Google Analytics, Cookies i transfer danych osobowych do USA – mieszanka wybuchowa?

W ostatnim czasie głośnym echem odbiły się dwie decyzje:

1. austriackiego organu nadzoru (DSB). Zgodnie z tą decyzją korzystanie z Google Analytics na stronie internetowej prowadziło do przekazywania danych osobowych do Google LLC w USA z naruszeniem rozdziału V RODO. Administratorowi tej strony zakazano dalszego korzystania z Google Analytics;
2. Europejskiego Inspektora Ochrony Danych (EIOD). Organ ten nałożył na Parlament Europejski naganę i obowiązek aktualizacji swojej strony internetowej w związku m.in. ze stosowaniem cookies wykorzystywanych przez Google Analytics.

Wygląda na to, że nie są to jedyne decyzje, których należy się spodziewać w zakresie stosowania Google Analytics. Swoje rozstrzygnięcie zapowiedział już m.in. holenderski organ nadzorczy. Opublikował on przewodnik, jak sprawić, by Google Analytics był bardziej „Privacy Friendly”. Ostrzegł jednak przy tym, że korzystanie z Google Analytics może zostać uznane wkrótce za niezgodne z przepisami.

Co się stało więc, że nagle nastąpiła taka zorganizowana akcja wobec administratorów stron, które korzystają z rozwiązania udostępnianego przez Google?

Przepisy regulujące stosowanie mechanizmów typu cookies – umożliwiających „śledzenie” zachowania użytkowników Internetu odwiedzających strony www – istnieją w polskim prawodawstwie od 18 lat. Znajdują się w przepisach ustawy z 2004 r. – Prawo telekomunikacyjne – od samego początku jej obowiązywania. Ustawa ta z kolei wdraża do polskiego porządku prawnego dyrektywę 2002/58/WE z 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. dyrektywę e-privacy). Co się więc stało, że na przełomie 2021 i 2022 r., po niemal 20 latach od uchwalenia unijnych przepisów, temat cookies przeżywa aktualnie renesans i jest o nim znów tak głośno? Złożyło się na to kilka kwestii.

Pierwszą z nich było nałożenie się na przepisy o cookies dodatkowo przepisów o ochronie danych osobowych.

W ogólnym rozporządzeniu o ochronie danych (RODO) wyraźnie wskazano, że identyfikatory internetowe (w tym identyfikatory plików cookie) mogą stanowić dane osobowe. W związku z tym należy do nich stosować zasady obowiązujące dla przetwarzania danych osobowych. Jednocześnie w orzecznictwie Trybunału Sprawiedliwości UE (TSUE) potwierdzono (w sprawie C-673/17 Planet49) zasadę dotyczącą zgody na instalowanie plików cookie. Zgodnie z powyższym, jeżeli taka zgoda jest wymagana, powinna ona spełniać wymagania z RODO. Oznacza to m.in., że musi być konkretna i aktywnie wyrażenie (a więc nie może być domyślna).

Drugą istotną kwestią były wydarzenia z ostatnich lat dotyczące możliwości transferowania danych osobowych do państw poza tzw. Europejski Obszar Gospodarczy (czyli do tzw. państw trzecich).

Zgodnie z RODO, jeżeli państwa te nie dają adekwatnego poziomu ochrony, to należy stosować dodatkowe środki, żeby przekazanie danych osobowych do takiego państwa było zgodne z przepisami. W związku z tym 16 lipca 2020 r. TSUE w tzw. orzeczeniu Schrems II (C 311/18) wypowiedziało się, że istniejący mechanizm transferu danych do USA (tzw. Privacy Shield – Tarcza Prywatności) nie zapewnia odpowiedniego poziomu ochrony i decyzja zatwierdzająca ten mechanizm powinna być uchylona. Co więcej, sąd orzekł, że stosując także inne mechanizmy przewidziane w przepisach w celu transferu danych, należy badać, czy poziom ochrony danych osobowych będzie adekwatny i czy nie należy stosować dodatkowych środków. W praktyce oznacza to, że nie można dowolnie wysyłać danych do USA. Trzeba za to każdorazowo przeprowadzić ocenę m.in. czy na skutek transferu dostępu do tych danych nie uzyskają służby USA.

Trzecią, która jest poniekąd efektem dwóch poprzednich, była akcja, jaką rozpoczęło austriackie stowarzyszenie NOYB, na czele którego stoi Max Schrems.

Wysłało ono 101 skarg do organów nadzorczych w całej Unii Europejskiej dotyczących właśnie stosowania cookies na wielu popularnych stronach internetowych podmiotów z całej Europy. Między innymi owocem tych skarg są wydawane aktualnie decyzje organów nadzorczych.

Z powyższego wyłania nam się więc następujący wniosek. Nie zawsze legalne będzie stosowanie rozwiązań na stronie internetowej, które wymagają użycia cookies (lub innych podobnych mechanizmów) i są dostarczane przez podmioty np. z USA, które mogą mieć dostęp do danych zebranych z pomocą cookies.

Takie stanowisko potwierdzają nie tylko powołane na wstępie decyzje, ale również wypowiedzi organów nadzorczych niektórych innych krajów UE, które dotyczą cookies, w tym:

• hiszpańskiego (AEPD),
• francuskiego (CNIL),
• portugalskiego, czy częściowo również polskiego (PUODO).

