Czy korzystanie z Google Analytics jest zgodne z prawem?

10 lutego 2022 r. Narodowa Komisja ds. Informatyki i Wolności (CNIL) we Francji zdecydowała, że korzystanie z Google Analytics przez jedną z francuskich witryn internetowych stanowi łamanie ustawy o danych osobowych. Pojawia się zatem pytanie, czy korzystanie z Google Analytics jest zgodne z europejskimi i polskimi przepisanie w zakresie ochrony danych osobowych?

Krótki przegląd orzeczeń w krajach europejskich

Zgodnie z komunikatem prasowym: „(…) CNIL zauważa, że dane użytkowników Internetu gromadzone przez Google Analytics używane przez miliony stron internetowych do mierzenia zachowania użytkowników Internetu są przekazywane do USA z naruszeniem RODO [ogólne rozporządzenie w sprawie danych europejskich ochrony]”.

Nie jest to jedyne orzeczenie w tej linii. 13 stycznia 2022 r. Datenschutzbehörde (DSB), austriacki odpowiednik CNIL, podjął podobną decyzję. W ślad za nim również holenderski Urząd ostrzegł, że korzystanie z Google Analytics może być niezgodne z RODO.

Problematyczny transfer danych

Kwestia transferu danych osobowych do Stanów Zjednoczonych od zawsze budzi kontrowersje.

W latach 2000 – 2015 transfer danych osobowych był dokonywany na podstawie tzw. porozumienia Safe Harbour. W 2015 r. Safe Harbour został unieważniony w tzw. wyroku Schrems I (C- 362 /14).

W latach 2016 – 2020 r. transfer danych osobowych odbywał się na podstawie tzw. Privacy Shield, który również został unieważniony w wyroku Trybunału Sprawiedliwości UE (tzw. wyrok Schrems II).

W obydwu wyrokach stwierdzono brak odpowiedniej ochrony danych osobowych w Stanach Zjednoczonych. W ocenie TSUE problematyczny jest tzw. Cloud Act, na podstawie którego amerykańskie służby wywiadowcze mają prawo zobowiązać amerykańskie podmioty do udostępnienia wszystkich danych niezależnie od tego, czy dane są przetwarzane na serwerach amerykańskich czy poza Stanami Zjednoczonymi.

Podstawy aktualnych orzeczeń

CNIL, podobnie jak jej odpowiedniki w innych krajach Unii Europejskiej, swoje orzeczenie opierała na wyroku Schrems II. W toku postępowania przeanalizowano warunki, na których dane zebrane za pomocą Google Analytics były przekazywane do Stanów Zjednoczonych.

CNIL zbadała również ryzyko ponoszone dla zainteresowanych osób. Na skutek analizy, organ jednoznacznie uznał, że transfery do Stanów Zjednoczonych nie są obecnie wystarczająco uregulowane, a Google nie zapewnia odpowiednich gwarancji oraz wystarczającego poziomu ochrony danych w odniesieniu do RODO.

Aktualne podstawy transferu danych do USA

Od 2020 r. większość transferów danych osobowych do Stanów Zjednoczonych odbywa się na zasadzie tzw. klauzul umownych. Takie rozwiązanie wynika wprost z przepisów RODO, które umożliwiają dokonanie transferu danych osobowych do państwa trzeciego.

Jednakże zdaniem CNIL, funkcjonujący w USA Cloud Act powoduje poważne ryzyko przekazania danych do służb amerykańskich. Podmioty amerykańskie są zobowiązane do udostępnienia danych bez względu na treść umowy czy zawarte w niej klauzule. Zatem zdaniem CNIL nie ma możliwości legalnego przekazywania danych do USA na podstawie standardowych klauzul umownych.

Stanowisko Google

Co prawda firma Google, czyli Alphabet, stosuje dodatkowe środki w celu uregulowania przesyłania danych w kontekście funkcji Google Analytics, ale zdaniem francuskiego organu ochrony danych, nie są one wystarczające, aby wykluczyć ich dostępność dla amerykańskich służb wywiadowczych.

Organ stwierdził naruszenie art. 44 i nast. RODO oraz nakazał administratorowi strony, aby dostosował przetwarzanie danych do RODO, w razie potrzeby zaprzestając korzystania z funkcji Google Analytics (w obecnych warunkach) lub korzystając z narzędzia, które nie wiąże się z transferem poza UE. Administratorowi wyznaczono termin jednego miesiąca na zmiany.

