Przyszło Ci kiedyś do głowy, że narzędzie, którego używa wielu przedsiębiorców może niekoniecznie być… zgodne z prawem? Pewnie nie! Zatem pozwól, że opowiem Ci o całkiem świeżym przypadku, dotyczącym Google Analytics!
Co się stało?
Rzecz dzieje się w Austrii. Użytkownik korzysta ze stron internetowych i zauważa, że wykorzystują one Google Analytics. Korzysta z przysługującego mu prawa i składa skargę do austriackiego organu nadzorczego – uważa, że dane w postaci IP użytkownika nie są wykorzystywane zgodnie z prawem. Do sprawy przyłączają się społecznicy z NOYB (Europejskiego Centrum Praw Cyfrowych), którzy w 2020 roku przyczynili się do unieważnienia Tarczy Prywatności – wiadomo zatem, że działają skutecznie!
Stanowisko sądu
Po prawie 1,5 roku austriacki organ wydaje decyzję na… niekorzyść Google LLC uznając, że korzystanie z Google Analytics narusza RODO, w szczególności art. 44, który brzmi:
„Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu”.
W czym jest problem?
Możesz mieć wrażenie, że wyrok austriackiego sądu nie ma znaczenia dla polskich przedsiębiorców. Pozwól jednak, że wyjaśnię Ci, w czym tkwi problem…
IP użytkownika zgodnie z RODO to dana. Google ma odpowiednie narzędzia, aby połączyć adres IP z konkretną osobą, a więc naruszenie prawa polega na tym, że zgodnie z prawem amerykańskim Google ma obowiązek przekazywać pozyskane dane do władz amerykańskich – i tu organ austriacki zauważa niezgodność z RODO! Taki wyrok sądu oznacza, że istnieje wysokie prawdopodobieństwo, że inne organy nadzorcze w Unii Europejskiej uznają słuszność takiej interpretacji i również przyjmą takie stanowisko przy wydawaniu decyzji w sprawach związanych z Google Analytics.
Co to oznacza dla polskich przedsiębiorców?
Dla administratorów stron www oznacza to konieczność podjęcia decyzji: czy korzystają nadal z Google Analytics, czy też szukają alternatywy – np. MATOMO. Nie informuję Cię o tym, żeby Cię nastraszyć czy zachęcić do rezygnacji z korzystania z Google Analytics! Chcę Ci jedynie pokazać, że temat związany z tym narzędziem pojawia się w orzecznictwie i staje się przedmiotem sporu, co może spowodować konsekwencje dla przedsiębiorców – także dla Ciebie. Teraz każdy administrator podejmie decyzje zgodnie ze swoim sumieniem i kalkulacją ryzyka. Jeśli masz w organizacji powołanego inspektora ochrony danych, to zapytaj go o wskazówki!
