Datatilsynet i Italien forbyder brug af Google Analytics, altså igen ingen tilstrækkelige sikkerhedsforanstaltninger for dataoverførsler til USA
Det er atter et nederlag for Google, der denne gang koncetrerer sig om brugere og websteder og det konstatteres Google Analytics atter erklæres ulovligt.
Et websted, der bruger Google Analytics (GA) uden de sikkerhedsforanstaltninger, der er fastsat i EU GDPR, overtræder databeskyttelsesloven, fordi det overfører brugernes data til USA, som er et land uden et tilstrækkeligt databeskyttelsesniveau. Det italienske tilsynsmyndighed sluttede sig til denne konklusion efter en kompleks undersøgelsesøvelse, som det havde indledt i tæt samarbejde med andre EU-databeskyttelsesmyndigheder efter klager, det havde modtaget. Det italienske tilsynsmyndighed fandt, at de webstedsoperatører, der brugte GA, via cookies indsamlede oplysninger om brugerinteraktioner med de respektive websteder, besøgte sider og tjenester, der tilbydes.
Det mangfoldige sæt data, der blev indsamlet i denne forbindelse, omfattede brugerenhedens IP-adresse sammen med oplysninger om browser, operativsystem, skærmopløsning, valgt sprog, dato og klokkeslæt for sidevisning. Disse oplysninger viste sig at være overført til USA. Ved afgørelsen af, at behandlingen var ulovlig, gentog det italienske sa, at en IP-adresse er en personoplysning og ikke ville blive anonymiseret, selv hvis den blev afkortet – i betragtning af Googles muligheder for at berige sådanne data gennem yderligere oplysninger, som det er i besiddelse af.
På grundlag af ovenstående resultater vedtog det italienske SA en afgørelse, der skulle efterfølges af yderligere, og irettesatte Caffeina Media S.r.l. – en webstedsoperatør – og pålagde den at bringe behandlingen i overensstemmelse med GDPR inden halvfems dage. Denne frist blev anset for at være passende for at give operatøren mulighed for at gennemføre passende foranstaltninger i forbindelse med dataoverførslen Hvis dette viser sig ikke at være tilfældet, vil der blive beordret suspension af de GA-relaterede datastrømme til USA.
Det italienske tilsynsmyndighed fremhævede navnlig, at usa-baserede statslige myndigheder og efterretningstjenester kan få adgang til de personoplysninger, der videregives, uden de nødvendige garantier; det påpegede i denne forbindelse, at de foranstaltninger, som Google vedtog for at supplere dataoverførselsinstrumenterne, ikke sikrede et tilstrækkeligt beskyttelsesniveau for brugernes personoplysninger i lyset af den vejledning, som Det EdPB gav i sine henstillinger nr. 1/2020 af 18. juni 2021.
Det italienske tilsynsmyndighed ønsker at henlede alle de italienske webstedsoperatørers, både offentlige og private, opmærksomhed på ulovligheden af dataoverførslerne til USA som følge af brugen af generel tilgængelighed – delvis på grund af de mange indberetninger og forespørgsler, der hidtil er modtaget. Det italienske tilsynsmyndighed opfordrer alle dataansvarlige til at kontrollere, at brugen af cookies og andre sporingsværktøjer på deres websteder er i overensstemmelse med databeskyttelseslovgivningen; Dette gælder især for Google Analytics og lignende tjenester.
Ved udløbet af den frist på 90 dage, der er fastsat i dets afgørelse, kontrollerer det italienske tilsynsmyndighed, at de omhandlede dataoverførsler er i overensstemmelse med EU’s generelle forordning om databeskyttelse, herunder ved ad hoc-inspektioner.
Kilde: ICARE.DK, Datatilsynet i Italien.
Fotokredit: Google
