De Zweedse Autoriteit voor Privacybescherming (IMY) heeft gecontroleerd hoe vier bedrijven Google Analytics gebruiken voor webstatistieken. IMY heeft administratieve boetes opgelegd aan twee van de bedrijven. Een van de bedrijven is onlangs op eigen initiatief gestopt met het gebruik van de statistiektool, terwijl IMY de andere drie opdraagt er ook mee te stoppen.
Doorgifte persoonsgegevens
De audits zijn gebaseerd op klachten van de organisatie None of Your Business (NOYB) in het licht van het Schrems II-arrest van het Europees Hof van Justitie (HvJEU). Volgens de klachten geven de bedrijven in strijd met de wet persoonsgegevens door aan de Verenigde Staten.
Passend beschermingsniveau
Volgens de gegevensbeschermingsverordening GDPR mogen persoonsgegevens worden doorgegeven aan derde landen, d.w.z. landen buiten de EU/EER, als de Europese Commissie heeft besloten dat het land in kwestie een passend beschermingsniveau voor persoonsgegevens heeft dat overeenkomt met dat binnen de EU/EER. Het HvJEU oordeelde echter in het Schrems II-arrest dat de Verenigde Staten ten tijde van de uitspraak geen passend beschermingsniveau kennen.
In zijn audits is IMY van mening dat de gegevens die de statistiektool van Google de VS doorgeeft persoonsgegevens zijn. Die gegevens zijn immers te koppelenaan andere unieke gegevens die worden doorgegeven. De autoriteit concludeert ook dat de technische beveiligingsmaatregelen die de bedrijven hebben genomen niet voldoende zijn om een beschermingsniveau te garanderen dat in wezen overeenkomt met het niveau dat binnen de EU/EER wordt gegarandeerd.
Duidelijkheid
Doordat IMY tegelijkertijd over deze zaken heeft besloten, is duidelijk welke eisen gelden voor technische beveiligingsmaatregelen en andere maatregelen bij de overdracht van persoonsgegevens naar een derde land. In dit geval de Verenigde Staten.
Als de Europese Commissie geen besluit neemt over een passend beschermingsniveau, mogen gegevens worden doorgegeven op basis van contractuele standaardclausules waartoe de Europese Commissie heeft besloten. Volgens het HvJEU kan het echter nodig zijn om dergelijke modelcontractbepalingen aan te vullen met extra waarborgen als het nodig is om de bescherming die de bepalingen beogen te bieden in de praktijk te handhaven.
Alle vier de bedrijven hebben hun beslissingen over de overdracht van persoonsgegevens via Google Analytics gebaseerd op standaard contractuele clausules. Uit de audits van IMY blijkt dat geen van de aanvullende technische beveiligingsmaatregelen van de bedrijven afdoende is.
Boetes
IMY legt een administratieve boete op van 12 miljoen SEK aan Tele2 en 300.000 SEK aan CDON, dat niet dezelfde uitgebreide beschermingsmaatregelen heeft genomen als Coop en Dagens Industri. Tele2 is onlangs op eigen initiatief gestopt met het gebruik van de statistiektool. IMY beveelt de andere drie bedrijven om te stoppen met het gebruik van de tool.
(bron)