İsveç Gizlilik Koruma Otoritesi (IntegritetsSKYDDSMYNDIGHETEN - IMY), Google Analytics'i kullanmak için 12.3 milyon SEK (1 milyon €/1.1 milyon $) ile iki şirkete para cezası verdi ve iki kişiyi aynı uygulama hakkında uyardı.
Dün yayınlanan bir kararda ajans, web istatistiklerini oluşturmak için Google Analytics'i kullanarak firmaların Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği'ni (GDPR) ihlal ettiğini açıklıyor.
Özellikle, şirketler GDPR Madde 46 (1) 'i ihlal ediyordu ve bu da kişisel verilerin güvenlik ve yasal iyileştirme mekanizmalarını gerektiren önlemleri olmayan ülkelere veya uluslararası kuruluşlara aktarılmasını yasakladı.
Amerika Birleşik Devletleri, Avrupa Birliği Adalet Mahkemesi'nin (CJEU) ABD'ye aktarıldığına karar verdiği Temmuz 2020 "Schrems II" kararına göre, Avrupalı kullanıcıların verilerinin depolanması için riskli bir yer olarak kabul edildi. O zamanlar var olan mekanizma bağlamında, "Gizlilik Kalkanı" yasadışı idi.
Bu ihlal, İrlanda Veri Koruma Komisyonu'nun (DPC) Meta'ya AB tabanlı kullanıcı verilerini ABD'deki sunuculara aktardığı için 1,3 milyar dolar para cezasına çarptırdığı ile aynıdır.
IMY, Avusturya Dijital Haklar Organizasyonu tarafından ilgili bir şikayetin sunulmasının ardından, işletmenizin hiçbiri (NOYB), Google Analytics aracının ABD'de gönderdiği veri türünü belirlemek için denetimler yapmadı ve kişisel bilgileri oluşturduğu sonucuna vardı.
Denetimler, 14 Ağustos 2020'den itibaren Google Analytics aracının bir sürümüyle ilgiliydi.
"IMY, Google'ın istatistik aracı aracılığıyla ABD'ye aktarılan verilerin kişisel veriler olduğunu düşünür, çünkü veriler aktarılan diğer benzersiz verilerle bağlantılı olabilir."
"Otorite ayrıca, şirketlerin aldığı teknik güvenlik önlemlerinin, esasen AB/AEA içindeki garantiye karşılık gelen bir koruma düzeyi sağlamak için yeterli olmadığı sonucuna varıyor" -IMY
Kınanmış dört şirket:
TELE2 SA - İsveç'teki bir telekomünikasyon ve internet servis sağlayıcısı, son zamanlarda Google Analytics'i kendi girişiminde kullanmayı bırakmaya karar verdi.
Diğer üç kuruluşun Google Analytics'i kullanmayı bırakması ve IMY'nin 30 Haziran 2023'te açıklanan kararından bir ay sonra en geç bir aydan sonra yeterli veri koruma önlemleri uygulaması emredilir.
Google Analytics'in kullanımı, geçmişte Avusturya, Fransa ve İtalya'daki veri koruma yetkilileri tarafından tekrar GDPR uyumlu kabul edilmiştir.
Bununla birlikte, IMY'nin ihlal edenlere mali cezalar verme kararı bunu türünün ilk örneği haline getiriyor.
Bu kararlar aynı zamanda tüm endüstri için rehberlik görevi görür ve Google Analytics'i kullanan diğer şirketler, AB'deki kurallara ve düzenlemelere uymak için stratejilerini ayarlamaya karar verebilir.
Amazon, Ring, Alexa Gizlilik İhlalleri üzerinden 30 milyon dolar para cezasıyla karşı karşıya
Google, yeni davada sahte iş incelemeleri ağını hedefler
Microsoft, Xbox Children Gizlilik İhlalleri için 20 milyon dolar ödeyecek
AB, verileri ABD sunucularına taşımak için 1,3 milyar dolar para cezasıyla Meta'yı tokatlıyor
Android Temmuz Güvenlik Güncellemeleri Üç aktif olarak sömürülen hataları düzeltin
Kaynak: Bleeping Computer