Početna Blog Google Analytics nezakonit u Europi!

Google Analytics nezakonit u Europi!

Svi članci
13.01.2022.

EDPS je sankcionirao Europski parlament zbog nezakonitog prijenosa podataka između EU-a i SAD-a!

 

Europski nadzornik za zaštitu podataka (EDPS) donio je odluku nakon žalbe koju je podnio NOYB kojom se potvrđuje da je Europski parlament prekršio Opću uredbu o zaštiti podataka (GDPR) na svojoj web stranici.

Kako bi zastupnicima u Europskom parlamentu i osoblju pružili mogućnost da budu učinkovito i brzo testirani zbog pandemije COVID-19, Europski parlament je ugovorio sa privatnom tvrtkom Ecolog da provodi masovno testiranje na COVID-19 i da vodi web stranicu europarl.ecocare.center. U cilju poštovanja epidemioloških mjera opreza, testiranje se provodilo nakon online registracije.

Preko softwarea za skeniranje web stranice i identifikaciju kolačića i alata za praćenje na web stranici pronađeni su Google analytics i Stripe kolačići (Stripe je američki servis za plaćanje).

EDPS ističe da je korištenje Google Analyticsa i Stripe-a prekršilo odluku Suda Europske unije (CJEU) "Schrems II" o prijenosu podataka između EU-a i SAD-a. Ova presuda je jedna od prvih odluka kojom se provodi "Schrems II" na terenu i može pokazati put za stotine drugih slučajeva koji su na čekanju pred europskim nadzornim tijelima.

NOYB je u siječnju 2021. podnio pritužbu protiv Europskog parlamenta u ime šest zastupnika u Europskom parlamentu zbog interne web stranice za testiranje na COVID-19. Problemi su varljivi skočni prozori kolačića, nejasne obavijesti o zaštiti podataka te nezakonit prijenos podataka u SAD.

EDPS je istražio slučaj i izrekao opomenu Parlamentu zbog kršenja "GDPR-a za institucije EU-a" (Uredba (EU) 2018/1725 primjenjiva samo na institucije EU-a).

U slučaju "Schrems II", CJEU je jasno dao do znanja da prijenos osobnih podataka iz EU-a u SAD podliježe vrlo strogim uvjetima. Web-mjesta se moraju suzdržati od prijenosa osobnih podataka u SAD gdje se ne može osigurati odgovarajuća razina zaštite osobnih podataka. EDPS je potvrdio da je web stranica prenijela podatke u SAD bez osiguravanja odgovarajuće razine zaštite podataka i istaknuo je: "Parlament nije dostavio nikakvu dokumentaciju, dokaze ili druge informacije u vezi s ugovornim, tehničkim ili organizacijskim mjerama koje su na snazi ​​kako bi se osigurala jednaka razina zaštite osobnim podacima prenesenim u SAD u kontekstu upotrebe kolačića na web stranici."

U kolovozu 2020. NOYB je podnio 101 pritužbu protiv tvrtki iz EU-a koje su uključivale funkcije Googlea i Facebooka na svojim web stranicama. Nakon formiranja "radne skupine" od strane nadležnih tijela za zaštitu podataka, NOYB uskoro očekuje odluku i za druge privatne web stranice nakon odluke EDPS-a.

EDPS je jasno stavio do znanja da čak i postavljanje kolačića od strane američkog davatelja usluga krši zakone EU o privatnosti. Nije postojala odgovarajuća zaštita od američkog nadzora, unatoč činjenici da su europski političari poznata meta za nadzor. Očekujemo više ovakvih odluka o korištenju američkih davatelja u sljedećim mjesecima, jer i drugi slučajevi također trebaju biti doneseni.” Max Schrems

Također je navedeno da su skočni prozori za kolačiće nejasni i varljivi. Na primjer, nisu navedeni svi kolačići i postoji razlika između jezičnih verzija. Stoga korisnici nisu mogli dati valjanu suglasnost. Tijekom istrage Parlament je uklonio sve kolačiće sa svoje web stranice.

NOYB trenutno radi na sličnim pritužbama na skočne prozore kolačića, što je podržano ovom odlukom.

Osim toga, u pritužbi je navedeno da njihova politika privatnosti nije jasna i transparentna budući da se odnosi na COVID testiranje u zračnoj luci Bruxelles ili na pogrešnu pravnu osnovu.

Parlament je tijekom istrage promijenio svoju politiku, ali ju je dijelom i pogoršao.

NOYB je istaknuo različite nedosljednosti u novoj politici privatnosti EP-a. EDPS se složio da informacije koje je dostavio Parlament krše obvezu transparentnosti, što je temeljni zakonski zahtjev prema GDPR-u. Konačno, EDPS je također smatrao da Parlament nije adekvatno odgovorio na zahtjeve ispitanika.

EDPS je izrekao opomenu Parlamentu zbog različitih kršenja Uredbe o zaštiti podataka koja se primjenjuje na institucije EU-a. Suprotno nacionalnim DPA-ima prema GDPR-u, EDPS može izdati novčanu kaznu samo u ograničenim okolnostima koje nisu ispunjene u ovom slučaju. Umjesto toga, EDPS je dao Parlamentu mjesec dana da ažurira svoju obavijest o zaštiti podataka i riješi preostala pitanja u vezi s transparentnošću i neusklađenostima koje je istaknuo u svojoj odluci.

