Ebben a rövid összefoglalóban kigyűjtöttük azokat az eseteket, amikor az európai tagállamok illetékes adatvédelmi hatóságai a Googyle Analytics használatával kapcsolatban tettek megállapításokat. Ezeket a döntéseket nem a magyar felügyeleti hatóság (NAIH) vagy bíróságok, hanem más EU-s országokban működő felügyeleti hatóságok, valamint bíróságok hozták, tehát itthon nincs precedens értékük (igen, létezik itthon is) vagy kötelező jogerejük. A magyar hatóság az adatvédelmi pajzs megszűnése óta nem adott ki ajánlást és egyelőre ilyen vonatkozású ügyet sem tettek még közzé, ugyanakkor a többi hatóság/bíróság érvei alapján szinte biztos, hogy itthon is hasonló döntés várható a Google-lel és egyéb amerikai szolgáltatókkal kapcsolatban.
Francia adatvédelmi hatóság (CNIL)
A NOYB (Max Schrems szervezete, az ő általa indított bírósági eljárás következményeként szűnt meg az EU-USA adatvédelmi pajzs -Shrems II ítélet.) kifogásai alapján a hatóság illegálisnak minősíti ezeket az adattovábbításokat és utasítja a francia weboldalak adatkezelőit, hogy adatkezeléseiket hozzák összhangba a GDPR-ral, és ha kell szüntessék be a Google Analytics jelenlegi feltételek szerinti használatát. (A megfelelés határideje egy hónap.) Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply | CNIL; UPDATE: CNIL decides EU-US data transfer to Google Analytics illegal (noyb.eu)
Osztrák adatvédelmi hatóság (DSB)
A NOYB kifogásai alapján a hatóság illegálisnak minősítette a Google Analytics használatát a megfelelő garanciák nélküli harmadik országba történő adattovábbítás, valamint az európai polgárok adatainak kiszolgáltatása okán. A Google felelősségét, mint címzettét egyelőre nem állapították meg, ez ügyben tovább vizsgálódnak. Standarderledigung Bescheid (noyb.eu); Austrian DSB: EU-US data transfers to Google Analytics illegal (noyb.eu)
Olasz adatvédelmi hatóság (Garante)
A hatóság fel kívánja hívni valamennyi (olasz) weboldal-üzemeltető figyelmét a Google Analytics használatából eredő, USA-ba irányuló adattovábbítás jogellenességére. A hatóság felszólítja az összes adatkezelőt a weboldalaikon használt cookie-k és egyéb nyomkövető eszközök -különösen a Google Analytics és hasonló szolgáltatások- ellenőrzésére és az általános adatvédelmi rendeletnek való megfeleltetésére.
A Google Analytics többek között IP-címet, böngészőre vonatkozó adatot, képernyőfelbontásra vonatkozó információt, valamint operációs rendszerre vonatkozó adatot továbbít az USÁ-ba.
Az IP-címek csonkolását az olasz hatóság nem minősíti anonimizálásnak és nem tarja elégséges intézkedésnek. https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9782874
Európai adatvédelmi biztos (EDPS):
A NOYB és 6 Európai Parlamenti képviselő panaszt nyújtott be a Parlament által használt koronavírusteszt weblapon gyűjtött személyes adatokkal kapcsolatban. Az Adatvédelmi Biztos megrovásban részesítette a Parlamentet többek között a Google és a Stripe használata okán megvalósuló harmadik országba történő jogellenes adattovábbítás miatt. (A jogellenességet ebben az esetben is a garanciák hiánya okozta, de probléma volt a nem megfelelő adattovábbítási eszköz, valamint az átláthatóság hiánya is.) EDPS sanctions Parliament over EU-US Data Transfers to Google and Stripe (noyb.eu)
A NOYB szinte minden EGT ország felügyeleti hatóságánál benyújtotta ezeket a panaszokat, úgyhogy várható, hogy még több ilyen döntés születik.
A döntések lényege röviden összefoglalva az, hogy megfelelő garanciák vállalása nélkül történik a harmadik országba történő adattovábbítás, ami jogellenes.
A Google és egyéb amerikai szolgáltatók által vállalt szokásos garanciák:
- SCCs betartása (nem csak részükről, hanem minden partner és adatkérő részéről).
- Adatkérések vizsgálata. A nem szükséges vagy arányos igénylés, illetve megfelelő jogalappal nem rendelkező vagy nem állami/jogosult szerv által benyújtott megkeresés elutasítása.
- Az adattovábbításról értesítés küldése kivéve, ha azt jogszabály tiltja.
- Évente kétszer átláthatósági jelentés közzététele:
- A tanúsítványok: ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II és SOC 3
- Szervezési és technikai intézkedéseik ismertetése.
- Szolgáltatáshoz kapcsolódó adatvédelmi térkép.
- Technikai intézkedések folyamatos fejlesztése.
A felsorolt garanciák nem elégségesek, konkrét, adott adatkezeléshez illő, hatásos intézkedéseket kell hozni, amelyek valóban védik az érintettek jogait és szabadságait. A garanciák hatásosságáért/megfelelőségéért az adatkezelő (az oldal üzemeltetője) felel.
Problémát jelenthet még az érintettek megfelelő tájékoztatásának hiánya, valamint a sütikhez való hozzájárulásuknak hiánya is.