Austriacki Urząd ds. Ochrony Danych (DSB) uznało używanie „podejścia opartego na ryzyku” jako niewystarczające do ochrony danych przepływających do państw trzecich. Google Analytics przegrało jedną ze 101 skarg, skierowanych w ich kierunku na temat nielegalnego pobierania informacji na temat swoich użytkowników z UE. Czy GA spotka efekt domina, po którym będzie musiało wycofać się z Unii Europejskiej?

Max Schrems studiował prawo na Uniwersytecie w Wiedniu. Semestr swoich studiów odbył za granicą w Krzemowej Dolinie. Podczas zajęć z przedstawicielem firmy Facebook, a konkretniej pracownikiem firmy ds. prywatności, Edem Palmieri, Max dostrzegł, że Facebook w swoich działaniach nie bierze pod uwagę europejskiego prawa prywatności. To właśnie temu zagadnieniu poświęcił swoją pracę semestralną.

Max Schrems postanowił wgłębić się w problem pobierania danych przez Facebooka. Po złożeniu wniosku, otrzymał dostęp do danych osobowych, które firma zapisała na jego temat. Płyta, którą otrzymał zawierała plik obejmujący aż 1200 storn.

W 2011 roku Schrems złożył skargę do DPC (Irlandzkiej Komisji ds. Ochrony Danych). Dzięki temu firma Facebook, po odbytym audycie, zmuszona była usunąć niektóre pliki oraz wyłączyć oprogramowanie do rozpoznawania twarzy. Schrems jednak nigdy nie otrzymał formalnej decyzji od DPC oraz odmówiono mu dostępu do wszystkich zgłoszeń Facebooka i aktów sprawy.

Od tamtego momentu zaczęto bardziej przyglądać się poczynaniom amerykańskich gigantów internetowych, zbierających dane osobowe z krajów europejskich. Poprzez liczne wnioski, skargi i rozprawy, do życia weszło rozporządzenie Schrems II.

Jeżeli spojrzeć na wszystko z perspektywy RODO, wspomniany transfer danych do USA (oraz do innych państw trzecich) musi mieć zapewnioną wysoką i skuteczną ochronę, a zatem posiadać do tego dobrą podstawę prawną. Była nią „Tarcza prywatności”, wykorzystywana m.in. przez Google czy Microsoft. Właśnie dzięki wyrokowi TSUE, potocznie określanym jako Schrems II, Tarcza Prywatności straciła swoją ważność ze skutkiem natychmiastowym. Chociaż standardowe klauzule umowne wciąż pozostały wiążące, to wymaga się od nich wcześniejszej weryfikacji. Ma ona dotyczyć przestrzegania przez państwo trzecie odpowiedniego stopnia ochrony, wymaganego w Unii Europejskiej.

Po decyzji TSUE popularnym stało się podejście „oparte na ryzyku”. Liczne organizacje wierzyły w i praktykowały zasadę, że jedynie dane osobowe, które mogłyby zagrozić wolności i prawom jednostki, powinny być dodatkowo chronione. RODO nie przewiduje jednak takiego działania, a więc jest ono uznawane za nielegalne.

Aktualnie zatem, ze względu na niezgodności pomiędzy prawem USA i UE w zakresie ochrony danych osobowych, nie istnieje podstawa prawna, dzięki to której przesyłanie danych osobowych z Unii Europejskiej do USA byłoby w pełni bezpieczne i zgodne z europejskimi regułami ochrony danych.  

Czy zatem pobieranie danych przez Google Analytics jest legalne?

Dokładnie tym problemem zajęła się organizacja non-profit o nazwie NOYB (None Of Your Business), której założycielem jest nie kto inny jak Max Schrems. NOYB zajmuje się ponad 100 skargami z 30 różnych państw. Wszystkie one dotyczą właśnie pobierania danych przez Google Analytics. Warto tutaj dodać, że również francuski organ Ochrony Danych Osobowych CNIL nałożył na Google karę w wysokości 90 i 60 milionów euro za niedostateczną ochronę danych osobowych.

RODO samo w sobie nie skupia się jedynie na powstałych już incydentach np. inwigilacji danych. Naruszeniem RODO jest już sama możliwość wystąpienia takiego problemu.

Właśnie z tego powodu jedna ze skarg na Google Analytics miała następujący skutek – „podejście oparte na ryzyku” zostało uznane za nielegalne (niezgodne z RODO) przez austriacki sąd. Określono je jako „nieudolną próbę złagodzenia jasnego orzecznictwa TSUE”.

