Dozorové úřady některých členských států v posledních měsících rozhodovaly, zda je používání nástroje Googlu pro měření a analýzu využívání webových stránek Google Analytics v souladu s GDPR. Shodly se na tom, že není. Důvodem je přenos osobních údajů do USA, kde prý neexistují dostatečné záruky pro ochranu osobních údajů.
Rozhodl o tom rakouský dozorový úřad
V červenci 2020 rozhodl Soudní dvůr Evropské unie ve věci Schrems II,[1] že přenos osobních údajů do třetí země, který se neuskutečňuje na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany (čl. 45 GDPR), je možný pouze tehdy, pokud ochrana osobních údajů bude ve třetí zemi v zásadě rovnocenná úrovni ochrany zaručené v Evropské unii, a to i co se týče případného přístupu orgánů veřejné moci k těmto údajům. Správce musí posoudit úroveň ochrany i v případě, že existují standardní smluvní doložky, které se na zpracování vztahují.[2]
Google spoléhal na standardní smluvní doložky
Přestože se Google spoléhal právě na standardní smluvní doložky, podala rakouská organizace NOYB stížnost rakouskému dozorovému úřadu proti zpracování osobních údajů uživatelů webových stránek, které používaly Google Analytics. Stížnost NOYB se zaměřila na webové stránky Netdokter. NOYB tvrdil, že Google je podle amerického práva poskytovatelem služeb elektronických komunikací, a proto se na něj vztahuje § 702 zákona FISA (Foreign Intelligence Surveillance Act). To znamená, že mu mohou orgány veřejné moci nařídit, aby jim předal osobní údaje občanů EU. Proto podle NOYB s odkazem na rozsudek Schrems II nelze zajistit rovnocennou úroveň ochrany osobních údajů občanů EU a přenos osobních údajů do USA tak není v souladu s GDPR.
Provozovatel webové stránky Netdokter a Google sice tvrdil, že jsou přenášená data jako IP adresy, uživatelské identifikátory a údaje o prohlížeči anonymizovány. Že v případě zpracovávání osobních údajů byla přijata dodatečná opatření na jejich ochranu (transparentní podávání zpráv o žádostech ze strany amerických úřadů o poskytnutí dat, šifrování a pseudonymizace).
Proč argumenty rakouský úřad nepřesvědčily?
Tyto argumenty rakouský dozorový úřad (Datenschutzbehörde) nepřesvědčily.[3] Data předaná společnosti Google v USA podle něj představují osobní údaje podle GDPR. IP adresy a uživatelské identifikátory mohou zahraničním zpravodajským službám umožnit identifikaci jednotlivce. Předávání osobních údajů do USA není v souladu s GDPR, protože Google jako poskytovatel služeb elektronických komunikací podléhá § 702 FISA. Dodatečná opatření přijatá společností Google k ochraně osobních údajů nejsou dostatečná a nemohou zabránit zpravodajským službám USA v přístupu k osobním údajům občanů EU.
Dostatečné rovněž není šifrování osobních údajů, protože americké zpravodajské služby mohou požadovat, aby Google předal zároveň i dešifrovací klíče. Co se týče pseudonymizace, rakouský dozorový úřad cituje názor německé konference pro ochranu údajů, že IP adresy a další uživatelské identifikátory se nepovažují za pseudonymizované, protože se používají právě k tomu, aby byl jednotlivec rozlišitelný a adresovatelný.
Ani anonymizace IP adresy není dostatečnou zárukou ochrany osobních údajů, neboť Google může disponovat i dalšími datovými prvky, které mohou znovu identifikovat subjekt údajů i IP adresy.
Podobně rozhodl i francouzský dozorový úřad
Letos v únoru rozhodl podobně i francouzský dozorový úřad CNIL.[4], a to také na základě stížnosti organizace NOYB. Dodatečná opatření společnosti Google nedostačují k zajištění odpovídající ochrany osobních údajů přenášených do USA, protože nemohou omezit ani zabránit přístupu amerických orgánů veřejné moci. Anonymizace IP adres je pouze volitelná a není jasné, zda byla tato anonymizace implementována před přenosem dat nebo až po něm. Provozovatel webových stránek se nemůže spolehnout ani na výjimku výslovného souhlasu s přenosem osobních údajů, protože obecný souhlas s cookies nelze považovat za ekvivalent informovaného souhlasu s přenosem osobních údajů do třetí země.
Co na Google Analytics Evropský inspektor ochrany osobních údajů?
O neslučitelnosti přenosu osobních údajů do USA rozhodl i Evropský inspektor ochrany osobních údajů na základě stížnosti několika poslanců Evropského parlamentu na využívání webové stránky k registraci na testy nemoci Covid-19, která využívala nástroje Google Analytics.[5] Rozhodnutí ohledně Google Analytics se očekává i od dánského dozorového úřadu[6] a nizozemského dozorového úřadu.[7]
Doporučení pro používání Google Analytics
Nejjistějším řešením, které zdůraznil i CNIL, je přejít z Google Analytics na jiné nástroje měření a analýzy webových stránek, jež nepředávají osobní údaje uživatelů do USA. Pokud se provozovatel webových stránek rozhodne pokračovat s Google Analytics, je třeba změnit standardní nastavení, tedy využít možností volby. Google Analytics nabízí možnost anonymizovat IP adresy.[8] Samotná anonymizace IP adresy ovšem nestačí. Google dále nabízí možnost pokročilejší správy dat a deaktivování různých funkcí.[9] Jednou z možností, byť spíše teoretickou, je požádat subjekt údajů o výslovný souhlas s přenosem údajů do USA (čl. 49 odst. 1 písm. a) GDPR). Subjekt údajů musí být předem informován o možných rizicích přenosu údajů do USA.
Google spustí novou verzi Google Analytics 4
Google již avizoval, že přistoupí na nové standardní smluvní doložky vydané Evropskou komisí v červnu 2021.[10] Jak upozorňuje Úřad pro ochranu osobních údajů, standardní smluvní doložky samy o sobě nezbavují „smluvní strany povinnosti provést předem analýzu přiměřenosti s cílem řešit případné dopady právních předpisů třetí země na dodržování doložek ze strany dovozce.“[11] V březnu tohoto roku Google oznámil, že spustí novou verzi Google Analytics 4, která by již neměla zpracovávat IP adresy. Jestli bude toto řešení z pohledu GDPR dostačující, není nicméně jisté.[12]
Nový rámec pro přenos osobních údajů mezi EU a USA
V druhé polovině března tohoto roku se Evropská unie a USA dohodly na novém rámci pro předávání osobních údajů. Ten by měl stanovit nová pravidla pro omezený přístup zpravodajských služeb USA k osobním údajům. Takový přístup by měl být možný pouze v rozsahu, který je nezbytný a přiměřený pro ochranu národní bezpečnosti. Dále bude zajištěn dohled nad standardy ochrany soukromí. Občané EU by také měli mít k dispozici tzv. Data Protection Review Court, která budou přezkoumávat přístup zpravodajských služeb USA k jejich osobním údajům.[13] Pokud nebude právní rámec pro přenos osobních údajů splňovat požadavky evropského práva, je NOYB připraven jej znovu nechat přezkoumat soudem.[14]
Eva Fialová
Autorka je právnička se specializací na ochranu osobních údajů a právo ICT. Působí v advokátní kanceláři GHS Legal.
[1] Rozsudek Soudního dvora EU ze dne 16. července 2020, věc C‑311/18 (Schrems II).
[2] K tomuto posouzení vydal Evropský sbor pro ochranu osobních údajů doporučení 1/2020 a 2/2020. Dostupné z: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf a z: https://edpb.europa.eu/sites/default/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_cs.pdf.
[3] Rozhodnutí rakouského dozorového úřadu ze dne 22. prosince 2021. Dostupné v němčině z: https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf a v angličtině z: https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf.
[4] Rozhodnutí francouzského dozorového úřadu ze dne 10. února 2022. Dostupné ve francouzštině z: https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf a v angličtině z: https://www.cnil.fr/sites/default/files/atoms/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf.
[5] Rozhodnutí Evropského inspektora pro ochranu osobních údajů ze dne 5. února 2022. Dostupné z: https://noyb.eu/sites/default/files/2022-01/Case%202020-1013%20-%20EDPS%20Decision_bk.pdf.
[6] Decision on the use of Google Analytics by the Austrian Data Protection Authority. Dostupné z: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jan/afgoerelse-om-brug-af-google-analytics-fra-det-oestrigske-datatilsyn.
[7] Handleiding privacyvriendelijk instellen van Google Analytics. Dostupné z: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics.pdf.
[8] IP Anonymization (or IP masking) in Google Analytics. Dostupné z: https://support.google.com/analytics/answer/2763052?hl=en.
[9] Privacy controls in Google Analytics. Dostupné z: https://support.google.com/analytics/answer/9019185?hl=en#zippy=%2Cin-this-article%2Ccet-article-aborde-les-points-suivants.
[10] Google Cloud welcomes EU’s new Standard Contractual Clauses for cross-border data transfers. Dostupné z: https://cloud.google.com/blog/products/compliance/eus-new-standard-contractual-clauses-to-protect-user-privacy.
[11] Úřad pro ochranu osobních údajů. K předávání osobních údajů do třetích zemí. Dostupné z: https://www.uoou.cz/k-predavani-osobnich-udaju-do-tretich-zemi/ds-5296.
[12] Google to Launch Google Analytics 4 in an Attempt to Address EU Privacy Concerns. Hunton Privacy Blog. Dostupné z: https://www.huntonprivacyblog.com/2022/03/18/google-to-launch-google-analytics-4-in-an-attempt-to-address-eu-privacy-concerns/.
[13] Evropská komise. Trans-Atlantic Data Privacy Framework. Dostupné z: https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100.
[14] NOYB. „Privacy Shield 2.0“? – First Reaction by Max Schrems. Dostupné z: https://noyb.eu/en/privacy-shield-20-first-reaction-max-schrems.