Google Analytics a ochrona danych osobowych – decyzja CNIL

W dniu 10 lutego 2022 r. Francuski organ odpowiedzialny za ochronę danych osobowych – Commission Nationale de l’Informatique et des Libertés (CNIL) – opublikował na swojej stronie internetowej treść decyzji, w której uznał, że warunki przekazywania do Stanów Zjednoczonych danych osobowych użytkowników usługi Google Analytics stanowią naruszenie prawa.

Na czym polega usługa Google Analytics i dlaczego korzystanie z niej może zagrażać bezpieczeństwu danych użytkowników?

Z Google Analytics korzystają właściciele różnorakich witryn internetowych. Zintegrowanie usługi z posiadaną przez nas stroną umożliwia śledzenie odbywającego się na niej ruchu (ang. website traffic) oraz zmierzenie wartości zwrotu z inwestycji w udostępnianych na niej reklamach. Usługi te Google Analytics realizuje poprzez przypisanie każdemu odwiedzającemu unikatowych identyfikatorów obejmujących m.in. adres IP oraz identyfikator pliku cookie. CNIL w swojej decyzji uznała, powołując się na treść motywu 30 RODO, że dane takie jak adres IP, w połączeniu z innymi zbieranymi przez Google Analytics informacjami (obejmującymi m.in. adres odwiedzanej strony oraz metadane dotyczące przeglądarki i systemu operacyjnego) mogą być wykorzystywane do identyfikacji indywidualnego użytkownika, a co za tym idzie – stanowią dane osobowe w rozumieniu art. 4 ust. 1 RODO.

Opisane wyżej dane przekazywane są przez Google do serwerów znajdujących się na terenie Stanów Zjednoczonych. Analizując proces przesyłania danych, CNIL, w porozumieniu z odpowiadającymi Europejskimi organami odpowiedzialnymi za ochronę danych osobowych, uznała iż dokonanie takiego transferu stwarza ryzyko naruszenia prywatności danych dla indywidualnych użytkowników strony korzystającej z Google Analytics. Decyzja ta stanowi konsekwencję stosowania w ustawodawstwie państw UE wydanego przez TSUE w czerwcu 2020 r wyroku „Schrems II”.

Wyrok „Schrems II”

Wyrok Schrems II jest efektem działalności aktywisty w dziedzinie ochrony danych osobowych Maximiliana Schremsa i stanowi już drugi wyrok wydany w wyniku wniesionych przez niego skarg odnoszących się do transferu danych osobowych do USA.

Pierwszą inicjatywę w tym temacie Maximilian Schrems podjął w 2013 r. poprzez wniesienie skargi do organu nadzorczego odpowiadającego za ochronę danych osobowych w Irlandii (DPC). Skarga ta dotyczyła przekazywania danych osobowych, uzyskiwanych podczas rejestracji w serwisie Facebook. Spółka Facebook Ireland, która otrzymywała dane irlandzkiego użytkownika na podstawie zawartej z nim umowy dokonywała następnie transferu tych danych do znajdującej się na terenie USA spółki-matki – Facebook Inc. Zarzuty podniesione przez Schremsa opierały się przede wszystkim na wątpliwości co do możliwości zapewnienia właściwego poziomu ochrony danych na terenie USA, w szczególności co do ochrony przed inwigilacją ze strony amerykańskich służb oraz organów nadzoru. Odrzucenie skargi przez DPC doprowadziło do otwarcia drogi sądowej zakończonej wyrokiem TSUE z dnia 6 października 2015 r., w wyniku którego podważona została adekwatność ochrony zapewnionej przez Safe Harbour – zbiór przepisów umożliwiających transfer danych osobowych z Unii Europejskiej do USA.

Wyrok TSUE w sprawie Schrems II dotyczył podobnych wątpliwości, które powstały w odniesieniu do zastępującego „Safe Harbour” porozumienia „Privacy Shield”. Wydany w dniu 16 lipca 2020 r. wyrok przesądził o nieważności porozumienia, tym samym unieważniając istniejącą podstawę przekazywania danych na teren Stanów Zjednoczonych. Trybunał zwrócił uwagę na ryzyko uzyskania przez amerykańskie służby wywiadowcze dostępu do danych przekazanych do USA poprzez dokonanie nieodpowiednio uregulowanych transferów.

Wyrok w sprawie Schrems II stał się ogniwem zapalnym do kolejnych działań aktywisty. Prowadzona przez niego organizacja NOYB (nazwa stanowi skrót od angielskiego sformułowania „none of your business”) doprowadziła do wniesienia 101 symbolicznych skarg w 30 państwach członkowskich UE oraz państw należących do Europejskiego Obszaru Gospodarczego. Skargi wniesione zostały wobec firm, które pomimo wydanego przez TSUE wyroku nadal dokonują bezpodstawnego transferu danych użytkowników swoich stron internetowych do Google i Facebook, a więc na teren Stanów Zjednoczonych. Właśnie na podstawie tej skargi wydana została omawiana decyzja francuskiego organu, a także analogiczna decyzja organu austriackiego (Datenschutzbehörde (DSB)) z 13 stycznia br. Podobnych decyzji można spodziewać się również ze strony polskiego UODO, w grupie 101 sporządzonych przez NYOB skarg znajdują się bowiem skargi wniesione do tego organu przeciwko TVN, TVP, Grupie Interia, PKO BP oraz Onet-RAS Polska Group.