OCHRONA DANYCH OSOBOWYCH A NARZĘDZIE GOOGLE ANALYTICSCZYLI CO WYROK W SPRAWIE SCHREMS II MA WSPÓLNEGO Z OCHRONĄ DANYCH UŻYTKOWNIKÓW STRON INTERNETOWYCH
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w dniu 16 lipca 2020 r. wydał wyrok, który w konsekwencji spowodował niemały chaos w obszarze przetwarzania danych osobowych pomiędzy państwami EOG, a państwami trzecimi. Sprawa dotyczyła skargi obywatela Austrii – Maksymilana Schremsa, użytkownika Facebooka. Dane wszystkich użytkowników tej sieci społecznościowej – wszystkie lub ich część, na etapie rejestracji przekazywane są na terytorium Stanów Zjednoczonych i tam przetwarzane.
Praktyka ta wzbudziła wątpliwości Schremsa, który swoich praw postanowił dochodzić w postępowaniu sądowym. Zarzucił w nim nieprawidłowości w zakresie przetwarzania danych osobowych spółce Facebook Ireland, czyli podmiotowi pośredniczącemu w następczym przekazywaniu danych użytkowników spółce Facebook Inc, mającej siedzibę na terytorium Stanów Zjednoczonych. Powstała zatem wątpliwość czy takie postępowanie można uznać za dopuszczalne, a w szczególności – czy proces przekazywania danych państwom trzecim odbywa się przy zachowaniu ciągłości ich ochrony. Maksymilian Schrems wskazał, że prawo i praktyka obowiązujące na terytorium Stanów Zjednoczonych nie zapewniają wystarczającej ochrony danych osobowych przechowywanych na jego terytorium przed prowadzonymi przez organy władzy publicznej działaniami nadzorczymi. Swoje zarzuty oparł na ujawnionych przez Edwarda Snowdena informacjach na temat działalności amerykańskich służb wywiadowczych.
PRZETWARZANIE DANYCH OSOBOWYCH OBYWATELI UE POZA EOG
Przekazywanie danych osobowych obywateli UE państwom trzecim zawsze musi być oparte na podstawie prawnej. Mogą to być m. in. porozumienie międzynarodowe (np. Privacy Shield), tzw. standardowe klauzule umowne (SCC), a także zgody osób fizycznych.
Dotychczas, transfery danych osobowych na terytorium USA dokonywane były na dwóch podstawach, wynikających z RODO: Tarczy Prywatności i standardowych klauzulach umownych. W wyroku z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej stwierdził, iż porozumienie pomiędzy USA a UE, zwane Tarczą Prywatności, jest nieważne. Od tego dnia przekazywanie danych osobowych na tej podstawie uznać należy za niedopuszczalne, Trybunał nie określił bowiem żadnych przepisów przejściowych mogących zostać uznanych za chociażby czasowe rozwiązanie powstałych w wyniku orzeczenia wątpliwości. Odnosząc się zaś do stosowania standardowych klauzul umownych należy wskazać, iż Trybunał utrzymał ważność i legalność tego typu mechanizmów zastrzegając jednocześnie, iż ich stosowanie może nie być wystarczające. Zdaniem Trybunału, to przepisy RODO stanowią o standardzie poziomu ochrony danych osobowych, a importer tych danych znajdujący się na terytorium państwa trzeciego musi zapewnić równoważne środki pozwalające na taką ochronę – i ocena tych warunków jest kluczowa dla możliwości zastosowania standardowych klauzul umownych.
W wyroku z dnia 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej stwierdził, iż porozumienie pomiędzy USA a UE, zwane Tarczą Prywatności, jest nieważne.
Jak wskazano powyżej, wyrok w sprawie Schrems II, przekreślił możliwość korzystania z porozumień międzynarodowych (w tym przypadku Tarczy Prywatności), a decyzja oparta została na znaczących różnicach pomiędzy prawodawstwem oraz standardami ochrony praw osobowych w krajach UE i USA. Niemożliwe zatem stało się przetwarzanie danych na tej podstawie. Co prawda w kuluarach mówi się już o rozmowach na temat kolejnej “Tarczy prywatności”, jednak specjaliści w zakresie ochrony danych podchodzą do tego projektu sceptycznie. Powszechnie mówi się bowiem o tym, że różnice w podejściu do ochrony danych osobowych pomiędzy USA a UE są tak duże, że nie jest możliwe stworzenie uniwersalnej umowy, która będzie przede wszystkim chronić interes obywateli.
Cały czas możliwe jest jednak stosowanie standardowych klauzul umownych (SCC) oraz wiążących reguł korporacyjnych ( BCR). Nie jest w tym zakresie wystarczające jednak samo ich zawarcie. Muszą być one poprzedzone dogłębną analizą prawodawstwa państwa, do którego dane są przekazywane, a także poparte dodatkowymi środkami w celu zabezpieczenia takich transferów. W tym pierwszym przypadku konieczne jest także ich zatwierdzenie przez Komisję Europejską. Dodatkowe środki nie zostały natomiast jasno określone. Należy zatem przypuszczać, że ich adekwatny dobór należy do zadań administratora danych osobowych. Tutaj rodzi się jednak ogromny problem, bowiem TSUE w wyroku jasno stwierdził, iż prawodawstwo Stanów Zjednoczonych nie zapewnia właściwej ochrony danych.
Sytuacja jest zatem patowa, bowiem z jednej strony dozwolone jest stosowanie klauzul umownych, natomiast musi być ono poprzedzone dogłębną analizą prawodawstwa, która, jak wiadomo, w przypadku USA przyniesie wynik negatywny.
WPŁYW WYROKU NA DANE UŻYTKOWNIKÓW W SIECI, W SZCZEGÓLNOŚCI E-COMMERCE (W TYM STANOWISKA KRAJOWYCH ORGANÓW)
Na rynku zaobserwować można panującą dezinformację w zakresie przekazywania danych do krajów trzecich. Co więcej, swoisty chaos dotknął także niektóre organy państwowe. Do dzisiaj nie jest bowiem znane w tym zakresie stanowisko UODO, który, jak mówi się nieoficjalnie, czeka na stanowisko Europejskiej Komisji Ochrony Danych. Są jednak kraje, które w wyniku treści lipcowego orzeczenia Trybunału Sprawiedliwości UE kategorycznie zakazały wysyłania danych osobowych do USA.
Niejasne stanowisko UODO oraz praktyka innych państw powinny jednak skłaniać polskich administratorów danych do jak najszerszej ich ochrony w zakresie wysyłania ich do państw trzecich. Nie jest jednak łatwe określenie jak taka procedura ochrony powinna wyglądać. Obecnie, niemal we wszystkich branżach na szeroką skalę stosowane są narzędzia budowane na wirtualnych platformach międzynarodowych. Spoglądając na branżę e-commerce, szczególnie często zastosowanie znajdują narzędzia Google (Google Analytics), a także wszelkie serwery backupowe.
SCHREMS II A GOOGLE ANALYTICS
Do ustalenia wpływu wyroku na zasady wykorzystywania Google Analytics należy w pierwszej kolejności zrozumieć zasady jego funkcjonowania. Dopiero rozumiejąc jakie dane pobiera i przetwarza, administratorzy stron mogą podjąć niezbędne kroki do zapewnienia spełniania wymagań związanych z ochroną danych osobowych użytkowników stron z jednoczesną możliwością dalszego korzystania z Google Analytics w odpowiednim zakresie.
JAKIE DANE POBIERA GOOGLE ANALYTICS I CZY SĄ TO DANE OSOBOWE?
Gdy rozpoczniemy rozważania na temat narzędzia Google jakim jest Google Analytics i przetwarzanych przez niego danych, podstawowym pytaniem staje się zakres danych wysyłanych przez jego skrypty. Z technicznego punktu widzenia, jest to bowiem w szczególności:
(1) adres IP,
(2) informacje, jaki zasób na stronie został wywołany (w tym adres URL podstrony wraz z danymi podstrony takimi jak tytuł, bez zawartości strony).
Dodatkowo, GA przetwarza informacje z nagłówka przeglądarki, takie jak typ przeglądarki, z której korzysta użytkownik, jego system operacyjny, język, rozmiar okna. Google zbiera również ciasteczka, które służą do identyfikacji zachowań użytkownika w ramach danej strony internetowej – co stanowi jednocześnie najważniejszy element służący do dalszej analizy i przypisywania określonych danych demograficznych.
Dalej, korzystając z plików cookies, Google Analytics łączy przeglądarkę użytkownika z innymi posiadanymi już informacjami, takimi jak ostatnie wyszukiwania, wyświetlone reklamy czy też wizyty w serwisach internetowych reklamodawców. Takie działanie pozwala na wytworzenie i analizę danych demograficznych takich jak wiek, płeć i zainteresowania użytkownika.
Powyższe informacje są dla nas ważne przede wszystkim pod kątem definicji danych osobowych przetwarzanych przez narzędzie Google.
Definicja danych osobowych przedstawia się bowiem następująco: należy uznać za nią każdą informację dotyczącą osoby fizycznej, która to osoba jest zidentyfikowana lub możliwa do zidentyfikowania.
