Prije mjesec i pol dana pisali smo da je CNIL - francusko nadzorno tijelo za zaštitu osobnih podataka, nakon kazne EDPS-a (European Data Protection Supervisor) Europskom parlamentu, odluke austrijskog nadzornog tijela za zaštitu podataka koje je proglasilo Google Analytics nezakonitima, oštrih stavova i otvorenih istraga u Norveškoj i Nizozemskoj, proglasilo Google Analytics nezakonitim.
CNIL je 10. veljače 2022. objavio nalog neimenovanoj web stranici da se uskladi s obvezama iz Poglavlja V. GDPR-a koje regulira prijenos osobnih podataka izvan EU/EEA.
Pri tom je CNIL jasno utvrdio da je prijenos osobnih podataka koji se odvija putem Google Analytics kolačića nezakonit, s obzirom da Google podliježe nadzoru američkih obavještajnih agencija u skladu s američkim „FISA 702” zakonom, i da Google redovito prima takve zahtjeve za pristup američkih obavještajnih agencija.
CNIL je nadalje napomenuo da bi, u skladu s presudom "Schrems II" i preporukama Europskog odbora za zaštitu podataka („EDPB”) o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a, Google bio obvezan provoditi učinkovite dodatne mjere koje mogu biti ugovorne, organizacijske i tehničke mjere ili, u nedostatku takvih učinkovitih mjera, prestati s prijenosom takvih podataka u SAD.
Međutim, CNIL je zaključio da niti jedna od mjera koje Google provodi nije učinkovita u zaštiti od pristupa američkih agencija obavještajnim podacima.
Vezano za tvrdnje Google da vrši tzv. anonimizaciju IP adresa, CNIL je odbacio takvu tvrdnju ističući da se anonimizacija ne primjenjuje na sve prijenose osobnih podataka u SAD i da nije jasno dolazi li do anonimizacije prije ili nakon prijenosa IP adrese u SAD, čime se zaključuje da je moguće da se IP adresi u potpunosti pristupi od strane američkih obavještajnih agencija.
Sad imamo još dva svježa naloga CNIL-a vlasnicima web stranica u Francuskoj da ih usklade s GDPR-om, odnosno, prestanu koristiti Google Analytics:
https://noyb.eu/en/update-cnil-decides-eu-us-data-transfer-google-analytics-illegal
Međutim, u svjetlu nedavnog dogovora na najvišoj političkoj razini između SAD i EU, svi očekujemo da će se političko rješenje slobodnog kolanja osobnih podataka između EU i SAD uskoro ugledati svjetlo dana u smislu jačanja zaštitnih mjera za privatnost i građanske slobode kojima se uređuju aktivnosti SAD-a u području obavještajnih podataka, uspostave novog mehanizma pravne zaštite i jačanja nadzora aktivnosti prikupljanja obavještajnih podataka:
https://www.biconsult.hr/gdprcroatia/1866-trans-atlantic-data-privacy-framework-priopcenje-bijele-kuce
Samim time bi Google Analytics kroz dogledno vrijeme mogao ponovno postati zakonit.
Jesmo li u pravu, vrijeme će pokazati.
Photo from NOYB website