Otázka Google Analytics vs. GDPR
Švédský úřad pro ochranu údajů rozhodl, že společnost CDON AB porušila článek 44 GDPR tím, že používala službu Google Analytics poskytovanou společností Google LLC. Standardní smluvní doložky (SCC) a ochranná opatření, která byla zavedena, nemohly podpořit předávání údajů do USA způsobem, který by neohrozil úroveň ochrany osobních údajů zaručenou GDPR.
Okolnosti
Společnost CDON AB (správce údajů) použila na svých webových stránkách nástroj Google Analytics poskytovaný společností Google LLC (zpracovatel). Za účelem použití tohoto nástroje předal správce osobní údaje uživatelů zpracovateli v USA.
Správce údajů a společnost Google zavedli standardní smluvní doložky (SCC) ve smyslu článku 46 GDPR.
V roce 2020 podala společnost noyb stížnost rakouskému úřadu pro ochranu údajů, v níž tvrdila, že správce porušil ustanovení kapitoly V GDPR.
Stížnost byla postoupena švédskému úřadu pro ochranu údajů jako vedoucímu dozorovému úřadu podle článku 56 GDPR. Na základě stížnosti prošetřil úřad pro ochranu údajů předávání údajů od správce do USA prostřednictvím služby Google Analytics.
Na základě stížnosti podané společností noyb zahájil švédský orgán DPA dohled nad správcem. Šetření se týkalo toho, zda správce předává osobní údaje do USA prostřednictvím používání analytického nástroje Google a zda pro to má správce údajů právní oporu podle kapitoly V GDPR.
Stanovisko
Úřad pro ochranu údajů nejprve posoudil, zda údaje zpracovávané prostřednictvím analytického nástroje společnosti Google představují osobní údaje, a zjistil, že údaje představují osobní údaje, neboť na zařízení subjektu údajů byly umístěny soubory cookie obsahující jedinečné identifikátory, které byly následně předány společnosti Google LLC.
Úřad pro ochranu údajů zdůraznil, že i když by tyto jedinečné identifikátory samy o sobě nebyly považovány za identifikovatelné, je třeba vzít v úvahu, že v daném případě mohou být tyto jedinečné identifikátory kombinovány s dalšími prvky.
Zadruhé, úřad pro ochranu údajů posuzoval, zda je společnost CDON AB správcem, a konstatoval, že - tím, že se rozhodla zavést na svých internetových stránkách nástroj Google Analytics za účelem umožnit správci analyzovat, jak jsou internetové stránky využívány - společnost CDON AB určila účely a prostředky shromažďování a následného předávání těchto osobních údajů. Úřad pro ochranu osobních údajů potvrdil, že společnost CDON AB je správcem.
Za třetí, úřad pro ochranu údajů zkoumal, zda je předávání osobních údajů správcem do USA v souladu s článkem 44 obecného nařízení o ochraně osobních údajů a zda má právní oporu v kapitole V obecného nařízení o ochraně osobních údajů. S odkazem na rozsudek ve věci Schrems II úřad pro ochranu údajů uvedl, že použití SCC samo o sobě nepostačuje k dosažení přijatelné úrovně ochrany předávaných osobních údajů při předávání osobních údajů do USA, pokud má být dovozce údajů klasifikován jako poskytovatel služeb elektronických komunikací ve smyslu § 1881 odst. 4 zákona 50 US Code.
A za čtvrté bylo posuzováno, zda správce zavedl dostatečná dodatečná ochranná opatření pro předávání údajů. Po posouzení úřad pro ochranu údajů zjistil, že dodatečná ochranná opatření přijatá společností Google nejsou účinná, neboť nezabraňují možnosti přístupu zpravodajských služeb USA k osobním údajům nebo takový přístup činí neúčinným. Kromě toho ani SCC, ani další opatření, na která se správce odvolával (zkrácení posledního oktetu IP adresy), nemohla podpořit předávání, jak je stanoveno v kapitole V obecného nařízení o ochraně osobních údajů.
Závěrem úřad pro ochranu osobních údajů shledal, že správce předáváním narušil úroveň ochrany osobních údajů subjektů údajů zaručenou článkem 44 GDPR, a v důsledku toho porušil článek 44 GDPR. Úřad DPA udělil pokutu ve výši 300 000 švédských korun (přibližně 25 000 EUR).
Správci bylo rovněž nařízeno zajistit, aby jeho zpracování v rámci používání nástroje Google Analytics bylo v souladu s článkem 44 GDPR a dalšími ustanoveními kapitoly V GDPR. Podle nařízení o ochraně osobních údajů se tak stane zejména tím, že přestane používat nástroj Google Analytics, pokud nebudou přijata odpovídající ochranná opatření.