Fransız veri koruma ajansı CNIL bugün, Google Analytics kullanan bir şirketin Avrupa Birliği’nin Genel Veri Koruma Yasasını (GDPR) ihlal ettiğini duyurdu. Kişisel verilerin AB dışında, veri koruma yasalarının eşdeğer güce sahip olmadığı ülkelere taşınmasıyla ilgili olan 44. Madde atlanmıştır.
AB ve ABD Arasındaki Veri Aktarımı Sorunları
Bu arada, Amerika Birleşik Devletleri’nin de bu ülkelerden biri olduğunu belirtelim. Çünkü, ABD vatandaşı olmayanlara verilerinin satın alınıp alınmadığını, nasıl kullanıldığını öğrenmeleri veya kötüye kullanılması durumunda tazminat talep etmeleri için herhangi bir yol sağlamaz.
Öte yandan GDPR, vatandaşların bilgilerini meşru bir ihracat koşulu haline getirmelerini şart koşuyor. AB-ABD Gizlilik Kalkanı Anlaşması’nın 2015 yılında AB Yüksek Mahkemesi tarafından geçersiz kılındığını hatırlatalım. O zamandan beri, kişisel verilerin transatlantik aktarımlarının yasallığı belirsizliğini koruyor.
Bu belirsizliğin ortasında CNIL, Avrupalı gizlilik savunucusu noyb tarafından yapılan 101 şikayeti inceliyor. CNIL, şikayetlerden birine konu olan web sitesinin GDPR’ye uymasını ve gerekirse Google Analytics hizmetini kullanmayı bırakmasını şart koşar. Sitelerin 1 ay içerisinde bu şartı yerine getirmesi gerekmektedir.
CNIL, Google’ın bu konuda atılan ek adımların yetersiz olduğuna inandığını söyledi. Avusturya’da daha önce benzer bir durumla karşı karşıya kalan şirket, AB vatandaşlarının Google Analytics aracılığıyla ABD’ye iletilen verileri için yeterli koruma sağladığını savundu.
Google Analytics İçin Avusturya Kişisel Veri Yöntemleri
Anonim istatistiklerden bahsetmişken Avusturya’nın geçen ay Google Analytics’te değerlendirdiği bir konuya değinmekte fayda var. Bildiğiniz gibi Avusturya’da Google Analytics aleyhine benzer bir dava açılmıştı. İnceleme sürecinde Avusturya, Google tarafından tutulan diğer veri kümelerini de dikkate alırken, kişisel verilerin tanımına odaklandı. Bu nedenle, bir IP adresi vermenin bile kişisel veri ihlaline yol açmak için yeterli olduğuna inanıyor.
Fransa’daki karar alma sürecine geri dönen CNIL, Google Analytics kullanımının mevcut koşullar altında uygunsuz olduğunu beyan etti. Bu nedenle, CNIL’e göre, ilgili web sitesinin GDPR’ye uyum sağlamak için faaliyetlerini durdurması gerekebilir.
Ayrıca CNIL, AB dışına veri aktarmayan alternatif analitik araçların tercih edilmesini önerir. Daha yakın zamanlarda, Kaliforniya da dahil olmak üzere bazı ABD eyaletleri bu yasal boşluğu doldurmak için kendi yasalarını çıkardılar. Ancak, ABD vatandaşları için yasalar yeterince kapsamlı ve tutarlı değildir.
Avrupa’daki hareket, Avrupa Birliği ile ABD arasında yeni bir veri aktarım anlaşması imzalanana kadar bazı ABD şirketleri için bir alternatif oluşturmak için hareket edecek.
Bir yanıt yazın