Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har utfärdat en reprimand en webbplatsoperatör för att ha underlåtit att tillhandahålla lämpliga skyddsåtgärder för överföring av personuppgifter till USA via Google Analytics och beordrat webbplatsoperatören att följa artikel 46 i dataskyddsförordningen (GDPR) eller avbryta överföringen av uppgifter till Google LLC.
Av beslutet framfår att den registrerade, genom noyb – European Center for Digital Rights, lämnat in ett klagomål till Garante över att webbplatsoperatören skickat den registrerades personuppgifter till USA utan de lämpliga skyddsåtgärder som krävs enligt artikel 46 GDPR. Överföringarna skedde genom användning av webbtjänsten Google Analytics. Webbplatsoperatören drev en nyhetswebbplats som använde Google Analytics för att samla in statistiska uppgifter om användningen av sina tjänster. Google Analytics-cookies samlade in uppgifter om användarnas IP-adress, webbläsare eller enhet, operativsystem, skärmupplösning, valt språk, datum och tid för åtkomst och interaktion med webbplatsen. För användare som loggat in med sitt Google-konto kan denna information associeras med andra identifierare som e-postadress, telefonnummer, kön, födelsedatum och profilbild.
Google LLC och senare Google Ireland var personuppgiftsansvariga för behandlingen av den insamlade informationen. Även efter det att Google Analytics användarvillkor ändrats så att Google Ireland angetts som personuppgiftsansvarig, var Google LLC fortfarande utsedd till underbiträde. Som svar på Garantes granskning hävdade Google att man vidtagit tekniska åtgärder som var tillräckliga för att skydda de registrerades rättigheter enligt dataskyddsförordningen. Dessa åtgärder bestod av kryptering (för vilken Google LLC hade en kopia av krypteringsnyckeln) och en tjänst som kallas IP-anonymisering, där Google förkortade användarnas IP-adresser för att försvåra identifiering. Denna process var dock i själva verket en form av pseudonymisering, eftersom den förkortade IP-adressen kunde användas i kombination med andra insamlade uppgifter för att återidentifiera fysiska personer.
Både Google och webbplatsoperatören erbjöd också att sannolikheten för att faktiskt tvingas lämna ut dessa uppgifter till den amerikanska regeringen var ytterst liten, med hänsyn till uppgifternas art och det sammanhang i vilket de samlades in. De hävdade att denna minskade risk innebar att mindre stränga skyddsåtgärder var tillräckliga för att skydda de registrerades rättigheter enligt dataskyddsförordningen. Google hävdade att företaget under de mer än 15 år som Google Analytics-tjänsten tillhandahållits aldrig fått någon begäran om tillgång till uppgifter av det slag som den registrerade anfört i sitt klagomål.
Webbplatsoperatören ansåg för sin del att de tekniska åtgärder som Google vidtagit var tillräckliga. Webbplatsoperatören saknade dock också tekniska medel för att kontrollera genomförandet av dessa åtgärder och hade inte heller någon befogenhet att besluta om vilka åtgärder som var lämpliga eller att diktera Googles val när det gäller överföring av uppgifter till tredjeländer.
Garante förklarade all behandling som webbplatsoperatören utförde med hjälp av Google Analytics olaglig. Garante klargjorde också att webbplatsoperatören, oavsett asymmetri i förhandlingsstyrka eller tekniska resurser, är ansvarig för att se till att behandlingen är laglig i enlighet med artiklarna 5.2 och 24 GDPR. Den personuppgiftsansvarige måste självständigt besluta om metoder, garantier och begränsningar för behandlingen.
När det gäller överföring av uppgifter till ett tredjeland förkastade Garante det riskbaserade tillvägagångssättet och fann att webbplatsoperatören brutit mot artiklarna 44 och 46 GDPR. Den låga sannolikheten för en begäran om tillgång från amerikanska myndigheter befriade inte webbplatsoperatören från sitt ansvar att från fall till fall garantera att överföringar av personuppgifter till ett tredjeland hade tillräckliga skyddsåtgärder. Kryptering var en otillräcklig teknisk skyddsåtgärd eftersom Google LLC fortfarande hade den relevanta krypteringsnyckeln. De amerikanska myndigheterna kunde helt enkelt tvinga Google LLC att överlämna denna nyckel tillsammans med de krypterade uppgifterna.
Garante fann också att webbplatsoperatören brutit mot artikel 13 (f) GDPR eftersom dess integritetspolicy inte avslöjade avsikten att överföra personuppgifter till ett tredjeland, avsaknaden av ett beslut om adekvat skyddsnivå eller vilka skyddsåtgärder som fanns på plats enligt artikel 46.2 (GDPR).
För dessa överträdelser gav Garante webbplatsoperatören en reprimand och beordrade webbplatsoperatören att följa dataskyddsförordningen, särskilt artikel 46 i GDPR, inom 90 dagar eller avbryta överföringen av uppgifter via Google Analytics.