Google Analytics znowu pod lupą organów

Kolejne organy ochrony danych osobowych w Europie kwestionują legalność korzystania z Google Analytics (GA). Najnowsze decyzje w tej sprawie wydały francuski i włoski organ ochrony danych osobowych w czerwcu 2022 r.

 

Problemy związane ze zbieraniem danych przez Google Analytics

Problem z GA sprowadza się do niezgodnego z RODO transferu danych osobowych użytkowników stron i portali poza teren Europejskiego Obszaru Gospodarczego (także na żądanie służb krajów trzecich, którym podlega dostawca narzędzia). Problem jest aktualny w przypadku Universal Analytics, która umożliwia pseudonimizację adresów IP użytkowników (metodą Google IP-Anonymization) oraz GA4, który nie rejestruje i nie przechowuje adresów IP. W ocenie Google miało to zabezpieczyć dane osobowe na wypadek transferu poza EOG. Jednak zdaniem francuskiego organu ochrony danych osobowych (CNIL):

  • szyfrowanie danych funkcją Google IP-Anonymization jest niewystarczające, ponieważ to technika pseudonimizacji kluczem pochodzącym od Google – tym samym również Google może takie dane w każdej chwili odszyfrować;
  • Google wchodzi w posiadanie tak wielu unikalnych identyfikatorów dotyczących użytkownika (np. z metadanych jego przeglądarki czy systemu operacyjnego), że nawet bez adresu IP jest w stanie jednoznacznie zidentyfikować konkretną osobę i śledzić jej historię przeglądania między kilkoma urządzeniami, z których korzysta.

 

Do podobnych wniosków doszedł włoski organ ochrony danych w decyzji z 9 czerwca 2022 r. Stwierdził w niej, że szyfrowanie danych nie jest wystarczającym zabezpieczeniem, jeśli to dostawca narzędzia z kraju trzeciego (tutaj Google) sam posiada klucze deszyfrujące.

google analytics_pseudonimizacja

Zarówno organ włoski, jak i francuski, nie nałożyły jeszcze kar finansowych na kontrolowane przez siebie podmioty. Wskazały jednak termin (od 1 do 3 miesięcy) na złożenie dodatkowych wyjaśnień dotyczących sposobu zapewnienia zgodności wykorzystania GA z przepisami prawa europejskiego, zwłaszcza RODO.

 

Co proponuje francuski organ ochrony danych osobowych?

Dla przedsiębiorców istotne jest to, że w opinii CNIL nie jest możliwe takie skonfigurowanie GA z panelu klienta, aby dane osobowe były wystarczająco zabezpieczone na wypadek transferu poza EOG[1].

W ocenie organu, przedsiębiorcy, którzy chcą nadal korzystać z GA powinni rozważyć wdrożenie serwera proxy, który uniemożliwi bezpośredni kontakt między urządzeniem internauty a serwerami Google. Dzięki temu możliwe byłoby usuwanie lub szyfrowanie identyfikatorów pozwalających na identyfikację konkretnych osób ze zbioru danych. Dopiero po tym zabiegu dane byłyby przesyłane do Google[2].

Jako że wdrożenie takiego serwera może być kosztowne, CNIL rekomenduje ewentualnie rozważenie zastąpienia GA innym rozwiązaniem, które spełnia wymogi prawa europejskiego.

O tym, czy przedsiębiorcy powinni już rozpocząć szukanie narzędzia zastępującego GA, piszemy na naszym blogu:

google analytics

Zdajemy sobie sprawę z tego, jak duże korzyści niesie korzystanie z GA, szczególnie dla branży e-commerce –  i jak powszechnym jest narzędziem. Wiemy też, jak problematyczne w praktyce może być zapewnienie zgodności takiego rozwiązania z RODO – dlatego już teraz intensywnie analizujemy ten wątek i przygotowujemy wytyczne dla naszych klientów z propozycjami najlepszych rozwiązań powyższych problemów. Oczywiście zachęcamy do kontaktu z nami w tym zakresie.

 

Przemysław Gruchała
Senior Associate | Dział prawny
przemyslaw.gruchala@olesinski.com

Łukasz Pociecha
Senior Associate | Adwokat
lukasz.pociecha@olesinski.com


[1] https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics.

[2] J.w.