De Zweedse gegevensbeschermingsautoriteit heeft een GDPR-boete van 1 miljoen euro opgelegd aan de Zweedse telecomaanbieder Tele2. De autoriteit is van mening dat het bedrijf door het gebruik van Google Analytics (hierna: GA) persoonlijke data verstuurt naar de VS en dat het niet de nodige technische maatregelen heeft genomen om de persoonsgegevens voldoende te beschermen.
Persoonsgegevens in de VS
Zoals we reeds aanhaalde in een eerdere blogpost, is er al veel controverse rond GA. De Oostenrijkse Privacystichting NOYB heeft een hele reeks klachten ingediend rond GA en het feit dat Google door de Amerikaanse overheid verplicht kan worden om Europese persoonsgegevens ter beschikking te stellen.
Het is om die reden dat het Europees Hof van Justitie in 2020 een einde heeft gemaakt aan het Privacy Shield, het verdrag dat het uitwisselen van data tussen Europa en Amerikaanse bedrijven regelede. Sindsdien kunnen Amerikaanse bedrijven en organisaties, zoals GA, enkel persoonsgegevens uitwisselen als ze voorzien in Standard Contractual Clauses.
Om deze clausules te mogen gebruiken, dient er wel te worden voorzien in een gelijkwaardig beschermingsniveau. Dit gebeurt tot op heden niet.
Nationale beschermingsautoriteit bekritiseert Tele2’s ontoereikende technische maatregelen voor gegevensbescherming
Ook in deze zaak kwam de nationale beschermingsautoriteit tot de conclusie dat de technische maatregelen die Tele2 heeft genomen om de persoonsgegevens te beschermen, zeer ontoereikend waren om een gelijkwaardig beschermingsniveau te bieden. Er werd namelijk enkel voorzien in algemene modelcontracten, zonder stil te staan bij specifieke technische maatregelen die men had kunnen nemen.
GDPR-boete van 1 miljoen euro voor ontoereikende gegevensbescherming met Google Analytics
Het hanteren van een modelcontract is in dit geval onvoldoende om dit beschermingsniveau te garanderen. Om deze redenen heeft de autoriteit bepaald dat Tele2 een boete moet betalen van één miljoen euro.Tele2 is inmiddels vrijwillig gestopt met het gebruik van Google Analytics.
Dit is niet de eerste keer dat een bedrijf op de vingers wordt getikt voor het gebruik van GA. Ook de beschermingsautoriteiten van Oostenrijk, Noorwegen en Italië hebben al geconcludeerd dat het gebruik van GA ingaat tegen de bepalingen van de GDPR.
Conclusie
Steeds meer Europese gegevensbeschermingsautoriteiten tikken bedrijven op de vinger voor het gebruik van GA. Het wordt dan ook tijd dat bedrijven gaan overstappen op alternatieven die GDPR- Proof zijn. U kan steeds een erkend DPO contacteren voor advies rond de beste alternatieven voor GA.