Ten ostatni na koniec 2021 wydał swoją decyzję o tym, że zgoda na cookies musi być aktywnie wyrażona. Decyzja PUODO jest istotna z dwóch względów. Nie tylko dlatego, że bezpośrednio dotyczy administratora strony www z Polski. Również dlatego, że jest pierwszą, w której wyraźnie zakwestionowano zbieranie zgody na cookies za pomocą „odpowiednich ustawień przeglądarki internetowej”. Do tej pory taka praktyka nie była kwestionowana przez polski organ nadzorczy (ba, niektóre strony organów administracji publicznej, np. ministerstwa cyfryzacji, stosują taki mechanizm).

21 stycznia 2022 r. również belgijski organ nadzorczy (APD) wypowiedział się w przedmiocie cookies. Stwierdził m.in., że, chcąc stosować cookies, należy udostępnić pełną informację o przetwarzaniu danych wymaganą przez RODO.

Okazuje się zatem, że cookies w połączeniu z transferem danych do USA tworzą dość niebezpieczną mieszankę. Ta może generować realne ryzyka dla każdego administratora strony internetowej korzystającej np. z rozwiązań pochodzących od amerykańskich firm, takich choćby jak narzędzia do analityki (popularne Google Analytics), rozwiązania do dokonywania płatności (Stripe), czy nawet rozwiązania do… zbierania zgód na Cookies (Cookiebot, którego użycie badał i kwestionował w ostatnim czasie sąd w Niemczech).

Jak więc korzystać z narzędzi takich jak Google Analytics? Czy to w ogóle legalne?

Przywołaną decyzję austriackiego organu nadzorczego czy EDPS wydano w konkretnych sprawach i ich szczegółowe okoliczności mają decydujące znaczenie. Co więcej, niezwykle istotne jest, byś jako administrator strony mógł wykazać, że dokonałeś analizy legalności stosowania danego rozwiązania i towarzyszącego mu ryzyka. W związku z tym podjąłeś decyzję świadomie, uwzględniając interesy osób, których dane są przetwarzane za pomocą stosowanych na stronie rozwiązań.

W ramach tej analizy:

• sprawdź (samemu jeżeli potrafisz, lub zleć to osobie/firmie obsługującej Twoją stronę www) jakie narzędzia wykorzystujesz.
• zastanów się, czy dane narzędzie jest Ci rzeczywiście potrzebne. Nie zachęcam od razu do wyłączenia Google Analytics. Nie jest to jednak jedyne narzędzie działające na podobnych zasadach, nie każdy też w praktyce go potrzebuje. Zastanów się, czy potrzebujesz wszystkich takich narzędzi, które masz uruchomione na swojej stronie internetowej i wyłącz od razu te, z których nie korzystasz.
• poświęć chwilę na zbadanie jakie informacje dane narzędzie faktycznie zbiera i czy wszystkie te informacje są potrzebne. Są narzędzia, które umożliwia wyłączenie zbierania niektórych niepotrzebnych informacji albo włączenie zbierania ich w sposób wyłącznie anonimowy lub zagregowany (zbiorczy). Polecamy skorzystać z takiej opcji, jeśli istnieje taka możliwość. Inną opcją jest włączenie szyfrowania danych zbieranych za pomocą cookies. Jeśli istnieje taka możliwość w udostępnionych Ci narżedziach, zachęcamy do skorzystania. To kolejny krok w kierunku zwiększenia bezpieczeństwa, a tym samym uznania, że transfer danych jest dopuszczalny.

Wykonaną analizę i podjęte środki udokumentuj. Co więcej, jeżeli zdecydujesz, że chcesz korzystać z rozwiązań zbierających dane z pomocą cookies, upewnij się także, że:

• dajesz możliwość wyrażenia zgody na cookies w sposób aktywny. Nie opieraj się wyłącznie na założeniu, że użytkownik w sposób świadomy tak ustawił swoją przeglądarkę internetową lub urządzenie, że akceptuje wszystkie cookies. Wymóg ten nie dotyczy cookies niezbędnych dla samego funkcjonowania strony internetowej lub świadczonych z jej pomocą usług. Za niezbędne co do zasady nie uznaje się jednak takie cookies, jak analityczne, czy marketingowe.
• w bannerze służącym zbieraniu zgód na cookies w równie łatwy sposób umożliwiłeś wyrażenie zgody, jak i jej odmowę. Jeżeli zgoda wymaga jednego kliknięcia w wyraźny przycisk w jaskrawym kolorze, a odmowa wymaga przeklikania się przez serię wyborów na kolejnych stronach, odmowę nie uznaje się za równie łatwą co zgodę.
• odbierając zgodę poinformowałeś w przejrzysty sposób użytkownika strony z jakich typów cookies korzystasz (np. cookies analityczne, marketingowe). Warto przy tym zadbać o dodatkową informację w przypadku transferu danych do USA. W ten sposób użytkownik – zanim zaakceptuje cookies – będzie miał pełny obraz tego, co się dzieje z jego danymi.

Nie są to oczywiście uniwersalne rady na zgodność z przepisami. Organy nadzorcze podkreślają wielką wagę analizy wykonanej przez administratora strony w konkretnym przypadku. Stosowanie cookies oraz wszelkich rozwiązań, wymagających zastosowanie cookies, zdecydowanie nie jest łatwe. Tym bardziej, wziąwszy pod uwagę powyższe wytyczne i przytoczone decyzje. To jednak nie oznacza, że możemy się spodziewać „świata bez ciasteczek”. Pewne jest natomiast jedno – spośród 101 skarg wniesionych przez NOYB dopiero pierwsze doczekały się rozstrzygnięcia. W dodatku na horyzoncie mamy unijne rozporządzenie, które ma kompleksowo regulować kwestię rozwiązań typu cookies. Wszystko wskazuje więc na to, że w roku 2022 o cokies usłyszymy jeszcze nie raz.

Chcesz być na bieżąco? Zapisz się do naszego newslettera!