Skip to main content

Czy decyzja Schrems II oznacza, że Google Analytics nie jest zgodny z RODO?

W przypadku wielu firm w UE i USA rok 2022 przyniósł kolejny kryzys do opanowania: działania następcze po Schrems II oświadczającym, że Google Analytics nie jest zgodne z RODO.

Co to jest Schrems II?

Data Protection Commissioner przeciwko Facebook Ireland i Maximillian Schrems, znany również jako Schrems II, zakończyły się 16 lipca 2020 r. Krótko mówiąc, orzeczenie Europejskiego Trybunału Sprawiedliwości unieważniło Tarczę Prywatności UE-USA, umowę określającą wymogi w zakresie ochrony danych osobowych. dane obywateli UE wysyłane do USA.

Sprawa ta kwestionowała zgodne z RODO wykorzystanie dowolnych serwerów należących do USA i obsługiwanych przez Stany Zjednoczone, wynikające z faktu, że dane osobowe z UE były przesyłane do serwerów w chmurze Facebooka w USA oraz – zgodnie z ustawą CLOUD – US Foreign Intelligence Surveillance Ustawa i inne oficjalne zasady – mogłyby być wtedy dostępne dla amerykańskich agencji wywiadowczych. Krótko mówiąc, dane osobowe obywateli UE nie są odpowiednio chronione zgodnie z RODO, gdy są przekazywane na serwery firm amerykańskich.

Decyzja Schrems II w Austrii

Po decyzji Schrems II non-profit noyb(Europejskie Centrum Praw Cyfrowych), założone przez Maxa Schremsa, złożyło 101 skarg na różne firmy, które przekazały dane obywateli UE firmom amerykańskim. Jedna z takich skarg dotyczyła netdocktor.at, witryny poświęconej zdrowiu, która używała Google Analytics do śledzenia odwiedzających witrynę. Podobnie jak wiele firm, netdoktor nadal korzystał z Google Analytics pomimo orzeczenia Europejskiego Trybunału Sprawiedliwości. Google, a także inne firmy z siedzibą w USA (Amazon, Facebook, Microsoft itp.) polegają na standardowych klauzulach umownych (SCC) oraz środkach technicznych i organizacyjnych (TOM), aby przekonać partnerów z UE, że ich środki ochrony fizycznej i cyfrowej ( ogrodzenia wokół centrów danych, szyfrowanie danych, dane pseudonimowe itp.) wystarczyły do ochrony ich danych.

Jednak w sprawie netdoktor austriacki organ ochrony danych („Datenschutzbehörde” lub „DSB”) zdecydował, że to nie wystarczy. Google Analytics narusza RODO.Wyjaśniają:

W odniesieniu do przedstawionych środków umownych i organizacyjnych nie jest jasne, w jakim stopniu [środki] są skuteczne w rozumieniu powyższych rozważań”.

Jeśli chodzi o środki techniczne, nie jest również rozpoznawalne (...) w jakim stopniu [środek] faktycznie uniemożliwiłby lub ograniczył dostęp amerykańskim agencjom wywiadowczym, biorąc pod uwagę prawo USA”.

W oparciu o tę decyzję wielu ekspertów uważa, że to dopiero początek. Nadal wiele skarg czeka na swój dzień w sądzie i oczekuje się, że podobne decyzje zostaną podjęte przez inne kraje członkowskie UE.

DSB stwierdziło również w swojej decyzji, że będzie dalej badać Google w odniesieniu do zasad przekazywania danych rządowi USA bez wyraźnej zgody eksportera danych z UE.

W tej sprawie nie ma jeszcze żadnych kar, ale jeśli sąd zdecyduje o tym, mogą one wynieść nawet 4% globalnych obrotów firmy.

Wpływ na użytkowników Google Analytics

Nie jesteśmy prawnikami i nie możemy udzielać porad prawnych, ale wydaje się, że zagrożona jest każda firma, która przetwarza dane obywateli UE za pośrednictwem usług świadczonych przez firmy z siedzibą w USA. Pod względem analityki internetowej Google Analytics jest numerem jeden na świecie, ale jest wiele innych, na które należy uważać. Zawsze sprawdzaj, gdzie firma jest zarejestrowana i gdzie znajdują się jej centra danych.

W dłuższej perspektywie oznacza to, że rząd USA i dostawcy amerykańscy będą musieli wprowadzić ogromne zmiany w swoich obecnych zasadachi infrastrukturze: uchwalać przepisy chroniące dane cudzoziemców i hostować dane zagraniczne poza Stanami Zjednoczonymi. Komisja Europejska jest chętna do znalezienia zastępstwa dla Tarczy Prywatności UE-USA, ale w tej chwili nie ma żadnej prawnej drogi naprzód. Negocjacje trwają, ale nadal wymagają zmian prawnych po stronie amerykańskiej. Biorąc pod uwagę obecny klimat polityczny i gospodarczy, wydaje się to mało prawdopodobne w przewidywalnej przyszłości.

Przyszłość danych analityki internetowej

Ponieważ sąd stwierdził, że Google Analytics nie jest zgodny z RODO, co Google zaprzeczyłow niedawnym oświadczeniu, pytanie brzmi, gdzie firmy zwracają się po bezpieczne dane analityki internetowej o niskim ryzyku. Pierwszym krokiem byłoby zbadanie firm z siedzibą w UE, które używają anonimizacji IP, które nie przechowują danych użytkownika i które są zgodne z RODO, TTDSG, CCPA i innymi przepisami dotyczącymi prywatności danych - takimi jak Visitor Analytics!

Pełną decyzję DSB w języku niemieckim można znaleźć tutaj.