 

Austrijski DSB: Upotreba Google Analyticsa krši odluku Suda Europske unije "Schrems II"

U revolucionarnoj odluci, austrijsko tijelo za zaštitu podataka ("Datenschutzbehörde" ili "DSB") odlučilo je o slučaju NOYB-a da kontinuirana upotreba Google Analyticsa krši GDPR. Ovo je prva odluka za 101 pritužbe koju je podnio NOYB nakon odluke "Schrems II"

Sud Europske unije (CJEU) odlučio je da korištenje američkih pružatelja usluga krši GDPR, budući da američki zakoni o nadzoru zahtijevaju od američkih pružatelja usluga poput Googlea ili Facebooka da daju osobne podatke američkim tijelima. Slične odluke očekuju se i u drugim državama članicama EU, budući da su regulatori surađivali na tim slučajevima u "radnoj skupini" EDPB-a. Čini se da je odluka austrijskog DSB-a prva donesena.

U srpnju 2020., CJEU je izdao svoju revolucionarnu presudu "Schrems II", smatrajući da prijenos američkim davateljima usluga koji potpadaju pod FISA 702 i EO 12.333 krši pravila o međunarodnom prijenosu podataka prema GDPR-u. Sud je stoga poništio ugovor o prijenosu "Privacy Shield" nakon što je poništio prethodni sporazum "Safe Harbor" 2015. Iako je to izazvalo šokove kroz tehnološku industriju, američki pružatelji usluga i izvoznici podataka iz EU-a uglavnom su ignorirali slučaj. Baš kao Microsoft, Facebook ili Amazon, Google se oslanjao na takozvane "standardne ugovorne klauzule" kako bi nastavio prijenos podataka i smirio svoje europske poslovne partnere.

Max Schrems: "Umjesto da zapravo prilagode usluge kako bi bile usklađene s GDPR-om, američke tvrtke pokušale su jednostavno dodati neki tekst svojim politikama privatnosti i zanemariti sud. Mnoge tvrtke iz EU-a slijedile su taj primjer umjesto prelaska na legalne opcije."

SCC (Standard contractul clauses  - standardne ugovorne klauzule) i TOM (Technical and Organisational Measures – tehničke i organizacijske mjere) nisu dovoljne.

Dok je Google podnosio podneske tvrdeći da je implementirao "tehničke i organizacijske mjere" koje su uključivale ideje poput postavljanja ograda oko podatkovnih centara, pregleda zahtjeva ili osnovnog šifriranja, DSB je odbacio ove mjere kao apsolutno beskorisne kada je u pitanju američki nadzor:

"S obzirom na navedene ugovorne i organizacijske mjere, nije očito u kojoj su mjeri učinkovite u smislu gore navedenih razmatranja."

"Što se tehničkih mjera tiče, također nije prepoznatljivo (...) u kojoj bi mjeri zapravo spriječila ili ograničila pristup američkih obavještajnih agencija s obzirom na američki zakon."

Max Schrems: "Ovo je vrlo detaljna i razumna odluka. Suština je: tvrtke više ne mogu koristiti američke cloud usluge u Europi. Prošlo je 1,5 godina otkako je Sud Europske unije to potvrdio drugi put, tako da je konačno došlo vrijeme da se zakon provede."

Google Analytics je vrlo često korišten američki alat. Iako postoje mnoge alternative koje se nalaze u Europi, mnoge web stranice oslanjaju se na Google i na taj način prosljeđuju podatke američkoj multinacionalnoj tvrtki. Činjenica da tijela za zaštitu podataka sada mogu postupno proglašavati američke usluge nezakonitima, stavlja dodatni pritisak na tvrtke iz EU-a i američke davatelje usluga da krenu prema sigurnim i legalnim opcijama, poput hostinga izvan SAD-a.

Max Schrems: "Očekujemo da će se slične odluke sada postupno donositi u većini država članica EU-a. Podnijeli smo 101 pritužbu u gotovo svim državama članicama, a tijela su koordinirala svoj odgovor. Sličnu odluku donio je i Europski nadzornik za zaštitu podataka prošlog tjedna. "

Dugoročno gledano, čini se da postoje dvije opcije: ili će SAD pružiti osnovnu zaštitu strancima kako bi podržali njihovu tehnološku industriju ili će američki pružatelji usluga morati držati podatke izvan SAD-a.

Max Schrems: "Dugoročno nam je potrebna odgovarajuća zaštita u SAD-u ili ćemo završiti s odvojenim proizvodima za SAD i EU. Osobno bih više volio bolju zaštitu u SAD-u, ali to ovisi o zakonodavcu SAD-a - nikome u Europi."

DSB je odbacio tužbe protiv Google LLC-a kao uvoznika podataka, smatrajući da se pravila o prijenosu podataka primjenjuju samo na entitete iz EU-a, a ne na uvoznike u SAD-u.

Međutim, DSB je rekao da će dodatno istražiti Google LLC u vezi s potencijalnim kršenjem članaka 5, 28 i 29 GDPR-a, budući da se čini upitnim je li Googleu bilo dopušteno dostaviti osobne podatke vladi SAD-a bez izričitog naloga EU-a izvoznika podataka. DSB će o ovom pitanju donijeti posebnu odluku.

Max Schrems: "Za nas je ključno da američki davatelji ne mogu jednostavno prebaciti problem na svoje korisnike iz EU-a. Stoga smo pokrenuli slučaj i protiv američkog uvoznika. DSB je djelomično odbio ovaj pristup.“

Nema informacija je li izrečena kazna i planira li DSB također izreći kaznu.

GDPR predviđa kazne do 20 milijuna eura ili 4% globalnog prometa u takvim slučajevima.

Max Schrems: "Pretpostavili bismo da postoji i kazna za izvoznika podataka iz EU-a, ali do sada smo dobili samo djelomičnu odluku koja se ne bavi ovim pitanjem."

 

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.