Menurut Otoritas Perlindungan Data Austria (DSB), penggunaan Google Analytics di situs web UE tidak kompatibel dengan Peraturan Perlindungan Data Umum (GDPR). Di atas segalanya, DSB menganggap bahwa prinsip umum transmisi data menurut Pasal 44 GDPR dilanggar, karena informasi pribadi pengguna dikirimkan ke markas besar grup Google di Amerika Serikat bersama dengan program statistik.
Dengan sekarang keputusan sebagian diterbitkan DSB bereaksi terhadap model keluhan yang diajukan pada Agustus 2020 oleh asosiasi perlindungan data Noyb, yang didirikan oleh pengacara dan aktivis Max Schrems. Entri awalnya merujuk ke penerbit Austria yang mengintegrasikan Google Analytics. DSB menolak keluhan lain terhadap Google sendiri.
Tidak ada “tingkat perlindungan yang memadai”
DSB membenarkan keputusannya oleh operator situs web menggunakan alat statistik untuk mengirimkan data pribadi pelapor ke Google. Ini termasuk nomor identifikasi pengguna yang unik, alamat IP dan pengaturan browser. Klausul kontrak standar Google tidak memberikan “tingkat perlindungan yang memadai” untuk menghilangkan “peluang pengawasan dan akses oleh badan intelijen AS” di bawah Undang-Undang Pengawasan Intelijen Asing (FISA).
Google sebelumnya keberatan untuk mengambil “langkah-langkah teknis dan organisasi” (“TOM”) di bawah klausul perlindungan data standar, seperti teknik enkripsi, pagar di sekitar pusat data dan verifikasi permintaan dari pihak berwenang. Namun, DSB menilai langkah-langkah ini sebagian besar tidak perlu dibandingkan dengan klaim oleh dinas rahasia seperti NSA atau otoritas kepolisian FBI.
Konteks keputusan tersebut adalah keputusan “Schrems II” dari Pengadilan Eropa (ECJ) dari musim panas 2020, yang menyatakan “Perisai Privasi” transatlantik dan oleh karena itu salah satu basis terpenting untuk transfer pelanggan data ke Amerika Serikat sebagai tidak valid. Para hakim Luksemburg menemukan bahwa undang-undang AS seperti FISA atau Cloud Act mengizinkan pengawasan massal oleh otoritas keamanan dan bahwa standar perlindungan data di AS tidak sesuai dengan standar UE.
Kontrak tebu biasa
Oleh karena itu, Komisi Eropa berusaha untuk mengadaptasi klausul kontrak standar sebagai instrumen alternatif untuk transfer data ke hukum kasus ECJ dan menerbitkan versi baru pada awal Juni. Google menerapkan pedoman yang direvisi ini pada September 2021 untuk layanan cloud-nya sendiri. Perusahaan juga mengumumkan rencana untuk lebih fokus pada enkripsi.
Schrems menganggap bahwa tindakan pencegahan seperti itu tidak cukup. Dia mengkritik: “Daripada secara teknis mengadaptasi layanan mereka agar sesuai dengan GDPR, perusahaan AS hanya mencoba menambahkan teks ke kebijakan privasi mereka dan mengabaikan CJEU. Banyak perusahaan Eropa mengikutinya , daripada mengandalkan perubahan layanan yang sah.” Untuk pendiri Noyb, intisari dari keputusan DSB adalah: “Perusahaan UE tidak dapat lagi menggunakan layanan cloud Amerika”.
UE vs. Awan AS
Schrems melihat operator banyak situs web di UE terpengaruh, karena Google Analytics masih merupakan program statistik yang paling banyak digunakan. Meskipun ada banyak alternatif yang dapat di-host di Eropa atau dijalankan di server mereka sendiri, terlalu banyak administrator yang masih mempercayai grup Amerika. Secara total, Noyb mengajukan 101 keluhan serupa di hampir semua negara Uni Eropa. Oleh karena itu Schrems berasumsi bahwa keputusan serupa akan secara bertahap dibuat di sana.
Baru minggu lalu, Petugas Perlindungan Data Uni Eropa Wojciech Wiewiórowski menjelaskan bahwa penggunaan Google Analytics dan penyedia pembayaran Stripe oleh Parlemen Eropa tidak sesuai dengan keputusan ‘Schrems II’. . Pengadilan administrasi di Wiesbaden sebelumnya melarang universitas untuk mengintegrasikan “Cookiebot” di situs webnya dan dengan demikian mentransfer data ke AS berdasarkan keputusan dasar ECJ.
Noyb tidak yakin bahwa DSB menolak pengaduan terhadap Google sebagai penerima data di Amerika Serikat. Kami sedang mempertimbangkan untuk mengambil tindakan terhadap bagian keputusan ini. Namun, pada saat yang sama, otoritas pengawas mengatakan bahwa proses terhadap Google terus berlanjut sehubungan dengan kemungkinan pelanggaran pasal lain dari GDPR. Mungkin akan ada keputusan terpisah tentang ini.
(vbr)
“Komunikator. Pengusaha. Penggemar makanan yang sangat rendah hati. Ninja perjalanan. Penggemar bir seumur hidup.”
