Boete van 1 miljoen voor gebruik Google Analytics Tele2 Zweden

Achtergrond

Voor de zekerheid een korte terugblik op de huidige situatie. Sinds 2020 is het mechanisme om data door te geven, het Privacy Shield, vernietigd en is het onduidelijk hoe persoonsgegevens in lijn met de AVG kunnen worden doorgegeven naar de VS. Lang werd gedacht dat dit nog kon met modelcontracten (de zogeheten SCC’s), maar vanaf begin 2022 staan deze ook onder druk. Meerdere Europese toezichthouders hebben sindsdien namelijk besluiten genomen n.a.v. 101 NOYB-klachten (None Of Your Business) die zijn ingediend over Google Analytics en de Facebook Pixel. Daarbij werd telkens geëist dat de doorgifte werd opgeschort of gestopt, maar nog geen boete opgelegd. Tot nu.

Eerste Europese boete

De bij IMY ingediende klachten over Google Analytics gaan over 4 partijen: Tele2 Zweden, Coop, Dagens Industri en CDON. Net als de eerdere besluiten van andere Europese toezichthouders gaan ook deze klachten over de doorgifte van persoonsgegevens naar servers van Google Analtyics in de VS. Van een afwijkende beoordeling door de Zweedse toezichthouder is dan ook geen sprake:

• Er is sprake van doorgifte van persoonsgegevens
• De SCC’s bieden geen contractuele waarborgen voor een adequaat beschermingsniveau
• Technische (Anonymize IP) en organisatorische (processen bij Google) maatregelen bieden geen aanvullende waarborgen

Gecombineerd met het feit dat het Privacy Shield eerder is vernietigd, komt de Zweedse toezichthouder tot de conclusie dat er sprake is van illegale doorgifte. Daarbij heeft het Tele2 Zweden en CDON respectievelijk boetes opgelegd van 1 miljoen en 25.000 euro. Daarnaast worden de 4 organisaties verplicht om te stoppen met het gebruik van de tool.

De meeste interessante vraag is waarom de toezichthouder gekozen heeft voor een boete. In het geval van Tele2 Zweden geeft de toezichthouder aan dat het bedrijf ‘een grote hoeveelheid persoonsgegevens doorgaf, dat de verwerking lang duurde en dat door de doorgifte het beschermingsniveau van de persoonsgegevens niet kon worden gegarandeerd EU/EER, waardoor het niet gaat niet om een kleine overtreding’. Daarom is gekozen om een boete op te leggen.

Verder valt het op dat voor de hoogte van de boete ook is meegenomen dat Tele2 Zweden de tool tot mei 2023 is blijven gebruiken. Ook verwijst de toezichthouder daarbij naar de eerdere besluiten die zijn genomen door Europese toezichthouders en de nieuwe aanbevelingen van de Europese koepel voor privacy toezichthouders (EDPB). Toch is niet gekozen voor de mogelijke maximale boete van ca. 95 miljoen euro (4% van de jaaromzet) omdat er veel onduidelijkheid in de markt was en Tele2 Zweden wel aanpassingen heeft doorgevoerd. Daarnaast is het telecombedrijf inmiddels wél gestopt met het gebruik van Google Analytics.

Belangrijke kanttekeningen

Een aantal punten zijn belangrijk om mee te nemen. Om te beginnen gaat het hier om besluiten van de toezichthouder in specifieke gevallen. Er is daarmee geen algeheel verbod op het gebruik van Google Analytics in Zweden, maar er wordt wel aangeraden om bij soortgelijk gebruik te stoppen óf de tooling anders in te richten.

Ten tweede gaat het bij alle klachten die door NOYB zijn ingediend om Universal Analytics. De gratis variant van de tooling is sinds 1 juli 2023 niet meer beschikbaar en de betaalde variant ziet op 1 juli 2024 voor het laatst het daglicht. Er bestaat dus een kleine kans dat jouw organisatie gebruikmaakt van de beoordeelde versie, sterker nog: velen zullen al de migratie naar Google Analytics 4 (GA4) hebben afgerond. Overigens is nog niet duidelijk of het gebruik van GA4 definitief in lijn is met de AVG omdat dit nog niet door toezichthouders is beoordeeld. Maar Google heeft wel een aantal aanpassingen doorgevoerd die mogelijk een positief effect hebben op de beoordeling.

De derde kanttekening is dat het hier gaat om een Zweeds besluit. In principe is de AVG Europabrede wetgeving, maar we zijn toch afhankelijk van een beoordeling door Autoriteit Persoonsgegevens. Die heeft sinds april 2022 aangekondigd bezig te zijn met de klachten in Nederland, maar een concreet besluit blijft tot dusver uit.

Tot slot loopt bij de Europese Commissie een proces om een nieuw adequaatheidsbesluit aan te nemen. Dit Data Privacy Framework is een hernieuwde versie van het vernietigde Privacy Shield en zou daarmee doorgifte naar de VS weer AVG-proof kunnen maken. Het Europees Parlement en de EDPB zetten eerder al hun vraagtekens bij het nieuwe voorstel, maar op basis van de laatste berichtgeving wordt verwacht dat het nieuwe framework deze maand nog wordt aangenomen. Daarmee zou er voor Europese organisaties meer juridische duidelijkheid zijn. Maar of dit in de toekomst stand blijft houden, is nog maar de vraag. Privacy-activist Max Schrems heeft namelijk al aangekondigd ook dit mechanisme aan te vechten. Al met al dus een topic om goed in de gaten te blijven houden.

Tegenover Adformatie reageerde ook onze senior legal counsel Frank de Vries op deze zaak.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief. 
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl. 
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Romar van der Leij

Voormalig Legal counsel | DDMA