Skip to main content
//

Artykuł ukazał się w Magazynie ODO

Autor: Roksana Lejpamer, Aleksandra Halfar


Czy korzystanie z Google Analytics stało się nielegalne? Jakie dodatkowe funkcje i środki zabezpieczające wdrożyć, by zminimalizować ryzyko związane z transferem danych osobowych do USA? Przedstawiamy przegląd najnowszych wytycznych europejskich organów nadzoru i wyciągamy z nich najważniejsze wnioski dla administratorów danych osobowych.

Przegląd wytycznych europejskich organów nadzoru

  1. Decyzja austriackiego organu nadzoru z dnia 22 grudnia 2021 r.

Austriacki organ nadzoru wskazał, że korzystanie z Google Analytics (GA) narusza europejskie przepisy o ochronie danych osobowych z następujących przyczyn:

  1. jest możliwe powiązanie przekazanych do USA danych z konkretną osobą fizyczną, ponieważ adresy IP i identyfikatory internetowe mogą zostać zakwalifikowane jako dane osobowe w rozumieniu art. 4 ust. 1 RODO, zwłaszcza w sytuacji gdy prowadzą do identyfikacji osoby, której dane dotyczą;
  2. funkcja anonimizacji adresu IP udostępniana przez Google Analytics jest niewystarczającym zabezpieczeniem transferu danych do USA;
  3. przy GA transfer danych nie może opierać się wyłącznie na standardowych klauzulach umownych (SCC), co jest spowodowane tym, że Google podlega amerykańskim przepisom nadzoru, zaś same środki umowne nie wiążą w wystarczającym stopniu władz w „kraju trzecim”.

Austriacki organ nie poprzestał na jednej decyzji – dnia 22 kwietnia 2022 r. wydano kolejną, w której organ potwierdził, że nawet anonimizowanie adresu IP (a więc korzystanie z opcji, którą dostarcza samo narzędzie GA) nie jest wystarczające dla zapewnienia odpowiedniego poziomu ochrony danych osobowych.

  1. Decyzja Europejskiego Inspektora Ochrony Danych z dnia 5 stycznia 2022 r.

Europejski Inspektor Ochrony Danych (EIOD) decyzją z dnia 5 stycznia 2022 r. potwierdził, że Parlament Europejski naruszył prawo o ochronie danych na swojej stronie internetowej poświęconej testom COVID, poprzez korzystanie z narzędzi instalujących pliki cookie, które przekazują dane, umożliwiające identyfikację użytkowników do państw trzecich.

Inspektor podkreślił, że korzystanie z Google Analytics i dostawcy płatności Stripe (obie firmy są z USA) naruszyło orzeczenie Trybunału Sprawiedliwości Unii Europejskiej (TSUE) „Schrems II” w sprawie przekazywania danych między UE a USA. EIOD wskazał, że wobec braku decyzji dotyczącej legalności transferu danych do USA, administrator jest zobowiązany do odpowiedniego zabezpieczenia danych osób, których dane dotyczą.

Takim zabezpieczeniem może być:

  1. oparcie transferu na umowie zawierającej standardowe klauzule umowne (SCC), a także wykorzystanie innych środków zabezpieczających, co zastosowane jedynie łącznie doprowadzi do zapewnienia adekwatnego poziomu ochrony danych osoby, której dane dotyczą;
  2. korzystanie z SCC lub innych środków zabezpieczających nie zastąpi indywidualnej oceny, którą administrator musi przeprowadzić, aby ustalić, czy w kontekście konkretnego transferu państwo trzecie zapewnia przekazanym danym poziom ochrony zasadniczo równoważny z poziomem ochrony danych gwarantowanym w UE;
  3. przekazywanie danych osobowych do Stanów Zjednoczonych może mieć miejsce tylko wtedy, gdy jest ono objęte skutecznymi środkami zabezpieczającymi w celu zapewnienia równoważnego poziomu ochrony przekazywanych danych osobowych.
  1. Decyzja francuskiego organu nadzoru z dnia 10 lutego 2022 r.

Francuski organ nadzoru (CNIL) wskazał, że aktualne regulacje prawne nie pozwalają na legalne korzystanie z GA.

W ocenie CNIL:

  1. środki ochrony podjęte przez Google nie są wystarczające, aby zupełnie wykluczyć możliwość dostępu do przekazywanych informacji przez amerykańskie służby wywiadowcze; w konsekwencji dane osobowe transferowane do USA za pośrednictwem Google Analytics nie są odpowiednio chronione przed potencjalnym dostępem amerykańskich służb specjalnych, więc transfer ten odbywa się z naruszeniem art. 44 i nast. RODO;
  2. nawet zawarcie umowy w oparciu o standardowe klauzule umowne (SCC), przy jednoczesnym wdrożeniu przez Google dodatkowych środków, w tym anonimizacja adresów IP, nie jest wystarczającym rozwiązaniem dla zapewnienia legalnego przesyłu danych.

