25.01.2022

Google Analytics, Cookies i transfer danych osobowych do USA – mieszanka wybuchowa?

Michał Czuryło

W ostatnim czasie głośnym echem odbiły się dwie decyzje:

  1. austriackiego organu nadzoru (DSB). Zgodnie z tą decyzją korzystanie z Google Analytics na stronie internetowej prowadziło do przekazywania danych osobowych do Google LLC w USA z naruszeniem rozdziału V RODO. Administratorowi tej strony zakazano dalszego korzystania z Google Analytics;
  2. Europejskiego Inspektora Ochrony Danych (EIOD). Organ ten nałożył na Parlament Europejski naganę i obowiązek aktualizacji swojej strony internetowej w związku m.in. ze stosowaniem cookies wykorzystywanych przez Google Analytics.

Wygląda na to, że nie są to jedyne decyzje, których należy się spodziewać w zakresie stosowania Google Analytics. Swoje rozstrzygnięcie zapowiedział już m.in. holenderski organ nadzorczy. Opublikował on przewodnik, jak sprawić, by Google Analytics był bardziej „Privacy Friendly”. Ostrzegł jednak przy tym, że korzystanie z Google Analytics może zostać uznane wkrótce za niezgodne z przepisami.

Co się stało więc, że nagle nastąpiła taka zorganizowana akcja wobec administratorów stron, które korzystają z rozwiązania udostępnianego przez Google?

Przepisy regulujące stosowanie mechanizmów typu cookies – umożliwiających „śledzenie” zachowania użytkowników Internetu odwiedzających strony www – istnieją w polskim prawodawstwie od 18 lat. Znajdują się w przepisach ustawy z 2004 r. – Prawo telekomunikacyjne – od samego początku jej obowiązywania. Ustawa ta z kolei wdraża do polskiego porządku prawnego dyrektywę 2002/58/WE z 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywę e-privacy). Co się więc stało, że na przełomie 2021 i 2022 r., po niemal 20 latach od uchwalenia unijnych przepisów, temat cookies przeżywa aktualnie renesans i jest o nim znów tak głośno? Złożyło się na to kilka kwestii.

Pierwszą z nich było nałożenie się na przepisy o cookies dodatkowo przepisów o ochronie danych osobowych.

W ogólnym rozporządzeniu o ochronie danych (RODO) wyraźnie wskazano, że identyfikatory internetowe (w tym identyfikatory plików cookie) mogą stanowić dane osobowe. W związku z tym należy do nich stosować zasady obowiązujące dla przetwarzania danych osobowych. Jednocześnie w orzecznictwie Trybunału Sprawiedliwości UE (TSUE) potwierdzono (w sprawie C-673/17 Planet49) zasadę dotyczącą zgody na instalowanie plików cookie. Zgodnie z powyższym, jeżeli taka zgoda jest wymagana, powinna ona spełniać wymagania z RODO. Oznacza to m.in., że musi być konkretna i aktywnie wyrażenie (a więc nie może być domyślna).

Drugą istotną kwestią były wydarzenia z ostatnich lat dotyczące możliwości transferowania danych osobowych do państw poza tzw. Europejski Obszar Gospodarczy (czyli do tzw. państw trzecich).

Zgodnie z RODO, jeżeli państwa te nie dają adekwatnego poziomu ochrony, to należy stosować dodatkowe środki, żeby przekazanie danych osobowych do takiego państwa było zgodne z przepisami. W związku z tym 16 lipca 2020 r. TSUE w tzw. orzeczeniu Schrems II (C 311/18) wypowiedziało się, że istniejący mechanizm transferu danych do USA (tzw. Privacy Shield – Tarcza Prywatności) nie zapewnia odpowiedniego poziomu ochrony i decyzja zatwierdzająca ten mechanizm powinna być uchylona. Co więcej, sąd orzekł, że stosując także inne mechanizmy przewidziane w przepisach w celu transferu danych, należy badać, czy poziom ochrony danych osobowych będzie adekwatny i czy nie należy stosować dodatkowych środków. W praktyce oznacza to, że nie można dowolnie wysyłać danych do USA. Trzeba za to każdorazowo przeprowadzić ocenę m.in. czy na skutek transferu dostępu do tych danych nie uzyskają służby USA.

Trzecią, która jest poniekąd efektem dwóch poprzednich, była akcja, jaką rozpoczęło austriackie stowarzyszenie NOYB, na czele którego stoi Max Schrems.

Wysłało ono 101 skarg do organów nadzorczych w całej Unii Europejskiej dotyczących właśnie stosowania cookies na wielu popularnych stronach internetowych podmiotów z całej Europy. Między innymi owocem tych skarg są wydawane aktualnie decyzje organów nadzorczych.

Z powyższego wyłania nam się więc następujący wniosek. Nie zawsze legalne będzie stosowanie rozwiązań na stronie internetowej, które wymagają użycia cookies (lub innych podobnych mechanizmów) i są dostarczane przez podmioty np. z USA, które mogą mieć dostęp do danych zebranych z pomocą cookies.

 

Takie stanowisko potwierdzają nie tylko powołane na wstępie decyzje, ale również wypowiedzi organów nadzorczych niektórych innych krajów UE, które dotyczą cookies, w tym:

  • hiszpańskiego (AEPD),
  • francuskiego (CNIL),
  • portugalskiego, czy częściowo również polskiego (PUODO).

Ten ostatni na koniec 2021 wydał swoją decyzję o tym, że zgoda na cookies musi być aktywnie wyrażona. Decyzja PUODO jest istotna z dwóch względów. Nie tylko dlatego, że bezpośrednio dotyczy administratora strony www z Polski. Również dlatego, że jest pierwszą, w której wyraźnie zakwestionowano zbieranie zgody na cookies za pomocą „odpowiednich ustawień przeglądarki internetowej”. Do tej pory taka praktyka nie była kwestionowana przez polski organ nadzorczy (ba, niektóre strony organów administracji publicznej, np. ministerstwa cyfryzacji, stosują taki mechanizm).

