Шведският орган за защита на личните данни (Integritetsskyddsmyndigheten – IMY) глоби две компании с 12,3 млн. шведски крони (1 млн. евро/ 1,1 млн. долара) за използване на Google Analytics и предупреди други две за същата практика.

В решение, публикувано вчера, агенцията обяснява, че като са използвали Google Analytics за генериране на уеб статистически данни, фирмите са нарушили Общия регламент за защита на данните (GDPR) на Европейския съюз.

По-конкретно, дружествата са нарушавали член 46, параграф 1 от GDPR, който забранява предаването на лични данни на държави или международни организации, които не разполагат с гаранции, гарантиращи безопасност и правни механизми за отстраняване на нередности.

Съединените щати са считани за рисково място за съхранение на данни на европейски потребители, съгласно решението „Schrems II“ от юли 2020 г., в което Съдът на Европейския съюз (СЕС) постанови, че всякакви трансфери на данни към САЩ в контекста на съществуващия по това време механизъм „Щит за защита на личните данни“ са незаконни.

Това нарушение е същото, за което ирландската Комисия за защита на данните (КЗД) наложи глоба на Meta в размер на 1,3 млрд. долара за прехвърляне на данни на потребители, базирани в ЕС, към сървъри в САЩ.

След подаването на съответната жалба от австрийската организация за защита на цифровите права None of Your Business (NOYB) IMY извърши одити, за да определи вида на данните, които инструментът Google Analytics изпраща в САЩ, и стигна до заключението, че те представляват лична информация. Одитите се отнасяха за версия на инструмента Google Analytics от 14 август 2020 г.

„IMY счита, че данните, предадени в САЩ чрез статистическия инструмент на Google, са лични данни, тъй като данните могат да бъдат свързани с други уникални данни, които се предават“, заявяват те.

„Органът също така стига до заключението, че техническите мерки за сигурност, които дружествата са предприели, не са достатъчни, за да осигурят ниво на защита, което по същество съответства на нивото, гарантирано в рамките на ЕС/ЕИП.“ – IMY

Четирите дружества, на които е наложено порицание, са:

• Tele2 SA (tele2.se) – административна глоба в размер на 12 000 000 SEK
• CDON AB (cdon.fi) – Призив за спазване на GDPR и административна глоба в размер на 300 000 SEK
• Coop SA (coop.se) – Призив за спазване на GDPR
• Dagens Industri (di.se) – Призив за спазване на GDPR

Tele2 SA – доставчик на телекомуникационни и интернет услуги в Швеция, наскоро реши да спре да използва Google Analytics по своя инициатива.

На останалите три организации е наредено да спрат да използват Google Analytics и да въведат адекватни мерки за защита на данните не по-късно от един месец след решението на IMY, което беше обявено на 30 юни 2023 г.

В миналото използването на Google Analytics отново беше счетено за несъответстващо на GDPR от органите за защита на данните в Австрия, Франция и Италия.

Въпреки това решението на IMY да наложи финансови санкции на нарушителите прави това първо по рода си.

Тези решения служат и като насоки за цялата индустрия и други компании, използващи Google Analytics, може да решат да коригират стратегията си, за да се съобразят с правилата и разпоредбите в ЕС.