2022. aasta jaanuari teisel nädalal tegi Austria andmekaitseamet otsuse, et Google Analyticsi kasutamine rikub EL-i isikuandmete kaitse üldmäärust 2016/679. Mis tähendab, et ettevõtted, mille veebilehed asuvad EL-is ja on suunatud EL-i andmesubjektidele, ei saa enam oma veebilehtedel Google Analyticsit kasutada. Kuna Euroopa Andmekaitsenõukogu arutas Google Analyticsi kasutamisega seotud küsimusi detsembri plenaaristungil ja saavutas teatud konsensuse, ei olnud Austria andmekaitse inspektsiooni otsus täiesti ootamatu, mõnevõrra ootamatu on teiste Euroopa andmekaitse inspektsioonide vaikus, kes ei ole väljastanud sarnaseid otsuseid, mis seab küsimuse all kui tugev on konsensus antud teemal valitseb Euroopa andmekaitse inspektsioonide vahel. Hetkel on mõistlik lähtuda tark ei torma põhimõttest ning oodata lisaks ka teiste järelevaatajate otsuseid.

Austria andmekaitse inspektsioon otsustas, et Google Analyticsi kogub teenust pakkudes isikuandmeid ja need USA-sse isikuandmeid, kuid ei suuda neid kaitsta USA valitsuse seire ja jälitustegevuse eest. Austria inspektsioon otsuses ütles, et klientide konfigureerimisvõimalused, sealhulgas IP-aadresside kärpimine, ei ole piisavad, et takistada Google’i või USA valitsuse võimalikku nn anonümiseritud isikuandmete taas-isikustamist. Otsuses leiti ka, et Google’i rakendatud täiendavad meetmed, sealhulgas valitsuse juurdepääsu aruanded ja andmete krüpteerimine, olid ebapiisavad.

Austria inspektsiooni otsus tulenes privaatsuse aktivistigrupist NOYB, kes oma kaebuses inspektsioonile (ka teistele järelevaatajatele Euroopas) väitis, et Google Analyticsit kasutavad ettevõtted ei järginud Euroopa Liidu Kohtu 2020. aasta juulis tehtud Schrems II otsust andmeedastuse kohta ja Google Analytics töötles endiselt isikuandmeid „kolmandas riigis“ (loe USA). Euroopa Kohtu “Schrems II” otsus tunnistas kehtetuks EL-USA. Privacy Shieldi andmeedastuse sertifitseerimisprogrammi, mida kasutati juriidilise mehhanismina EL-i ja USA vahelise isikuandmete edastamiseks ja kuigi Google on andmete edastamise legaliseerimiseks kehtestanud Euroopa Komisjoni poolt heaks kiidetud lepingu tüüpklauslid, siis nähakse neid kui puhtalt paberil lahendust.

NOYB-i esimees Max Schrems sõnas: “Selle asemel, et tegelikult kohandada teenuseid GDPR-iga ühilduvaks, on USA ettevõtted lihtsalt oma privaatsuspoliitikasstesse lisanud tükki teksti ja eiravad Euroopa Kohtu lahendit. Paljud ELi ettevõtted on sellest eeskuju võtnud, selle asemel kasutusele võtta seaduslikult kehtivad lahendused.”

Mida see ettevõtete jaoks tähendab? Kuigi NOYB on kaevanud ELis 500 ettevõtet kohtusse kolmandate riikide andmeedastuse ja küpsiste kasutamise reeglite rikkumise eest, ei jõua nad niipea iga väikese ja keskmise ettevõtteni EL-is, nii et vahetu risk pole kõrge. Välja arvatud juhul, kui teie ettevõte tegutseb ka Austria või Saksamaa turgudel, kuna Saksamaa föderaalne ja osariikide andmekaitse inspektsioonid suure tõenäosusega järgivad Austria eeskuju. Järeldus siinkohal peaks olema, et kui kasutate ettevõtte veebisaidil Google Analyticsit, siis … ärge kasutage. Saadaval teised lahendused ja tooted, mis pole küll nii üldlevinud kui Google Analytics, kuid on tehniliselt usaldusväärsed ja vastavuses IKÜM-i nõuetega.