PÄIVITYS 101 valituksesta: Itävallan tietosuojaviranomainen hylkää "riskiperusteisen lähestymistavan" kolmansiin maihin tapahtuviin tiedonsiirtoihin
Itävallan ja Ranskan tietosuojaviranomaisen tehtyä uraauurtavat päätökset, joiden mukaan Google Analyticsin käyttö on laitonta, Itävallan tietosuojaviranomainen on nyt antanut toisen päätöksen, jossa mennään vielä pidemmälle: Se julisti Googlen IP-osoitteiden anonymisoinnin käyttämisen hyödyttömäksi suojatoimenpiteeksi EU:n ja Yhdysvaltojen välisissä tiedonsiirroissa. DSB hylkäsi myös Googlen esittämän "riskiperusteisen lähestymistavan"
Eräät eurooppalaiset viranomaiset ovat samaan aikaan lopettaneet tapaukset: Espanjan ja Luxemburgin tietosuojaviranomaiset ovat molemmat lopettaneet valitusmenettelyt ottamatta kantaa Google Analyticsin laittomaan käyttöön, koska kyseinen verkkosivusto lopetti Google Analyticsin käytön.
- Linkki redusoidun päätöksen englanninkieliseen käännökseen
- Linkki saksankieliseen alkuperäiskappaleeseen
- Linkki Itävallan aiempaan päätökseen
- Linkki aiempaan ranskankieliseen päätökseen Päätös
Yleisessä tietosuoja-asetuksessa ei säädetä "riskiperusteisesta lähestymistavasta" tiedonsiirtoja varten Schrems II:n jälkeen suuret teknologiayritykset ja alan lakimiehet ajoivat riskiperusteista lähestymistapaa tiedonsiirtoihin. He ehdottivat, että lisäturvatoimia, joita tietosuojavaltuutetut vaativat EU:n tuomioistuimessa, tulisi olla vain ovat tarpeen, jos "rekisteröidyn oikeuksiin ja vapauksiin kohdistuu huomattava riski". Niin sanotun vakiosopimuslausekkeen pitäisi riittää "matalan riskin tapauksissa", esimerkiksi kun siirretään "vain" verkkotunnisteiden tai IP-osoitteiden kaltaisia tietoja. DSB totesi nyt, että tämä näkemys on väärä: tietosuoja-asetus ei tunne riskiperusteista lähestymistapaa, joka koskee tiedonsiirtoja turvattomiin kolmansiin maihin, kuten Yhdysvaltoihin.
"DSB on vihdoin paljastanut tiedonsiirtoja koskevan "riskiperusteisen lähestymistavan" siksi, mitä se on: kömpelö yritys pehmentää EU:n tuomioistuimen selkeää oikeuskäytäntöä. Tiedonsiirtoja koskevissa asiaankuuluvissa artikloissa ei käytetä kertaakaan sanaa "riski"." - Marco Blocher, noybintietosuojalakimies
Googlen IP anonymisointi ei suojaa tietoja Itävallan DSB hylkäsi myös Googlen väitteet, joiden mukaan verkkosivustot voisivat aktivoida IP-anonymisoinnin käyttäessään Google Analyticsin kaltaisia työkaluja suojatakseen siirrettyjä tietoja tehokkaasti valvonnalta. Tämä hylättiin kahdesta syystä: Ensinnäkin Googlen IP-anonymisointi vaikuttaa vain IP-osoitteeseen sellaisenaan Tietoja, kuten verkossa-evästeiden tai laitetietojen kautta asetetut tunnisteet siirretään avoimesti. Toiseksi IP-osoitteen anonymisointi tapahtuu vasta sen jälkeen, kun tiedot on siirretty Googlelle.
"Nyt on vahvistettu, että vain siksi, että IP-osoitteet saavat anonymisoidaan prosessin jossakin vaiheessa, IP-osoitteita käsitellään edelleen alun perin Anonymisointi yhden tunnisteen anonymisointi ei myöskään poista sitä tosiasiaa, että on olemassa muitakin tunnisteita." - Marco Blocher, noybintietosuojalakimies
Kansalliset lähestymistavat EDPB:n työryhmästä huolimatta Tietosuojaviranomaisten oli tarkoitus omaksua koordinoitu lähestymistapa noybin101 valituksen osalta, mutta asennettu työryhmä ei näytä tuottavan tulosta: kun Itävallan ja Ranskan tietosuojaviranomaiset ovat tutkineet perusteellisesti sellaisten työkalujen käyttöä, jotka siirtävät henkilötietoja Yhdysvaltoihin, Espanjan tietosuojaviranomainen on yksinkertaisesti hylännyt valituksen, koska verkkosivuston tarjoaja on poistanut Google Analyticsin verkkosivustolta valituksen jälkeen. Ei ole tietoa siitä, onko tietojen siirto Yhdysvaltoihin ennen poistamista ollut laitonta vai ei. Samoin Luxemburgin tietosuojaviranomainen on hylännyt kolme kantelua, jotka koskivat tietojen siirtoa Facebookin palvelimille Yhdysvaltoihin, koska verkkosivustot ovat poistaneet työkalut.
"Rikkomusten lopettaminen ei tee aiemmasta rikkomisesta laillista. Näiden viranomaisten logiikan mukaan et saisi saada ylinopeussakkoa, jos lopetat ylinopeuden jossain vaiheessa." - Marco Blocher, noybintietosuojalakimies