 |
Avusturya ve Fransa’nın ayak izlerini takip eden İtalyan Veri Koruma Kurumu, Google Analytics‘in kullanımını AB veri koruma düzenlemelerine uygun bulmayan en son düzenleyici haline geldi.
Garanti per la Protezione dei Dati Personali, geçen hafta yayınlanan bir basın açıklamasında, yaygın olarak kullanılan analiz aracını, kullanıcıların kişisel verilerinin kilit parçalarının gerekli güvenceler olmadan yasadışı olarak ABD’ye aktarılmasına izin verecek şekilde kullanması için yerel bir web yayıncısını çağırdı.
Bu, kullanıcıların web siteleriyle etkileşimlerini, ziyaret edilen tek tek sayfaları, web sitelerine erişmek için kullanılan cihazların IP adreslerini, tarayıcı özelliklerini, cihazın işletim sistemi ile ilgili ayrıntıları, ekran çözünürlüğünü ve seçilen dili ve ziyaretlerin tarih ve saatini içerir.
Google Analytics Zararlı Noktaları Nelerdir?
İtalyan denetim otoritesi (SA), diğer AB veri koruma yetkilileriyle iş birliği içinde başlattığı “karmaşık bir olgu bulma tatbikatı” sonrasında bu sonuca vardığını söyledi.
Ajans, kişisel bilgilerin aktarılmasının veri koruma mevzuatını ihlal ettiğini, çünkü ABD’nin “yeterli düzeyde korumaya sahip olmayan bir ülke” olduğunu belirtirken, “ABD hükümet yetkililerinin ve istihbarat teşkilatlarının uygun garantiler olmadan aktarılan kişisel verilere erişme olasılığını vurgulamaktadır.”
Söz konusu web sitesi olan Caffeina Media Srl’ye GDPR’ye uygunluğu sağlamak için Google Analytics’ten uzaklaşması için 90 günlük bir süre verilmiştir. Ayrıca Garanti, web yöneticilerinin Google Analytics kullanımından kaynaklanan ABD’ye yapılan veri aktarımlarının hukuka aykırılığına dikkat çekerek site sahiplerinin GDPR gereksinimlerini karşılayan alternatif kitle ölçüm araçlarına geçmelerini tavsiye etti.
Raporda, “Kararında belirtilen 90 günlük sürenin sona ermesi üzerine İtalyan SA, söz konusu veri transferlerinin geçici denetimler de dahil olmak üzere AB gdpr’sine uygun olup olmadığını kontrol edecek” dedi.
Bu ayın başlarında, Fransız veri koruma gözlemcisi CNIL, Google Analytics’in kullanımıyla ilgili güncellenmiş rehberlik yayınladı ve uygulamayı Genel Veri Koruma Yönetmeliği (GDPR) yasaları uyarınca yasadışı olarak yineledi ve etkilenen kuruluşlara uymaları için bir aylık bir süre verdi.
Düzenleyici, “Google tarafından veri şifrelemesinin uygulanmasının yetersiz bir teknik önlem olduğu kanıtlanmıştır, çünkü Google LLC verileri kendisi şifreler ve verileri anlaşılır kılmak için gerekli şifreleme anahtarları da dahil olmak üzere elinde bulunan içe aktarılan verilere erişim sağlama veya sağlama yükümlülüğüne sahiptir” dedi.
Google, Techcrunch’a en son kararı gözden geçirdiğini söyledi. Ocak 2022’de teknoloji devi, Google Analytics’in “internet üzerinden kişileri izlemediğini veya profil oluşturmadığını” ve kuruluşların hizmet aracılığıyla toplanan verileri kontrol edebileceğini vurguladı.
ABD’deki analitik platformu aracılığıyla toplanan tüm verileri barındıran Mountain View tabanlı firma, etkinleştirildiğinde, yerel sunuculardaki bilgileri AB dışındaki herhangi bir sunucuya aktarılmadan önce anonimleştiren bir IP adresi maskeleme işlevi sunduğunu da belirtti. Google Analytics 4 ile varsayılan olarak etkindir.