Штраф GDPR: Tele2 должен заплатить миллион евро из-за Google Analytics

Шведский орган по защите данных впервые просит две компании заплатить за использование Google Analytics. Принятых защитных мер оказалось недостаточно.

Шведская телекоммуникационная компания Tele2 считает дорогостоящим отслеживание пользователей на своих веб-сайтах с помощью Google Analytics. Шведский орган по защите данных классифицировал это как нарушение Общего регламента по защите данных (GDPR ) и наложил штраф в размере 12 миллионов крон (1 миллион евро) на группу, которая стала известна в Германии как оператор call-by-call. По той же причине интернет-магазин CDON должен заплатить 300 000 крон (25 350 евро). В случае с Coop и Dagens Industri две другие компании отделались предупреждениями, потому что они внедрили более эффективные меры защиты.

Предысторией является решение Европейского суда (ECJ) «Шремс II» летом 2020 года, которым он объявил трансатлантический «Щит конфиденциальности» и, таким образом, одну из наиболее важных баз для передачи данных клиентов в США. быть недействительным. Макс Шремс и ассоциация защиты данных Noyb, основанная адвокатом, подали 101 типовую жалобу почти во все страны ЕС. Это также включало четыре шведских дела, по которым в настоящее время вынесено решение. В начале 2022 года органы по защите данных Франции и Австрии уже решили, что использование службы статистики Google на веб-сайтах с европейскими посетителями несовместимо с GDPR .

Неадекватные меры

В своих расследованиях шведский надзорный орган предположил, что данные, переданные в США через инструмент статистики Google, были личной информацией. На этом основании Integrietsskyddsmyndigheten (IMY) пришла к выводу, что технические меры безопасности, предпринятые четырьмя компаниями, недостаточны для обеспечения необходимого уровня защиты. В принципе, можно полагаться на так называемые стандартные договорные положения при передаче данных в третьи страны без всеобъемлющего соглашения. Однако они должны быть защищены от внешнего доступа с помощью дополнительных шагов.

Недавно Tele2 по собственной инициативе прекратила использование Google Analytics. IMY поручил трем другим компаниям прекратить использование инструмента анализа. Агентство подчеркнуло, что четыре резолюции также должны служить руководством для других организаций, все еще использующих эту услугу.

Нойб приветствовал тот факт, что инспекторы впервые наложили штрафы по этому поводу. Это единственный способ убедить компании соблюдать законы о защите данных. Активисты также отмечают, что планируемая новая система защиты данных между ЕС и США структурно соответствует ранее отмененным соглашениям. Поэтому весьма вероятно, что Европейский суд также «объявит новую попытку недействительной».