Wyrok w sprawie Schrems II, Google Analytics i ochrona danych osobowych

Wyrok w sprawie Schrems II, Google Analytics i ochrona danych osobowych
16 lipca 2020 roku TSUE (Trybunał Sprawiedliwości Unii Europejskiej) wydał wyrok dotyczący przetwarzania danych osobowych pomiędzy państwami należącymi do EOG a państwami trzecimi. Jego treść wzbudziła dość duże zamieszanie.
O autorze
6 min czytania 2020-11-13

Przedmiotem sprawy był sposób przetwarzania danych osobowych przez portal Facebook. Skargę złożył Maksymilian Schrems, obywatel Austrii i użytkownik portalu Marka Zuckerberga. Dowiedział się on, że w momencie rejestracji, dane użytkownika lub ich część są przekazywane, a następnie przetwarzane na terytorium USA.

Dlaczego przekazanie danych do USA wzbudziło wątpliwości Schremsa?

Przede wszystkim wykazał on nieprawidłowości w sposobie przetwarzania danych osobowych przez spółkę Facebook Ireland. Jest to podmiot pośredniczący w przekazywaniu informacji o użytkownikach spółce Facebook Inc mieszczącej się w Stanach Zjednoczonych. W związku z tym pojawiły się wątpliwości: czy aby na pewno jest to dopuszczalne i czy pozwala zachować ciągłość ochrony danych?

Schrems ustalił, że prawo obowiązujące w Stanach nie spełnia tego warunku. Dane osobowe przechowywane na terytorium USA nie są chronione przed działaniami nadzorczymi organów władzy publicznej. Co było podstawą do takich twierdzeń? Maksymilian Schrems podparł swój zarzut informacjami o działaniach amerykańskich służb wywiadowczych upowszechnionych przez Edwarda Snowdena.

Transfer danych osobowych obywateli UE do państw trzecich: podstawa prawna

Oczywiście proces przekazywania danych musi opierać się na konkretnej podstawie prawnej. Wśród nich wymienia się m.in. zgody osób fizycznych, Privacy Shield (porozumienie międzynarodowe), oraz tzw. standardowe klauzule umowne (SCC). 

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

Udostępnienie danych osobowych na terytorium Stanów Zjednoczonych odbywało się do tej pory na 2 podstawach. Obie wynikały z rozporządzenia RODO. Chodzi o:

  • Tarczę Prywatności (Privacy Shield),
  • Standardowe klauzule umowne.

Jednak wraz z nadejściem wspomnianej już daty – 16 lipca 2020 roku – TSUE stwierdził, że Tarcza Prywatności pomiędzy UE i USA jest porozumieniem nieważnym. Wraz z tym dniem, transfer danych na postawie Privacy Shield przestał być działaniem legalnym i dopuszczalnym. Nie ustalono jednocześnie żadnych przepisów przejściowych, które mogłyby stanowić rozwiązanie czasowe, jeżeli w wyniku orzeczenia powstałyby jakieś wątpliwości.

Słuchaj podcastu NowyMarketing

Co do kwestii legalności standardowych klauzul umownych (SCC), wciąż pozostają one ważne. Można z nich korzystać, jednak Trybunał zaznaczył, że w niektórych sytuacjach mogą być one niewystarczające. W rezultacie, o poziomie ochrony danych decydują przepisy RODO. Wszystkie podmioty importujące dane osobowe obywateli EOG do państw trzecich muszą zagwarantować rozwiązania zapewniające taką samą ochronę danych, jak zostało to wskazane właśnie w RODO. Dopiero wtedy, gdy warunek ten zostanie spełniony, będzie można zastosować standardowe klauzule umowne. 

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Dotychczasowe porozumienia międzynarodowe stają się nieważne

Podsumowując, wyrok Schrems II spowodował 2 następstwa:

1. Porozumienia międzynarodowe (w przypadku stosunku UE-USA jest to Tarcza Prywatności) nie mogą być już podstawą do przetwarzania danych osobowych obywateli UE w krajach trzecich. Powodem tej decyzji były istotne różnice pomiędzy standardami ochrony w UE i USA. 

Istnieje szansa, że powstanie kolejna Tarcza Prywatności, jednak eksperci wątpią, że uda się stworzyć uniwersalną umowę dla dwóch, tak zupełnie odmiennych podejść (europejskiego i amerykańskiego).

2. Zamiast Tarczy Prywatności, można korzystać z zawierania standardowych klauzul umownych (SCC) i wiążących reguł korporacyjnych (BCR). Mimo to, do ich zawarcia niezbędne jest spełnienie określonych warunków: dokładnej analizy prawodawstwa kraju, do którego dane mają być transferowane; oraz zastosowania specjalnych, dodatkowych środków, które odpowiednio zabezpieczą dane osobowe obywateli UE. 

