За нарушение нового закона компания Tele2 уже получила миллионный штраф.
В понедельник шведское Агентство по защите персональных данных (IMY) приказало четырем крупным компаниям прекратить использование сервиса Google Analytics, так как его применение влечёт за собой передачу пользовательских данных в США. Телекоммуникационной компании Tele2 был наложен штраф в размере более $1,1 млн.
Решение IMY было принято после рассмотрения жалобы, поданной австрийской организацией по защите персональных данных NOYB (None Of Your Business). NOYB утверждала, что использование Google Analytics четырьмя компаниями привело к незаконной передаче европейских данных в США, нарушая тем самым Общий регламент по защите данных ЕС (GDPR).
В соответствии с GDPR передача данных в другие страны допускается только при условии, что они обеспечивают уровень защиты конфиденциальности, равный уровню защиты в ЕС. Решение Суда ЕС 2020 года остановило соглашение о передаче данных между ЕС и США, признав его недостаточным.
Агентство IMY в своем заявлении уточнило, что считает передаваемые в Google Analytics в США данные персональными. Ведомство также подчеркнуло, что технические меры безопасности, принятые компаниями, не обеспечивают достаточного уровня защиты, аналогичного гарантированному в рамках ЕС.
Помимо Tele2, была оштрафована интернет-площадка CDON на $27,7 тыс., в то время как сеть продуктовых магазинов Coop и газета Dagens Industri избежали штрафов, предприняв дополнительные меры по защите передаваемых данных.
Телекоммуникационный гигант Tele2 уже прекратил использование Google Analytics. IMY требует, чтобы остальные компании также прекратили использование этого инструмента.
Австрийская организация NOYB приветствовала решение IMY, отметив, что хотя многие европейские органы (например, Австрия, Франция и Италия) уже признали использование Google Analytics нарушением GDPR, это первый случай, когда компании были оштрафованы за использование этого сервиса.
В конце мая Европейская комиссия выразила надежду на разработку новой правовой основы для передачи данных между ЕС и США к концу лета. Согласно действующему с 2018 года GDPR, штрафы за нарушение могут достигать €20 млн. или 4% от глобального дохода компании.
Отметим, что в мае европейские регуляторы в области защиты персональных данных оштрафовали Meta* на рекордную сумму в €1,2 млрд. за передачу данных пользователей из ЕС в США . Решение связано с делом австрийского активиста Макса Шремса по защите прав на конфиденциальность данных. Шремс утверждал, что существующий механизм передачи данных граждан ЕС в Америку не защищает европейцев от американской слежки.
* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках