İsveç’in veri koruma gözlemcisi; ABD gözetiminin oluşturduğu riskler nedeniyle, gizlilik kural kitabını ihlal ettiğini tespit ettiği Google Analytics aracılığıyla Avrupalı kullanıcıların verilerinin ihracatına yönelik birkaç para cezası verdi. Ayrıca diğer şirketleri Google’ın aracını kullanmaya karşı uyardı.
İsveçli telekomünikasyon şirketi Tele2 için 1,1 milyon doların biraz üzerinde ve yerel çevrimiçi perakendeci CDON için 30.000 dolardan az olan para cezaları, Ağustos 2020’de Google Analytics‘i (ve Facebook Connect’i) hedef alan bir dizi stratejik gizlilik şikayetinin ardından bu tür ilk para cezaları.
Düzenleyici, Google tarafından Avrupalı kullanıcıların işlenmek üzere ABD’ye gönderilen verilerine uyguladığı sözde ek önlemlerin, koruma seviyesini gerekli yasal standarda yükseltmek için yetersiz olduğunu tespit etti. Google’ın IP adresi kesme (anonimleştirme önlemi) kullanımı da dahil olmak üzere, Tele2 durumunda, şirketin kesmenin verilerin ABD’ye aktarılmasından önce mi yoksa sonra mı gerçekleştirildiğini netleştirmediğini söyledi. bu nedenle “son oktet kesilmeden önce tüm IP adresine potansiyel erişim olmadığını” gösteremedi.
Gözlemci ayrıca, diğer iki şirketin Google Analytics, Coop ve Dagens Industries‘i kullanması durumunda bloğun üçüncü ülkelere transferlere ilişkin Genel Veri Koruma Yönetmeliği (GDPR) kurallarının ihlal edildiğini tespit etti, ancak bu durumlarda para cezası vermedi.
“Denetimlerinde, IMY [İsveç DPA], Google’ın istatistik aracı aracılığıyla ABD’ye aktarılan verilerin kişisel veri olduğunu, çünkü verilerin aktarılan diğer benzersiz verilerle ilişkilendirilebileceğini düşünüyor. Otorite ayrıca, “Şirketlerin aldığı teknik güvenlik önlemlerinin, esasen AB/AEA içinde garanti edilene karşılık gelen bir koruma düzeyi sağlamak için yeterli olmadığı sonucuna varıyor.” dedi.
“Dört şirketin tümü, kararlarını Google Analytics aracılığıyla kişisel verilerin aktarılmasına standart sözleşme maddelerine dayandırdı. IMY’nin denetimlerinden, şirketlerin hiçbir ek teknik güvenlik önlemlerinin yeterli olmadığı anlaşılıyor. IMY, Coop ve Dagens Industri ile aynı kapsamlı koruyucu önlemleri almayan Tele2’ye karşı 12 milyon SEK ve CDON’ye karşı 300.000 SEK idari para cezası veriyor. Tele2 son zamanlarda istatistik aracını kendi inisiyatifiyle kullanmayı bıraktı. IMY, diğer üç şirkete aracı kullanmayı bırakmalarını emrediyor.”
“Şirketler Google Analytics‘i kullanmayı bırakmalı” başlıklı blog gönderisinde düzenleyici, dört kararın rehberlik olarak ele alınması gerektiğini de sözlerine ekledi ve neyi daha geniş çıkarımlar olarak ifade ettiğini vurguladı.
Fransız ve İtalyan Gözlemciler de uyarmıştı
Geçen yıl, Fransız ve İtalyan gözlemcileri de dahil olmak üzere bir dizi Avrupa Birliği DPA’sı, bloğun uluslararası veri aktarımlarına ilişkin kurallarına uymayan bir dizi kullanıcı bulduktan sonra Google’ın analiz aracının kullanımına karşı uyardı.
AB ve ABD, AB-ABD adı verilen üçüncü bir veri aktarım düzenlemesini tamamlama sürecinde.
Bununla birlikte, gelen çerçeveye yasal zorluklar bekleniyor ve çeşitli Avrupa kurumları, yeniden müzakere edilen düzenlemenin yönlerinin hakimlerin endişelerini ele alacak kadar ileri gitmediği konusunda endişelerini dile getirdi. Bu nedenle, AB gizlilik hakları ile ABD gözetim uygulamaları arasındaki çatışmaya üst düzey bir çözüm olabilecek mi belirsiz.
Google bu konuyla ilgili bir açıklamada bulundu
“İnsanlar ziyaret ettikleri web sitelerinin iyi tasarlanmış, kullanımı kolay ve gizliliklerine saygılı olmasını ister. Google Analytics, yayıncıların sitelerinin ve uygulamalarının ziyaretçileri için ne kadar iyi çalıştığını anlamalarına yardımcı oluyor, ancak bireyleri tanımlayarak veya web üzerinden izleyerek değil. Bu araçlarla hangi verilerin toplandığını ve nasıl kullanıldığını Google değil, bu kuruluşlar kontrol ediyor. Google, uyumluluk için bir dizi koruma, kontrol ve kaynak sağlayarak yardımcı oluyor.”