Na Oostenrijk geeft nu ook Frankrijk aan dat Google Analytics de Europese privacyregels schendt. De instanties in Noorwegen gaven al aan in dezelfde richting te denken.
Het gebruik van Google Analytics strookt niet met de regels van de GDPR. Tot die conclusie komt de Franse gegevensbeschermingsautoriteit CNIL na een klacht tegen een niet nader genoemde website. Die klacht maakte deel uit van een salvo van meer dan honderd klachten ingediend bij autoriteiten over heel Europa door privacyvoorvechtersgroepering Noyb. CNIL stelt vast dat Europese organisaties Google Analytics niet kunnen gebruiken zonder artikel 44 van de GDPR te schenden.
De beslissing komt niet als een verrassing. Vorige maand kwam de Oostenrijkse autoriteit als eerste tot dezelfde conclusie. Het Europese regelgevingskader laat de databeschermingsinstanties van lidstaten toe om klachten lokaal te beoordelen, maar vereist wel dat ze hun beslissing met hun internationale collega’s coördineren wanneer het belang ervan de landsgrenzen overstijgt. We kunnen daarom aannemen dat de openstaande klachten in andere landen hetzelfde resultaat zullen uitlokken.
Transfer van persoonsgegevens
In het nieuwsbericht rond de eerste beslissing gingen we dieper in detail over de problemen met Analytics in het licht van de GDPR. De samenvatting is als volgt: hoewel data van websitebezoekers door Google Analytics geanonimiseerd wordt, koppelt Google die wel aan een uniek ID. Dat ID kan je in theorie alsnog terugkoppelen naar een persoon, waardoor Europa de gegevens als persoonsgegevens bestempelt.
Het Europees Hof van Justitie stelde al twee keer vast (in de Schrems I en Schrems II-arresten) dat de transfer van persoonsgegevens naar de VS niet kan binnen de context van de GDPR. De verregaande geïnstitutionaliseerde spionage van de VS maakt het onmogelijk voor een Amerikaanse onderneming om de bescherming van Europese gegevens te garanderen. Pogingen om een wettelijk kader op te stellen om zo’n transfers wel mogelijk te maken, stuitten tot nu toe telkens op een juridische njet, met alle gevolgen van dien.
Impact
Hoewel de transfers van persoonsgegevens al een hele tijd illegaal zijn volgens de regels, kwam het tot nog toe niet tot concrete actie. Daar lijkt stilaan verandering in te komen. De impact van deze beslissing is onduidelijk, maar het lijkt erop dat Google Analytics in zijn huidige vorm niet legaal kan gebruikt worden in Europa. Voorlopig bestempelt CNIL het gebruik voor Franse ondernemingen als een risico.
lees ook