Ani Dánové nemohou používat Google Analytics bez souhlasu
Dánský dohledový orgán pro ochranu osobních údajů rozhodl, že správce porušil čl. 5 odst. 1 písm. a) GDPR tím, že používal nikoli jednu, ale dvě platformy pro správu souhlasů, a tím nezískal platný souhlas podle čl. 4 odst. 11 GDPR. Kromě toho rozhodl, že správce se při zpracování pro statistické účely nemůže odvolávat na čl. 6 odst. 1 písm. f) GDPR.
Fakta
Správcem je Den Blå Avis' (DBA), online platforma pro prodej použitého zboží. Na konci června 2020 provedl úřad DPA šetření týkající se zpracování osobních údajů návštěvníků webových stránek společnosti DBA. Po šetření dospěl orgán dohledu k závěru, že správce nezískal platný souhlas se zpracováním osobních údajů. Správce poté změnil svou platformu pro správu souhlasů, načež orgán pro ochranu údajů věc znovu prošetřil, a znovu se zaměřil na správu souhlasů. Orgán pro ochranu osobních údajů tedy ve svém rozhodnutí zaujal stanovisko ke dvěma různým způsobům správy souhlasů.
Závěry
Za prvé, orgán pro ochranu osobních údajů zjistil, že souhlas nebyl konkrétní, protože kliknutím na tlačítko "souhlasím" byly osobní údaje zpracovávány pro různé účely zpracování (např. marketing, personalizace atd.), aniž by tyto účely byly rozděleny a jasně uvedeny. Za druhé, DBA dostatečně neinformoval návštěvníka o tom, že osobní údaje budou předány třetím stranám, ani se neobjevil odkaz nebo rozbalující se nabídka v přímé souvislosti s účelem, pro který byly informace předány. Po posouzení druhého způsobu správy souhlasů orgán pro ochranu osobních údajů zjistil, že problémy s prvním CMP (správa souhlasů) nebyly vyřešeny. Orgán pro ochranu osobních údajů proto dospěl k závěru, že ani první, ani druhý způsob správy souhlasů nebyly dostatečné k získání platného souhlasu v souladu s čl. 4 odst. 11 nařízení GDPR, a zpracování tak nebylo v souladu se zásadou zákonnosti, přiměřenosti a transparentnosti, čl. 5 odst. 1 písm. a) nařízení GDPR.
Orgán pro ochranu osobních údajů měl dále za to, že vzhledem k tomu, že správce používá službu Google Analytics, tak jsou osobní údaje předávány do Spojených států. Protože správce navíc nezavedl žádná opatření, která by zajistila, že ochrana osobních údajů subjektů údajů je v zásadě rovnocenná ochraně v EU, orgán pro ochranu osobních údajů uvádí, že "návštěvníci internetových stránek nemohou důvodně očekávat, že jejich informace kromě toho, že jsou předmětem analýz a statistik na dba.dk, tak jsou také zpřístupněny serverům společnosti Google LLC ve Spojených státech". Orgán pro ochranu osobních údajů proto dospěl k závěru, že zájmy subjektu údajů převažují nad oprávněným zájmem správce, a proto se správce nemůže odvolávat na čl. 6 odst. 1 písm. f) nařízení GDPR, pokud jde o zpracování pro statistické účely. Kromě vyjádření kritiky však orgán pro ochranu údajů nevyužil žádnou ze svých nápravných pravomocí stanovených v čl. 58 odst. 2 nařízení GDPR.
Úřad pro ochranu osobních údajů ve svém rozhodnutí uvádí, že "tímto rozhodnutím dánský úřad pro ochranu osobních údajů nezaujal stanovisko k prohlášení společnosti DBA, že společnost Google LLC zpracovává informace o návštěvnících webových stránek jménem společnosti DBA v souvislosti se službou Google Analytics, a že společnost Google LLC je proto považována za zpracovatele osobních údajů pro společnost DBA".