Z uwagi na powyższe, CNIL wyznaczył francuskim administratorom witryn internetowych miesięczny termin na dostosowanie sposobu przetwarzania danych do zasad wynikających z RODO i w razie potrzeby zaprzestanie korzystania z funkcji Google Analytics lub zmianę na narzędzie, które nie wiąże się z transferem danych poza EOG.

  1. Decyzja włoskiego organu nadzoru z dnia 9 czerwca 2022 r.

Włoski organu nadzoru (GPDP) decyzją z dnia 9 czerwca 2022 r. jako kolejny wskazał, że przetwarzanie danych osobowych w związku z korzystaniem z GA jest niezgodne z RODO, co ma wynikać m.in. z braku stosowania przez Google środków mających zapewnić legalność takiego przetwarzania, a także z tego, że USA jako kraj do którego przekazywane są dane nie zapewnia odpowiedniego poziomu ochrony danych osobowych.

Włoski organ doszedł do tych wniosków po kompleksowej analizie skarg jakie wpłynęły zarówno do GPDP, jak i innych organów państw członkowskich. Organ stwierdził, że:

  1. operatorzy stron internetowych korzystający z GA za pośrednictwem plików cookie zbierali informacje o interakcjach użytkowników dotyczących odwiedzanych stron, wyszukiwanych usługach, a nadto ww. dane zawierały różnorodne informacje, takie jak: adres IP urządzenia, wskazanie przeglądarki, system operacyjny, rozdzielczość ekranu, preferowany język, datę oraz czas wyświetlania strony, co więcej informacje te były następnie przesyłane do USA, co w mniemaniu organu zostało zakwalifikowane jako niezgodne z prawem;
  2. adresy IP stanowią dane osobowe i nawet w przypadku „obcięcia” ich przez algorytmy Google, takie działanie nie może być uznane za skuteczną anonimizację.

W konsekwencji, organ upomniał włoskiego operatora strony internetowej i zobowiązał go do podjęcia działań mających na celu zaprzestanie łamania prawa dotyczącego danych osobowych (GDPR) w ciągu 90 dni. Okres ten ma pozwolić podmiotowi na wprowadzenie odpowiednich rozwiązań. W przeciwnym wypadku zostanie nakazane zawieszenie przepływu danych związanych z GA do USA.

Organ szczególnie podkreślił, że służby działające w USA (rządowe jak i wywiadowcze) mogą zyskać dostęp do danych osobowych w związku z brakiem dodatkowych zabezpieczeń. Zaznacza przy tym, że stosowane przez Google rozwiązania nie zapewniają bezpieczeństwa dla danych osobowych i nie stanowią odpowiednich środków uzupełniających, określonych przez Europejską Radę Ochrony Danych (EROD) w rekomendacji 1/2020 z dnia 18 czerwca 2021 r. dotyczącej środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych.

  1. Rekomendacje niderlandzkiego organu nadzoru z dnia 18 stycznia 2022 r.

Niderlandzki organ nadzoru również zabrał głos w dyskusji dotyczącej przesyłania danych osobowych do USA w związku z korzystaniem z narzędzi dostarczanych przez amerykańskich dostawców. W swoim komunikacie organ wskazał, że obecnie trwa analiza dwóch skarg dotyczących kwestii transferu danych do USA, a także przedstawił swoje rekomendacje dotyczące korzystania z Google Analytics.

Organ nadzoru w swoim manualu wskazał m.in., że:

  1. zalecane jest zawarcie umowy powierzenia z dostawcą usługi;
  2. należy korzystać z funkcji anonimizowania adresu IP (adres IP składa się z 4 tzw. oktetów po 3 cyfry każdy, a Google oferuje usunięcie tylko ostatniego oktektu; wprawdzie organy nadzoru przedstawiają stanowisko, że nie jest to wystarczająca anonimizacja, ponieważ taka metoda jedynie ogranicza możliwość identyfikacji użytkownika do grupy 256 komputerów, jednak i tak należałoby ją wdrożyć jako kolejny element zabezpieczający ewentualne przekazywanie danych);
  3. należy wyłączyć możliwość udostępniania danych, oferowaną przez Google (także w zakresie wykorzystywania danych do celów reklamowych);
  4. należy zadbać o to, żeby przypadkowo nie uruchomić funkcji „user ID”.

