FRISSÍTÉS: Az EU adatvédelmi hatósága további Google Analytics leállítását rendelte el
Az olasz adatvédelmi hatóság (GPDP) csatlakozott az európai adatvédelmi biztos, valamint a francia és az osztrák adatvédelmi hatóság egyetértéséhez, és betiltotta a Google Analytics (GA) használatát. Az adattovábbítással kapcsolatos 101 panaszunkat követően a GPDP arra a következtetésre jutott, hogy a GA-t használó weboldalak felhasználói interakciókat gyűjtöttek, és a felhasználói adatokat az Egyesült Államokba továbbították; egy olyan országba, ahol nincs megfelelő szintű adatvédelem, így az említett továbbítás jogellenes.
A Garante a negyedik adatvédelmi hatóság, amely a noyb mellé áll az adattovábbítással kapcsolatban. Az olasz adatvédelmi hatóság jogellenesnek minősítette a Google Analytics használatát, mivel a GA-t használó honlapok üzemeltetői cookie-kon keresztül gyűjtötték a felhasználói adatokat, és továbbították azokat az USA-ba. A feldolgozás jogellenességének megállapításakor az olasz adatvédelmi hatóság megismételte, hogy az IP-cím személyes adatnak minősül, és nem anonimizálható, még akkor sem, ha lerövidítik - tekintettel arra, hogy a Google képes az ilyen adatokat a birtokában lévő további információkkal gazdagítani.
Az európai adatvédelmi biztos szankciókkal sújtja a Parlamentet az adattovábbítással kapcsolatban. Az év elején az Európai Adatvédelmi Biztos (EDPS) a noyb által benyújtott panaszt követően határozatot hozott, amelyben megerősítette, hogy az Európai Parlament megsértette az adatvédelmi jogszabályokat a COVID tesztelési weboldalán. Az európai adatvédelmi biztos kiemelte, hogy a Google Analytics használata megsértette az Európai Bíróság (EUB)"Schrems II" ítéletét az EU-USA adattovábbításról. Az ítélet az egyik első Schrems II-t végrehajtó határozat volt, és megnyitotta az utat a hasonló határozatok előtt.
Az osztrák adatvédelmi hatóság határozata következett. Miután az osztrák adatvédelmi hatóság közzétette a GA használatát első alkalommal jogellenesnek minősítő határozatát, a DSB egy második határozatot hozott, amelyben a Google IP-anonimizálásának használatát az EU és az Egyesült Államok közötti adattovábbítás szempontjából haszontalan védelmi intézkedésnek nyilvánította. A DSB elutasította a "kockázatalapú megközelítés" elképzelését is, amely mellett a Google érvelt, és amely lehetővé tenné az állítólag "alacsony kockázatú esetek" továbbítását, például online azonosítók vagy IP-címek továbbítása esetén.
A francia CNIL elrendeli a megfelelését. Alig néhány héttel az osztrák döntés után a francia CNIL három weboldalt utasított a GDPR betartására és a Google Analytics használatának elhagyására. A CNIL a noyb.eu panaszainak beérkezését követően az EUB Schrems II ítéletének következményét kívánta közösen levonni, és rámutatott arra a kockázatra, hogy az amerikai hírszerző szolgálatok hozzáférhetnek az Egyesült Államokba továbbított személyes adatokhoz, ha az adattovábbításokat nem szabályozzák megfelelően.
Nemzeti megközelítések az európai munkacsoport ellenére. Az adatvédelmi hatóságok összehangolt megközelítést terveztek a noyb101 panaszával kapcsolatban, de a telepített munkacsoport úgy tűnik, nem teljesített: míg az olasz, az osztrák és a francia adatvédelmi hatóság alaposan kivizsgálta a személyes adatok továbbítására használt eszközöket, a spanyol adatvédelmi hatóság elutasított egy panaszt, mert a weboldal szolgáltatója a panaszt követően eltávolította a Google Analyticset a weboldalról. Hasonlóképpen, a luxemburgi adatvédelmi hatóság három panaszt utasított el a Facebook amerikai szerverekre történő adattovábbítással kapcsolatban, mivel a weboldalak eltávolították az eszközöket. Eddig egyetlen adatvédelmi hatóság sem utasította el a noyb lényeges érveit, vagy nyilvánította jogszerűnek az adattovábbításokat.
