İsveç Gizlilik Koruma Kurumu (Integritetsskyddsmyndigheten – IMY), Google Analytics’i kullandıkları için iki şirketi 12,3 milyon SEK (1 milyon €/1,1 milyon $) para cezasına çarptırdı ve diğer iki şirketi aynı uygulama hakkında uyardı.
Ajans dün yayınlanan bir kararda, firmaların web istatistikleri oluşturmak için Google Analytics’i kullanarak Avrupa Birliği’nin Genel Veri Koruma Yönetmeliğini (GDPR) ihlal ettiğini açıklıyor.
Şirketler özellikle, kişisel verilerin güvenlik ve yasal düzeltme mekanizmalarını garanti altına alan güvencelere sahip olmayan ülkelere veya uluslararası kuruluşlara aktarılmasını yasaklayan GDPR Madde 46(1)’i ihlal ediyorlardı.
Avrupa Birliği Adalet Divanı’nın (CJEU) ABD’ye herhangi bir veri aktarımının yasak olduğuna karar verdiği Temmuz 2020 tarihli “Schrems II” kararına göre Amerika Birleşik Devletleri, Avrupalı kullanıcıların verilerinin saklanması açısından riskli bir yer olarak kabul edilmiştir. o zamanlar var olan “Gizlilik Kalkanı” mekanizması bağlamında yasa dışıydı.
Bu ihlal, İrlanda Veri Koruma Komisyonu’nun (DPC) AB tabanlı kullanıcı verilerini ABD’deki sunuculara aktardığı için Meta’ya 1,3 milyar dolar para cezası vermesiyle aynıdır.
IMY, Avusturyalı dijital haklar kuruluşu None of Your Business (NOYB) tarafından ilgili bir şikayetin sunulmasının ardından, Google Analytics aracının ABD’de gönderdiği veri türünü belirlemek için denetimler gerçekleştirdi ve bunların kişisel bilgi oluşturduğu sonucuna vardı.
Denetimler, Google Analytics aracının 14 Ağustos 2020 tarihli bir sürümüyle ilgiliydi.
“IMY, Google’ın istatistik aracı aracılığıyla ABD’ye aktarılan verilerin kişisel veriler olduğunu, çünkü verilerin aktarılan diğer benzersiz verilerle ilişkilendirilebileceğini düşünüyor” diyor.
“Yetkili ayrıca, şirketlerin almış olduğu teknik güvenlik önlemlerinin, temelde AB/AEA içinde garanti edilene tekabül eden bir koruma düzeyi sağlamak için yeterli olmadığı sonucuna varıyor” – IMY
Kınama cezası alan 4 şirket şöyle:
İsveç’te bir telekomünikasyon ve internet servis sağlayıcısı olan Tele2 SA, kısa süre önce kendi inisiyatifiyle Google Analytics’i kullanmayı bırakmaya karar verdi.
Diğer üç kuruluşa, IMY’nin 30 Haziran 2023’te açıklanan kararından en geç bir ay sonra Google Analytics’i kullanmayı bırakması ve yeterli veri koruma önlemlerini uygulaması emredildi.
Google Analytics’in kullanımı geçmişte yine Avusturya, Fransa ve İtalya’daki veri koruma yetkilileri tarafından GDPR’ye uygun olmadığına karar verildi.
Ancak, IMY’nin ihlal edenlere mali cezalar verme kararı, bunu türünün ilk örneği yapıyor.
Bu kararlar aynı zamanda tüm sektör için yol gösterici niteliktedir ve Google Analytics’i kullanan diğer şirketler stratejilerini AB’deki kural ve düzenlemelere uyacak şekilde ayarlamaya karar verebilir.