Skip to main content

Schrems II Kararı, Google Analytics'in GDPR Uyumlu Değil Olduğu Anlamına Geliyor mu?

AB ve ABD'deki birçok şirket için 2022, yönetilmesi gereken başka bir kriz daha ekledi: Google Analytics'in GDPR uyumlu olmadığını beyan eden Schrems II'nin devamı.

Schrems II nedir?

Veri Koruma Komiseri - Facebook İrlanda ve Schrems II olarak da bilinen Maximillian Schrems, 16 Temmuz 2020'de sonuçlandı. Kısacası, Avrupa Adalet Divanı'nın kararı, kişisel koruma gerekliliklerini belirleyen AB-ABD Gizlilik Kalkanı'nı geçersiz kıldı. ABD'ye gönderilen AB vatandaşlarının verileri.

Bu dava, AB'den alınan kişisel verilerin ABD'deki Facebook bulut sunucularına gönderilmesinden ve - CLOUD Yasası uyarınca, ABD Dış İstihbarat Gözetiminden kaynaklanan, ABD'nin sahip olduğu ve işlettiği sunucuların GDPR'ye uygun kullanımını sorgulamıştır. Yasa ve diğer resmi politikalara daha sonra ABD istihbarat teşkilatları tarafından erişilebilir. Özetle AB vatandaşlarının kişisel verileri, ABD şirketlerinin sunucularına aktarıldığında GDPR uyarınca yeterince korunmamaktadır.

Avusturya'da Schrems II Kararı

Schrems II kararının ardından Max Schrems tarafından kurulan kar amacı gütmeyen noyb(Avrupa Dijital Haklar Merkezi), AB vatandaşlarının verilerini ABD şirketlerine aktaran çeşitli şirketler hakkında 101 şikayette bulundu. Böyle bir şikayet, web sitesi ziyaretçilerini izlemek için Google Analytics'i kullanan bir sağlık web sitesi olan netdocktor.at'a karşıydı. Birçok şirket gibi netdoktor da Avrupa Adalet Divanı'nın kararına rağmen Google Analytics'i kullanmaya devam etti. Google ve diğer ABD merkezli şirketler (Amazon, Facebook, Microsoft, vb.), AB ortaklarını fiziksel ve dijital koruma önlemlerinin ( veri merkezlerinin etrafındaki çitler, veri şifreleme, takma adlı veriler vb.) verilerini korumak için yeterliydi.

Ancak netdoktor davasında, Avusturya Veri Koruma Kurumu ("Datenischutzbehörde" veya "DSB") bunun yeterli olmadığına karar verdi. Google Analytics, GDPR'yi ihlal ediyor.Açıklıyorlar:

" Belirtilen sözleşmeye dayalı ve organizasyonel tedbirlerle ilgili olarak, [tedbirin] yukarıdaki hususlar anlamında ne ölçüde etkili olduğu açık değildir."

" Teknik önlemler söz konusu olduğunda, [önlemin] ABD yasalarını dikkate alarak ABD istihbarat teşkilatlarının erişimini fiilen ne ölçüde engelleyeceği veya sınırlayacağı da anlaşılamıyor (...)."

Bu karara dayanarak, birçok uzman bunun sadece başlangıç olduğuna inanıyor. Hâlâ mahkemeye çıkmayı bekleyen çok sayıda şikayet var ve diğer AB üye ülkeleri tarafından da benzer kararların alınması bekleniyor.

DSB ayrıca, AB veri ihracatçısının açık rızası olmadan ABD hükümetine veri aktarım kurallarıyla ilgili olarak Google'ı daha fazla araştıracağını da kararında belirtti.

Bu davada henüz verilmiş bir ceza yok, ancak mahkeme buna karar verirse, bir şirketin küresel cirosunun %4'ü kadar yüksek olabilir.

Google Analytics Kullanıcıları Üzerindeki Etki

Biz avukat değiliz ve yasal tavsiye veremiyoruz, ancak ABD merkezli şirketler tarafından sağlanan hizmetler aracılığıyla AB vatandaşlarının verilerini işleyen herhangi bir şirketin risk altında olduğu görülüyor. Web analitiği açısından, Google Analytics dünyada bir numaradır, ancak dikkatli olunması gereken daha pek çok şey vardır. Her zaman şirketin nerede kurulduğunu ve veri merkezlerinin nerede olduğunu kontrol edin.

Uzun vadede bu, ABD hükümetinin ve ABD sağlayıcılarının mevcut politikalarındave altyapılarında büyük değişiklikler yapmak zorunda kalacağı anlamına geliyor: yabancı vatandaşların verilerini koruyan ve ABD dışında yabancı verileri barındıran yasaları çıkarmak. Avrupa Komisyonu, AB-ABD Gizlilik Kalkanı'nın yerini alacak bir şey bulmaya hevesli, ancak şu anda ileriye dönük yasal bir yol yok. Müzakereler devam ediyor, ancak ABD tarafında hala yasal değişiklikler gerekiyor. Ve mevcut siyasi ve ekonomik iklime dayanarak, bunlar öngörülebilir gelecek için pek olası görünmüyor.

Web Analitiği Verilerinin Geleceği

Mahkeme, Google'ın yakın tarihli bir açıklamada reddettiğiGoogle Analytics'in GDPR uyumlu olmadığı sonucuna vardığından, soru, şirketlerin güvenli, düşük riskli web analizi verileri için nereye başvurduğudur. İlk adım, AB'de yerleşik, IP anonimleştirme kullanan, kullanıcı verilerini depolamayan ve GDPR, TTDSG, CCPA ve Ziyaretçi Analizi gibi diğer veri gizliliği yasalarıyla uyumlu şirketleri araştırmak olacaktır!

DSB kararının tamamı Almanca olarak buradabulunabilir.