21 stycznia 2022 r. również belgijski organ nadzorczy (APD) wypowiedział się w przedmiocie cookies. Stwierdził m.in., że, chcąc stosować cookies, należy udostępnić pełną informację o przetwarzaniu danych wymaganą przez RODO.

Okazuje się zatem, że cookies w połączeniu z transferem danych do USA tworzą dość niebezpieczną mieszankę. Ta może generować realne ryzyka dla każdego administratora strony internetowej korzystającej np. z rozwiązań pochodzących od amerykańskich firm, takich choćby jak narzędzia do analityki (popularne Google Analytics), rozwiązania do dokonywania płatności (Stripe), czy nawet rozwiązania do… zbierania zgód na Cookies (Cookiebot, którego użycie badał i kwestionował w ostatnim czasie sąd w Niemczech).

Jak więc korzystać z narzędzi takich jak Google Analytics? Czy to w ogóle legalne?

Przywołaną decyzję austriackiego organu nadzorczego czy EDPS wydano w konkretnych sprawach i ich szczegółowe okoliczności mają decydujące znaczenie. Co więcej, niezwykle istotne jest, byś jako administrator strony mógł wykazać, że dokonałeś analizy legalności stosowania danego rozwiązania i towarzyszącego mu ryzyka. W związku z tym podjąłeś decyzję świadomie, uwzględniając interesy osób, których dane są przetwarzane za pomocą stosowanych na stronie rozwiązań.

W ramach tej analizy:

  • sprawdź (samemu jeżeli potrafisz, lub zleć to osobie/firmie obsługującej Twoją stronę www) jakie narzędzia wykorzystujesz.
  • zastanów się, czy dane narzędzie jest Ci rzeczywiście potrzebne. Nie zachęcam od razu do wyłączenia Google Analytics. Nie jest to jednak jedyne narzędzie działające na podobnych zasadach, nie każdy też w praktyce go potrzebuje. Zastanów się, czy potrzebujesz wszystkich takich narzędzi, które masz uruchomione na swojej stronie internetowej i wyłącz od razu te, z których nie korzystasz.
  • poświęć chwilę na zbadanie jakie informacje dane narzędzie faktycznie zbiera i czy wszystkie te informacje są potrzebne. Są narzędzia, które umożliwia wyłączenie zbierania niektórych niepotrzebnych informacji albo włączenie zbierania ich w sposób wyłącznie anonimowy lub zagregowany (zbiorczy). Polecamy skorzystać z takiej opcji, jeśli istnieje taka możliwość. Inną opcją jest włączenie szyfrowania danych zbieranych za pomocą cookies. Jeśli istnieje taka możliwość w udostępnionych Ci narżedziach, zachęcamy do skorzystania. To kolejny krok w kierunku zwiększenia bezpieczeństwa, a tym samym uznania, że transfer danych jest dopuszczalny.

Wykonaną analizę i podjęte środki udokumentuj. Co więcej, jeżeli zdecydujesz, że chcesz korzystać z rozwiązań zbierających dane z pomocą cookies, upewnij się także, że:

  • dajesz możliwość wyrażenia zgody na cookies w sposób aktywny. Nie opieraj się wyłącznie na założeniu, że użytkownik w sposób świadomy tak ustawił swoją przeglądarkę internetową lub urządzenie, że akceptuje wszystkie cookies. Wymóg ten nie dotyczy cookies niezbędnych dla samego funkcjonowania strony internetowej lub świadczonych z jej pomocą usług. Za niezbędne co do zasady nie uznaje się jednak takie cookies, jak analityczne, czy marketingowe.
  • w bannerze służącym zbieraniu zgód na cookies w równie łatwy sposób umożliwiłeś wyrażenie zgody, jak i jej odmowę. Jeżeli zgoda wymaga jednego kliknięcia w wyraźny przycisk w jaskrawym kolorze, a odmowa wymaga przeklikania się przez serię wyborów na kolejnych stronach, odmowę nie uznaje się za równie łatwą co zgodę.
  • odbierając zgodę poinformowałeś w przejrzysty sposób użytkownika strony z jakich typów cookies korzystasz (np. cookies analityczne, marketingowe). Warto przy tym zadbać o dodatkową informację w przypadku transferu danych do USA. W ten sposób użytkownik – zanim zaakceptuje cookies – będzie miał pełny obraz tego, co się dzieje z jego danymi.

Nie są to oczywiście uniwersalne rady na zgodność z przepisami. Organy nadzorcze podkreślają wielką wagę analizy wykonanej przez administratora strony w konkretnym przypadku. Stosowanie cookies oraz wszelkich rozwiązań, wymagających zastosowanie cookies, zdecydowanie nie jest łatwe. Tym bardziej, wziąwszy pod uwagę powyższe wytyczne i przytoczone decyzje. To jednak nie oznacza, że możemy się spodziewać „świata bez ciasteczek”. Pewne jest natomiast jedno – spośród 101 skarg wniesionych przez NOYB dopiero pierwsze doczekały się rozstrzygnięcia. W dodatku na horyzoncie mamy unijne rozporządzenie, które ma kompleksowo regulować kwestię rozwiązań typu cookies. Wszystko wskazuje więc na to, że w roku 2022 o cokies usłyszymy jeszcze nie raz.

 

Chcesz być na bieżąco? Zapisz się do naszego newslettera!

Artykuł został przygotowany we współpracy z Fundacją Prawo dla technologii

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v2. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.