İsveç’in veri koruma gözlemcisi, ABD hükümetinin gözetiminin oluşturduğu riskler nedeniyle bloğun gizlilik kural kitabını ihlal ettiğini tespit ettiği Avrupalı kullanıcıların verilerinin Google Analytics aracılığıyla dışa aktarılmasıyla ilgili olarak birkaç para cezası verdi. Ayrıca diğer şirketleri Google’ın aracını kullanmamaları konusunda uyardı.
İsveç tele2 tele2 için 1,1 milyon doların biraz üzerinde ve yerel çevrimiçi perakendeci CDON için 30 bin doların altında olan para cezaları, Ağustos 2020’de Google Analytics’i (ve Facebook Connect) hedef alan bir dizi stratejik gizlilik şikayetinin ardından bu tür ilk cezalar oldukları için dikkat çekicidir. .
Düzenleyici, Google tarafından Avrupalı kullanıcıların işlenmek üzere ABD’ye gönderilen verilerine uygulanan sözde ek önlemlerin, koruma düzeyini gerekli yasal standarda yükseltmek için yetersiz olduğunu tespit etti. Google’ın IP adresi kısaltmasını (bir anonimleştirme önlemi) kullanması da dahil olmak üzere, Tele2 davasında, şirketin kısaltmanın verilerin ABD’ye aktarılmasından önce mi yoksa sonra mı yapıldığını netleştirmediğini ve bu nedenle ispat edemediğini söyledi. “son sekizli kesilmeden önce IP adresinin tamamına potansiyel erişim yoktur”.
Gözlemci ayrıca, diğer iki şirketin Google Analytics, Coop ve Dagens Industries’i kullanması durumunda bloğun üçüncü ülkelere aktarımlara ilişkin Genel Veri Koruma Yönetmeliği (GDPR) kurallarının ihlal edildiğini tespit etti, ancak bu durumlarda para cezası vermedi.
“Yaptığı denetimlerde, IMY [the Swedish DPA] Google’ın istatistik aracı aracılığıyla ABD’ye aktarılan verilerin kişisel veriler olduğunu, çünkü verilerin aktarılan diğer benzersiz verilerle ilişkilendirilebileceğini düşünmektedir. Yetkili makam ayrıca, şirketlerin aldığı teknik güvenlik önlemlerinin, esas olarak AB/AEA içinde garanti edilene karşılık gelen bir koruma düzeyi sağlamak için yeterli olmadığı sonucuna varıyor.” ifade.
“Dört şirket de kişisel verilerin Google Analytics aracılığıyla aktarılmasına ilişkin kararlarını standart sözleşme maddelerine dayandırdı. IMY’nin denetimlerinden, şirketlerin ek teknik güvenlik önlemlerinin hiçbirinin yeterli olmadığı görülmektedir. IMY, Coop ve Dagens Industri ile aynı kapsamlı koruyucu önlemleri almayan Tele2’ye 12 milyon SEK ve CDON’a 300.000 SEK idari para cezası verir. Tele2 kısa süre önce kendi inisiyatifiyle istatistik aracını kullanmayı bıraktı. IMY, diğer üç şirkete aracı kullanmayı bırakmalarını emrediyor.”
Düzenleyici, “Şirketler Google Analytics’i kullanmayı bırakmalı” başlıklı blog gönderisinde, dört kararın rehberlik olarak ele alınması gerektiğini ekledi ve daha geniş çıkarımlar olarak ifade ettiği şeyi vurguladı.
Geçen yıl, Fransız ve İtalyan gözlemciler de dahil olmak üzere bir dizi Avrupa Birliği DPA’sı, bazı kullanıcıların bloğun uluslararası veri aktarımlarına ilişkin kurallarına uymadığını tespit ettikten sonra Google’ın analiz aracının kullanımına karşı uyarıda bulundu. Bununla birlikte, orijinal şikayetlerin arkasında olan NGO noyb’ye göre, diğer düzenleyiciler mali yaptırımlar uygulamadı – görünüşe göre, hepsinin altında yatan aynı veri aktarımı sorununa rağmen, bu tür tanıdık bir aracın kullanıcılarına GDPR’yi uygulamak için daha yumuşak bir yaklaşımı tercih ediyor.
noyb’nin orijinal 101 stratejik şikayeti, Temmuz 2020’de Avrupa Birliği Adalet Divanı’nın Gizlilik Kalkanı adlı bir AB-ABD veri aktarımı anlaşmasını geçersiz kılan dönüm noktası niteliğindeki bir kararının ardından Google Analytics veya benzer Facebook hizmetlerini kullanan Avrupa’daki çeşitli web sitelerini hedef aldı. selefi Safe Harbor’ı devirdikten sadece birkaç yıl sonra.
AB ve ABD, AB-ABD Veri Gizliliği Çerçevesi adı verilen ve bu ayın sonunda tamamlanması beklenen üçüncü bir veri aktarımı düzenlemesini sonuçlandırma sürecindedir ve en azından kısa vadede yasal belirsizliği ortadan kaldıracaktır. CJEU grevden bu yana AB-ABD veri transferlerini gölgeliyor.
Bununla birlikte, yeni çerçeveye yasal itirazlar bekleniyor ve çeşitli Avrupa kurumları, yeniden müzakere edilen düzenlemenin bazı yönlerinin yargıçların endişelerini giderecek kadar ileri gitmediği yönündeki endişelerini dile getirdi. Dolayısıyla, AB mahremiyet hakları ile ABD gözetim uygulamaları arasındaki çatışmaya üst düzey bir çözüm bulmanın üçüncü kez şanslı olup olmayacağını zaman gösterecek.
Bir veri koruma avukatı olan noyb’den Marco Blocher, İsveç gözlemci kuruluşunun Google Analytics noyb’nin yasa dışı kullanımı için ilk cezaları verme kararı hakkında yorum yapan bir açıklamada şunları söyledi: “İsveç DPA’sının daha fazla açıklama yapmasından çok memnunuz. Para cezaları olduğunu görmek de önemlidir – diğer şirketlerin buna uymasını sağlamanın tek yolu budur..”
DPA’nın kararları hakkında yorum yapması için Google ile iletişime geçildi.
