Важным событием стало то, что Google Analytics 4 считается законным в Европе после недавнего принятия Рамочная программа конфиденциальности данных ЕС-США Европейской комиссией.

Эта новость появилась на фоне предупреждений Шведского управления по защите конфиденциальности (IMY) о потенциальных рисках слежки, связанных с GA4.

Правовой статус GA4 в Европе и предупреждение IMY являются взаимосвязанными частями более крупного глобального повествования о конфиденциальности данных, правилах защиты и трансатлантической передаче данных.

Принята концепция конфиденциальности данных между ЕС и США

Европейская комиссия ратифицировала новую Концепцию конфиденциальности данных между ЕС и США, подтвердив, что Соединенные Штаты обеспечивают такую ​​же защиту персональных данных, передаваемых из ЕС, как и в пределах Союза.

Это решение обеспечивает безопасную передачу данных из ЕС компаниям США, участвующим в Рамочной программе, без необходимости дополнительных мер защиты данных.

Рамочная основа вводит строгие гарантии, направленные на решение проблем, ранее поднятых Европейским судом. Эти меры безопасности ограничивают доступ разведывательных служб США к данным ЕС, ограничивая его тем, что является важным и пропорциональным, и учреждают Суд по пересмотру защиты данных (DPRC). Граждане ЕС будут иметь доступ к этому суду.

Расширенные гарантии по сравнению с предыдущими механизмами

Новая платформа предлагает значительные улучшения по сравнению с предыдущим механизмом Privacy Shield. Например, если DPRC определит, что данные были собраны с нарушением новых мер безопасности, он может приказать удалить такие данные.

Американские компании, импортирующие данные из ЕС, должны соблюдать обязательства, дополняющие новые гарантии в отношении доступа правительства к данным.

Шведский наблюдатель за конфиденциальностью предостерегает от использования Google Analytics

Объявление о новой концепции конфиденциальности данных между ЕС и США совпадает с предупреждениями, выпущенными IMY для компаний, использующих GA4, со ссылкой на опасения по поводу рисков слежки, создаваемых правительством США.

Расследование властей в отношении четырех шведских компаний выявило нарушения требований GDPR в отношении согласия и передачи данных, что привело к штрафам и распоряжениям о прекращении использования Google Analytics.

В ответ на решение IMY Google подчеркнул, что Google Analytics не идентифицирует и не отслеживает конкретных людей в Интернете. Компания заявила, что издатели веб-сайтов несут ответственность за соблюдение нормативных требований и этичное использование данных, а Google обеспечивает меры безопасности, средства контроля и ресурсы.

Заявление Президента Комиссии

Председатель Европейской комиссии Урсула фон дер Ляйен прокомментировала:

«Новая структура конфиденциальности данных между ЕС и США обеспечит безопасные потоки данных для европейцев и обеспечит правовую определенность для компаний по обе стороны Атлантики. Сегодня мы делаем важный шаг, чтобы дать гражданам уверенность в безопасности их данных, углубить наши экономические связи между ЕС и США и в то же время подтвердить наши общие ценности».

Протокол соответствия рамок для компаний США

Американские компании могут присоединиться к Рамочной программе, взяв на себя обязательство соблюдать определенный набор обязательств в отношении конфиденциальности.

К ним относятся удаление личных данных, когда они больше не нужны для их первоначальной цели, и обеспечение постоянной защиты, когда данные передаются третьим лицам.

Граждане ЕС будут иметь несколько способов возмещения ущерба, если американские компании неправильно обращаются с их данными. Это включает в себя бесплатные, независимые механизмы разрешения споров и арбитражную комиссию.

Защита доступа к передаваемым данным

Правовая база США обеспечивает несколько гарантий в отношении доступа к данным со стороны государственных органов США. Доступ к данным ограничен тем, что необходимо и соразмерно защите национальной безопасности.

Граждане ЕС будут иметь доступ к независимому и беспристрастному механизму возмещения ущерба, касающегося сбора и использования их данных спецслужбами США, включая недавно созданный DPRC. Этот суд будет самостоятельно расследовать и разрешать жалобы.

Эти гарантии будут способствовать более общим трансатлантическим потокам данных, поскольку они применяются, когда данные передаются с использованием других инструментов, таких как стандартные договорные положения и обязательные корпоративные правила.

Будущие шаги

Принятие концепции конфиденциальности данных между ЕС и США и постановления Европейской комиссии не делает опасения, высказанные властями Швеции, неуместными. Эти два мероприятия касаются различных аспектов более широкой проблемы конфиденциальности данных.

Рамочная программа конфиденциальности данных ЕС-США предназначена для обеспечения общей защиты данных граждан ЕС при передаче их данных в США. Она обеспечивает гарантии и учреждает Суд по пересмотру защиты данных (DPRC).

Хотя новая структура должна улучшить защиту данных, отдельные компании по-прежнему несут ответственность за обеспечение соответствия своей деятельности GDPR и другим соответствующим нормам.

Даже с новой платформой компании должны сохранять бдительность в управлении своими методами обеспечения конфиденциальности данных.

В итоге

Хотя Рамочная программа конфиденциальности данных между ЕС и США является важным шагом на пути к улучшению конфиденциальности данных, она не решает автоматически определенные проблемы, связанные с отдельными компаниями или службами, например проблемы, поднятые IMY в отношении Google Analytics.

Функционирование Рамочной программы конфиденциальности данных ЕС-США будет подвергаться периодическим проверкам, проводимым Европейской комиссией, европейскими органами по защите данных и компетентными органами США. Первая проверка запланирована в течение года после реализации решения об адекватности.