UPDATE: CNIL nakazuje trzem administratorom przestrzeganie GDPR po decyzji, że korzystanie z Google Analytics jest nielegalne
Zaledwie kilka tygodni po przełomowej decyzji austriackiego Urzędu Ochrony Danych, że ciągłe korzystanie z Google Analytics narusza GDPR, francuski Urząd Ochrony Danych (CNIL) nakazał trzem francuskim stronom internetowym przestrzeganie GDPR. Wszystkie te decyzje oparte są na 101 modelowych skargach noyb, które zostały złożone po orzeczeniu Trybunału Sprawiedliwości unieważniającym Privacy Shield. noyb oczekuje podobnych decyzji od innych organów.
- Komunikat prasowy CNIL dotyczący pierwszej decyzji
- Druga i trzecia decyzja
- Więcej informacji na temat decyzji austriackiego DPA
orzeczenie TSUE z 2020 r. uderza w świat rzeczywisty. W lipcu 2020 roku TSUE wydał przełomowe orzeczenie "Schrems II", uznając, że przekazanie danych do dostawców z USA, którzy podlegają pod FISA 702 i EO 12.333, narusza zasady międzynarodowego przekazywania danych w GDPR. TSUE w konsekwencji unieważnił umowę transferową "Privacy Shield", po unieważnieniu poprzedniej umowy "Safe Harbor" w 2015 roku. Chociaż wysłało to fale uderzeniowe przez branżę technologiczną, amerykańscy dostawcy i eksporterzy danych z UE w dużej mierze zignorowali tę sprawę. Podobnie jak Microsoft, Facebook czy Amazon, Google polegał na tzw. "Standardowych klauzulach umownych", aby kontynuować transfery danych i uspokoić swoich europejskich partnerów biznesowych.
Max Schrems, honorowy przewodniczący noyb.eu:"Interesujące jest to, że różne europejskie organy ochrony danych dochodzą do tego samego wniosku: korzystanie z Google Analytics jest nielegalne. Istniejeeuropejska grupa zadaniowa i zakładamy, że to działanie jest skoordynowane i inne organy będą decydować podobnie."
Decyzja istotna dla prawie wszystkich stron internetowych w UE. Google Analytics jest najbardziej rozpowszechnionym programem do prowadzenia statystyk. Chociaż istnieje wiele alternatyw, które są hostowane w Europie lub mogą być samodzielne, wiele stron internetowych polega na Google i tym samym przekazuje swoje dane użytkowników amerykańskiej korporacji. Fakt, że organy ochrony danych mogą teraz stopniowo uznawać amerykańskie usługi za nielegalne, wywiera dodatkową presję na firmy z UE i amerykańskich dostawców, aby przejść do bezpiecznych i legalnych opcji, takich jak hosting poza USA.
Rozwiązanie długoterminowe. W dłuższej perspektywie wydaje się, że istnieją dwie opcje: Albo USA dostosuje podstawowe zabezpieczenia dla obcokrajowców, aby wspierać swój przemysł technologiczny, albo amerykańscy dostawcy będą musieli hostować zagraniczne dane poza granicami Stanów Zjednoczonych.
Max Schrems:"W dłuższej perspektywie albo będziemy potrzebować odpowiednich zabezpieczeń w USA, albo skończymy z oddzielnymi produktami dla USA i UE. Osobiście wolałbym lepsze zabezpieczenia w USA, ale to zależy od amerykańskiego ustawodawcy - nie od nikogo w Europie."