UPDATE: Nog meer EU gegevensbeschermingsautoriteiten gelasten stopzetting van Google Analytics
De Italiaanse gegevensbeschermingsautoriteit (GPDP) heeft zich aangesloten bij de consensus van de EDPS en de Franse en Oostenrijkse gegevensbeschermingsautoriteiten en heeft een verbod ingesteld op het gebruik van Google Analytics (GA). Naar aanleiding van onze 101 klachten over gegevensoverdrachten heeft de GPDP geconcludeerd dat websites die GA gebruiken, gebruikersinteracties verzamelden en gebruikersgegevens naar de VS overbrachten; een land zonder toereikend niveau van gegevensbescherming, waardoor deze overdracht onwettig is
Garante is vierde gegevensbeschermingsautoriteit die zich aan de zijde van de Noyb schaart inzake gegevensoverdrachten. De Italiaanse gegevensbeschermingsautoriteit achtte het gebruik van Google Analytics illegaal, omdat websitebeheerders met GA gebruikersgegevens verzamelden via cookies en deze doorgaven aan de VS. Door te bepalen dat de verwerking onwettig was, herhaalde de Italiaanse gegevensbeschermingsautoriteit dat een IP-adres persoonsgegevens zijn en niet zouden worden geanonimiseerd, zelfs niet als het zou worden ingekort - gezien de mogelijkheden van Google om dergelijke gegevens te verrijken met extra informatie waarover het beschikt.
EDPS sanctioneert Parlement inzake doorgifte Begin dit jaar heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) een besluit genomen nadat een klacht was ingediend door noyb, waarin werd bevestigd dat het Europees Parlement de wetgeving inzake gegevensbescherming had geschonden op zijn COVID-testwebsite. De EDPS wees erop dat het gebruik van Google Analytics in strijd was met het"Schrems II"-arrest van het Hof van Justitie (HJEU) over de doorgifte van gegevens tussen de EU en de VS. Het arrest was een van de eerste besluiten ter uitvoering van Schrems II en maakte de weg vrij voor soortgelijke arresten
Het besluit van de Oostenrijkse gegevensbeschermingsautoriteit volgde op. Nadat de Oostenrijkse gegevensbeschermingsautoriteit haar besluit had gepubliceerd, waarin het gebruik van GA voor het eerst onwettig werd verklaard, kwam het DSB met een tweede besluit, waarin het gebruik van Google's IP-anonimisering een nutteloze beschermingsmaatregel werd verklaard voor gegevensoverdrachten tussen de EU en de Verenigde Staten. Het DSB verwierp ook de door Google bepleite "risicogebaseerde aanpak", die de doorgifte van zogenaamd "gevallen met een laag risico" mogelijk zou maken, bijvoorbeeld wanneer online-identificatiegegevens of IP-adressen worden doorgegeven
Franse CNIL gelast naleving. Slechts enkele weken na het Oostenrijkse besluit heeft de Franse CNIL drie websites gelast aan de GDPR te voldoen en het gebruik van Google Analytics achterwege te laten. Na klachten van noyb.eu te hebben ontvangen, wilde de CNIL collectief de consequentie trekken uit het Schrems II-arrest van het HJEU en wees zij op het risico dat Amerikaanse inlichtingendiensten toegang zouden krijgen tot persoonsgegevens die naar de Verenigde Staten worden doorgegeven als de doorgifte niet goed geregeld is.
Nationale benaderingen ondanks Europese task force De gegevensbeschermingsautoriteiten waren van plan een gecoördineerde aanpak te volgen met betrekking tot de 101 klachten van de Noyb, maar de geïnstalleerde taskforce leek geen resultaat op te leveren: terwijl de Italiaanse, de Oostenrijkse en de Franse gegevensbeschermingsautoriteit de voor de doorgifte van persoonsgegevens gebruikte instrumenten grondig onderzochten, wees de Spaanse gegevensbeschermingsautoriteit een klacht af omdat de websiteaanbieder na de klacht Google Analytics van de website had verwijderd. Evenzo heeft de gegevensbeschermingsautoriteit van Luxemburg drie klachten over de doorgifte van gegevens naar Facebook-servers in de VS afgewezen, omdat de websites de tools hadden verwijderd. Tot dusver heeft geen enkele gegevensbeschermingsautoriteit de materiële argumenten van noyb verworpen of de doorgifte rechtmatig verklaard.