Skip to main content

Decizia Schrems II înseamnă că Google Analytics nu este conform GDPR?

Pentru multe companii din UE și SUA, 2022 a adăugat o altă criză de gestionat: urmarea Schrems II care declară că Google Analytics nu respectă GDPR.

Ce este Schrems II?

Data Protection Commissioner împotriva Facebook Ireland și Maximillian Schrems, cunoscut și sub numele de Schrems II, s-a încheiat la 16 iulie 2020. Pe scurt, decizia Curții Europene de Justiție a anulat Scutul de confidențialitate UE-SUA, acordul care specifica cerințele de protecție pentru datele cetățenilor UE trimise în SUA.

Acest caz a pus sub semnul întrebării utilizarea conformă cu GDPR a oricăror servere deținute și operate de SUA, ca urmare a faptului că datele personale din UE erau trimise către serverele cloud Facebook din SUA și, în conformitate cu Legea CLOUD, Supravegherea informațiilor externe din SUA Act și alte politici oficiale - ar putea fi apoi accesate de agențiile de informații americane. Pe scurt, datele personale ale cetățenilor UE nu sunt protejate în mod adecvat în conformitate cu GDPR atunci când sunt transferate pe serverele companiilor din SUA.

Decizia Schrems II în Austria

După decizia Schrems II, organizația non-profit noyb(Centrul European pentru Drepturile Digitale), fondată de Max Schrems, a depus 101 plângeri împotriva diferitelor companii care au transferat datele cetățenilor UE către companii din SUA. O astfel de plângere a fost împotriva netdocktor.at, un site de sănătate care a folosit Google Analytics pentru a urmări vizitatorii site-ului. La fel ca multe companii, netdoktor a continuat să folosească Google Analytics în ciuda deciziei Curții Europene de Justiție. Google, precum și alte companii din SUA (Amazon, Facebook, Microsoft etc.) s-au bazat pe Clauze Contractuale Standard (SCC) și Măsuri Tehnice și Organizaționale (TOM) pentru a ajuta să convingă partenerii UE că măsurile lor de protecție fizică și digitală ( garduri în jurul centrelor de date, criptarea datelor, date pseudonime etc.) au fost suficiente pentru a le proteja datele.

Dar în cazul netdoktor, Autoritatea Austriacă pentru Protecția Datelor („Datenschutzbehörde” sau „DSB”), a decis că acest lucru nu este suficient. Google Analytics încalcă GDPR.Ei explică:

„În ceea ce privește măsurile contractuale și organizatorice prezentate, nu este evident în ce măsură [măsura] este eficientă în sensul considerațiilor de mai sus”.

În ceea ce privește măsurile tehnice, nici nu se poate recunoaște (...) în ce măsură [măsura] ar împiedica sau limita de fapt accesul agențiilor de informații americane, luând în considerare legislația SUA”.

Pe baza acestei decizii, mulți experți consideră că acesta este doar începutul. Există încă multe plângeri care așteaptă să-și ajungă ziua în instanță și este de așteptat ca decizii similare să fie luate de alte țări membre UE.

De asemenea, DSB a declarat în decizia sa că va investiga în continuare Google în ceea ce privește regulile de transfer de date către guvernul SUA, fără consimțământul explicit al exportatorului de date din UE.

În acest caz nu există încă sancțiuni, dar dacă instanța decide să facă acest lucru, acestea ar putea ajunge până la 4% din cifra de afaceri globală a unei companii.

Impact asupra utilizatorilor Google Analytics

Nu suntem avocați și nu putem oferi consultanță juridică, dar se pare că orice companie care prelucrează datele cetățenilor UE prin servicii furnizate de companii din SUA este în pericol. În ceea ce privește analiza web, Google Analytics este numărul unu în lume, dar există multe altele la care trebuie să fiți atenți. Verificați întotdeauna unde este înființată compania și unde se află centrele lor de date.

Pe termen lung, aceasta înseamnă că guvernul SUA și furnizorii americani vor trebui să facă schimbări majore în politicileși infrastructura lor actuală: adoptarea unei legislații care protejează datele cetățenilor străini și găzduirea datelor străine în afara SUA. Comisia Europeană este nerăbdătoare să găsească un înlocuitor pentru Scutul de confidențialitate UE-SUA, dar nu există o cale legală de urmat în prezent. Negocierile sunt în desfășurare, dar necesită încă modificări legale din partea SUA. Și pe baza climatului politic și economic actual, aceste lucruri par puțin probabile pentru viitorul previzibil.

Viitorul datelor de analiză web

Întrucât instanța a concluzionat că Google Analytics nu respectă GDPR, ceea ce Google a negatîntr-o declarație recentă, întrebarea este unde se adresează companiile pentru date de analiză web sigure și cu risc scăzut. Primul pas ar fi să cercetăm companiile cu sediul în UE, care utilizează anonimizarea IP, care nu stochează datele utilizatorilor și care respectă GDPR, TTDSG, CCPA și alte legi privind confidențialitatea datelor - cum ar fi Visitor Analytics!

Decizia completă a DSB, în limba germană, poate fi găsită aici.