אירופה: השימוש בגוגל אנליטיקס מפר את הוראות ה-GDPR

אולי יעניין אותך גם

בשני הליכי אכיפה נפרדים - הממונה על הגנת המידע במוסדות האיחוד האירופי (European Data Protection Supervisor - EDPS) ורשות הגנת הפרטיות באוסטריה - אסרו על שימוש בגוגל אנליטיקס משום שהכלי מעביר מידע אישי לארה"ב בניגוד לכללים שנקבעו בפסק הדין בעניין שרמס ובהנחיות הרגולטורים האירופאים לפרטיות.

הממונה על הגנת המידע במוסדות האיחוד בחן תלונה שהגישו חברי פרלמנט אירופאים ועמותת הפרטיות האוסטרית NOYB (שייסד מקס שרמס) נגד הפרלמנט האירופי. התלונה עסקה בין היתר בשימוש שנעשה בגוגל אנליטיקס באתר האינטרנט הרשמי של הפרלמנט. הממונה קבע בהחלטתו כי השימוש בגוגל אנליטיקס כרוך בהעברת מידע אישי - בהן כתובות IP - לעיבוד בארה"ב. לפי קביעת הממונה, איסוף כתובות IP מאפשר לערוך הבחנה בין משתמשים ועל כן נחשב מידע אישי גם אם זהותו האמיתית של המשתמש לא ידועה.

עוד קבע הממונה כי העברת המידע האישי לארה"ב יכולה להתבצע רק בציות לדרישות פסק הדין בעניין שרמס, המחייב את בעל השליטה במידע לבחון ולוודא שמיושמים אמצעים משלימים חוזיים, ארגוניים או טכניים כדי לוודא שרמת ההגנה שמקבל המידע שמועבר לארה"ב שקולה מהותית לזו שבדין האירופי. הפרלמנט האירופי לא סיפק לממונה תיעוד כלשהו ליישום אמצעים כאלה או לבחינה שנערכה בנושא זה ולמסקנות שהתקבלו. הממונה מצא הפרות נוספות, בהן הפרת חובת השקיפות כלפי נושאי מידע והחובה לאפשר לנושא המידע לעיין במידע שנאסף עליו. הממונה הקציב לפרלמנט חודש לתיקון ההפרות.

רשות הגנת המידע באוסטריה עסקה גם היא בתלונה על גוגל אנליטיקס שהגישה העמותה האוסטרית NOYB. התלונה בחנה האם אמצעי הגנת מידע המשלימים המיושמים לצורך העברת מידע אישי לעיבוד ע"י גוגל בארה"ב מספקים את דרישות ה-GDPR ופסק הדין בעניין שרמס. הרשות האוסטרית מצאה כי האמצעים המשלימים שיושמו לא יעילים מספיק כדי למנוע מרשויות המודיעין האמריקאיות לגשת למידע ולפיכך העברת המידע אסורה. החלטת הרשות האוסטרית מסבירה כי כל עוד המידע האישי נגיש לעיון גוגל בתור Clear Text, אמצעי ההגנה המשלימים אינם מספקים.