Σταματήστε να χρησιμοποιείτε το Google Analytics, προειδοποιεί η Σουηδική Αρχή Απορρήτου, καθώς εκδίδει πρόστιμα άνω του 1 εκατομμυρίου $

Ο εποπτικός φορέας προστασίας δεδομένων της Σουηδίας έχει εκδώσει μερικά πρόστιμα σε σχέση με τις εξαγωγές δεδομένων ευρωπαίων χρηστών μέσω του Google Analytics, τα οποία διαπίστωσε ότι παραβιάζουν τους κανόνες απορρήτου του μπλοκ λόγω των κινδύνων που εγκυμονεί η επιτήρηση της κυβέρνησης των ΗΠΑ. Έχει επίσης προειδοποιήσει άλλες εταιρείες να μην χρησιμοποιούν το εργαλείο της Google.

Τα πρόστιμα – λίγο πάνω από 1,1 εκατομμύρια δολάρια για τη σουηδική τηλεπικοινωνιακή εταιρεία Tele2 και λιγότερα από 30 χιλιάδες δολάρια για τον τοπικό διαδικτυακό λιανοπωλητή CDON – είναι αξιοσημείωτα, καθώς είναι τα πρώτα τέτοια πρόστιμα μετά από μια σειρά στρατηγικών καταγγελιών περί απορρήτου που στοχεύουν το Google Analytics (και το Facebook Connect) τον Αύγουστο του 2020 .

Η ρυθμιστική αρχή διαπίστωσε ότι τα λεγόμενα συμπληρωματικά μέτρα που εφαρμόζει η Google στα δεδομένα ευρωπαίων χρηστών που αποστέλλονται στις ΗΠΑ για επεξεργασία δεν επαρκούσαν για να αυξήσουν το επίπεδο προστασίας στο απαιτούμενο νομικό πρότυπο. Συμπεριλαμβανομένης της χρήσης της περικοπής διευθύνσεων IP από την Google (ένα μέτρο ανωνυμοποίησης), καθώς, στην υπόθεση Tele2, είπε ότι η εταιρεία δεν διευκρίνισε εάν η περικοπή πραγματοποιήθηκε πριν ή μετά τη μεταφορά των δεδομένων στις ΗΠΑ, επομένως δεν είχε αποδειχθεί

Δεν υπάρχει “δυνητική πρόσβαση σε ολόκληρη τη διεύθυνση IP πριν από την περικοπή της τελευταίας οκτάδας”.

Ο επόπτης διαπίστωσε επίσης παραβιάσεις των κανόνων του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) του μπλοκ σχετικά με τις μεταφορές σε τρίτες χώρες στην περίπτωση χρήσης του Google Analytics από δύο άλλες εταιρείες, της Coop και της Dagens Industries, αλλά δεν επέβαλε πρόστιμα σε αυτές τις περιπτώσεις.

«Στους ελέγχους του το ΙΜΥ [the Swedish DPA] θεωρεί ότι τα δεδομένα που μεταφέρονται στις ΗΠΑ μέσω του στατιστικού εργαλείου της Google είναι προσωπικά δεδομένα επειδή τα δεδομένα μπορούν να συνδεθούν με άλλα μοναδικά δεδομένα που μεταφέρονται. Η αρχή καταλήγει επίσης στο συμπέρασμα ότι τα τεχνικά μέτρα ασφαλείας που έχουν λάβει οι εταιρείες δεν επαρκούν για να διασφαλίσουν ένα επίπεδο προστασίας που ουσιαστικά αντιστοιχεί σε αυτό που εγγυάται εντός της ΕΕ/ΕΟΧ», έγραψε η ρυθμιστική αρχή σε

δήλωση

.

«Και οι τέσσερις εταιρείες έχουν βασίσει τις αποφάσεις τους στη μεταφορά προσωπικών δεδομένων μέσω του Google Analytics σε τυπικές συμβατικές ρήτρες. Από τους ελέγχους του ΙΜΥ προκύπτει ότι κανένα από τα πρόσθετα τεχνικά μέτρα ασφαλείας των εταιρειών δεν επαρκεί. Το IMY εκδίδει διοικητικό πρόστιμο 12 εκατομμυρίων SEK κατά της Tele2 και 300.000 SEK κατά της CDON, η οποία δεν έχει λάβει τα ίδια εκτεταμένα προστατευτικά μέτρα όπως η Coop και η Dagens Industri. Το Tele2 σταμάτησε πρόσφατα να χρησιμοποιεί το εργαλείο στατιστικών με δική του πρωτοβουλία. Η IMY διατάζει τις άλλες τρεις εταιρείες να σταματήσουν να χρησιμοποιούν το εργαλείο».

