Problematika nejen Google Analytics...
Rakouský a francouzský úřad pro ochranu osobních údajů (Datenschutzbehörde a Commission nationale de l'informatique et des Libertés) letos rozhodly, že používání služby Google Analytics není v souladu s obecným nařízením o ochraně osobních údajů (GDPR)..
Rakouský úřad pro ochranu osobních údajů v lednu 2022 rozhodl, že používání služby Google Analytics rakouskými webovými stránkami je nezákonné, protože osobní údaje byly platformou Google Analytics odesílány do Spojených států a společnost Google je mohla poskytnout americkým orgánům. Důvodem tohoto problému je rozhodnutí Schrems II z roku 2020, které znamenalo konec štítu EU-USA na ochranu soukromí, podle něhož mohly být údaje z EU předávány americkým společnostem, které byly certifikovány.
Rakouský úřad pro ochranu údajů ve svém rozhodnutí nad případem uvedl, že rakouské webové stránky používaly službu Google Analytics ke sledování návštěvníků webových stránek a poskytovaly společnosti Google osobní údaje. Provozovatel webových stránek tvrdil, že osobní údaje nebyly předávány do Spojených států, ale řádně neanonymizoval IP adresy návštěvníků webových stránek ani nepožádal návštěvníky o souhlas s předáváním údajů společnosti Google. Toto rozhodnutí neznamená, že by používání služby Google Analytics v Rakousku bylo nezákonné, pouze že v určitých případech může být nezákonné.
V únoru CNIL podobně rozhodl, že používání služby Google Analytics nejmenovanou webovou stránkou bylo nezákonné, protože porušovalo článek 44 GDPR, který zakazuje předávání osobních údajů mimo EU, pokud přijímající země nemá odpovídající zákony na ochranu údajů. Stejně jako v případě Rakouska nebylo předávání údajů do USA povoleno, protože osobní údaje by mohly být poskytnuty americkým orgánům na základě zákonů o dohledu nad údaji.
V této fázi není jasné, zda bude udělena finanční pokuta, ale majitel webových stránek dostal pokyn, aby za stávajících podmínek přestal používat službu Google Analytics, přičemž na splnění tohoto pokynu má majitel webových stránek jeden měsíc. CNIL zjistil, že dodatečná opatření, která společnost Google oznámila k zajištění soukromí údajů občanů EU při jejich přepravě do USA, jsou nedostatečná a že údaje mohou být i nadále poskytovány americkým orgánům, což představuje riziko pro francouzské uživatele webových stránek.
Stejně jako v případě rozhodnutí rakouského orgánu pro ochranu údajů CNIL nezakazuje používání služby Google Analytics na francouzských internetových stránkách, ale v případě použití této platformy lze předávat pouze anonymní statistické údaje. Alternativně lze použít jiné nástroje pro analýzu dat, které nepředávají osobní údaje mimo EU.
CNIL rovněž oznámil, že v současné době vyhodnocuje služby měření sledovanosti webových stránek, aby určil, které by byly vyňaty z nutnosti získat souhlas uživatele, a v budoucnu pravděpodobně vydá pokyny týkající se platforem, které jsou považovány za vyhovující GDPR.
Ačkoli se tyto případy týkají služby Google Analytics, mají důsledky pro uživatele dalších nástrojů pro webové stránky, které předávají neanonymizované údaje mimo EU. To znamená, že všechny nástroje, které předávají údaje americkým společnostem, představují regulační riziko a jejich používání by mohlo společnosti vystavit riziku pokuty za nedodržení předpisů. CNIL v současné době vyšetřuje používání nástroje Facebook Connect, který byl předmětem několika stížností.
"Je zajímavé, že různé evropské úřady pro ochranu údajů došly ke stejnému závěru: používání nástroje Google Analytics je nezákonné. Existuje evropská pracovní skupina a předpokládáme, že tato akce je koordinovaná a že ostatní úřady rozhodnou podobně," řekl Max Schrems, zakladatel a čestný předseda NYOB.