Wyrok Trybunału Sprawiedliwości Unii Europejskiej w dniu 24 listopada 2011 r., w sprawie C-70/10, jednoznacznie uznał adres IP za daną osobową. Warto jednak wskazać, iż stroną w wyżej wymienionej sprawie był dostawca usługi Internetu, a więc podmiot, który przy podjęciu minimalnego wysiłku jest w stanie połączyć adres IP użytkownika chociażby z jego imieniem i nazwiskiem.
Dalej, Trybunał Sprawiedliwości Unii Europejskiej konsekwentnie w dniu 19 października 2016 r. w sprawie C-582/14 podkreślił, iż adres IP posiada cechy informacji o charakterze osobowym, z uwagi na istnienie możliwości identyfikacji osoby fizycznej właśnie na jego podstawie. Bez znaczenia pozostaje okoliczność, że czasami administrator danych zmuszony będzie do podjęcia dodatkowych kroków i zastosowania dodatkowych środków w celu ustalenia tożsamości użytkownika. Z uwagi na powyższe, to właśnie w przetwarzaniu adresów IP użytkowników serwisów internetowych upatrywać należy największego zagrożenia w temacie ochrony danych osobowych i ich przetwarzania przez amerykańskie serwery Google.
CZY MOŻNA W JAKIKOLWIEK SPOSÓB WYBRAĆ, Z KTÓRYCH DANYCH MA KORZYSTAĆ GOOGLE ANALYTICS, TAK, ABY NIE BYŁY TO DANE OSOBOWE?
Warto wskazać, iż na podstawie modyfikacji skryptu na stronie internetowej podłączonej pod narzędzie Google Analitics możemy ograniczyć pewne jego funkcje, co pozwoli na ograniczenie ilości przesyłanych do serwerów Google informacji. Możemy ograniczyć elementy takie jak raporty demograficzne i zainteresowań, analizę użytkowników, zbieranie danych w ramach funkcji reklamowych czy funkcję raportowania o reklamach. Możemy również ograniczyć okres przechowywania danych. Co wydaje się być jednak, z punktu widzenia tematyki tego artykułu najważniejsze, to możliwość anonimizacji adresów IP użytkowników naszego serwisu.
Jak informuje sam Google, “Gdy klient usługi Analytics poprosi o anonimizację adresów IP, Analytics ukrywa te adresy najszybciej, jak to tylko technicznie możliwe, na najwcześniejszym etapie procesu przetwarzania danych przez Analytics Collection Network.”
Ograniczanie przetwarzanych przez narzędzie Google Analitics danych wydaje się być szczególnie celowym mając na uwadze zasadę minimalizmu przetwarzania danych osobowych wynikającą z RODO. Za w pełni zasadne uznać należy twierdzenie, iż administratorzy stron internetowych, zachowując w tym względzie wymagane reguły ostrożności, powinni konfigurować narzędzie Google Analitics tak, by zgodnie z zasadą minimalizmu przekazywać tylko te informacje, które są niezbędne do właściwego świadczenia usługi.
Rozważając problematykę adresów IP i ich podlegania pod definicję danych osobowych, należy zważyć w szczególności na fakt, że amerykańskie podejście do tej tematyki jest o wiele bardziej liberalne, niż europejskie. Na terytorium Stanów Zjednoczonych adresy IP nie są bowiem traktowane jako dane osobowe, co dodatkowo zmusza nas do głębszej refleksji co do przekazywania danych naszych użytkowników na serwery tam się znajdujące.
WPŁYW WYROKU SCHREMS II NA WYKORZYSTYWANIE GOOGLE ANALYTICS
W naszej opinii, zajęcie jasnego, a przede wszystkim ostatecznego stanowiska w chwili obecnej jest niemożliwe. Z jednej strony wielu specjalistów zajmujących się ochroną danych osobowych uważa, że najsłuszniejszym rozwiązaniem jest kategoryczne wstrzymanie wysyłki danych osobowych do USA, w tym zaprzestania korzystania z wielu narzędzi oferowanych na platformach światowych gigantów technologicznych, z szczególnym uwzględnieniem Google Analytics, lecz z drugiej strony nie uważamy jednak, aby tak drastyczne posunięcia były w tym momencie właściwe. Oczywiście sprawa ma charakter precedensowy i tak naprawdę uzyskanie jasnych wytycznych możliwe będzie dopiero po zajęciu stanowiska przez UODO oraz Europejską Radę Ochrony Danych. Jednak na ten moment, jak wynika z naszej analizy, możliwe jest używanie GA bez udostępniania danych osobowych.