Στην ανάρτηση ιστολογίου — η οποία φέρει τον τίτλο «Οι εταιρείες πρέπει να σταματήσουν να χρησιμοποιούν το Google Analytics» — η ρυθμιστική αρχή πρόσθεσε ότι οι τέσσερις αποφάσεις θα πρέπει να αντιμετωπίζονται ως καθοδήγηση, τονίζοντας αυτό που διατύπωσε ως ευρύτερες επιπτώσεις.

Πέρυσι, μια σειρά από DPA της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων των γαλλικών και ιταλικών επιτηρητών, προειδοποίησαν ενάντια στη χρήση του εργαλείου ανάλυσης της Google, αφού διαπίστωσαν ότι ορισμένοι χρήστες δεν συμμορφώνονται με τους κανόνες του μπλοκ για τις διεθνείς μεταφορές δεδομένων. Ωστόσο, άλλες ρυθμιστικές αρχές δεν έχουν εκδώσει οικονομικές κυρώσεις, σύμφωνα με τη ΜΚΟ noyb, η οποία βρισκόταν πίσω από τις αρχικές καταγγελίες – φαινομενικά ευνοούσε μια πιο ήπια προσέγγιση για την επιβολή του GDPR στους χρήστες ενός τέτοιου οικείου εργαλείου, παρά το ίδιο πρόβλημα μεταφοράς δεδομένων στο οποίο βασίζονται όλα.

Οι αρχικές 101 στρατηγικές καταγγελίες της noyb στόχευαν διάφορους ιστότοπους σε όλη την Ευρώπη που χρησιμοποιούν το Google Analytics ή παρόμοιες υπηρεσίες του Facebook μετά από μια απόφαση ορόσημο του Δικαστηρίου της Ευρωπαϊκής Ένωσης τον Ιούλιο του 2020, η οποία ακύρωνε μια συμφωνία μεταφοράς δεδομένων ΕΕ-ΗΠΑ που ονομάζεται Privacy Shield μόλις λίγα χρόνια μετά την κατάρριψη του προκατόχου του, του Safe Harbor.

Η ΕΕ και οι ΗΠΑ βρίσκονται στη διαδικασία οριστικοποίησης μιας τρίτης συμφωνίας μεταφοράς δεδομένων, που ονομάζεται Πλαίσιο Απορρήτου Δεδομένων ΕΕ-ΗΠΑ, η οποία αναμένεται να ολοκληρωθεί αργότερα αυτόν τον μήνα — και θα άρει, τουλάχιστον βραχυπρόθεσμα, τη νομική αβεβαιότητα που υπάρχει θόλωνε τις μεταφορές δεδομένων ΕΕ-ΗΠΑ μετά την απεργία του ΔΕΕ.

Τούτου λεχθέντος, αναμένονται νομικές προκλήσεις για το επερχόμενο πλαίσιο και διάφορα ευρωπαϊκά θεσμικά όργανα έχουν εκφράσει ανησυχίες ότι πτυχές της επαναδιαπραγματευθείσας ρύθμισης δεν φθάνουν αρκετά για να αντιμετωπίσουν τις ανησυχίες των δικαστών. Επομένως, μένει να δούμε αν θα είναι τρίτη φορά τυχερός για μια λύση υψηλού επιπέδου στη σύγκρουση μεταξύ των δικαιωμάτων απορρήτου της ΕΕ και των πρακτικών επιτήρησης των ΗΠΑ.

Σε μια δήλωση που σχολιάζει την απόφαση του σουηδικού φύλακα να επιβάλει τις πρώτες κυρώσεις για παράνομη χρήση του Google Analytics noyb, δικηγόρος προστασίας δεδομένων, Marco Blocher, δήλωσε: «Είμαστε πολύ χαρούμενοι για την περαιτέρω διευκρίνιση από τη σουηδική DPA. Είναι επίσης σημαντικό να δούμε ότι υπάρχουν πρόστιμα — είναι ο μόνος τρόπος για να πείσουμε άλλες εταιρείες να συμμορφωθούν

.

”

Η Google επικοινώνησε για σχόλια σχετικά με τις αποφάσεις του DPA.