В июле 2023 года Шведское управление по защите конфиденциальности оштрафовало телекоммуникационную компанию Tele2 на $1,1 млн и онлайн-ритейлера CDON на $27,7 тыс за использование Google Analytics. GDPR юристы из Stalirov&Co рассказали подробности дела и объяснили почему компании получили большие штрафы.
Что стало причиной штрафа?
Tele2 и CDON использовали Google Analytics для измерения и анализа трафика на веб-сайтах, что привело к передаче персональных данных европейцев в США, где законы о конфиденциальности слабее, и спецслужбы могут получить доступ к таким данным.
По правилам GDPR персональные данные могут быть переданы в третьи страны за пределами ЕС/ЕЭЗ, если Европейская комиссия решит, что в стране обеспечен адекватный уровень безопасности. Но в решении по делу Шремса II Европейский суд постановил, что США не считаются страной с адекватным уровнем защиты данных.
Если Европейской комиссией не приняла решение о достаточном уровне защиты, данные могут передаваться на основании стандартных договорных положений. Такой договор описывает технические меры предпринятые компанией, которая передает данные, и компанией, которая их получает, обрабатывает и хранит.
Tele2 и CDON основывали передачу данных на договоре, но дополнительные меры технической защиты оказались недостаточными, что привело к штрафам.
GDPR адвокаты считают, что решения в деле Tele2 и CDON станут причиной для новых жалоб против бизнеса, который использует Google Analytics. Поэтому, уже сейчас компаниям, которые собирают данные в больших объемах через Google Analytics важно провести GDPR аудит. Google и другим компаниям потребуется внести изменения в модели аналитик и рекламы, которые зависят от свободного перемещения персональных данных по всему миру.
Что делать, чтобы избежать штрафа?
Параллельно с делами Tele2 и CDON шведское агентство по конфиденциальности рассматривало дела Coop и Dagens Industri, но эти компании не получили штрафов. Оказалось, что меры защиты Coop и Dagens Industri были масштабнее, чем у Tele2 и CDON. Это спасло компании от санкций.
Чтобы избежать штрафов важно провести GDPR аудит процессов сбора, обработки и хранения данных, проверить договоры на выполнение всех требований регламента, и внедрить достаточные меры защиты. Аудитор выдаст рекомендации по каждому из пунктов, чтобы во время проверки надзорных органов компания чувствовала себя в безопасности.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co