Na czym polega usługa Google Analytics i dlaczego korzystanie z niej może zagrażać bezpieczeństwu danych użytkowników?
Francuski organ odpowiedzialny za ochronę danych osobowych w dniu 10 lutego 2022 r. – Commission Nationale de l’Informatique et des Libertés (CNIL) – zmieścił na swojej stronie internetowej zapisy decyzji, w której uznał, że warunki przekazywania do Stanów Zjednoczonych danych osobowych użytkowników usługi Google Analytics stanowią naruszenie prawa.
Na czym polega usługa Google Analytics i dlaczego użytkowanie jej może stwarzać niebezpieczeństwo dla danych użytkowników?
Z Google Analytics korzystają najczęściej właściciele różnorodnych witryn internetowych. Zintegrowanie usługi z posiadaną przez nas stroną pozwala na monitorowanie odbywającego się na niej ruchu (ang. website traffic) oraz mierzenie wartości zwrotu z inwestycji w udostępnianych na niej treści reklamowych. Usługi te Google Analytics prowadzi poprzez przyporządkowywanie każdemu odwiedzającemu indywidualnych identyfikatorów obejmujących m.in. adres IP oraz identyfikator pliku cookie. CNIL w swojej decyzji uznała, powołując się na treść motywu 30 RODO, że dane takie jak adres IP, w połączeniu z innymi gromadzonymi przez Google Analytics informacjami (obejmującymi m.in. adres odwiedzanej strony oraz metadane dotyczące przeglądarki i systemu operacyjnego) mogą być wykorzystywane do wskazywania indywidualnego użytkownika, a co się z tym wiąże – stanowią one dane osobowe w rozumieniu art. 4 ust. 1 RODO.
Zaprezentowane powyżej dane przesyłane są przez Google do serwerów umieszczonych się na terenie Stanów Zjednoczonych. Analizując proces przekazywania danych, CNIL, we współpracy z odpowiednimi Europejskimi organami odpowiedzialnymi za ochronę danych osobowych, uznała iż wykonywanie w taki sposób transferu powoduje ryzyko naruszenia prywatności danych dla poszczególnych użytkowników strony wykorzystującej usługę Google Analytics. Decyzja ta jest konsekwencją stosowania w ustawodawstwie państw UE wydanego przez TSUE w czerwcu 2020 r wyroku „Schrems II”.
Wyrok „Schrems II”
Wyrok Schrems II jest skutkiem poczynań aktywisty Z dziedziny ochrony danych osobowych Maximiliana Schremsa i jest już drugi wyrokiem wydanym w wyniku wniesionych przez niego skarg dotyczących się do transferu danych osobowych do USA.
Pierwszy wniosek w tym temacie Maximilian Schrems złożył w 2013 r. poprzez wniesienie skargi do organu nadzorczego odpowiadającego za ochronę danych osobowych w Irlandii (DPC). Skarga ta odnosiła się do przekazywania danych osobowych, pozyskiwanych w czasie rejestracji w serwisie Facebook. Spółka Facebook Ireland, która otrzymywała dane irlandzkiego użytkownika na podstawie zawartej z nim umowy dokonywała później transferu tych danych do znajdującej się na terenie USA spółki-matki – Facebook Inc. Zarzuty przedstawione przez Schremsa opierały się głównie na obiekcji co do zdolności zapewnienia prawidłowego poziomu ochrony danych na terenie USA, zwłaszcza co do ochrony przed inwigilacją ze strony amerykańskich służb oraz organów nadzoru. Odrzucenie skargi przez DPC pozwoliło na otwarcie drogi sądowej zakończonej wyrokiem TSUE z dnia 6 października 2015 r., w wyniku którego podważona została właściwość ochrony zapewnionej przez Safe Harbour – zbiór przepisów pozwalających na transfer danych osobowych z Unii Europejskiej do USA.
Wyrok TSUE w sprawie Schrems II dotyczył zbliżonych zastrzeżeń, które powstały w stosunku do zastępującego „Safe Harbour” porozumienia „Privacy Shield”. Wydany w dniu 16 lipca 2020 r. wyrok rozstrzygnął o nieważności porozumienia, tym samym unieważniając obowiązującą podstawę przesyłania danych na teren Stanów Zjednoczonych. Trybunał zwrócił szczególną uwagę na ryzyko jakie powstaje gdy amerykańskie służby wywiadowcze uzyskają dostęp do danych przekazanych do USA poprzez przeprowadzenie niewłaściwie uregulowanych transferów.
Wyrok w sprawie Schrems II stał się ogniwem zapalnym do następnych działań aktywisty. Prowadzona przez niego organizacja NOYB (nazwa stanowi skrót od angielskiego sformułowania „none of your business”) doprowadziła do wniesienia 101 symbolicznych skarg w 30 państwach członkowskich UE oraz państw należących do Europejskiego Obszaru Gospodarczego. Skargi wniesione zostały wobec firm, które pomimo wydanego przez TSUE wyroku nadal dokonują bezpodstawnego transferu danych użytkowników swoich stron internetowych do Google i Facebook, a więc na teren Stanów Zjednoczonych. Właśnie na fundamencie tej skargi wydana została przedstawiona decyzja francuskiego organu, a także podobna decyzja organu austriackiego (Datenschutzbehörde (DSB)) z 13 stycznia br. Zbliżonych decyzji można spodziewać się również ze strony polskiego UODO, w grupie 101 sporządzonych przez NYOB skarg znajdują się bowiem skargi wniesione do tego organu przeciwko TVN, TVP, Grupie Interia, PKO BP oraz Onet-RAS Polska Group.
Zapraszamy na naszą stronę tam znajdziesz więcej podobnych artykułów.