Fransa’nın veri gözlemcisi, Google Analytics’in yasa dışı kullanımı konusunda uyardı – Teknolojik Haberler


Fransa’nın veri koruma gözlemcisi CNIL yayınladı güncellenmiş rehberlik Bu yılın başlarında yerel bir web sitesinin aracı kullanmasının Avrupa Birliği yasalarını ihlal ettiğine karar veren bir kararın ardından Google Analytics kullanımı hakkında.

Ayrıca, Google Analytics kullanımlarını uyumlu hale getirmek için diğer kuruluşlara resmi bildirimler yayınladığını da doğrulamıştır.

Yalnızca Fransa’daki popüler analiz aracının kullanımını değil, tüm AB’yi etkileyen yasal sorun, kullanıcı verilerinin Google tarafından işlenmek üzere ABD’ye aktarılmasına bağlıdır – bu, yeterli yasal korumaya sahip olmayan kişisel verilerin dışa aktarılmasıdır. Avrupa’nın en yüksek mahkemesinin, ABD istihbarat teşkilatları tarafından Avrupalıların verilerine yasa dışı erişim riskiyle ilgili bir amiral gemisi veri aktarım anlaşmasını (diğer adıyla AB-ABD Gizlilik Kalkanı) geçersiz kılan 2020 tarihli bir kararı.

O zamandan beri, AB ve ABD (Mart’ta) bir yedek transfer mekanizması üzerinde siyasi bir anlaşma duyurdu.

Ancak, CNIL’in belirttiği gibi, ortak açıklamaları yasal bir çerçeve değildir ve AB tarafından resmi olarak kabul edilen gerçek bir değiştirme anlaşması öncesinde işlenmek üzere Avrupalıların verilerini havuza alan ABD bulut hizmetleri kullanıcıları tarafından güvenilemez. Komisyon, yıl sonuna kadar gerçekleşmeyebileceğini öne sürdü. (Ayrıca, anlaşmanın öncekiler kadar kusurlu olup olmadığını test etmek için neredeyse kesinlikle yeni yasal zorluklarla karşılaşacaktır. veri koruma uzmanları şüpheli.)

Sonuç olarak, AB web siteleri ya Google Analytics kullanımlarında değişiklik yapabilir ya da süreçlerinde değişiklik yapılmasına yönelik bir emir ve ihlalde bulunmanın mali cezasını içerebilecek risk düzenleyici yaptırımlar yapabilir. Ayrıca, gerekli değişiklikleri yapmamak için daha az makul mazeret olduğu anlamına geldiği için, konuyla ilgili düzenleyici rehberlik daha ayrıntılı hale geldiğinden, uyumsuzluk nedeniyle para cezası riskinin artması muhtemeldir.

“Google Analytics’i benzer şekilde kullanan tüm veri denetleyicileri [already notified] kuruluşlar artık bu kullanımı GDPR kapsamında yasa dışı olarak kabul etmelidir. Bu nedenle, yeterli uygunluk garantisi sunan bir hizmet sağlayıcıya başvurmaları gerekir,” diye uyarıyor CNIL kılavuzda [which we’ve translated from French with machine translation].

Düzenleyiciden Google Analytics kullanımıyla ilgili resmi bir bildirim alan tüm sitelere, bir ay daha uzatma olasılığıyla birlikte, uymaları için bir ay verilir.

CNIL’in Google Analytics’in kullanımıyla ilgili SSS’si, AB merkezli kuruluşların kendi belirli ek güvenlik önlemlerini uygulamadan aracı kullanmalarının esasen imkansız olduğunu öne sürüyor.

CNIL’e resmi bildirimin bir parçası olarak sunulan ek garantilerin hiçbiri, yalnızca Google Analytics aracını kullanırken ABD istihbarat servislerinin Avrupalı ​​kullanıcıların kişisel verilerine erişimini engellemez veya etkisiz hale getirmez” Google’ın araç için uyguladığını iddia ettiği ek güvenlik önlemlerine güvenmenin mümkün olup olmadığı.

Standart sözleşme maddelerinin de veri ihracatı konusundaki yasal boşluğu kapatmaya yetmediğini, CNIL ayrıca vurguluyor – Google Analytics’i Avrupalıların kişisel verilerini blok dışına aktarmayacak şekilde yapılandırmanın mümkün olmadığını belirtiyor ve daha fazla uyarıda bulunuyor: aktarımın olmaması, Avrupa dışındaki yargı yetkilerine tabi şirketler tarafından sunulan çözümlerin kullanılmasının verilere erişim açısından zorluk yaratması muhtemeldir. Nitekim kuruluşlar, üçüncü ülke yetkilileri tarafından Avrupa Birliği’nde bulunan sunucularda barındırılan kişisel verileri ifşa etmek zorunda kalabilir.”

SSS’ye göre, AB merkezli Google Analytics kullanıcılarının yasayı ihlal etmeden aracı kullanmak için uygulayabilecekleri olası ek önlemler şunlarla sınırlıdır: Şifreleme (ancak yalnızca anahtarlar, veri dışa aktaran kişinin veya yeterli düzeyde koruma sunan bir bölgede yerleşik diğer kuruluşlar); veya bir proxy sunucusu (İnternet kullanıcısının terminali ile ölçüm aracının sunucuları arasında herhangi bir doğrudan teması önlemek için).

Düzenleyici, kullanıcılardan bir veri aktarımı için açık onay almanın da geçerli olabileceğini öne sürüyor – ancak CNIL, istisnanın sistematik aktarımlar için kullanılamayacağını (esas olarak Google Analytics veri akışlarının olduğu şeydir) belirttiği için, yalnızca istisnai durumlarda. Bu nedenle, her ziyaretçiyi böyle bir istekle rahatsız etmenin iyi bir fikir olduğunu düşünseniz bile, açık rıza geçerli bir çözüm değildir.

CNIL daha önce yayınlamış alternatif analiz araçlarının listesi verilerin işlenmesi için genel kullanıcı onayı alınması ihtiyacını ortadan kaldıracak şekilde yapılandırılabileceğini belirlemiştir. Bununla birlikte, listenin uluslararası transferler sorununu dikkate almadığı konusunda uyarıyor – bu nedenle, site sahiplerinin, örneğin, tüm işlemleri gerçekleştiren AB tabanlı bir yazılım üreticisi tarafından sunulan alternatif analitik araçlarının olup olmadığını belirlemek için hala kendi ayak işlerini yapmaları gerekiyor. AB, yasal olarak Google Analytics’ten daha az riskli bir seçenek sunabilir.

Diğer AB veri koruma yetkilileri de (Avusturya’nınki gibi) web sitelerinde Google Analytics’in uygunsuz kullanımına ilişkin kararlar yayınlamaktadır.

Düzenleyici inceleme, AB gizlilik savunma grubu tarafından yapılan bir dizi şikayetin ardından geldi. noyb, Ağustos 2020’de — Google Analytics ve Facebook Connect’i hedefliyor. Bu nedenle, Google’ın analiz aracı DPA kararlarında ilk sırada yer alırken, sorun Google veya analiz araçları ile sınırlı değildir. etkileyebilir AB’deki müşterilerle daha birçok ABD merkezli hizmet.

CNIL’in rehberliğine yanıt almak için Google ile iletişime geçildi.





Kaynak : https://techcrunch.com/2022/06/08/google-analytics-gdpr-breach-cnil/

Yorum yapın