A hvg.hu szúrta ki, hogy a svéd adatvédelmi hatóság (IMY) a napokban több céget is megbüntetett, mert az európai adatvédelmi törvényt (GDPR) megszegve, felhasználói adatokat szivárogtattak ki az Amerikai Egyesült Államokba. Ehhez nem kellett mást tenniük, mint a Google Analytics szolgáltatást használniuk, de az egyik cégnek ez 1 millió eurójába került. A GDPR-törvény megsértésének gyanújával négy céget vizsgált meg az IMY, közülük kettő fennakadt a szűrésen.
Az esetről beszámoló The Next Web szerint a svéd hatóság arra a következtetésre jutott, hogy a négy vállalat (a Tele2, a CDON, a Coop és a Dagens Industri) nem alkalmazott elegendő mértékű technikai biztonsági intézkedést az EU által megkövetelt védelmi szint biztosítása érdekében. Az IMY megállapította, hogy a személyes adatokat valóban átvitték az Atlanti-óceánon, és – riasztó módon – ezt megfelelő biztosítékok nélkül tették – írta a lap. A Tele2 a már említett 1 millió eurós bírságot kapta, de fizetnie kell a CDON-nak is, igaz: sokkal kevesebbet (25.405 eurót). A másik két cégnél viszont nem ért pénzbírságot a mulasztás – náluk sokkal kevésbé volt kiterjedt ez a szabálysértés.
Azt azonban IMY elrendelte, hogy a CDON, a Coop és a Dagens Industri is hagyjon fel a Google Analytics használatával; a Tele2 ezt önként megtette.
„Ezek a döntések nem csak erre a négy vállalatra vonatkoznak, hanem útmutatást nyújthatnak a Google Analytics szolgáltatást használó más szervezetek számára is” – mondta a lapnak Sandra Arvidsson, a svéd adatvédelmi hatóság jogi tanácsadója. Hozzátette: most már mindenki számára világosak a szükséges intézkedések a személyes adatok harmadik országokba történő továbbításával kapcsolatban.
Az EU adatvédelmi törvénye értelmében az EU területén élő felhasználók személyes adatait csak akkor lehet az unión kívüli, harmadik országba továbbítani, ha ott legalább olyan erős adatvédelmi törvények vannak, mint Európában. Az Amerikai Egyesült Államok esetében ez a helyzet nem áll fenn. Az IMY-n kívül több uniós tagországban (például Franciaországban, Olaszországban és Ausztriában is) úgy találta a hasonló helyzettel találkoztak a helyi hatóságok: a Google Analytics vállalati szintű felhasználásával megsértik a GDPR előírásokat.
