Austrijsko nadzorno tijelo (DSB) odbacilo je „pristup temeljen na riziku“ za prijenos podataka u treće zemlje.
Nakon revolucionarnih odluka austrijskog i francuskog nadzornog tijela da je upotreba Google Analyticsa nezakonita, austrijsko tijelo je sada izdalo drugu odluku, koja predstavlja korak dalje: DSB je proglasio korištenje Googleove IP anonimizacije beskorisnom mjerom zaštite za prijenos podataka između EU i Sjedinjenih Država. DSB je također odbacio pojam "pristupa temeljenog na riziku" kojeg je zagovarao Google.
Neka tijela u Europi su u isto vrijeme zatvorila svoje slučajeve: španjolsko i luksemburško nadzorno tijelo zatvorili su žalbene postupke bez komentiranja nezakonite upotrebe Google Analyticsa, budući da su relevantne web stranice prestale koristiti Google Analytics.
GDPR ne predviđa “pristup temeljen na riziku” za prijenos podataka
Nakon Schrems II, Big Tech i industrijski pravnici promovirali su "pristup temeljen na riziku" za prijenos podataka. Predložili su da bi dodatne zaštitne mjere, kako je tražio Sud Europske unije, trebale biti potrebne samo u slučaju “značajnog rizika za prava i slobode ispitanika”. Takozvana standardna ugovorna klauzula trebala bi biti dovoljna za “slučajeve niskog rizika”, npr. kada se prenose “samo” podaci kao što su mrežni identifikatori ili IP adrese. DSB je sada utvrdio da je ovaj stav pogrešan: GDPR ne poznaje pristup koji se temelji na riziku za prijenos podataka u nesigurne treće zemlje, kao što je SAD.
DSB je razotkrio “pristup temeljen na riziku” za prijenos podataka kakav jest: nespretan pokušaj da se ublaži jasna sudska praksa Suda Europske unije. Relevantni članci o prijenosu podataka ne koriste riječ "rizik" niti jedanput.
Googleova IP anonimizacija ne štiti podatke
Austrijski DSB također je odbacio Googleove argumente da web stranice mogu aktivirati IP anonimizaciju kada koriste alate poput Google Analyticsa za učinkovitu zaštitu prenesenih podataka od nadzora. Ovo je odbijeno iz dva razloga: prvo, Googleova IP anonimizacija utječe samo na IP adresu kao takvu. Podaci kao što su mrežni identifikatori postavljeni po kolačićima ili podaci uređaja prenose se u čistom obliku. Drugo, anonimizacija IP-a se događa tek nakon što se podaci prenesu na Google. Sada je potvrđeno da samo zato što se IP adresa anonimizira u fazi procesa, IP adrese se još uvijek obrađuju u početku. Anonimizacija jednog identifikatora također ne prevladava činjenicu da postoje i drugi identifikatori.
Nacionalni pristupi unatoč radnoj skupini EDPB-a
Nadzorna tijela su planirala poduzeti koordiniran pristup u vezi s pritužbama NOYB-a, ali čini se da radna skupina ne daje rezultate: dok su austrijsko i francusko nadzorno tijelo temeljito istražili upotrebu alata koji prenose osobne podatke u SAD, španjolsko nadzorno tijelo je jednostavno odbacilo pritužbu jer je vlasnik web stranice uklonio Google Analytics s web stranice nakon žalbe. Nije utvrđena (ne)zakonitost prijenosa podataka u SAD prije uklanjanja spornog alata. Isto tako, nadzorno tijelo iz Luksemburga odbacilo je tri pritužbe u vezi s prijenosom podataka na Facebook poslužitelje u SAD-u, jer su web stranice uklonile alate.
