Согласно официальной позиции ведомства, IP-адрес и идентификаторы в данных cookies являются персональными данными посетителей сайтов, а значит на них распространяется запрет на трансграничную передачу, в том числе, и в США, сообщает Techcrunch.
Австрийский надзорный орган обнаружил, что веб-сайт, посвященный вопросам здоровья, «netdoktor.at» после внедрения Google Analytics
«начал экспортировать данные пользователей в Соединенные Штаты».
Согласно официальной позиции ведомства, это нарушает главу V регламента GDPR о передаче данных за пределы Евросоюза, поскольку IP-адрес и идентификаторы в данных cookies также являются персональной информацией посетителей сайта.
Кроме того, как отмечает регулятор, «спецслужбы США используют определенные онлайн-идентификаторы (такие как IP-адрес или уникальные идентификационные номера) в качестве отправной точки для слежки за отдельными лицами».
Подобная позиция Австрии может повлиять на использование облачных сервисов США в Европе в целом и создать препятствия для таких компаний, как Google и Facebook, чей бизнес основана на доступе к данным пользователей.
Например, остается неясным, как ИТ-гиганты, специализирующиеся на интеллектуальном анализе данных, могут ограничить собственный доступ к информации европейский пользователей без радикального изменения коммерческой модели или локализации их обработки на территории ЕС.
Также решение австрийского регулятора указывает на то, что текущий пакет мер Google, связанный с управлением Google Analytics, не устраняет риск того, что правительство США получит доступ к данным иностранных граждан.
На данный момент правовое столкновение ЕС и США между неприкосновенностью частной жизни и слежкой длится почти десять лет.
В июле 2020 года Европейский суд в Люксембурге впервые постановил, что соглашение между Евросоюзом и США о правилах передачи ИТ-компаниями личной информации европейцев не обеспечивает необходимый уровень ее защиты.
Суд решил, что данные подвергаются вмешательству со стороны государственных органов и спецслужб США, в связи с чем соглашение «Щит конфиденциальности» (Privacy Shield), действовавшее между Брюсселем и Вашингтоном, было аннулировано.
Постановление также указывало на то, что американское законодательство не гарантирует защиту данных, которые бы отвечали критериям ЕС.
Однако вопрос применения этих правовых инструментов для передачи данных в страны, где стандарты ЕС не могут соблюдаться, такие как США, остается открытым.