Analiza prawodawstwa musi zostać zatwierdzona przez Komisję Europejską, za to dodatkowe środki nie są jednoznacznie określone – prawdopodobnie ich wybór będzie uzależniony od zadań spoczywających na administratorze danych osobowych. Powoduje to dość skomplikowaną sytuację – w końcu Trybunał Sprawiedliwości UE wskazał w wyroku Schrems II, że prawodawstwo dotyczące ochrony danych w USA nie zapewnia dostatecznej ochrony.  

W efekcie powstaje konflikt: klauzule umowne są dozwolone, ale jednocześnie wymagają wcześniejszej, dogłębnej analizy prawodawstwa danego państwa. Jak wiadomo, w przypadku prawa Stanów Zjednoczonych stopień i sposób ochrony danych osobowych został oceniony negatywnie. Połączenie tych dwóch kwestii rodzi więc sytuację bez wyjścia.

Rosnąca dezinformacja na rynku e-commerce  

Nie dziwi więc, że wyrok spowodował dość duży chaos informacyjny w kwestii przekazywania danych osobowych do krajów trzecich, również w organach państwowych. Niektóre kraje już teraz zakazały transferowania danych swoich obywateli do USA. Co z Polską? Nieoficjalne źródła mówią, że Urząd Ochrony Danych Osobowych wciąż czeka na stanowisko Europejskiej Komisji Ochrony Danych. 

Co można doradzić polskim administratorom danych? Przede wszystkim zapewnienie jak najszerszej ochrony danych użytkowników, zwłaszcza w kontekście udostępniania ich państwom trzecim. Niestety do tej pory nie wiadomo, na czym powinna polegać taka procedura. Szczególne wątpliwości budzą narzędzia budowane na platformach międzynarodowych, m.in. Google Analytics oraz różnych serwerów backupowych.

Co zmienia wyrok Schrems II w kwestii Google Analytics?

Google Analytics to bez wątpienia jedno z najpopularniejszych narzędzi służących do przetwarzania danych osobowych. Oczywiście przed podjęciem próby zrozumienia zmian, jakie wprowadza wyrok Schrems II, trzeba znać zasady funkcjonowania GA. Pozwoli to na podjęcie działań potrzebnych do spełnienia aktualnych wymagań związanych z ochroną danych osobowych i jednocześnie na dalsze korzystanie z Google Analytics.

Po pierwsze, narzędzie Google wysyła przez swoje skrypty głównie:

  1. Adres IP.
  2. Informacje, jaki zasób na stronie wywołano (URL podstrony i jej tytuł oraz inne dane, ale bez jej zawartości).

GA przetwarza również system operacyjny i rodzaj przeglądarki, z jakich korzysta użytkownik, używany język, rozmiar okna. Gromadzi również cookies (ciasteczka). Rolą ciasteczek jest możliwość identyfikacji konkretnych działań użytkowników w ramach strony www. Pozwalają więc na analizę ich zachowań i przypisywanie im określonych danych demograficznych. 

Poza tym GA łączy przeglądarkę użytkownika z innymi zgromadzonymi już informacjami – wyświetlonymi reklamami, ostatnimi wyszukiwaniami, czy odwiedzinami na stronach reklamodawców. Robi to, korzystając właśnie z plików cookies. W ten sposób narzędzie od Google pozwala wytworzyć i przeanalizować dane demograficzne użytkownika (jego płeć, wiek, zainteresowania).

Czy Google Analytics korzysta z danych osobowych?

Dane osobowe to każda informacja dotycząca osoby fizycznej, która umożliwia jej zidentyfikowanie. Nie będzie to więc sam wiek czy płeć – odrębnie, czy nawet z innymi informacjami gromadzonymi przez Google, nie dają one możliwości identyfikacji konkretnej osoby. Pozwala na to dopiero zestawienie tych danych z adresem IP użytkownika. 

  • TSUE w sprawie C-70/10 z 24.11.2011 roku uznał adres IP za daną osobową. Wartym zaznaczenia jest jednak to, że jedną ze stron sporu był dostawca usługi Internetu, czyli podmiot mający bezpośrednią możliwość połączenia adresu IP z imieniem i nazwiskiem użytkownika.
  • Trybunał Sprawiedliwości UE 19.11.2016 roku (C-582/14) wskazał ponownie, że adres IP ma cechy informacji o charakterze osobowym w związku z możliwością identyfikacji osoby fizycznej na jego podstawie. Podkreślono, że nie mają znaczenia okoliczności, w których administrator musi zastosować dodatkowe kroki do zidentyfikowania użytkownika. 

W USA tematyka adresów IP jako danych osobowych jest traktowana znacznie bardziej liberalnie niż w Unii Europejskiej. IP na terenie Stanów Zjednoczonych nie podlegają pod definicję danych osobowych. Dlatego przekazywanie tej informacji dotyczącej użytkowników z Polski i innych części UE na serwery w USA powinno budzić poważne wątpliwości. 

