Początek roku 2022 obfituje w kolejne decyzje organów nadzorczych poszczególnych państw członkowskich Unii Europejskiej (UE) w sprawie korzystania z narzędzia Google Analytics. Niektóre wytyczne wskazują już obecnie na zakaz używania tej usługi na terenie UE. Poniżej postaram się rzucić trochę światła na ten temat, skądinąd ważny dla wielu podmiotów korzystających z funkcji Google Analytics.
Cała sprawa wzięła swój początek w związku ze skargami organizacji non profit „None Of Your Business” (NOYB) na czele której stoi Max Schrems, który to przyczynił się do unieważnienia porozumienia „Privacy Shield”, a jeszcze wcześniej „Save Harbour” między EU a USA, które to porozumienia regulowały swego czasu transfer danych między obydwu obszarami. W obecnej chwili na rozstrzygnięcie czeka jeszcze 100 skarg skierowanych do 30 państw EOD wystosowanych przez organizację NOYB. W Polsce skargi dotyczą TVN, TVP, Interii, PKO BP i Onet-RASP wykorzystujących m.in. narzędzia Google. W obecnej chwili brak jest wytycznych oraz decyzji polskiego organu nadzoru – Prezesa Urzędu Ochrony Danych Osobowych (UODO) co do kwestii związanych z Google Analytics.
Niemniej mając na uwadze decyzje kolejnych organów ochrony danych, m.in. austriackiego Datenschutzbehörde (DSB) z 13 stycznia br., który uznał, że korzystanie z Google Analytics narusza RODO oraz organu francuskiego – Narodowej Komisji ds. Informatyki i Wolności (CNIL) z 10 lutego 2022 r. w której zdecydowała, że korzystanie z Google Analytics przez jedną z francuskich witryn internetowych to łamanie RODO, należy założyć, że UODO w najbliższym czasie wypowie się w niniejszej kwestii.
Z rozstrzygniętych skarg wynika jednolicie, że stosowanie narzędzia Google Analytics, które dostarcza statystyki dotyczące ruchu na stronie www oraz związany z tym transfer danych osobowych do USA stoi w sprzeczności z postanowieniami RODO, a zatem nie powinien mieć miejsca.
Ponadto z informacji CNIL wynika, że przeanalizował on skargę we współpracy z europejskimi odpowiednikami, co determinuje jednoznacznie kierunek dalszych rozstrzygnięć pozostałych organów nadzoru, w tym UODO. Należy się spodziewać jednolitego podejścia.
Jednocześnie z rozstrzygniętych skarg wynika, że transfer danych osobowych do USA jest obecnie niewystarczająco uregulowany. W przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony danych w odniesieniu do RODO (która stwierdzałaby, że ten kraj zapewnia wystarczający poziom ochrony danych w odniesieniu do RODO) w odniesieniu co do przekazywania danych osobowych do Stanów Zjednoczonych, przekazywanie takie może nastąpić tylko wtedy, gdy zapewnione są odpowiednie gwarancje bezpieczeństwa dla tego przepływu. Jednakże w obecnej chwili organy nadzoru wypowiedziały się, że takich gwarancji nie dają dodatkowe środki wprowadzone przez firmę Google w kontekście funkcji Google Analytics, gdyż w dalszym ciągu istnieje realna groźba, że dostęp do nich będą miały służby wywiadowcze USA (amerykańskie przepisy dotyczące nadzoru wymagają od amerykańskich dostawców, takich jak Google czy Facebook, przekazywania danych osobowych władzom USA).
Jeżeli chodzi o rozwiązanie problemu wiążącego się z wykorzystaniem narzędzia Google Analytics to w grę wchodzą dwie opcje. W pierwszej USA dostosują bazowe zabezpieczenia dla obcokrajowców, aby wesprzeć swój przemysł technologiczny albo amerykańscy dostawcy będą musieli hostować zagraniczne dane poza granicami Stanów Zjednoczonych, najlepiej na terenie EOG.
Jeżeli doszłoby do zmian prawnych w USA w omawianym zakresie to wówczas można by było liczyć na to, że pojawi się nowe porozumienie UE-USA i decyzja zezwalająca na transfer danych. Jednakże, dopóki to nie nastąpi organy nadzoru wskazują na możliwość rozważenia wybrania alternatywnych, europejskich dostawców, czyli de facto zaprzestania korzystania z funkcji Google Analytics.
Sama firma Google odniosła się do powyższych kwestii w opublikowanym na swoich stronach oświadczeniu (https://support.google.com/analytics/answer/11609059). Podkreśla w nim, że powodem decyzji austriackiego organu ochrony danych: „[…] było to, że agencje odpowiedzialne za bezpieczeństwo Stanów Zjednoczonych mają teoretyczną możliwość dostępu do danych osobowych użytkowników.” Idąc dalej wskazuje, że choć decyzja odnosiła się do konkretnej sprawy jednego wydawcy i określonych okoliczności, to klienci Google Analytics: „Mogą […] mieć obawy, czy rozumowanie organu ochrony danych nie zostanie zastosowane do wszystkich dostawców rozwiązań analitycznych ze Stanów Zjednoczonych, a także do całości danych użytkowników przesyłanych pomiędzy Unią Europejską a Stanami Zjednoczonymi.” Co istotne zwrócono uwagę na konieczność podjęcia rozmów i zawarcia porozumienia między UE a USA w sprawie nowych procedur dotyczących przesyłania danych. Jednym słowem sama Google nie widzi innego rozwiązania tej kwestii. Aczkolwiek dbając o swój dobry wizerunek podkreśliła na koniec oświadczenia, że jest przekonana, że rozszerzone dodatkowe rozwiązania, które udostępnia swoim klientom pozwalają w jej odczuciu na skuteczną ochronę danych, choć … w uzasadnionych granicach. Te granice mogą dać do myślenia klientom korzystającym z narzędzia Google Anaytics. Podsumowując Google zapewnia, że pracuje nad usprawnieniami, które pomogą klientom: „[…] jeszcze większe dostosowanie gromadzonych danych analitycznych, a dzięki temu korzystanie nadal z Google Analytics w sposób zgodny z obowiązującymi ich wymaganiami.” Jak to się mówi pożyjemy zobaczymy. Niemniej jednak w moim odczuciu w dłuższej perspektywie bez rozmów między przedstawicielami UE a USA nie obejdzie się. Tymczasem klienci Google korzystający z narzędzia Google Analytics mają dylemat, korzystać czy szukać alternatywy.
Autor: Radosław Aniszczyk