Google od bardzo dawna krytykowany jest za zbieranie danych o internautach, ich agresywne śledzenie i ujawnianie rządom zbyt wielu informacji, przy czym to Google Analytics budzi ostatnio jedne z największych obaw dotyczących prywatności. Decyzja austriackiego Urzędu Ochrony Danych Osobowych (DSB) z 22 grudnia 2021 roku, będąca pierwszym w Europie zdecydowanym ruchem przeciwko Google Analytics, tylko podgrzewa dyskusję i potwierdza potrzebę nowych regulacji danych osobowych na linii UE-USA.
Uruchomiony w listopadzie 2005 roku Google Analytics jest najczęściej używaną usługą statystyk stron internetowych, która śledzi i raportuje aktywność na stronie internetowej, w tym czas trwania sesji, liczbę stron na sesję, informacje o źródle ruchu itp. Ponadto, za każdym razem, gdy ktoś odwiedza stronę internetową, która korzysta z Google Analytics, Google śledzi tę wizytę za pomocą adresu IP, aby określić przybliżoną lokalizację geograficzną użytkownika. Wszystkie dane zebrane przez Google Analytics są hostowane na serwerach Google znajdujące się w USA, dlatego też korzystanie z Google Analytics przez europejskiego dostawcę stron internetowych (i przekazywanie danych osobowych do USA) może stanowić naruszenie rozdziału V RODO.
Austriacka firma dostarczająca wiadomości medycznych NetDoktor ("Spółka") wdrożyła na swojej stronie internetowej bezpłatną wersję narzędzia Google Analytics, aby umożliwić statystyczną ocenę zachowania osób odwiedzających stronę. Dane zbierane przez narzędzie, które w tym czasie było dostarczane przez Google LLC ("Google"), były hostowane (a zatem przekazywane) w USA. W celu spełnienia wymogów wyroku Schrems II, Spółka i Google zawarły standardowe klauzule umowne. Ponadto, Google wdrożyło dalsze środki umowne, organizacyjne i techniczne.
Biorąc pod uwagę, że Google, jako dostawca usług łączności elektronicznej w rozumieniu 50 US Code § 1881, podlega nadzorowi amerykańskich służb wywiadowczych zgodnie z sekcją 702 Foreign Intelligence Surveillance Act (FISA) i jest zobowiązany do przekazywania władzom USA danych osobowych, nie jest w stanie zapewnić odpowiedniej ochrony danych osobowych, zgodnie z austriackim DSB (biorąc pod uwagę, że zastosowane środki uzupełniające nie były w stanie przezwyciężyć ryzyka związanego z wykorzystaniem wspomnianych plików cookie). Dlatego też organ ochrony danych orzekł, że taki transfer danych osobowych do USA jest niezgodny z prawem.
DSB zauważył również, że:
Omawiana decyzja austriackiego organu ochrony danych jest pierwszą wydaną w konsekwencji 101 skarg złożonych w ubiegłym roku przez Max Schrems's noyb do kilku europejskich organów ochrony danych w związku z wyrokiem TSUE Schrems II.
Kolejną wydał niedawno francuski organ nadzorczy - CNIL, w której orzekł, że skoro Google Analytics nie zastosował odpowiednich środków uzupełniających w celu uniknięcia dostępu amerykańskich służb wywiadowczych do danych, przekazywanie danych do Google Analytics narusza art. 44 RODO. CNIL uznała również za nieskuteczną funkcję anonimizacji adresu IP, która (i) jest opcjonalna i nie ma zastosowania do wszystkich transferów oraz (ii) nie jest jasne, czy anonimizacja ma miejsce przed czy po przekazaniu adresu IP do USA i jest skracana dopiero w drugim kroku, co potencjalnie daje dostęp do całego adresu IP. CNIL stwierdziła również krótko, że zgoda (jako jedno z wyłączeń wymienionych w art. 49 RODO) nie jest odpowiednim mechanizmem transferowym, jeśli jest zbierana w ramach baneru cookie, ponieważ nie spełniałaby w ten sposób wymogu jednoznaczności.
Decyzja ta jest również zgodna z niedawną decyzją Europejskiego Inspektora Ochrony Danych, w której Parlament Europejski naruszył art. 46 i art. 48 ust. 2 lit. b) RODO, ponieważ mimo że oparł się na standardowych klauzulach umownych jako mechanizmie przekazywania danych, nie przedstawił żadnej dokumentacji dotyczącej zastosowanych środków umownych, technicznych lub organizacyjnych, które mogłyby zapewnić odpowiedni poziom ochrony danych osobowych przekazywanych sprzedawcom z siedzibą w USA (Google Analytics i Stripe). Należy również oczekiwać, że niemieckie i holenderskie organy ochrony danych wydadzą swoje decyzje lada dzień.
Powyższe sprawy z pewnością będą miały istotne konsekwencje, przyczyniając się do ożywienia dyskusji na temat restrykcyjnego prawa ochrony prywatności w Europie i podgrzewając debatę na temat konieczności wprowadzenia nowych regulacji dotyczących danych osobowych pomiędzy UE a USA.
Nie jest jeszcze jasne, jak powinny postąpić firmy, które korzystają z Google Analytics na swoich stronach internetowych. Najbardziej zgodnym z najnowszymi interpretacjami organów rozwiązaniem jest zaprzestanie korzystania z narzędzia, jednak wiele firm kontynuuje swoją działalność, obserwując rozwój sytuacji. To, co jest niewątpliwie kluczowe w tym momencie, ponieważ organy ochrony danych energicznie badają przekazywanie danych poza EOG, to posiadanie wszystkich odpowiednich umów, polityk, procedur, a przede wszystkim właściwych ocen skutków przekazania danych.
Niezamówione wiadomości i inne informacje przesłane dobrowolnie do firmy Dentons, nie będą uznane za informacje poufne i mogą zostać ujawnione osobom trzecim, mogą pozostać bez odpowiedzi i nie stanowią podstawy relacji pomiędzy prawnikiem a klientem. Jeśli nie jesteś klientem Dentons, prosimy o nieprzesyłanie informacji o charakterze poufnym.
Opis dostępny w innej wersji językowej.
Zostaniesz teraz przekierowany ze strony Dentons na stronę $redirectingsite w języku angielskim. Aby kontynuować, kliknij „Zatwierdź”.
Zostaniesz teraz przekierowany ze strony Dentons na stronę Beijing Dacheng Law Offices, LLP. Aby kontynuować, kliknij „Zatwierdź”.