Skip to main content

Znamená rozhodnutí Schrems II, že Google Analytics není v souladu s GDPR?

Pro mnoho společností v EU a USA přinesl rok 2022 další krizi, kterou je třeba zvládnout: v návaznosti na Schrems II prohlašující, že Google Analytics není v souladu s GDPR.

Co je Schrems II?

Komisař pro ochranu dat proti Facebooku Irsko a Maximillian Schrems, také známý jako Schrems II, uzavřeny dne 16. července 2020. Stručně řečeno, rozhodnutí Evropského soudního dvora zrušilo platnost štítu EU-US Privacy Shield, dohody, která specifikovala požadavky na ochranu osobních údajů. údaje občanů EU zasílané do USA.

Tento případ zpochybnil použití jakýchkoli serverů vlastněných a provozovaných v USA v souladu s GDPR, a to v důsledku skutečnosti, že osobní údaje z EU byly odesílány na cloudové servery Facebooku v USA, a – podle zákona CLOUD Act, US Foreign Intelligence Surveillance zákon a další oficiální zásady – by pak mohly být přístupné americkým zpravodajským agenturám. Stručně řečeno, osobní údaje občanů EU nejsou při přenosu na servery amerických společností dostatečně chráněny v souladu s GDPR.

Rozhodnutí Schrems II v Rakousku

Po rozhodnutí Schrems II podalanezisková organizace noyb (Evropské centrum pro digitální práva), založená Maxem Schremsem, 101 stížností na různé společnosti, které převáděly data občanů EU do amerických společností. Jedna taková stížnost byla proti netdocktor.at, zdravotní webové stránce, která používala Google Analytics ke sledování návštěvníků webových stránek. Stejně jako mnoho společností i netdoktor nadále používal Google Analytics navzdory rozhodnutí Evropského soudního dvora. Google, stejně jako další společnosti se sídlem v USA (Amazon, Facebook, Microsoft atd.) se spoléhaly na standardní smluvní doložky (SCC) a technická a organizační opatření (TOM), aby pomohly přesvědčit partnery z EU, že jejich opatření fyzické a digitální ochrany ( k ochraně jejich dat stačily ploty kolem datových center, šifrování dat, pseudonymní data atd.).

Ale v případě netdoktor rakouský úřad pro ochranu osobních údajů ("Datenschutzbehörde" nebo "DSB") rozhodl, že to nestačí. Google Analytics porušuje GDPR.Vysvětlují:

" S ohledem na nastíněná smluvní a organizační opatření není zřejmé, do jaké míry je [opatření] účinné ve smyslu výše uvedených úvah."

" Pokud jde o technická opatření, není také rozpoznatelné (...), do jaké míry by [opatření] ve skutečnosti bránilo nebo omezovalo přístup zpravodajských agentur USA s ohledem na americké právo."

Na základě tohoto rozhodnutí se mnoho odborníků domnívá, že je to jen začátek. Stále existuje mnoho stížností, které čekají na své rozhodnutí u soudu, a očekává se, že podobná rozhodnutí přijmou i další členské země EU.

DSB ve svém rozhodnutí také uvedl, že bude společnost Google dále prošetřovat ohledně pravidel předávání dat vládě USA bez výslovného souhlasu vývozce dat z EU.

V tomto případě zatím nejsou uděleny žádné sankce, ale pokud tak soud rozhodne, mohly by dosahovat až 4 % celosvětového obratu společnosti.

Dopad na uživatele Google Analytics

Nejsme právníci a nemůžeme nabídnout právní poradenství, ale zdá se, že každá společnost, která zpracovává údaje občanů EU prostřednictvím služeb poskytovaných společnostmi se sídlem v USA, je ohrožena. Pokud jde o webovou analýzu, Google Analytics je světovou jedničkou, ale existuje mnoho dalších, na které je třeba si dát pozor. Vždy zkontrolujte, kde má společnost sídlo a kde se nacházejí její datová centra.

Z dlouhodobého hlediska to znamená, že americká vláda a američtí poskytovatelé budou muset provést obrovské změny ve svých současných politikácha infrastruktuře: schválit legislativu, která chrání data cizích občanů a hostit cizí data mimo USA. Evropská komise touží najít náhradu za štít EU-US Privacy Shield, ale v současné době neexistuje žádná legální cesta vpřed. Jednání probíhají, ale stále vyžadují právní změny na straně USA. A na základě současného politického a ekonomického klimatu se tyto věci v dohledné budoucnosti zdají nepravděpodobné.

Budoucnost dat webové analýzy

Vzhledem k tomu, že soud dospěl k závěru, že Google Analytics není v souladu s GDPR, což Googlev nedávném prohlášení popřel, je otázkou, kam se společnosti obracejí se žádostí o bezpečná data webové analýzy s nízkým rizikem. Prvním krokem by bylo prozkoumat společnosti se sídlem v EU, které používají anonymizaci IP, které neukládají uživatelská data a které jsou v souladu s GDPR, TTDSG, CCPA a dalšími zákony o ochraně osobních údajů – jako je Visitor Analytics!

Úplné znění rozhodnutí DSB v němčině naleznete zde.