UPDATE: Ytterligare ett dataskyddsmyndighet i EU beordrar stopp för Google Analytics
Den italienska dataskyddsmyndigheten (GPDP) har anslutit sig till det samförstånd som delas av Europeiska datatillsynsmannen samt den franska och österrikiska dataskyddsmyndigheten och har förbjudit användningen av Google Analytics (GA). Efter våra 101 klagomål om dataöverföringar drog GPDP slutsatsen att webbplatser som använder GA samlade in användarinteraktioner och överförde användaruppgifter till USA; ett land utan en adekvat nivå av dataskydd, vilket gör överföringen olaglig.
Garante är det fjärde dataskyddsombudet som ställer sig på Noybs sida om dataöverföringar. Den italienska dataskyddsmyndigheten ansåg att användningen av Google Analytics var olaglig, eftersom webbplatsoperatörer som använde GA samlade in användardata via cookies och överförde dessa till USA. Genom att fastställa att behandlingen var olaglig upprepade den italienska dataskyddsmyndigheten att en IP-adress är en personuppgift och inte skulle anonymiseras även om den förkortades - med tanke på Googles möjligheter att berika sådana uppgifter genom ytterligare information som den innehar.
Datatillsynsmannen sanktionerar parlamentet om överföringar. I början av året utfärdade Europeiska datatillsynsmannen (EDPS) ett beslut efter ett klagomål från noyb, som bekräftade att Europaparlamentet bröt mot dataskyddslagstiftningen på sin webbplats för covid-testning. Datatillsynsmannen betonade att användningen av Google Analytics bröt mot EU-domstolens"Schrems II"-avgörande om dataöverföringar mellan EU och USA. Avgörandet var ett av de första besluten om tillämpning av Schrems II och banade väg för liknande avgöranden.
Österrikiskt DPA-beslut följde. Efter att den österrikiska datainspektionen publicerat sitt beslut som för första gången gjorde användningen av GA olaglig, utfärdade DSB ett andra beslut som förklarade att användningen av Googles IP-anonymisering var en värdelös skyddsåtgärd för dataöverföringar mellan EU och USA. DSB förkastade också idén om ett "riskbaserat tillvägagångssätt", som Google hade argumenterat för och som skulle tillåta överföring av förment "lågriskfall", t.ex. när online-identifierare eller IP-adresser överförs.
Franska CNIL beordrar efterlevnad. Bara några veckor efter det österrikiska beslutet beordrade franska CNIL tre webbplatser att följa GDPR och upphöra med användningen av Google Analytics. Efter att ha mottagit klagomål från noyb.eu ville CNIL kollektivt dra konsekvenserna av EU-domstolens dom i Schrems II-målet och framhöll risken för att amerikanska underrättelsetjänster skulle få tillgång till personuppgifter som överförts till USA om överföringarna inte reglerades ordentligt.
Nationella strategier trots europeisk arbetsgrupp. Datainspektionerna planerade att ta ett samordnat grepp om noybs101 klagomål, men den tillsatta arbetsgruppen verkade inte leverera: medan den italienska, österrikiska och franska dataskyddsmyndigheten grundligt undersökte de verktyg som användes för att överföra personuppgifter, avvisade den spanska dataskyddsmyndigheten ett klagomål eftersom webbplatsleverantören hade tagit bort Google Analytics från webbplatsen efter klagomålet. På samma sätt avvisade Luxemburgs dataskyddsmyndighet tre klagomål avseende dataöverföringar till Facebooks servrar i USA, eftersom webbplatserna hade tagit bort verktygen. Hittills har ingen dataskyddsmyndighet avvisat de materiella argumenten från noyb eller förklarat överföringarna lagliga.
