Czy możesz jeszcze używać Google Analytics?

W ostatnich dniach media obiegła informacja o decyzji austriackiego Urzędu Ochrony Danych Osobowych stwierdzająca, że używanie Google Analytics jest niezgodne z RODO. Skutki tej decyzji mogą dotknąć wielu, bowiem Google Analytics to narzędzie analityczne najczęściej wykorzystywane przez przedsiębiorców w celu pomiaru i analizy ruchu na stronach internetowych. Czy możesz zatem używać jeszcze Google Analytics?

Co orzekł austriacki Urząd Ochrony Danych Osobowych?

Kwestia transferu danych osobowych do Stanów Zjednoczonych zawsze była problematyczna. W latach 2000  – 2015 transfer danych osobowych odbywał się na podstawie tzw. porozumienia Safe Harbour. W 2015 r. Safe Harbour został unieważniony w tzw. wyroku Schrems I (C- 362 /14). W latach 2016 r. – 2020 r. transfer danych osobowych odbywał się na podstawie tzw. Privacy Shield, który również został unieważniony w wyroku Trybunału Sprawiedliwości UE, tzw. wyrok Schrems II.

W obydwu sytuacjach stwierdzono brak adekwatnej ochrony danych osobowych w Stanach Zjednoczonych.

Problem głównie dotyczył amerykańskiej ustawy CLOUD Act, na podstawie której służby amerykańskie mogą zobowiązać amerykańskie podmioty do udostępnienia wszystkich danych niezależnie czy dane te są przetwarzane na serwerach amerykańskich czy poza Stanami Zjednoczonymi.

Od 2020 r. większość transferów danych osobowych do Stanów Zjednoczonych odbywała się na zasadzie tzw. klauzul umownych. Jest to inna z podstaw wskazanych w RODO, która umożliwia dokonanie transferu danych osobowych do państwa trzeciego. CLOUD Act jednak cały czas funkcjonuje w USA i wszystkie podmioty amerykańskie, niezależnie od tego, jakie podpisały umowy, są zobowiązane do udostępnienia danych, jeśli służby amerykańskie je o to poproszą. Czy w związku z tym można było faktycznie legalnie przekazywać dane do USA na podstawie standardowych klauzul umownych?

Takie wątpliwości miała organizacja noyb (none of your business) i to m.in. ten argument podniosła w postępowaniu przed austriackim Urzędem Ochrony Danych Osobowych, jak w ponad 100 innych skargach, które złożyła w państwach UE przeciwko podmiotom korzystającym z Google Analytics (w tym w Polsce).

Austriacki Urząd Ochrony Danych Osobowych przyznał rację noyb:

W ślad za tym pojawiło się ostrzeżenie holenderskiego Urzędu Ochrony Danych Osobowych, który również zajmuje się skargami dotyczącymi Google Analytics. Holenderski Urząd ostrzega, że korzystanie z Google Analytics może być niezgodne z RODO (patrz: https://autoriteitpersoonsgegevens.nl/).

Jak duża jest skala problemu?

Google Analytics to najpopularniejsze narzędzie analityczne, głównie dlatego, że jest darmowe. Łatwo sprawdzić, jakie strony korzystają z Google Analytics – wystarczy wpisać nazwę strony tu: https://themarkup.org/blacklight, by uzyskać wiele interesujących nas informacji o tym, jakie informacje są zbierane przez strony internetowe. Jak zobaczymy, większość znanych nam stron internetowych korzysta z tego narzędzia.

Na rynku europejskim jest niewiele podmiotów dostarczających narzędzi do pomiaru i analizy ruchu stron (jak np. AT Internet). Usługi takie są zazwyczaj odpłatne w przeciwieństwie do Google Analytics.

Czy można nadal używać Google Analytics?

Wydaje się, że używanie Google Analytics będzie ryzykowne. Polski Urząd Ochrony Danych Osobowych jeszcze nie orzekł w skargach dotyczących Google Analytics, ale taka decyzja została już podjęta w sprawie używania przez Parlament Europejski. Treść decyzji znajdziesz tu: https://noyb.eu/. Natomiast holenderski Urząd Ochrony Danych Osobowych już wydał ostrzeżenie o używaniu Google Analytics. 101 skarg zostało złożone w 30 państwach UE i można przypuszczać, że decyzje będą podobne.

Ciężko sobie jednak wyobrazić całkowite wstrzymanie transferu danych osobowych do USA. Z pewnością zostaną wypracowane nowe mechanizmy, które pozwolą na bezpieczne transfery danych.

Zanim to się jednak stanie, warto rozważyć skorzystanie z usług podmiotu europejskiego świadczącego usługi analityczne, który przetwarza dane osobowe na terenie UE.

Jeśli transfer danych do USA jest konieczny, warto rozważyć anonimizację danych. Dlaczego? Danych zanonimizowanych nie można połączyć z żadną konkretną osobą, wobec tego tracą status danych osobowych i przestają podlegać RODO.

Oczywiście, jeżeli pojawią się nowe mechanizmy, które pozwolą na bezpieczny transfer danych do USA, będziemy infomować Was na bieżąco.

***

Autorka artykułu: Patrycja Szpakowska – aplikantka radcowska, zainteresowana prawem nowych technologii, w szczególności blockchain i web3.

fot.: Myriam Jessier on Unsplash

Zobacz także:

Masz dodatkowe pytania? Potrzebujesz porady prawnej w Twojej indywidualnej sprawie? Skontaktuj się z nami.

Czy wiesz, że Lookreatywni to nie tylko baza wiedzy?

Jesteśmy zaufanym partnerem, który nie tylko doradza i zabezpiecza klienta pod względem prawnym, ale również wspiera go biznesowo.