.

Euroopan tietosuojavaltuutettu rankaisee parlamenttia siirroista Euroopan tietosuojavaltuutettu antoi alkuvuodesta noybin tekemän kantelun jälkeen päätöksen, jossa vahvistettiin, että Euroopan parlamentti rikkoi tietosuojalainsäädäntöä COVID-testisivustollaan. Euroopan tietosuojavaltuutettu korosti, että Google Analyticsin käyttö rikkoi Euroopan unionin tuomioistuimen (EUT)"Schrems II" -päätöstä EU:n ja Yhdysvaltojen välisistä tiedonsiirroista. Tuomio oli yksi ensimmäisistä Schrems II:n täytäntöönpanopäätöksistä ja pohjusti tietä vastaaville tuomioille

Itävallan tietosuojaviranomaisen päätös seurasi. Sen jälkeen kun Itävallan tietosuojaviranomainen oli julkaissut päätöksensä, jossa GA:n käyttö todettiin ensimmäistä kertaa laittomaksi, DSB antoi toisen päätöksen, jossa se totesi Googlen IP-tietojen anonymisoinnin käytön hyödyttömäksi suojatoimenpiteeksi EU:n ja Yhdysvaltojen välisissä tiedonsiirroissa. DSB hylkäsi myös ajatuksen "riskiperusteisesta lähestymistavasta", jota Google oli kannattanut ja joka sallisi siirtämisen oletettavasti "vähäriskisissä tapauksissa", esimerkiksi kun siirretään verkkotunnisteita tai IP-osoitteita

Ranskan CNIL määrää vaatimusten noudattamisesta. Vain viikkoja Itävallan päätöksen jälkeen Ranskan CNIL määräsi kolme verkkosivustoa noudattamaan tietosuoja-asetusta ja lopettamaan Google Analyticsin käytön. Saatuaan valituksia noyb.eu:lta CNIL pyrki kollektiivisesti vetämään johtopäätöksen EU:n tuomioistuimen Schrems II -tuomiosta ja korosti riskiä, että Yhdysvaltojen tiedustelupalvelut pääsisivät käsiksi Yhdysvaltoihin siirrettyihin henkilötietoihin, jos siirtoja ei säännellä asianmukaisesti.

Kansalliset lähestymistavat eurooppalaisesta työryhmästä huolimatta Tietosuojaviranomaiset suunnittelivat koordinoitua lähestymistapaa noybin101 valituksen osalta, mutta asennettuun työryhmä ei näyttänyt tuottavan tulosta: vaikka Italian, Itävallan ja Ranskan tietosuojaviranomaiset tutkivat perusteellisesti henkilötietojen siirtoon käytetyt välineet, Espanjan tietosuojaviranomainen hylkäsi valituksen, koska verkkosivuston tarjoaja oli poistanut Google Analyticsin verkkosivustolta valituksen jälkeen. Vastaavasti Luxemburgin tietosuojaviranomainen hylkäsi kolme kantelua, jotka koskivat tietojen siirtoa Facebookin palvelimille Yhdysvalloissa, koska verkkosivustot olivat poistaneet työkalut. Toistaiseksi yksikään tietosuojaviranomainen ei ole hylännyt noybin aineellisia väitteitä tai julistanut tiedonsiirtoja laillisiksi.