Niderlandzki DPA zwrócił również uwagę, że należy rozważyć możliwość zastosowania narzędzi, które oferują podobne funkcje jak Google, jednak generują mniejsze ryzyko naruszenia przepisów o ochronie danych, np. z uwagi na lokalizację organizacji na terenie EOG.

  1. Stanowisko duńskiego organu nadzoru z dnia 14 lipca 2022 r.

Kanwą stanowiska duńskiego DPA było przetwarzanie danych osobowych w gminie Elsinore. Duński DPA we wrześniu 2021 r. wydał decyzję, w której gmina Elsinore otrzymała nakaz przeprowadzenia oceny ryzyka przetwarzania danych osobowych w szkołach podstawowych przy użyciu Chromebooków i Workspace. Na podstawie dokumentacji i oceny ryzyka dla osób, których dane dotyczą, przygotowanej przez gminę Elsinore, duński DPA ustalił, że przetwarzanie nie spełnia wymogów RODO pod kilkoma względami:

  1. Google LLC powinna być uważana za „dostawcę usług łączności elektronicznej”, a zatem może podlegać dyrektywom organów ścigania zgodnie z FISA 702, co natomiast oznacza, że amerykańskie organy ścigania mogą mieć dostęp do danych osobowych;
  2. wobec możliwości uzyskania danych osobowych przez amerykańskie organy ścigania, duńskie DPA stoi na stanowisku, że umowa oparta o SCC nie jest wystarczająca dla zapewnienia równoważnego poziomu ochrony, przez co koniecznym jest wdrożenie uzupełniających środków technicznych;
  3. duński DPA wskazał, że takim środkiem technicznym może być szyfrowanie danych w sposób uniemożliwiający ich ponowne odczytanie i identyfikację osób, których dane dotyczą.

Duński DPA stoi na stanowisku, że:

  1. konieczne jest zawieszenie przeprowadzania operacji przetwarzania, w przypadku gdy dane są przekazywane do państw trzecich bez niezbędnego poziomu ochrony;
  2. obowiązuje ogólny zakaz przetwarzania w Google Workspace (G Suite) do czasu przeprowadzenia oceny skutków przetwarzania oraz do czasu dostosowania przetwarzania do obowiązujących przepisów dotyczących ochrony danych osobowych.

Wydaje się, że stanowisko duńskiego DPA na razie dotyczy tylko szkół publicznych, jednak te zasady mogą być stosowane przez wszystkie podmioty korzystające z usług dostawców amerykańskich, co potwierdził Allan Frank – specjalista ds. bezpieczeństwa IT i prawnik z Datatilsynet DK (duńskiego DPA).

  1. Stanowisko francuskiego organu nadzoru z dnia 20 lipca 2022 r.

CNIL ponownie wskazał, że aktualne regulacje prawne nie pozwalają na legalne korzystanie z GA, a swoje stanowisko poparł następującymi argumentami:

  1. mimo, że firma Google przyjęła dodatkowe środki w celu uregulowania przesyłania danych w kontekście korzystania z funkcji Google Analytics na terenie UE, środki te nie są wystarczające, aby zupełnie wykluczyć możliwość dostępu do tych danych przez amerykańskie służby wywiadowcze;
  2. dane użytkowników są wobec tego przekazywane do USA z naruszeniem art. 44 i nast. RODO.

Wychodząc jednak naprzeciw potrzebom administratorów, organ jednocześnie zaproponował zastosowanie proxy – przy czym takie rozwiązanie wymaga przeprowadzenia szczegółowej analizy, której wynik zapewni, że wszystkie przekazywane w ten sposób informacje nie będą dawały jakiejkolwiek możliwości ponownego zidentyfikowania użytkownika (nawet przez organy państwowe wyposażone w dodatkowe uprawnienia przewidziane prawem).

Samo proxy jest jednak tylko jednym z elementów rekomendacji CNIL. W ocenie CNIL kluczowe jest, żeby administrator jednocześnie zadbał o to, aby:

  1. nie przekazywać adresów IP na serwery GA,
  2. identyfikator użytkownika zastąpić serwerem proxy,
  3. z adresów URL usunąć wszelkie parametry pozwalające na identyfikację użytkownika;
  4. nie gromadzić identyfikatorów międzylokacyjnych lub trwałych (CRM ID, unikalny identyfikator użytkownika), a dodatkowo
  5. usunąć wszelkie inne dane, które mogłyby prowadzić do ponownej identyfikacji użytkownika.