Dla uznania czy możliwe dalsze korzystanie z Google Analytics niezbędna jest, jak zostało wskazane powyżej, szczegółowa analiza jego działania, w tym zakresu pobieranych danych oraz ewentualnej możliwości ich zanonimizowania. Samo wysłanie adresu IP może być dość ryzykowne, bowiem już 2 lata temu z Gmaila korzystało ponad 1,5 miliarda osób. Obecnie liczba ta na pewno jest dużo większa, a co za tym idzie, Google jest w posiadaniu danych, które w zestawieniu z adresem IP pozwolą na identyfikację wielu użytkowników. Wydaje się jednak, że zanonimizowanie adresu IP pozwoli na bezpieczne przesyłanie danych, które w rzeczywistości nie są danymi osobowymi, a dalej, nie ma przeszkód, aby takie dane przekazywać w celu prowadzenia analiz statystycznych.
Ponieważ zarówno unijne jak i polskie krajowe instytucje nie zajęły w tej kwestii dotąd stanowiska, z powodu obecnej niepewności zalecane jest m. in. zmodyfikowanie polityki prywatności poprzez dodanie informacji, że zanonimizowane dane użytkowników wykorzystywane są w celach statystycznych za pośrednictwem narzędzia Google Analytics. Dodatkowo, jeśli obsługa GA prowadzona jest przez zewnętrzny podmiot świadczący usługi marketingowe zakres przekazywanych danych powinien być ograniczony tylko do tych niezbędnych, które pozwolą na prawidłowe świadczenie tej usługi. Zalecane jest także uzyskanie zgody administratora danych na używanie ich dokładnie w tym celu.
Nieoficjalnie mówi się, że Google prowadzi już działania w zakresie wprowadzenia standardowych klauzul umownych, które miałyby zastąpić Privacy Shield. Naszym zdaniem nie odniesie to jednak zamierzonego skutku, bowiem nawet w przypadku zastosowania takich klauzul konieczna jest także analiza prawa państwa trzeciego pod kątem zapewnienia ochrony danych osobowych. Niestety, taka analiza prowadzi niechybnie do wniosku, że system prawny USA takiej ochrony nie zapewnia.
Ze względu na precedensowy charakter sprawy nie można jednoznacznie wskazać na wysokość kar jakie mogą grozić za przesyłanie danych osobowych do USA. Za decydującą uznać tu należy precedensową linię orzeczniczą, z treści której wyroków możliwe będzie wywnioskowanie przesłanek decydujących o ich wysokości.
PODSUMOWANIE
Podsumowując, dogłębna analiza prawna poparta analizą techniczną działania Google Analytics skłania do wniosku, że możliwość dalszego korzystania z tego narzędzia zależna jest wyłącznie od rodzaju udostępnianych danych.
Danymi osobowymi nie są bowiem płeć czy też wiek. Na ich podstawie, nawet w zestawieniu z innymi danymi, którymi może dysponować Google nie jest możliwe zidentyfikowanie konkretnej osoby. Problem powstaje natomiast wyłącznie, kiedy przekazywany jest adres IP użytkownika. Wydaje się, jednak, że w tym zakresie wystarczająca okaże się jego anonimizacja.
Dla szerszej ochrony zalecane jest także zabezpieczenie się od strony formalnej, tj. zaktualizowanie właściwej dokumentacji, takiej jak polityki prywatności, bądź też uzyskania dodatkowych zgód i oświadczeń.
MASZ PYTANIA LUB POTRZEBUJESZ POMOCY?
DAJ NAM ZNAĆ W SEKCJI KOMENTARZ PONIŻEJ LUB POPRZEZ FORMULARZ KONTAKTOWY
Pytania i odpowiedzi
Niewątpliwie wyrok w sprawie Schrems II ma duży wpływ na całą branżę e-commerce. Sytuacja jest jednak dynamiczna i nie istnieje jedno dobre rozwiązanie dla przedsiębiorców w związku z nową sytuacją prawną. Warto monitorować stanowiska organów ochrony danych. Niektóre kraje zdecydowanie zakazały przesyłania danych osobowych do USA.
Tak, ale należy to robić ostrożnie. Administracja danych powinna dokładnie zrozumieć, jakie dane przekazywane są do Google Analytics i czy są one zgodne z zasadami ochrony danych osobowych. Przykładowo, można rozważyć ograniczenie funkcji Google Analytics, anonimizację adresów IP użytkowników, oraz zminimalizować przesyłane dane. Warto dostosować narzędzie zgodnie z zasadą minimalizmu przetwarzania danych.
Google Analytics zbiera różne informacje, takie jak adres IP, informacje o stronach internetowych, typ przeglądarki, itp. Adresy IP są uznawane za dane osobowe, co wymaga specjalnej ochrony i wdrożenia określonych działań prawnych.