Την περασμένη εβδομάδα, το γαλλικό όργανο ελέγχου δεδομένων, η Εθνική Επιτροπή Πληροφορικής και Ελευθεριών (CNIL), διέταξε τρεις γαλλικούς ιστότοπους να σταματήσουν να χρησιμοποιούν τον ιστότοπο ανάλυσης κοινού Google Analytics, κρίνοντας ότι ο ιστότοπος είναι παράνομος βάσει του Γενικού Κανονισμού για την Προστασία Δεδομένων. Οι ιστότοποι έχουν προθεσμία 30 ημερών για να συμμορφωθούν, αλλιώς κινδυνεύουν με βαριά πρόστιμα έως και 20 εκατ. ευρώ ή το 4% του ετήσιου κύκλου εργασιών τους.
Η προειδοποίηση έγινε αφού η γαλλική εποπτική αρχή έλαβε πολλές καταγγελίες σχετικά με τη μεταφορά δεδομένων μεταξύ των ΗΠΑ και της Ευρωπαϊκής Ένωσης, από μια μη κερδοσκοπική οργάνωση για την προστασία της ιδιωτικότητας, το Ευρωπαϊκό Κέντρο Ψηφιακών Δικαιωμάτων (NOYB), το 2020. Το ΝΟΥΒ έστειλε τις καταγγελίες αυτές σε διάφορες περιφερειακές αρχές προστασίας δεδομένων (DPA), συμπεριλαμβανομένων των αυστριακών και γαλλικών DPA. Στο μεταξύ, περίπου οι μισές καταγγελίες βάζουν στο στόχαστρο τη χρήση του Google Analytics, ενώ οι άλλες μισές τη χρήση του Facebook Connect.
Σε αυτήν την υπόθεση, η CNIL διαπίστωσε ότι η χρήση του Google Analytics από έναν ανώνυμο ιστότοπο δε συμμορφώνεται με τον GDPR, διότι είχε παραβιάσει το άρθρο 44, το οποίο απαγορεύει τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ, εκτός εάν η χώρα παραλήπτης μπορεί να αποδείξει επαρκή προστασία των δεδομένων. Συγκεκριμένα, μετά την ακύρωση του πλαισίου Privacy Shield, μιας συμφωνίας μεταξύ της ΕΕ και των ΗΠΑ που επέτρεπε τη διαβίβαση δεδομένων σε πιστοποιημένες αμερικανικές εταιρείες, η CNIL και άλλες αρχές προστασίας δεδομένων της ΕΕ έχουν λάβει πολυάριθμες καταγγελίες σχετικά με τη διαβίβαση δεδομένων που συλλέγονται κατά τη διάρκεια επισκέψεων σε ιστότοπους που χρησιμοποιούν το Google Analytics.
Σύμφωνα με τον GDPR, τα δεδομένα προσωπικού χαρακτήρα καλύπτουν μια σειρά από αναγνωριστικά στοιχεία, όπως η διεύθυνση ηλεκτρονικού ταχυδρομείου, η φυλή, το φύλο, ο αριθμός τηλεφώνου, αλλά τα λιγότερο προφανή αναγνωριστικά στοιχεία περιλαμβάνουν, για παράδειγμα, διευθύνσεις IP ή αναγνωριστικά cookies.
Αμέτρητοι είναι οι ιστότοποι που βασίζονται στο Google Analytics για να μάθουν περισσότερα για το κοινό τους. Καθώς οι νόμοι περί προστασίας της ιδιωτικής ζωής, ιδίως στην Ευρώπη, γίνονται πιο αυστηροί και ένα σταθερό πλαίσιο για τη διατλαντική ροή δεδομένων εξακολουθεί να διαμορφώνεται, ο αριθμός των υπηρεσιών που περιφρονούν τον GDPR θα αποκαλυφθεί.
Σύμφωνα με τις κατευθυντήριες γραμμές του 2016 από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (EDPS), τα cookies παρακολούθησης, όπως τα cookies της Stripe και του Google Analytics, θεωρούνται προσωπικά δεδομένα, ακόμη και αν οι παραδοσιακές παράμετροι ταυτότητας των χρηστών που παρακολουθούνται είναι άγνωστες ή έχουν διαγραφεί από τον ανιχνευτή μετά τη συλλογή. Αυτό σημαίνει ότι οι εταιρείες που εδρεύουν στην Ευρώπη και χρησιμοποιούν το Google Analytics στέλνουν τα προσωπικά δεδομένα των ανθρώπων στις ΗΠΑ.
Τα συμπληρωματικά μέτρα
Οι εταιρείες στην ΕΕ που διαβιβάζουν δεδομένα στις ΗΠΑ υποχρεούνται να συμμορφώνονται με τα “συμπληρωματικά μέτρα”, τα οποία ενθαρρύνουν την αυστηρότερη ασφάλεια των δεδομένων, αποτρέποντας την πιθανότητα παρακολούθησης. Αυτά τα μέτρα διαμορφώθηκαν σύμφωνα με την απόφαση Schrems II, δηλαδή τις κατευθυντήριες γραμμές που καθορίστηκαν το 2020 μετά την ανατροπή της προηγούμενης διατλαντικής συμφωνίας για τα δεδομένα.
Ένα παράδειγμα αυτών των μέτρων θα μπορούσε να είναι μια ρήτρα που επιτρέπει στις εταιρείες στην ΕΕ να αμφισβητούν κάθε πρόσβαση σε δεδομένα που ζητά η κυβέρνηση των ΗΠΑ. Ή ένα μέτρο θα μπορούσε επίσης να είναι πιο τεχνικής φύσης, όπως η ανάπτυξη κρυπτογράφησης, ώστε κανείς να μην έχει πρόσβαση στα data. Οι DPAs αξιολόγησαν την αποτελεσματικότητα αυτών των συμπληρωματικών μέτρων και κατέληξαν στο συμπέρασμα ότι τα μέτρα που χρησιμοποιούνται επί του παρόντος δεν επαρκούν για την προστασία του απόρρητου των δεδομένων. Ως αποτέλεσμα, η πρώτη απόφαση εκδόθηκε από την αυστριακή DPA νωρίτερα τον Ιανουάριο, ενώ ακολούθησε η απόφαση της γαλλικής αρχής τον Φεβρουάριο.
Παρόμοιες αποφάσεις που καταρρίπτουν την παράνομη διαβίβαση δεδομένων προσωπικού χαρακτήρα μεταξύ των ΗΠΑ και της ΕΕ από τις DPSs σε όλη την Ευρώπη, συμπεριλαμβανομένης της Γερμανίας, της Ισπανίας, της Πορτογαλίας και της Πολωνίας, αναμένονται τους επόμενους μήνες. Εάν οι αρχές διαπιστώσουν ότι η μεταφορά δεδομένων δε διαθέτει επαρκείς εγγυήσεις, αυτό εκ των πραγμάτων σημαίνει ότι οι εταιρείες πρέπει να σταματήσουν να χρησιμοποιούν το Google Analytics. Βέβαια, οι αποφάσεις αυτές δε θα περιορίζονται στο Google Analytics, αλλά σε οποιαδήποτε μεταφορά δεδομένων, όπως οι υπηρεσίες cloud, μεταξύ των περιφερειών.
ή αποκτήστε ετήσια συνδρομή εδώ.
