noyb vinna: Första stora böterna (1 miljon euro) för användning av Google Analytics
Efter noybs 101 klagomål om olagliga dataöverföringar mellan EU och USA har den svenska dataskyddsmyndigheten (IMY) fattat beslut mot fyra företag och utdömt böter på 12 miljoner kronor (1 miljon euro) mot telekommunikationsleverantören Tele2 och 300 000 kronor mot e-handlaren CDON för att de använt Google Analytics på sin webbplats. Även om många andra europeiska myndigheter (t.ex. Österrike, Frankrike och Italien) redan har konstaterat att användningen av Google Analytics strider mot GDPR, är detta det första bötesbeloppet som åläggs företag för användning av Google Analytics, trots EU-domstolens domar om dataöverföringar mellan EU och USA.
- Pressmeddelande från Datainspektionen (EN)
- Beslut mot CDON (EN autotranslation)
- Beslut mot Coop (EN autotranslation)
- Beslut mot Dagens Industri (EN autotranslation)
- Beslut mot Tele2 (EN autotranslation)
EU-domstolen fann att överföringar mellan EU och USA var olagliga (i de flesta fall). I 2020 har EU-domstolen konstaterat att dataöverföringar mellan EU och USA i stort sett är olagliga, med tanke på den amerikanska regeringens omfattande övervakningsmöjligheter. Många företag i EU fortsätter dock att använda tjänster från Google, Meta, Microsoft, Amazon och liknande. Många företag fortsätter dock att ignorera dessa domar och förlitar sig på krav på "kompletterande åtgärder" och så kallade standardavtalsklausuler (SCC). noyb har lämnat in 101 klagomål under 2020 mot användare av Googles och Facebooks tjänster i princip alla EU-medlemsstater.
Tidigare beslut i andra EU-medlemsstater. Sedan dess har andra europeiska dataskyddsmyndigheter redan konstaterat att den kontinuerliga användningen av Google Analytics stred mot EU-lagstiftningen (se t.ex. besluten i Österrike, Frankrike och Italien). Rättspraxis var alltså tydlig, men många företag vägrar fortfarande att följa lagen.
Första ekonomiska sanktionen. Den svenska IMY är nu den första dataskyddsmyndigheten som inte bara konstaterat att överföringarna är olagliga och beordrat att de ska upphöra, utan också utfärdat (stora) böter för två företag: Tele 2 (en svensk telekomoperatör) och CDON (en svensk e-handlare). Två andra företag (Coop och Dagens Industri) klarade sig utan påföljd.
Googles "Supplementary Measures" inte tillräckliga. IMY lyfter också fram att så kallade "kompletterande åtgärder" inte var tillräckliga. Google har hittills i stor utsträckning hänvisat företagsanvändare i EU till dessa åtgärder för att påstådda brister i amerikansk lag ska övervinnas. Detta avvisades nu (igen) av en tillsynsmyndighet i EU.
Marco Blocher: "Äntligen har en dataskyddsmyndighet utdömt ett betydande bötesbelopp för fortsatt användning av ett verktyg som överför personuppgifter till USA i strid med GDPR - och förbjudit fortsatt användning av det verktyget. Detta är en trevlig förändring jämfört med andra dataskyddsmyndigheter som bara konstaterar att det har skett en överträdelse men som inte skapar något incitament för att följa reglerna i framtiden. Vi hoppas att andra dataskyddsmyndigheter följer den svenska dataskyddsmyndighetens exempel och sätter stopp för olagliga dataöverföringar."
Kommande avtal. EU och USA har aviserat ett nytt avtal under våren 2022. Än så länge är det inte färdigställt, men det sägs att det kommer att utfärdas denna månad. Med tanke på att det nya avtalet strukturellt sett är detsamma som två tidigare avtal är det mycket troligt att EU-domstolen återigen kommer att ogiltigförklara det.
