Google Analytics jest bardzo popularnym rozwiązaniem, wykorzystywanym na wielu stronach internetowych w celu zbierania danych o ruchu i tworzenia raportów pozwalających na dostosowanie zasięgu strony. Narzędzie to jest wykorzystywane na bardzo dużą skalę, przez co jest zdecydowanie najpopularniejszym rozwiązaniem w tym obszarze. Jednak stosowanie tego narzędzia wiąże się ze zbieraniem informacji o użytkownikach strony internetowej, co powodować może konkretne obowiązki prawne, w tym te wynikające z RODO.
Oczywistym jest tutaj wymóg zebrania zgody na takie wykorzystanie danych – korzystanie z Google Analytics nie jest niezbędne dla funkcjonowania strony. Interesujące natomiast są inne zagadnienia prawne, które powstają w związku z działaniem tego narzędzia. Podstawowym problemem, którym w ostatnim roku zajmowały się organy ochrony danych Unii Europejskiej jest kwestia przesyłania danych do Stanów Zjednoczonych. Od czasu wyroku Trybunał Sprawiedliwości Unii Europejskiej w sprawie C-311/18 (Schrems II), nie można korzystać z decyzji o adekwatności w systemie Privacy Shield dla takiego transferu – niezbędnym jest skorzystanie z jednej z innych podstaw z Rozdziału V RODO oraz ocena potencjalnych skutków takiego transferu dla osób, których dane dotyczą. Google Analytics korzysta z serwerów, które znajdują się na terenie USA w celu dokonywania analizy.
Stosując zatem Google Analytics, niezbędnym jest spełnienie wymogów transferu do państwa trzeciego. Google oferuje tutaj możliwość zawarcia umowy opartej na standardowych klauzulach umownych oraz zestaw środków dodatkowych – zabezpieczających transfer, które w zamierzeniach mają odpowiadać wymogom prawa. Pomimo powyższego zgodność funkcjonowania Google Analytics z przepisami RODO nadal budzi poważne wątpliwości. Założona przez Maximilliana Schremsa organizacja pozarządowa NOYB (Not Your Business) złożyła 101 skarg dotyczących stosowania Google Analytics na stronach internetowych w Unii Europejskiej – spośród nich 5 dotyczących podmiotów w Polsce – komentuje Krzysztof Podolski.
W rezultacie mieliśmy do czynienia z długą listą decyzji dotyczących funkcjonowania Google Analytics. W zeszłym roku legalność funkcjonowania narzędzia była kwestionowana w kilku krajach. Najpierw w Austrii, a następnie we Francji CNIL nakazał trzem stronom w sprawie, których dotyczyło postępowanie usunięcie tego rozwiązania – zwracając uwagę, że przyjęte przez Google rozwiązania nie pozwalają na legalizację transferu danych. Holenderski i luksemburski organy wydały opinie, w których wskazały, że korzystanie z Google Analytics w tej formie może nie być dozwolone w niektórych przypadkach. Korzystanie z tego narzędzia zakwestionowane zostało również przez norweski organ ochrony danych, zaś organ duński wydał decyzje całkowicie zakazującą korzystania z tego rozwiązania w jego podstawowej konfiguracji. W Polsce nie było do tej pory upublicznionej decyzji, chociaż skargi NYOB złożone zostały jeszcze w sierpniu roku 2020. Podstawowym problemem w wykorzystaniu Google Analytics jest fakt, że samodzielnie środki wprowadzone przez Google w postaci klauzul standardowych nie wyłączają możliwości dostępu do danych ze strony organów wywiadowczych USA. Oprócz tego, koniecznym może być dokonanie oceny skutków transferu – która wykaże, że taki transfer nie będzie wiązał się z nadmiernym zagrożeniem dla praw osób. Brak takiej analizy był podstawą dla wydania decyzji przez norweski organ ochrony danych w sprawie Datatilsynet, która pokazuje wyraźnie dostrzeżony w Europie problem.
