İsveç bugün dört şirketine, kişisel verileri ABD’ye aktaran web trafiğini ölçen ve analiz eden bir Google Analytics’i kullanmayı bırakmasını emretti. Bunlardan birine de 1,1 milyon dolardan fazla para cezası verdi.
İsveç’in kişisel verileri koruma kurumu IMY, Avrupa’da Google’a karşı düzinelerce şikayette bulunan Avusturyalı veri gizliliği grubu NOYB’nin şikayetinin ardından Google Analytics kullanımını incelediğini açıkladı. (NOYB = None of Your Business’in yani İngilizce “Seni İlgilendirmez” kelimelerinin baş harfleri).
Noyb, şirketler tarafından web istatistikleri için Google Analytics kullanımının, AB’nin veri koruma yönetmeliği olan GDPR’yi ihlal ederek Avrupa verilerinin ABD’ye aktarılmasıyla sonuçlandığını iddia ediyor.
GDPR, verilerin üçüncü ülkelere aktarılmasına yalnızca Avrupa Komisyonu’nun bu ülkelerin en azından AB ile aynı düzeyde gizlilik koruması sunduğuna karar vermesi ve 2020 AB Adalet Divanı’nın bir AB-ABD veri aktarım anlaşmasını iptal etme kararı alması durumunda izin veriyor.
IMY, dört şirket tarafından Amerika Birleşik Devletleri’ndeki Google Analytics’e gönderilen verileri kişisel veri olarak değerlendirdiğini ve “şirketlerin almış olduğu teknik güvenlik önlemlerinin, esasen garanti edilene tekabül eden bir koruma düzeyi sağlamak için yeterli olmadığını” söyledi.
Telekomünikasyon şirketi Tele2’ye 12 milyon kron ve çevrimiçi pazar yeri CDON’una 300.000 kron para cezası verdi. Bakkallar zinciri Coop ve Dagens Industri gazetesi aktarılan verileri korumak için daha fazla önlem almış ve ceza almamıştı.
Tele2, Google Analytics’i kendi isteğiyle kullanmayı bırakmıştı ve IMY, diğer şirketlere Google Analytics’i kullanmayı bırakmalarını emretti.
Soruşturmayı yöneten IMY hukuk danışmanı Sandra Arvidsson, ajansın kararlarının “kişisel verileri üçüncü bir ülkeye, bu durumda Amerika Birleşik Devletleri’ne aktarırken teknik güvenlik önlemlerine ve diğer önlemlere hangi gereksinimlerin getirildiğini netleştirdiğini” söyledi.
Nyob, IMY’nin kararını memnuniyetle karşıladı.
Yapılan açıklamada, “Diğer birçok Avrupa makamı (örneğin Avusturya, Fransa ve İtalya) Google Analytics kullanımının GDPR’yi ihlal ettiğini tespit etmiş olsa da, bu, Google Analytics kullanan şirketlere uygulanan ilk mali cezadır” dedi.
Mayıs ayı sonunda Avrupa Komisyonu, yaz sonuna kadar AB ile ABD arasındaki veri aktarımları için yeni bir yasal çerçeve oluşturmayı umduğunu söyledi.