AKTUALIZACJA: Kolejne nakazy organu ochrony danych UE dotyczące zatrzymania Google Analytics

lip 05, 2022

UPDATE: Kolejny organ ochrony danych UE nakazuje zaprzestanie stosowania Google Analytics

Włoski organ ochrony danych (GPDP) dołączył do konsensusu podzielanego przez EIOD, a także francuski i austriacki organ ochrony danych i zakazał stosowania Google Analytics (GA). W następstwie naszych 101 skarg dotyczących przekazywania danych, GPDP stwierdziło, że strony internetowe wykorzystujące GA zbierały interakcje użytkowników i przekazywały dane użytkowników do USA; kraju bez odpowiedniego poziomu ochrony danych, co czyni to przekazywanie niezgodnym z prawem

Garante jest czwartym OOD, który stanął po stronie Noyb w sprawie przekazywania danych. Włoski organ ochrony danych uznał korzystanie z Google Analytics za nielegalne, ponieważ operatorzy stron internetowych korzystający z GA zbierali dane użytkowników za pomocą plików cookie i przekazywali je do USA. Stwierdzając, że przetwarzanie danych było niezgodne z prawem, włoski organ ochrony danych powtórzył, że adres IP jest danymi osobowymi i nie zostałby zanonimizowany, nawet gdyby został skrócony - biorąc pod uwagę możliwości Google w zakresie wzbogacania takich danych poprzez dodatkowe informacje, które posiada.

EIOD nakłada na Parlament sankcje w sprawie przekazywania danych Na początku tego roku Europejski Inspektor Ochrony Danych (EDPS) wydał decyzję po złożeniu skargi przez noyb, potwierdzając, że Parlament Europejski naruszył prawo dotyczące ochrony danych na swojej stronie internetowej poświęconej testom COVID. Inspektor podkreślił, że wykorzystanie Google Analytics naruszyło orzeczenie Trybunału Sprawiedliwości (TSUE)"Schrems II" dotyczące przekazywania danych między UE a USA. Orzeczenie to było jedną z pierwszych decyzji wdrażających Schrems II i utorowało drogę dla podobnych orzeczeń

Decyzja austriackiego organu ochrony danych była następstwem. Po opublikowaniu przez austriacki organ ochrony danych decyzji, w której po raz pierwszy uznano stosowanie GA za niezgodne z prawem, ORS wydał drugą decyzję, w której uznał stosowanie anonimizacji IP przez Google za bezużyteczny środek ochrony przy przekazywaniu danych między UE a Stanami Zjednoczonymi. DSB odrzuciło również koncepcję "podejścia opartego na ryzyku", za którym opowiadało się Google i które pozwalałoby na przekazywanie rzekomo "przypadków niskiego ryzyka", np. gdy przekazywane są identyfikatory online lub adresy IP

Francuska CNIL nakazuje dostosowanie się do przepisów. Zaledwie kilka tygodni po decyzji Austrii francuski CNIL nakazał trzem stronom internetowym dostosowanie się do GDPR i pominięcie stosowania Google Analytics. Po otrzymaniu skarg od noyb.eu, CNIL miała na celu zbiorcze wyciągnięcie konsekwencji z wyroku Schrems II wydanego przez TSUE i podkreśliła ryzyko, że amerykańskie służby wywiadowcze uzyskają dostęp do danych osobowych przekazywanych do Stanów Zjednoczonych, jeśli transfery te nie zostaną odpowiednio uregulowane.

Podejścia krajowe mimo europejskiej grupy zadaniowej Organy ochrony danych planowały przyjąć skoordynowane podejście do 101 skarg Noyb, ale zainstalowana grupa zadaniowa wydaje się nie przynosić rezultatów: podczas gdy włoski, austriacki i francuski organ ochrony danych dokładnie zbadał narzędzia wykorzystywane do przekazywania danych osobowych, hiszpański organ ochrony danych odrzucił skargę, ponieważ dostawca strony internetowej usunął z niej Google Analytics po złożeniu skargi. Podobnie luksemburski organ ochrony danych odrzucił trzy skargi dotyczące przekazywania danych na serwery Facebooka w USA, ponieważ strony internetowe usunęły narzędzia. Jak dotąd żaden organ ochrony danych nie odrzucił istotnych argumentów noyb ani nie uznał transferów za legalne.