Sprawdź jak wdrożyć RODO w twojej organizacji
Sprawa Datatilsynet
W sprawie Datatilsynet zawarta z Google umowa została oparta na standardowych klauzulach umownych. Jednakże administrator nie przeprowadził analizy skutków transferu i nie wdrożył dodatkowych środków ochrony, w sytuacji przekazywania szerokiego zakresu danych. Jak zauważył norweski organ ochrony danych, dane takie mogły być wykorzystane przez służby USA w związku z regulacją sekcji 702 Foreign Intelligence Surveillance Act (dalej FISA). Określa ona zasady zbierania i wykorzystania przez agencje wywiadowcze USA informacji dotyczącej osób nie będących U.S. Persons (pojęcie to dotyczy grupy szerszej niż tylko obywateli USA). Sekcja 702 umożliwia nakazanie dostawcy usług komunikacji elektronicznej, by wspierał pozyskiwanie informacji wywiadowczych, zaś zakres stosowania tego aktu nadal pozostają niejasne. W przypadku danych Datatilsynet przesyłanych do Google Analytics mogły być one wykorzystane w takim celu przez służby USA. Ukarany podmiot bronił się wskazując, że same adresy IP praktycznie nie byłyby regulowane przez Sekcję 702 FISA, ale zakres danych przesyłanych do Google Analytics – i tym samym do Stanów Zjednoczonych – był szerszy i mogły być one zbierane przez służby wywiadowcze USA. Zawarcie umowy opartej o standardowe klauzule umowne, oferowane przez Google, nie rozwiązywało w całości tego problemu. Spółka nie wdrożyła dalszych elementów niezbędnych do zabezpieczenia danych i tym samym doszło do naruszenia RODO.
Nowa wersja Google Analytics 4.0
Na powyższym przykładzie widać, że nawet wykorzystanie standardowych klauzul umownych oferowanych przez Google, nie tworzy odpowiedniego zabezpieczenia dla transferu danych. Wciąż mogą być one zbierane i dostępne dla służb wywiadowczych w USA. Obok FISA, podstawą dla takiego zbierania danych może być Executive Order 12333, bezpośrednio wskazany w decyzji w sprawie Schrems II, który teoretycznie zezwalałby na przechwytywanie danych podczas ich transferu do USA. Google przygotowuje aktualnie przejście na rozwiązanie Google Analytics w wersji 4 (opisane wcześniej decyzje dotyczyły wersji Universal Analytics działającej od roku 2012), a jednym z głównych motywów zmiany jest właśnie ochrona prywatności. Nie wydaje się jednak, aby rozwiązało to problem transferu danych do USA. Nowe rozwiązanie będzie objęte tymi samymi problemami i wadami prawnymi, jak miało to miejsce w przypadku Universal Analytics. Główny zarzut w postępowaniach przedstawionych powyżej dotyczył transferu danych do USA i braku środków, które wspierałyby ochronę prywatności przed inwigilacją. Nowa wersja Google Analytics zmienia charakter analizowanych pików, ale nie rozwiązuje problemu transferu. Dalej może być on przechwycony, w ten sam sposób w jaki miało to miejsce przypadku Universal Analytics. Nowe rozwiązanie korzystać będzie z unikalnego identyfikatora urządzenia (nie adresu IP) oraz cookies umieszczanych bezpośrednio przez stronę, która była odwiedzana. Wciąż jednak przetwarzać będzie dane osobowe co oznacza, że będzie regulowane przepisami RODO. Jednocześnie, jak zauważył duński organ ochrony danych, nawet pomimo tego, że w wersji 4.0 adresy IP są usuwane, mogą być one usunięte dopiero po przesłaniu na serwer w USA, co potęguje problem.
Większe nadzieje wiązać można z trwającymi pracami nad nowym porozumieniem dotyczącym transferu danych z Unii Europejskiej do USA, ale w tym momencie nie jest jasnym czy i kiedy będzie ono przyjęte. Ponadto stosowanie się USA do postanowień takiego porozumienia może zależeć od sytuacji politycznej w tym kraju. Dlatego np. w Czechach strony rządowe rezygnują z korzystania z Google Analytics na rzecz innego rozwiązania służącemu temu samemu celowi. Należy jednak zwrócić uwagę na fakt, że w niektórych przypadkach organy nadzorcze (jak francuski CNIL) zwracają uwagę, że stosowanie Google Analytics byłoby dopuszczalne, jeżeli wdrożone zostaną dodatkowe zabezpieczenia. Sama możliwość uzyskania dostępu do takich danych przez służby USA nie powoduje także automatycznego naruszenia RODO – jeżeli organizacja jest w stanie udowodnić na podstawie oceny skutków transferu, że w danym przypadku nie powstało ryzyko dla praw i wolności osób fizycznych – podsumowuje Krzysztof Podolski.