Mint ismeretes, Európában elsőként jelentős bírságot szabott ki a svéd adatvédelmi felügyelőség két vállalatra, amiért a Google Analytics segítségével személyes adatokat továbbítottak az Egyesült Államokba. Emellett más cégeket is felszólított, hogy hagyjanak fel a Google webstatisztikai eszközének használatával.
A svéd adatvédelmi hatóság (IMY) a None of Your Business (NYOB) digitális jogvédő szervezet által megfogalmazott vádakra reagálva összesen négy vállalatot ellenőrzött: a CDON, a Coop, a Dagens Indusri és a Tele2 vállalatokat.
Az IMY megállapította, hogy a személyes adatok valóban átkerültek az Atlanti-óceánon túlra, méghozzá riasztó módon, megfelelő biztosítékok nélkül.
A GDPR szerint a személyes adatok továbbíthatók az EU-övezeten kívüli harmadik országokba, amennyiben azok egyenértékű védelmi szintet biztosítanak. Az Európai Bíróság ítélete azonban megállapította, hogy az USA nem felel meg a jogszabályban előírt előírásoknak.
A svéd hatóság arra a következtetésre jutott, hogy a négy vállalat nem hozott elégséges műszaki biztonsági intézkedéseket az EU által előírt védelmi szint biztosításához. Ennek eredményeképpen a Tele2-vel szemben 1 millió eurós, a CDON-nal szemben pedig 25 405 eurós bírságot szabott ki, mivel a két cégnél találták a legkevésbé kiterjedt intézkedéscsomagot.
Az IMY továbbá felszólította a CDON-t, a Coop-ot és a Dagens Industri-t, hogy hagyják abba a Google Analytics használatát, míg a Tele2 ezt már önként megtette.
Svédországon kívül az EU-ban több adatvédelmi hatóság, köztük Olaszországban, Franciaországban és Ausztriában is úgy találta, hogy a Google eszközének vállalati használata sérti a GDPR előírásait. Svédország azonban az első ország a blokkban, amely bírság kiszabása felé indult el - aminek az egész unióra kiterjedő hatása lehet.
"Ezek a döntések nem csak erre a négy vállalatra vannak hatással, hanem más, a Google Analyticset használó szervezetek számára is iránymutatást adhatnak" - mondta Sandra Arvidsson, az IMY jogi tanácsadója. Megjegyezte azt is, hogy most már egyértelműek a szükséges intézkedések, amikor a személyes adatok harmadik országokba történő továbbításáról van szó.