Ponieważ Google Analytics jest powszechnie używane na stronach internetowych, jego brak z pewnością odczułoby całe środowisko marketingowe (i nie tylko). Narzędzie to pozawala na skuteczne zwiększenie zasięgów strony czy na wynajdywanie odpowiedniego klienta. Całkowite, nagłe wykluczenie Google Analytics, bez próby znalezienia rozwiązania, czy chociażby zamiennika, mogłoby oznaczać katastrofalne skutki dla wielu przedsiębiorstw. Ucierpiałaby również współpraca między USA a Unią Europejską, co pod wieloma względami nie przyniosłoby dobrych rezultatów.

Należy tutaj zaznaczyć, że wyrok o naruszeniu RODO został opublikowany w przypadku jednej skargi na Google Analytics. 100 innych skarg jest wciąż w kolejce i czeka na rozstrzygnięcie, a kolejne firmy i kraje zaczynają bardziej pochylać się nad analizą przesyłania danych osobowych do GA.

Jednym z rozwiązań mogłoby być otworzenie odrębnej siedziby GA w Unii Europejskiej –niemającej powiązania ze „spólką matką” w USA –  dzięki czemu przepływ danych osobowych zatrzymałby by się na terenie krajów UE. Wiele największych przedsiębiorstw IT zdecydowało się na krok stworzenia spółek z siedzibą w Unii Europejskiej, niestety ze względu na powiązania kapitałowe nowe prawo USA – CLOUD (Clarifying Lawful Overseas Use of Data) pozwala organom ścigania domagać się dostępu do danych przetwarzanych w Europie. Czy Google Analytics pod presją kolejnych kar i skarg również tak postąpi?

GA w ostateczności mógłby się powołać na Art.49 RODO:

1.   W razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 lub braku odpowiednich zabezpieczeń określonych w art. 46, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że:

a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

Zatem jeżeli użytkownik wyrazi zgodę na przekazywanie swoich danych do kraju trzeciego, to automatycznie takie dane mogą być przesyłane. Taki użytkownik musiałby być dokładnie zapoznany z ryzykiem, jakie niesie ze sobą zgoda. W dzisiejszych czasach mało kto rzeczywiście czyta politykę prywatności cookies, klikając „zgadzam się” bez wcześniejszego zapoznania się z tekstem. Jako że jedną z najbardziej cenionych funkcji internetu jest szybki dostęp do informacji, nikt nie chce zatrzymywać się nad akapitami tekstu o potencjalnym zagrożeniu jego danych. Najbardziej prawdopodobny jest zatem scenariusz, że odbiorca nie wie, na co tak naprawdę wyraża zgodę.

Dlatego warto zadać pytanie – czy przetwarzanie danych osobowych na podstawie zgody użytkownika rzeczywiście spełnia art.49 RODO?

Jest jeszcze światełko w tunelu.

25 marca 2022 opublikowano komunikat w którym stwierdzono że prezydent USA Joe Biden osiągnął porozumienie z przewodniczącą Komisji Europejskiej Ursulą von der Leyen w zakresie nowej Tarczy Prywatności. Przed nami jednak długa droga dopracowywania szczegółów. Przedłużający się proces tworzenia nowego porozumienia będzie działał na niekorzyść takich podmiotów ja Google czy Facebook i wraz z pogłębiającymi się analizami na temat przepływu danych, podmioty takie mogą mieć coraz większy problem z prowadzeniem swojego biznesu w Unii Europejskiej. Jeżeli nie zostaną podjęcie odpowiednie kroki, obie strony doznają znaczących strat biznesowych. Jedno jest pewne – zarówno TSUE jak i amerykańskie giganty IT (w tym GA) powinny dążyć najszybszego i najtrwalszego porozumienia, opartego jednocześnie na skutecznej ochronie danych osobowych oraz sprawnego funkcjonowania narzędzi IT.

Interesuje Cię ten temat?

Jeżeli chciałabyś/chciałbyś posiadać aktualne polityki cookies, dobrze stworzone zgody albo przeprowadzić audyt swojej strony internetowej lub posiadanych procedur, śledź stronę www.bezpiecznainformacja.pl lub skontaktuj się bezpośrednio z naszymi ekspertami za pośrednictwem adresu biuro@checkbox.pl.