Italija: Nova prepoved uporabe Google Analytics

Italija: Nova prepoved uporabe Google Analytics
24. 06. 2022 objavil/a Bojana Pleterski
44. člen GDPR
46. člen GDPR
Google Analytics
Il Garante
Italija
Schrems II

Italijanski nadzorni organ se je pridružil odločitvam avstrijskega in francoskega nadzornega orana in prepovedal uporabo Google Analytics zaradi nezakonitega prenosa podatkov v ZDA

Odločitev je bila objavljena 23.6.2022

Po pritožbi, izdani 17. 8. 2020, je italijanski organ za varstvo podatkov (Garante) objavil svojo odločitev glede uporabe storitve Google Analytics (GA). Odločil je, da je bila uporaba storitve GA na spletnem mestu, ki ga upravlja italijansko podjetje, ki je vključevala prenos osebnih podatkov v podjetje Google LLC v ZDA, v nasprotju s členom 44 GDPR, saj ni vsebovala zaščitnih ukrepov.

Dejstva

  • podjetje je uporabljalo brezplačno različico GA in ni implementiralo funkcije IP-anonimizacija;

  • osebni podatki uporabnikov spletne strani (vključno z naslovi IP) so bili preneseni podjetju Google LLC v ZDA (kot uvozniku podatkov) in nadaljnjim podobdelovalcem v tretjih državah;

  • upravljavec se je sicer zagovarjal, da ima omejeno pogajalsko izhodišče glede varnostnih ukrepov in prenosov podatkov;

  • podjetje je uporabljalo avtomatizirano spletno storitev za upravljanje svoje politike zasebnosti in piškotkov.

Ugotovitve

  • prenos podatkov ni dovoljen, saj nima ustreznih zaščitnih ukrepov (kršitev 44. - 46. člena GDPR);

  • izvoznik podatkov mora oceniti pravno ozadje in prakse v tretjih državah, vključenih v prenos, pri čemer takšna ocena ne sme temeljiti samo na subjektivnih elementih (npr. verjetnosti škode). V vsakem primeru zakonodaja ZDA ne zagotavlja enakovredne ravni zaščite v EU;

  • šifriranje ne zadostuje, kadar ima uvoznik podatkov ključe za dešifriranje;

  • Googlova funkcija anonimizacije IP-ja je zgolj tehnika psevdonimizacije;

  • avtomatizirano ustvarjena politika zasebnosti ni imela minimalnih zahtev po informacijah o prenosih podatkov v tretje države.

Zaključek

Nadzorni organ družbi ni naložil globe, je pa opozoril na pomanjkanje ustrezne pogodbe in naložil prekinitev prenosa podatkov, če podjetje v 3 mesecih ne bo izvedlo ustreznih zaščitnih ukrepov. Odločitev še ni pravnomočna in zoper njo je možna pritožba.

Velja še poudariti, da Google Analytics kot tak ni prepovedan, ampak kot ga izvaja podjetje. Čeprav je bila odločitev sprejeta proti enemu spletnemu mestu, bi morala veljati za uporabo Google Analytics na splošno. 

Vir: Garante

Naslovna slika: RawPixel