noyb wint: Eerste grote boete (€ 1 miljoen) voor het gebruik van Google Analytics
Naar aanleiding van de 101 klachten van noyb over onwettige gegevensoverdrachten tussen de EU en de VS heeft de Zweedse autoriteit voor gegevensbescherming (IMY) beslissingen genomen tegen vier bedrijven en een boete van 12 miljoen SEK (1 miljoen euro) opgelegd aan telecomaanbieder Tele2 en 300.000 SEK aan online retailer CDON voor het gebruik van Google Analytics op hun webpagina. Hoewel veel andere Europese autoriteiten (bijv. Oostenrijk, Frankrijk en Italië) al hebben vastgesteld dat het gebruik van Google Analytics in strijd is met de GDPR, is dit de eerste financiële boete die wordt opgelegd aan bedrijven voor het gebruik van Google Analytics, ondanks de uitspraken van het HvJEU over de doorgifte van gegevens tussen de EU en de VS.
- Persverklaring van de Zweedse gegevensbeschermingsautoriteit (EN)
- Besluit tegen CDON (EN autotranslation)
- Besluit tegen Coop (EN automatische vertaling)
- Besluit tegen Dagens Industri (EN automatische vertaling)
- Besluit tegen Tele2 (EN autotranslation)
Het HvJEU vond overboekingen tussen de EU en de VS illegaal (in de meeste gevallen). In 2020 oordeelde het HvJEU dat de doorgifte van gegevens tussen de EU en de VS grotendeels illegaal is, gezien de uitgebreide surveillancemogelijkheden van de Amerikaanse overheid. Veel bedrijven in de EU blijven echter gebruik maken van de diensten van Google, Meta, Microsoft, Amazon en dergelijke. Veel bedrijven blijven deze uitspraken echter negeren en beroepen zich op claims over "aanvullende maatregelen" en zogenaamde standaardcontractbepalingen ("SCC's"). noyb heeft in 2020 101 klachten ingediend tegen gebruikers van Google- en Facebook-diensten in vrijwel alle EU-lidstaten.
Eerdere uitspraken in andere EU-lidstaten. Sindsdien hebben andere Europese gegevensbeschermingsautoriteiten al vastgesteld dat het voortdurende gebruik van Google Analytics in strijd was met de EU-wetgeving (zie bijv. de besluiten in Oostenrijk, Frankrijk en Italië). De jurisprudentie was dus duidelijk, maar veel bedrijven verzetten zich nog steeds tegen het naleven van de wet.
Eerste financiële boete. Het Zweedse IMY is nu de eerste gegevensbeschermingsautoriteit die niet alleen vaststelt dat de doorgifte illegaal is en opdracht geeft om te stoppen, maar die ook een (hoge) boete oplegt aan twee bedrijven: Tele 2 (een Zweeds telecombedrijf) en CDON (een Zweedse online retailer). Twee andere bedrijven (Coop en Dagens Industri) kwamen er zonder boete vanaf.
Google's "aanvullende maatregelen" niet voldoende. Het IMY benadrukt ook dat zogenaamde "aanvullende maatregelen" niet voldoende waren. Google heeft tot nu toe voornamelijk zakelijke gebruikers in de EU op deze maatregelen gewezen om tekortkomingen in de Amerikaanse wetgeving te verhelpen. Dit werd nu (opnieuw) afgewezen door een regelgevende instantie van de EU.
Marco Blocher: "Eindelijk heeft een gegevensbeschermingsautoriteit een aanzienlijke boete opgelegd voor het voortgezette gebruik van een tool die in strijd met de GDPR persoonsgegevens doorgeeft aan de Verenigde Staten - en het verdere gebruik van die tool verboden. Dit is een aangename verandering ten opzichte van andere gegevensbeschermingsautoriteiten die eenvoudigweg vaststellen dat er een overtreding is geweest, maar geen stimulans creëren om in de toekomst aan de regels te voldoen. We hopen dat andere gegevensbeschermingsautoriteiten het voorbeeld van de Zweedse gegevensbeschermingsautoriteiten zullen volgen en een einde zullen maken aan onwettige gegevensoverdrachten."
Komende overeenkomst. De EU en de VS hebben een nieuwe overeenkomst aangekondigd voor het voorjaar van 2022. Tot nu toe is het nog niet afgerond, maar er wordt gezegd dat het deze maand wordt gepubliceerd. Gezien het feit dat de nieuwe overeenkomst structureel hetzelfde is als twee eerdere overeenkomsten, is het zeer waarschijnlijk dat het HvJEU de overeenkomst opnieuw nietig zal verklaren.