CNIL ponownie wydał zalecenie, by w ciągu miesiąca administratorzy stron www dostosowali sposób przetwarzania danych do zasad wynikających z RODO i w razie potrzeby zaprzestali korzystania z funkcji Google Analytics (w obecnych warunkach) lub korzystali z narzędzia, które nie wiąże się z transferem danych poza EOG. CNIL potwierdził swoje dotychczasowe stanowisko dotyczące zasad transferu danych poza EOG, tym razem jednak wskazując na konkretne rozwiązania, które mogą wdrożyć administratorzy witryn internetowych.

Wnioski

Dotychczasowe stanowiska organów nadzoru prowadzą do generalnego wniosku, że korzystanie z Google Analytics – bez wdrożenia zaawansowanych dodatkowych środków zabezpieczających – nie będzie uznawane za w pełni legalne w kontekście RODO. Co więcej, kluczowe pozostanie zadbanie o to, by przyjęte rozwiązania rzeczywiście uniemożliwiały identyfikację osoby, której dane dotyczą – jeśli bowiem będą one jedynie pozorne, również spotkają się z negatywną oceną, a co za tym idzie będą generować ryzyko odpowiedzialności.

W tym kontekście administratorzy powinni zatem zadbać w szczególności o:

  1. dokonanie oceny transferu danych pod kątem możliwości zapewnienia równoważnego poziomu ochrony w państwie, do którego dane miałyby zostać przekazane;
  2. zawarcie odpowiedniej umowy powierzenia przetwarzania danych osobowych w oparciu o aktualne standardowe klauzule umowne, z tym zastrzeżeniem, że samodzielnie nie jest to wystarczająca podstawa legalizująca transfer danych USA; dodatkowo należy m.in. zadbać o to, aby SCC były aktualne (umowy zawarte do dnia 27 września 2021 r. mogą obowiązywać bez wprowadzania zmian w „starych” SCC do dnia 27 grudnia 2022 r., ale już umowy zawarte po dniu 27 września 2021 r. wymagają rozważenia zastosowania nowych SCC, jeżeli w toku wykonywania umowy wystąpi jakakolwiek forma transferu danych osobowych poza EOG);
  3. wdrożenie odpowiednich uzupełniających środków zabezpieczających, przy wyborze których należy kierować się przede wszystkim celem ich zastosowania – powinny one faktycznie uniemożliwić identyfikację osoby, której dane dotyczą, co w praktyce często będzie oznaczało, że zastosowanie jednego środka zabezpieczającego wcale nie będzie wystarczającym działaniem administratora (przykłady odpowiednich środków zabezpieczających można odnaleźć m.in. w komunikacie CNIL z dnia 20 lipca 2022 r., jak i w stanowisku niderlandzkiego DPA z dnia 18 stycznia 2022 r., przy czym nie można zapominać o generalnych rozwiązaniach związanych z transferem danych poza EOG zaproponowanych przez EROD w rekomendacji 1/2020 z dnia 18 czerwca 2021 r.).

Jeśli wdrożenie tego typu zabezpieczeń okaże się dla administratora zbyt obciążające (np. finansowo), zasadnym zdaje się być nawet rozważenie rezygnacji z biznesowych relacji transatlantyckich, co jednak w praktyce może okazać się niemożliwe. W odpowiedzi na szereg negatywnych stanowisk organów nadzoru, na europejskim rynku możemy zauważyć zwiększenie popularności dostawców usług analogicznych do GA, których problem z transferem danych do państwa trzeciego nie dotyczy, a zatem ryzyko naruszenia przepisów RODO maleje.

Rzeczywistym rozwiązaniem problemu byłoby oczywiście podjęcie działań legislacyjnych i ustalenie zasad przekazywania danych do USA na nowo. Z jednej strony może to być zmiana regulacji USA i ograniczenie dostępu amerykańskich służb do danych osobowych obywateli UE, a z drugiej wydanie przez Komisję Europejską nowej decyzji legalizującej transfer danych do USA. Na dzisiaj takie rozmowy się toczą, natomiast nie mamy oficjalnego następcy Privacy Shield i tak długo, jak ten stan przejściowy będzie trwał, należy z ostrożnością podchodzić do wszystkich usług, które wiążą się z transferem danych osobowych do USA.

Z powyższego wynika następująca konkluzja: korzystanie ze wszystkich amerykańskich narzędzi wiąże się z ryzykiem, które w zależności od rozwoju sytuacji albo będzie do zaakceptowania (przy jednoczesnym wdrożeniu dodatkowych środków zabezpieczających), albo będzie wymagało rozważenia zmiany dostawcy, czy nawet zupełnej rezygnacji z określonego narzędzia.


Szkolenia, webinary i konferencje