Aktualna sytuacja

Batalia prawna o przekazywanie danych Europejczyków do Stanów Zjednoczonych zatem trwa w najlepsze. Jak dotąd, nie zostało wydane oficjalne stanowisko Google w odniesieniu do zapadających decyzji.

Spółka wydała jedynie komunikat w odpowiedzi na austriackie orzeczenie. Wprost nie wynika z niego aby Spółka miała zamiar podjąć konkretne działania.

Google sugeruje jedynie, że brak porozumienia w sprawie nowych procedur dotyczących przesyłania danych może uniemożliwić dalsze korzystanie z usług Google przez jego użytkowników. Można zatem odnieść wrażenie, że technologiczny gigant zasłania się wywoływaniem szkody na rzecz obywateli przez ograniczenie jego działalności.

Spółka przypomina, że jego użytkownicy w coraz większym stopniu korzystają z przepływu danych w różnych celach – od zakupów online, rezerwowania wyjazdów turystycznych i organizowania dostaw po współpracę służbową, zarządzanie klientami i działania związane z bezpieczeństwem.

Decyzja dotyczy używania konkretnego narzędzia, jakim jest Google Analytics, ale orzeczenie oznacza podważenie legalności przesyłania danych do USA, niezależnie od podmiotu czy narzędzia.

Warto również podkreślić, że organy ochrony danych państw europejskich, prowadzą liczne postępowania wyjaśniające lub śledztwa, nie tylko wobec Google. Coraz częściej organy przyglądają się również innym narzędziom wykorzystywanym przez strony, których celem jest przesyłanie danych europejskich użytkowników Internetu do Stanów Zjednoczonych. W najbliższej przyszłości mogą zostać podjęte kolejne decyzje w tym przedmiocie.

Czy korzystanie z Google Analytics jest zgodne z prawem?

W obliczu decyzji wydawanych przez europejskie organy ochrony danych osobowych, używanie Google Analytics jest ryzykowne. Co prawda polski Urząd Ochrony Danych Osobowych jeszcze nie orzekł w skargach dotyczących Google Analytics, ale to zapewne kwestia czasu.

Decyzja o bardzo szerokim i ciekawym uzasadnieniu zapadła w sprawie używania Google Analytics przez stronę internetową Parlamentu Europejskiemu. Treść decyzji jest dostępna pod linkiem: https://noyb.eu/. Na jej podstawie orzeczono, że strona PE, korzystając z Google Analytics narusza przepisy RODO oraz prowadzi do bezprawnego transferu danych do państwa trzeciego. Również Holenderski Urząd Ochrony Danych Osobowych wydał ostrzeżenie o używaniu Google Analytics.

Rośnie również liczba skarg składanych w państwach UE. Złożono co najmniej 101 skarg w 30 państwach UE. Można snuć przypuszczenia, że decyzje w tych krajach będą podobne do dotychczas zapadłych.

Wnioski?

Trudno sobie wyobrazić całkowite zaprzestanie transferu danych osobowych do USA. Z biegiem czasu zapewne zostaną wypracowane nowe mechanizmy, które pozwolą na bezpieczne przekazywanie danych do USA. Zanim to nastąpi, warto rozważyć korzystanie z usług analitycznych podmiotu europejskiego, który przetwarza dane osobowe zgodnie z RODO, na terytorium UE.

Autorka: Klaudia Palikot, aplikantka adwokacka

DANE KONTAKTOWE

kancelaria

ul. Odyńca 7/13
02-606 Warszawa

MONIKA MACURA

Tel.: (+48)696-011-713

monika.macura@kancelariamacura.pl

BĄDŹMY W KONTAKCIE

Dzielimy się naszą fachową wiedzą oraz doświadczeniem.Bądź pierwszym, który się dowie o naszych inicjatywach, spotkaniach ze specjalistami Kancelarii i zmianach w prawie, istotnych dla działalności Twojej branży. Zachęcamy do lektury i subskrypcji naszego newslettera.

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Kancelarii Radcy Prawnego Monika Macura newslettera drogą e-mailową. Zgodę można wycofać w każdym czasie. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Zapoznaj się z zasadami przetwarzania Twoich danych osobowych.

Kancelaria Macura