Można więc dojść do wniosku, że to właśnie przekazywanie adresów IP użytkowników sieci jest największym zagrożeniem wynikającym z przetwarzania danych osobowych przez serwery Google zlokalizowane na terenie USA. 

Rozwiązanie problemu to ograniczenie niektórych funkcji GA

Sposobem na rozwiązanie tego problemu jest wybór danych, z jakich będzie korzystać narzędzie Google Analytics. W GA istnieje możliwość ograniczenia niektórych funkcji, w tym: 

  • Raportów demograficznych i zainteresowań,
  • Analizy użytkowników,
  • Funkcji raportowania o reklamach,
  • Zbierania danych w ramach funkcji reklamowych. 

Oprócz tego – co stanowi aktualnie zdecydowanie najważniejszą kwestię – można wprowadzić również anonimizację adresów IP osób odwiedzających nasz serwis internetowy. Zgodnie z informacjami od Google: Gdy klient usługi Analytics poprosi o anonimizację adresów IP, Analytics ukrywa te adresy najszybciej, jak to tylko technicznie możliwe, na najwcześniejszym etapie procesu przetwarzania danych przez Analytics Collection Network.

Pozwoli to na zmniejszenie ilości informacji przesyłanych do serwerów Google, zapewniając jednocześnie zgodność z „zasadą minimalizmu w przetwarzaniu danych os.” zawartą w RODO. Anonimizacja IP umożliwi administratorom transferowanie wyłącznie tych informacji, które są konieczne do prawidłowego świadczenia usługi. 

Używanie narzędzia Google Analytics po wyroku Schrems II

Według nas, trudno jest jednoznacznie określić, jakie działania będą wskazane w aktualnej sytuacji. Jasne wytyczne dotyczące udostępniania danych osobowych krajom trzecim pojawią się dopiero po zajęciu stanowiska przez Europejską Radę Ochrony Danych oraz UODO. 

Wielu ekspertów wskazuje, że lepiej wstrzymać jakikolwiek transfer danych osobowych na teren Stanów Zjednoczonych. W zakres takich działań miałoby wchodzić również zaprzestanie używania różnych narzędzi, w tym popularnego Google Analytics. Z naszej perspektywy, aż tak radykalne czynności nie są konieczne. Można ograniczyć niektóre funkcje GA i nie udostępniać kluczowych danych osobowych USA, a przy tym dalej korzystać z możliwości tego narzędzia.

Oczywiście wiele zależy tutaj od charakteru danych, które gromadzimy. Już sam adres IP umożliwia identyfikację użytkownika. Wystarczy zwrócić uwagę na to, że 2 lata temu z Gmaila korzystało ponad 1,5 miliarda internautów. Połączenie tych informacji – danych z Gmaila i adresu IP – daje więc możliwość szybkiej identyfikacji wielu osób. Dlatego anonimizacja adresu IP może być najlepszym wyjściem – pozwoli na bezpieczniejsze przesyłanie tylko tych danych, które nie stanowią danych osobowych.

Co jeszcze warto zrobić? Zalecamy m.in. zmiany w Polityce prywatności. Wystarczy dopisać, że zanonimizowane dane użytkowników są wykorzystywane w celach statystycznych za pomocą narzędzia Google Analytics. Jeżeli GA jest obsługiwane przez zewnętrzny podmiot świadczący usługi marketingowe, należy ograniczyć przekazywane dane wyłącznie do tych, które są konieczne do prawidłowego świadczenia usługi. Dobrym ruchem będzie również uzyskanie zgody administratora danych na używanie ich właśnie w takich celach.

Jakie kary mogą być przewidziane za przesyłanie danych użytkowników do USA? Sprawa ma charakter precedensowy, dlatego wysokość kar może być wnioskowana z treści wyroków precedensowej linii orzeczniczej. 

Wniosek: wszystko zależy od rodzaju udostępnianych danych 

Według nieoficjalnych wiadomości, Google szuka sposobu na stworzenie standardowych klauzul umownych w zastępstwie Tarczy Prywatności. Wydaje się to jednak niemożliwe ze względu na wspomniany wcześniej warunek analizy prawa państwa trzeciego pod kątem ochrony danych osobowych. Jak już ustaliliśmy, system prawny Stanów Zjednoczonych nie gwarantuje wystarczającego poziomu zabezpieczenia danych. 

Podsumowując, legalność dalszego korzystania z Google Analytics będzie uzależniona głównie od charakteru danych, jakie udostępniamy. Sama płeć, wiek, czy inne ogólne informacje nie umożliwiają identyfikacji konkretnego użytkownika. Jednak zestawienie ich z adresem IP pozwala na takie działania. Dlatego tymczasowym, polecanym rozwiązaniem wydaje się właśnie anonimizacja IP w funkcjach narzędzia Google Analytics. Dodatkowo warto uzupełnić Politykę prywatności na swojej stronie, ewentualnie dodać do  niej dodatkowe zgody czy oświadczenia.