noyb nyer: Google Analytics használatáért kiszabott első nagyobb bírság (1 millió euró)
A noyb 101, jogellenes EU-USA adattovábbítással kapcsolatos panaszát követően a svéd adatvédelmi hatóság (IMY) négy vállalat ellen hozott határozatot, és 12 millió svéd koronás (1 millió eurós) bírságot szabott ki a Tele2 távközlési szolgáltatóra és 300 000 svéd koronát a CDON online kiskereskedőre, amiért weboldalukon a Google Analytics szolgáltatást használták. Bár számos más európai hatóság (pl. Ausztria, Franciaország és Olaszország) már megállapította, hogy a Google Analytics használata sérti a GDPR-t, ez az első pénzbírság, amelyet a Google Analytics használata miatt szabtak ki vállalatokra, az EUB EU-USA adattovábbítással kapcsolatos ítéletei ellenére.
- A svéd adatvédelmi hatóság sajtónyilatkozata (EN)
- A CDON elleni határozat (EN autotranslation)
- Határozat a Coop ellen (HU autotranslation)
- Dagens Industri elleni határozat (HU autotranslation)
- A Tele2 elleni határozat (HU autotranslation)
Az EUB az EU-USA átutalásokat (a legtöbb esetben) jogellenesnek találta. 2020 az EUB megállapította, hogy az EU-USA adattovábbítás nagyrészt jogellenes, tekintettel az amerikai kormány széleskörű megfigyelési lehetőségeire. Ennek ellenére számos uniós vállalkozás továbbra is használja a Google, a Meta, a Microsoft, az Amazon és hasonlók szolgáltatásait. Sok vállalat azonban továbbra is figyelmen kívül hagyja ezeket az ítéleteket, és a "kiegészítő intézkedésekre" és az úgynevezett általános szerződési feltételekre ("SCC") vonatkozó követelésekre támaszkodik. 2020-ban a noyb 101 panaszt nyújt be a Google és a Facebook szolgáltatásainak felhasználói ellen gyakorlatilag az összes uniós tagállamban.
Korábbi határozatok más uniós tagállamokban. Azóta már más európai adatvédelmi hatóságok is megállapították, hogy a Google Analytics folyamatos használata sérti az uniós jogot (lásd pl. az osztrák, francia és olasz határozatokat). Az ítélkezési gyakorlat tehát egyértelmű volt, de sok vállalkozás még mindig ellenáll a jogszabályoknak való megfelelésnek.
Az első pénzügyi szankció. A svéd IMY most az első olyan adatvédelmi hatóság, amely nemcsak megállapította, hogy az adattovábbítás jogellenes, és elrendelte annak leállítását, hanem (jelentős) bírságot is kiszabott két vállalatra: Tele 2 (svéd távközlési vállalat) és a CDON (svéd online kiskereskedő). Két másik vállalat (Coop és Dagens Industri) megúszta büntetés nélkül.
A Google "kiegészítő intézkedései" nem elegendőek. Az IMY azt is kiemeli, hogy az úgynevezett "kiegészítő intézkedések" nem voltak elegendőek. A Google eddig nagyrészt ezekre az intézkedésekre irányította az uniós üzleti felhasználókat, hogy állítólag kiküszöböljék az amerikai jog hiányosságait. Ezt most (ismét) elutasította egy uniós szabályozó hatóság.
Marco Blocher: "Végre egy adatvédelmi hatóság jelentős bírságot szabott ki egy olyan eszköz további használatáért, amely a GDPR-t megsértve továbbít személyes adatokat az Egyesült Államokba - és megtiltotta az eszköz további használatát. Ez kellemes változás ahhoz képest, hogy más adatvédelmi hatóságok egyszerűen csak megállapítják, hogy jogsértés történt, de nem ösztönöznek a jövőbeni megfelelésre. Reméljük, hogy más adatvédelmi hatóságok is követik a svéd adatvédelmi hatóságok példáját, és véget vetnek a jogellenes adattovábbításoknak."
Közelgő megállapodás. Az EU és az USA 2022 tavaszára új megállapodást jelentett be. Egyelőre még nincs véglegesítve, de állítólag még ebben a hónapban kiadják. Mivel az új megállapodás szerkezetileg megegyezik két korábbi megállapodással, nagyon valószínű, hogy az EUB ismét megsemmisíti azt.
