GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Organ nadzorczy: Google Analytics narusza RODO

CHIANG MAI, THAILAND - SEPTEMBER 17, 2014: Magnifying glass of Google search page view on web browser Apple iPad Air device.

16 lutego br. francuski organ właściwy do sprawy ochrony danych osobowych (Commission Nationale de l’Informatique et des Libertés – CNIL) wydał decyzję, w której stwierdził, że korzystanie z narzędzia Google Analytics wiąże się z naruszeniem przepisów RODO, ponieważ prowadzi do niezgodnego z prawem przekazywania danych osobowych do USA. W ocenie regulatora dane osobowe przetransferowane do USA za pośrednictwem Google Analytics nie są odpowiednio chronione przed potencjalnym dostępem amerykańskich służb specjalnych, a transfer ten odbywa się z naruszeniem art. 44 i nast. RODO.

101 skarg NOYB

Postępowanie francuskiego regulatora zostało wszczęte w tej sprawie w związku ze 101 skargami złożonymi przez austriacką organizacją non-profit NOYB (My Privacy is None of Your Business) do unijnych organów właściwych ds. ochrony danych osobowych, w tym do Urzędu Ochrony Danych Osobowych (UODO). Wszystkie te skargi dotyczą przekazywania danych osobowych Europejczyków do USA przez administratorów z aż 30 państw należących do UE i EOG

 

Ponad 100 skarg po wyroku TSUE

Decyzja regulatora została podjęta we współpracy z innymi unijnymi organami nadzorczymi, a treść rozstrzygnięcia uwzględnia wcześniejsze rozstrzygnięcie austriackiego organu nadzorczego, w podobnej sprawie.

Brak reakcji po wyroku TSUE

Tylko dane statystyczne

CNIL wskazał w decyzji, że w jego ocenie narzędzia analityczne służące do analizy ruchu na witrynach internetowych powinny być wykorzystywane jedynie do generowania anonimowych danych statystycznych. Takie rozwiązanie pozwoliłoby m.in. na uniknięcie konieczności pozyskiwania zgód osób, których dane dotyczą, na przetwarzanie ich danych osobowych, a w konsekwencji nie prowadziłoby do naruszeń przepisów o ochronie danych osobowych.

Co ciekawe, w toku postępowania regulator ustalił, że administrator strony internetowej i Google zawarli tzw. standardowe klauzule umowne (SCC). Okoliczność ta – zdaniem CNIL – nie oznacza jednak, że dane osobowe francuskich obywateli są odpowiednio chronione przed dostępem przez służby z USA. Warto również zauważyć, że po głośnym wyroku TSUE w sprawie C-311/18 Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems, Google wdrożył dodatkowe środki, a w tym anonimizację adresów IP przed transferem danych poza Unię Europejską oraz szyfrowanie danych, mające na celu większe zabezpieczenie danych osobowych podczas ich transferu. Narzędzia te są zawarte w Wytycznych EROD, jako sposoby zmniejszenia ryzyka związanego z transferem danych osobowych do USA. Pomimo tego, organ nadzorczy stwierdził, że takie rozwiązania są niewystarczające.

Termin na usunięcie uchybień

Francuski organ nadzorczy nakazał administratorowi usunięcie w ciągu miesiąca stwierdzonych uchybień poprzez wdrożenie odpowiednich środków zmierzających do zapewnienia przetwarzania danych osobowych zgodnie z RODO. W przypadku nieusunięcia uchybień w zakreślonym terminie, CNIL wezwał administratora do zaprzestania korzystania z narzędzia Google Analytics lub skorzystania z innych narzędzi, które nie wiążą się z koniecznością transferu danych osobowych do USA.

Obserwując kolejne rozstrzygnięcia organów nadzorczych w Unii Europejskiej, oczekiwać można kolejnych podobnych rozstrzygnięć. Być może impas dotyczący transferu danych poza ocean zostanie jednak rozwiązany dopiero po przyjęciu nowych regulacji, w postaci np. Tarczy Prywatności 2.0. Będziemy się przyglądać tej sprawie.

szkolenie – RODO w marketingu i e-commerce

Decyzja organu nadzorczego w języku francuskim:

https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf

Źródło:

https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply

https://www.digit.fyi/data-transfers-by-google-analytics-breach-gdpr-says-french-watchdog/