AKTUALIZÁCIA: Ďalší úrad DPA EÚ nariadil zastavenie služby Google Analytics
Taliansky orgán na ochranu údajov (GPDP) sa pripojil k dohode, ktorú zdieľajú európsky dozorný úradník pre ochranu údajov, ako aj francúzsky a rakúsky orgán na ochranu údajov, a zakázal používanie služby Google Analytics (GA). V nadväznosti na našich 101 sťažností týkajúcich sa prenosu údajov GPDP dospel k záveru, že webové stránky používajúce GA zhromažďovali interakcie používateľov a prenášali údaje používateľov do USA; krajiny bez primeranej úrovne ochrany údajov, čím sa uvedený prenos stal nezákonným.
Garante je štvrtým orgánom na ochranu údajov, ktorý sa v súvislosti s prenosmi údajov postavil na stranu noyb . Taliansky orgán na ochranu údajov označil používanie služby Google Analytics za nezákonné, keďže prevádzkovatelia webových stránok, ktorí používajú GA, zhromažďovali údaje používateľov prostredníctvom súborov cookie a prenášali ich do USA. Pri určovaní nezákonnosti spracovania taliansky orgán na ochranu údajov zopakoval, že IP adresa je osobný údaj a nebude anonymizovaná, ani keby bola skrátená - vzhľadom na možnosti spoločnosti Google obohatiť takéto údaje prostredníctvom ďalších informácií, ktoré má k dispozícii.
Európsky dozorný úradník pre ochranu údajov ukladá sankcie Parlamentu v súvislosti s prenosmi. Začiatkom tohto roka vydal európsky dozorný úradník pre ochranu údajov (EDPS) po sťažnosti, ktorú podala spoločnosť noyb, rozhodnutie, v ktorom potvrdil, že Európsky parlament porušil zákon o ochrane údajov na svojej testovacej webovej stránke COVID. Európsky dozorný úradník pre ochranu údajov zdôraznil, že používanie služby Google Analytics porušilo rozhodnutie Súdneho dvora (SDEÚ)"Schrems II" o prenose údajov medzi EÚ a USA. Toto rozhodnutie predstavovalo jedno z prvých rozhodnutí, ktorým sa vykonával rozsudok Schrems II, a vydláždilo cestu pre podobné rozhodnutia.
Nasledovalo rozhodnutie rakúskeho úradu DPA. Po tom, ako rakúsky orgán DPA zverejnil svoje rozhodnutie, ktorým prvýkrát označil používanie GA za nezákonné, vydal DSB druhé rozhodnutie, v ktorom vyhlásil používanie anonymizácie IP spoločnosti Google za zbytočné ochranné opatrenie pri prenose údajov medzi EÚ a Spojenými štátmi. DSB tiež odmietol koncepciu "prístupu založeného na riziku", ktorú presadzovala spoločnosť Google a ktorá by umožnila prenos údajne "nízkorizikových prípadov", napr. pri prenose online identifikátorov alebo IP adries.
Francúzsky úrad CNIL nariadil dodržiavanie predpisov. Len niekoľko týždňov po rakúskom rozhodnutí francúzsky CNIL nariadil trom webovým stránkam, aby dodržiavali GDPR a nepoužívali službu Google Analytics. Po prijatí sťažností zo strany noyb.eu sa CNIL zameral na kolektívne vyvodenie dôsledkov rozsudku SDEÚ vo veci Schrems II a zdôraznil riziko, že americké spravodajské služby budú mať prístup k osobným údajom prenášaným do Spojených štátov, ak prenosy nebudú riadne regulované.
Vnútroštátne prístupy napriek európskej pracovnej skupine. Orgány na ochranu údajov plánovali prijať koordinovaný prístup v súvislosti so 101 sťažnosťami noyb, ale nainštalovaná pracovná skupina zrejme nesplnila svoj účel: zatiaľ čo taliansky, rakúsky a francúzsky orgán na ochranu údajov dôkladne prešetrili nástroje používané na prenos osobných údajov, španielsky orgán na ochranu údajov zamietol sťažnosť, pretože poskytovateľ webovej stránky po sťažnosti odstránil z webovej stránky službu Google Analytics. Podobne luxemburský orgán DPA zamietol tri sťažnosti týkajúce sa prenosu údajov na servery Facebooku v USA, pretože webové stránky tieto nástroje odstránili. Doteraz žiadny orgán na ochranu údajov neodmietol vecné argumenty noyb ani nevyhlásil prenosy za zákonné.
