Google Analytics, czyli internetowe narzędzie do analizy statystyk serwisów WWW, umożliwia administratorom serwisów WWW zbieranie danych dotyczących ruchu internetowego na ich stronie. Według niektórych źródeł Google Analytics jest wykorzystywane przez ponad 55 % procent serwisów WWW w całym Internecie.
W ramach korzystania z Google Analytics dochodzić może do przekazywania danych do USA – w czasie odwiedzania serwisu www, który wykorzystuje narzędzie Google Analytics przeglądarka użytkownika zapisuje na dysku lokalnym pliki cookies, które umożliwiają jego odróżnienie od pozostałych użytkowników oraz daje możliwość śledzenia jego aktywności. Wspomniane dane, w ramach korzystania z narzędzia Google Analytics mogę być przesyłane do serwerów Google znajdujących się w USA, co rodzi potrzebę realizacji obowiązków wynikających z przepisów RODO w tym zakresie.
Na co zwrócić uwagę przy korzystaniu z Google Analitics, aby prawidłowo wypełnić obowiązki określone w przepisach RODO dotyczących przekazywania danych poza EOG?
Czy w ogóle transfer danych w ramach korzystania z Google Analytics może być zgodny z RODO?
W poniższym artykule znajdziesz odpowiedzi na te pytania oraz przydatne wskazówki dla organizacji procesu przetwarzania danych w ramach korzystania z Google Analytics.
Czy wyrok „Shrems II” sprawił, że korzystanie z Google Analitics narusza przepisy RODO? Czy możliwe jest przekazywanie danych do USA na podstawie standardowych klauzul umownych?
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) 16 lipca 2020 roku wydał wyrok w sprawie Schrems II, który unieważnił podstawę transferu danych do USA jaką była „Tarcza prywatności”, powszechnie wykorzystywana w szczególności w branży e-commerce. Podstawę unieważnienia decyzji Komisji Europejskiej stanowił brak środków ochrony przed prawem obowiązującym w USA, które w określonych sytuacjach dawało możliwość dostępu służb specjalnych USA do danych osobowych Europejczyków.
Zatem, aby legalnym było przekazywanie danych do USA należy wskazać alternatywną podstawę prawną. Po tym jak wyrok TSUE stwierdził nieważność decyzji Komisji Europejskiej, która ustanowiła „Privacy Shield” najbardziej odpowiednią przesłanką wydaje się przekazywanie danych w oparciu o standardowe klauzule umowne (art. 46 ust. 2 lit. c RODO).
Niemniej jednak należy mieć na uwadze, iż wykorzystanie standardowych klauzul umownych zgodnie z art. 46 wymaga zapewnienia odpowiednich zabezpieczeń i obowiązywania egzekwowalnych praw osób, których dane dotyczą oraz skutecznych środków ochrony prawnej. To właśnie warunek dotyczący zabezpieczeń stanowi przeszkodę w stosowaniu standardowych klauzul umownych – Google powinien zapewnić możliwość zastosowania właściwych środków ochrony, które ochronią osoby fizyczne w UE przed inwigilacją służb USA.
Decyzja austriackiego organu nadzorczego w sprawie skargi podmiotu danych na przekazywanie jego danych do USA w ramach korzystania przez dostawcę witryny internetowej z Google Analytics
W swojej decyzji austriacki urząd ochrony danych (DSB) wskazał na braki w przygotowanym przez Google procesie przekazywania danych. Organ wskazał, iż Google nie zapewnia właściwej ochrony, która chroniłaby użytkowników przed dostępem do ich danych przez służby USA.
Ponadto zdaniem DSB identyfikatory wykorzystywane przez Google Analytics (np. Client ID) należy uznać za dane osobowe – więc nawet w przypadku zastosowania anonimizacji adresów IP użytkowników będzie dochodziło do przekazywania danych osobowych poza EOG.
Należy jeszcze wspomnieć o dodatkowych możliwościach uzyskania dostępu przez Google do danych dotyczących użytkowników odwiedzających serwis korzystający z Google Analytics:
1) Jeżeli użytkownik, który odwiedził witrynę korzystającą z Google Analytics był zalogowany również jako użytkownik usług Google to Google uzyska informacje na temat odwiedzin użytkownika wspomnianej witryny, o ile ustawienia konta Google użytkownika będą spełniały łącznie warunki określone w odpowiedzi na pytanie nr 9 w oświadczeniu wydanym przez Google na decyzję DSB tj. :
użytkownik aktywował opcję „Aktywność w Internecie i aplikacjach”,
użytkownik aktywował opcję uwzględniania historii Chrome i aktywności na stronach, urządzeniach i w aplikacjach, które używają usług Google,
użytkownik przegląda określony serwis www za pośrednictwem przeglądarki, w której jest zalogowany jako użytkownik Google;
2) W pewnych okolicznościach Google może łączyć dane użytkownika odwiedzającego witrynę korzystającą z Google Analytics z danymi pochodzącymi z innych witryn internetowych odwiedzonych przez użytkownika. Zgodnie ze wspomnianym oświadczeniem Google (odpowiedź na pytanie nr 13) Google nie podejmuje prób łączenia danych zebranych z poza sesji pochodzącej z serwisu korzystającego z Google Analytics, chyba że zostanie do tego poinstruowany, np. w przypadku wykorzystywania usługi remarketingu (Google Ads).
Podobne stanowisko w przedmiocie przekazywania danych do USA w ramach korzystania z Google Analytics zajął Europejski Inspektor Ochrony Danych, który w swojej decyzji nałożył karę nagany na Parlament Europejski, który wykorzystywał Google Analytics w obrębie swojej oficjalnej strony internetowej.
Zatem, czy istnieje sposób na przekazywanie danych do USA w ramach korzystania z Google Analytics, który nie będzie naruszał przepisów RODO?
