Od lat w 30 państwach EOG (Europejski Obszar Gospodarczy) na rozstrzygniecie czeka 100 skarg, dotyczących przekazywania danych Europejczyków do USA. Przepisy i sądy swoje, a administratorzy danych swoje. Ten spór mógłby się skończyć tylko w dwójnasób – prawo zostanie złagodzone lub zacznie być przestrzegane. Na razie jednak użytkownicy Google Analytics mogą mieć problem.
Austriacki urząd ds. ochrony danych osobowych (DSB) jako pierwszy wydal decyzję, że przekazywanie danych osobowych do USA w związku z korzystaniem z Google Analytics, jest niezgodne z przepisami RODO.
Jak do tego doszło?
Pewien użytkownik z Austrii zauważył, że jedna ze stron korzysta z Google Analytics. Złożył więc skargę do ww. DSB. Urząd, biorąc pod uwagę wnioski, które płyną z wyroku TSUE ws. Schrems II (tzn. tymi, które dotyczą dostępu amerykańskich służb specjalnych do danych użytkowników spoza USA) przeprowadził postępowanie dotyczące podstawy dokonywania transferów danych do USA i sposobu zapewnienia bezpieczeństwa tych danych. Ustalono, że Google LLC, który jest dostawcą usług online, może być zobowiązany do przekazywania danych amerykańskim agencjom wywiadowczym, co narusza prawo UE. Dodatkowo ustalono, że Standardowe Klauzule Umowne (podstawa transferów danych do USA) nie zapewniają należytego poziomu bezpieczeństwa i jako takie nie sprawiają, że transfer danych jest zgodny z prawem. Uznano, że techniczne sposoby zabezpieczania danych nie spełniają zadania, jeżeli dostawca z USA ma do nich dostęp, ponieważ nie rozwiązuje to problemu możliwości uzyskania danych przez służby z USA.
Co to oznacza dla firm korzystających z Google Analytics?
Jest to zbyt istotne narzędzie, aby miało zniknąć. Należy jednak brać pod uwagę ryzyko prawne wynikające z faktu korzystania z tego rozwiązania na stronach internetowych. I nic się w tej kwestii nie zmieni, dopóki nie zmieni się prawo w USA albo nie dojdzie do zawarcia jakiejś specjalnej umowy pomiędzy UE a USA zrównującej prawa obywateli UE z obywatelami USA, szczególnie w zakresie dostępu służb do ich danych.
Jeśli właściciel strony chce zminimalizować ryzyko, musi znaleźć inne rozwiązanie niż Gooogle Analytics, najlepiej takie, które nie łączy się z transferem danych do USA.
Jeżeli potrzebujesz więcej informacji, zapraszam do kontaktu!
Radca prawny, Członek Okręgowej Izby Radców Prawnych w Warszawie (2012), doradca podatkowy członek Krajowej Izby Doradców Podatkowych (2004), absolwentka Wydziału Prawa Uniwersytetu Jagiellońskiego (1998), studiów podyplomowych w dziedzinie prawa podatkowego w Szkole Głównej Handlowej (2000) oraz prawa nowoczesnych technologii na Akademii Leona Koźmińskiego w Warszawie (2016). Założycielka kancelarii Law&Technology.