Шведський орган захисту даних застерігає від використання Google Analytics та накладає за це штрафи

Шведський орган із захисту даних наклав штрафи на дві компанії за використання Google Analytics, посилаючись на порушення Загального регламенту захисту даних Європейського Союзу (GDPR) через ризик, пов’язаний з отриманням даних урядом США. Відомство також попередило інші компанії про недопустимість використання інструменту аналітики Google, повідомляє TechCrunch.

Штрафи, що становлять трохи понад $1,1 мільйона для шведської телекомунікаційної компанії Tele2 і менш як $30 000 для місцевого онлайн-ритейлера CDON, є першими у своєму роді після серії скарг щодо конфіденційності, спрямованих на Google Analytics у серпні 2020 року.

Регулятор встановив, що додаткові заходи, застосовані Google до даних європейських користувачів, які надсилаються до США для обробки, були недостатніми для того, щоб відповідати необхідному правовому стандарту. Йдеться, зокрема, про використання Google усічення IP-адрес, що є одним зі способів анонімізації. Орган заявив, що Tele2 не уточнив, чи було здійснено усічення до або після передачі даних до США, таким чином не продемонструвавши, що «немає потенційного доступу до всієї IP-адреси до того, як останній октет був усічений».

Орган також виявив порушення GDPR у випадку використання Google Analytics двома іншими компаніями, Coop і Dagens Industries, але не наклав штрафів у цих випадках. Він дійшов висновку, що технічні заходи безпеки, вжиті цими компаніями, були недостатніми для забезпечення рівня захисту, який по суті відповідає рівню, гарантованому в межах ЄС/ЄЕЗ.

Усі чотири компанії обґрунтовували свої рішення щодо передачі персональних даних через Google Analytics стандартними договірними положеннями. Однак орган встановив, що додаткові технічні заходи безпеки, вжиті жодною з компаній, не були достатніми.

Шведський орган захисту даних також підкреслив, що низка органів захисту даних Європейського Союзу, в тому числі у Франції та Італії, також застерігають від використання Google Analytics через ту саму проблему з передачею даних.

В Google відреагували на ці штрафи наступним коментарем:

«Люди хочуть, щоб вебсайти, які вони відвідують, були добре продумані, прості у використанні та поважали їхню приватність. Google Analytics допомагає видавцям зрозуміти, наскільки добре їхні сайти та додатки працюють для відвідувачів – але не шляхом ідентифікації осіб чи відстеження їх в інтернеті. Ці організації, а не Google, контролюють, які дані збираються за допомогою цих інструментів і як вони використовуються. Google допомагає їм, надаючи низку гарантій, засобів контролю та ресурсів для дотримання вимог законодавства».

Наразі ЄС і США завершують роботу над третьою угодою про передачу даних, яка називається «Рамкова угода про захист даних між ЄС і США», і, як очікується, буде укладена наприкінці цього місяця. Однак є юридичні проблеми, пов’язані з новою угодою, і різні інституції в ЄС висловлюють занепокоєння, що деякі аспекти переглянутої угоди не йдуть достатньо далеко, щоб розв’язати проблеми, які турбують європейських законодавців.