Obecnie jedyną legalną podstawą przekazywania danych do USA w ramach korzystania z Google Analytics jest zgoda użytkownika na takie działanie.
Zgodnie z art. 49 RODO:
„1. W razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 lub braku odpowiednich zabezpieczeń określonych w art. 46, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że:
a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; (…)”
Zatem istnieje możliwość, aby przekazywanie danych do USA było realizowane w oparciu o zgodę osoby, której dane dotyczą pod warunkiem, iż:
zgoda ta będzie wyraźna;
osoba, której dane dotyczą zostanie poinformowania o ewentualnym ryzyku, tj. uzyskania dostępu służb specjalnych USA do jej danych osobowych (w zależności od ustawień Google Analytics zakres danych może obejmować adres IP, identyfikatory wykorzystywane przez Google Analytics typu Client ID, dane dotyczące sesji użytkownika np. czas spędzony na odwiedzonych podstronach)
Zbieranie zgody na przekazywanie danych poza EOG przy okazji realizacji wymagań art. 173 prawa telekomunikacyjnego
Ponieważ w ramach korzystania z Google Analytics wykorzystywana jest technologia plików cookies (jak zostało wcześniej wspomniane nic nie stoi na przeszkodzie, aby zgodę na przekazywanie danych poza EOG uzyskać w ramach pozyskiwania zgody na wykorzystywanie plików cookies dla celów analitycznych w ogóle.
Pozyskanie zgody powinno być realizowane za pośrednictwem mechanizmu służącego do zarządzania preferencjami cookies jeszcze przed ich zapisaniem przez na dysku lokalnym urządzenia wykorzystywanego do przeglądania serwisu www.
Należy zatem pamiętać, aby w miejscu, w którym użytkownik wyraża zgodę, oprócz wskazania celu przetwarzania, przedstawiono informacje wskazujące na potrzebę transferu danych do USA, wraz ze wskazaniem ryzyka ewentualnego uzyskania dostępu do danych przez służby amerykańskie.
Zobowiązanie Google do poinformowania o udostępnieniu danych służbom USA
Dodatkowo w trosce o dobro użytkowników, administrator serwisu WWW mógłby ich powiadomić, iż Google zobowiązał się do informowania o każdym przypadku żądania służb USA dostępu do danych przetwarzanych w ramach korzystania z Google Analytics, o ile oczywiście nie będzie zobowiązany do zachowania w tajemnicy takiego wniosku.
Wspomniane zobowiązanie powinno występować w treści standardowych klauzul umownych opracowanych dla Google Analytics, analogicznie jak ma to miejsce dla Google Ads. Niestety z niezrozumiałych przyczyn standardowe klauzule umowne dla Google Analytics nie są dostępne publicznie (w przeciwieństwie do standardowych klauzul umownych dla np. Google Ads) i nie jest jasne, w jaki sposób można uzyskać do nich dostęp – wg Google administrator serwisu www może zawnioskować o ich udostępnienie (patrz zrzut ekranu poniżej).
Google w linku „Skontaktuj się z nami” odwołuje się do centrum pomocy związanej z prywatnością, gdzie brak jest jakichkolwiek informacji na temat standardowych klauzul umownych. Na tym jednak nie poprzestaliśmy i postanowiliśmy napisać w przedmiotowej sprawie bezpośrednio do Inspektora Ochrony Danych Google. Wbrew pozorom znalezienie kontaktu do IOD Google stanowiło nie lada wyzwanie (brakuje informacji na ten temat w politykach prywatności Google). Dopiero dzięki życzliwości jednego z użytkowników twitter’a udało się uzyskać adres email: data-protection-office@google.com, który umożliwił zapytanie o dostęp do standardowych klauzul umownych dla Google Analytics. Niestety do czasu publikacji artykułu nie udało się jeszcze uzyskać odpowiedzi. Zaktualizujemy artykuł, gdy tylko sytuacja ulegnie zmianie.
Ograniczenie wysyłania informacji umożliwiających identyfikację osób
W myśl zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO) administrator powinien zadbać, aby dane osobowe były „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. W ramach korzystania z Google Analytics administrator serwisu WWW powinien dochować staranności w organizacji procesu tak, aby zakres zbieranych danych był ograniczony do tego, co niezbędne. W tym celu administrator serwisu WWW może wykorzystać wytyczne Google, które mogą pomóc ograniczyć zbieranie danych np. administrator w ustawieniach Google Analytics może aktywować automatyczną anonimizację adresów IP użytkowników odwiedzających serwis www.
Podsumowanie
Stanowisko austriackiego organu nadzorczego w sprawie przekazywania danych do USA w ramach wykorzystywania Google Analytics na podstawie standardowych klauzul umownych już teraz nie jest osamotnione (analogiczna decyzja francuskiego organu nadzorczego oraz wcześniej przytoczona decyzja Europejskiego Inspektora Ochrony Danych), a istnieje spore ryzyko, iż podobne stanowiska zajmować będą pozostałe organy nadzorcze.
Niemniej jednak warto wspomnieć, że obecnie trwają pracę nad nową umową pomiędzy Komisją Europejską a USA. Dlatego istnieje szansa, iż w niedalekiej przyszłości przywrócona zostanie możliwość przekazywania danych do USA w oparciu o tę nową umowę (jak wcześniej na bazie Safe Harbor oraz Privacy Shield).
Aktualnie jednak jedyną w pełni poprawną podstawę przekazywanie danych do USA w ramach korzystania z Google Analytics stanowi zgoda osoby, której dane dotyczą. Zatem administratorzy powinni ograniczyć zakres wykorzystywania tego narzędzia tylko do użytkowników, którzy wyrazili świadomą zgodę na takie działanie.