İsveç Gizliliği Koruma Kurumu (IMY), dört şirketin web istatistikleri için Google Analytics'i nasıl kullandığını denetledi. IMY iki şirkete idari para cezası verdi. Şirketlerden biri kısa süre önce kendi inisiyatifiyle istatistik aracını kullanmayı bıraktı. IMY ise diğer üçüne de kullanmayı bırakmaları için uyarıda bulundu. IMY, web sitelerindeki trafiği ölçmek ve analiz etmek için bir araç olan Google Analytics aracılığıyla dört şirketin kişisel verileri ABD'ye nasıl aktardığını denetledi. Denetlenen şirketler CDON, Coop, Dagens Industri ve Tele2'dir. Denetimlerin, Google Analytics'in 14 Ağustos 2020 tarihli bir sürümüyle ilgili olduğu aktarılıyor.
Denetimler, Avrupa Adalet Divanı'nın (CJEU) Schrems II kararı ışığında, Sizi İlgilendirmez (NOYB) kuruluşundan gelen şikayetlere dayanıyor. Şikâyetlerde, şirketlerin kişisel verileri hukuka aykırı olarak ABD'ye aktardığı da iddia ediliyor. Google Analytics ile ilgili detaylar haberimizde.
İlginizi Çekebilir: Google Analytics 4’ün Dijital Pazarlama Sektörüne Sunduğu Yenilikler
Bu Kararlar, Google Analytics Kullanan Diğer Şirketler için de Rehberlik Sağlayabilecek
Veri koruma yönetmeliği GDPR'ye göre, Avrupa Komisyonu söz konusu ülkenin kişisel veriler için buna karşılık gelen yeterli düzeyde korumaya sahip olduğuna karar vermişse, kişisel veriler üçüncü ülkelere, yani AB/AEA dışındaki ülkelere aktarılabilir. AB/AEA içinde. Ancak ABAD, Schrems II kararıyla, kararın verildiği tarihte ABD'nin bu kadar yeterli bir korumaya sahip olduğunun düşünülemeyeceğine karar verdi.
IMY, yaptığı denetimlerde neyi kabul etti? Google'ın istatistik aracı aracılığıyla ABD'ye aktarılan verilerin, aktarılan diğer benzersiz verilerle ilişkilendirilebilmesi nedeniyle kişisel veri olduğunu kabul ediyor. Ayrıca yetkili makam, şirketlerin almış olduğu teknik güvenlik önlemlerinin, AB/AEA'da garanti edilene esasen karşılık gelen bir koruma düzeyi sağlamak için yeterli olmadığı sonucuna varmaktadır.
IMY'nin bu davalara aynı anda karar vermesiyle, kişisel verilerin üçüncü bir ülkeye, bu durumda Amerika Birleşik Devletleri'ne aktarılırken teknik güvenlik önlemleri ve diğer önlemlere ilişkin hangi gerekliliklerin konulduğu hukuk danışmanı tarafından açıkça ortaya konmuştur.
Avrupa Komisyonu tarafından yeterli koruma düzeyine ilişkin bir karar yoksa, veriler Avrupa Komisyonu'nun karar verdiği standart sözleşme hükümlerine göre aktarılabilir. Bununla birlikte, ABAD'a göre, bu tür standart sözleşme hükümlerinin, hükümlerin sağlamayı amaçladığı korumanın uygulamada sürdürülmesi için gerekli olması halinde, ek güvencelerle desteklenmesi gerekebilir.
Dört şirketin tümü, kişisel verilerin Google Analytics aracılığıyla aktarılmasına ilişkin kararlarını standart sözleşme maddelerine dayandırmıştır. IMY'nin denetimlerinden, şirketlerin ek teknik güvenlik önlemlerinin hiçbirinin yeterli olmadığı görüldüğü aktarılıyor. IMY, Coop ve Dagens Industri ile aynı kapsamlı koruyucu önlemleri almayan Tele2'ye 12 milyon SEK ve CDON'a 300.000 SEK idari para cezası verdi. Tele2 kısa süre önce kendi inisiyatifiyle istatistik aracını kullanmayı bıraktı. IMY, diğer üç şirkete aracı kullanmayı bırakmaları için de uyarıda bulundu.
– Sandra Arvidsson, bu kararların yalnızca bu dört şirket için değil. Aynı zamanda da Google Analytics'i kullanan diğer kuruluşlar için de rehberlik sağlayabileceğini ifade ediyor. Sandra Arvidsson, şirketlerin denetimlerini yöneten hukuk danışmanıdır.
Bu habere henüz yorum yazılmamış, haydi ilk yorumu siz bırakın!...