Czy Google Analytics jest zgodne z RODO? – decyzja CNIL

O przetwarzaniu danych i odpowiedzialności za nie

Z opisanego w decyzji CNIL stanu faktycznego wynika, że Google Analytics w celu pomiaru oglądalności i wyników kampanii medialnych przedsiębiorstwa. Firma stwierdziła, że Google Analytics umożliwia w szczególności śledzenie osób fizycznych, jeśli użytkownicy nie odmówili zgody na takie działanie. Łącząc unikalny identyfikator użytkownika z jego danymi pochodzącymi z jednej lub więcej sesji zainicjowanych z jednego lub więcej urządzeń, Google Analytics jest w stanie uzyskać dokładniejsze informacje o użytkownikach (identyfikując go jako konkretnego użytkownika, nawet w innej sesji).

Działanie Google Analytics polega na umieszczeniu na stronach witryny fragmentu kodu JavaScript. Gdy użytkownik odwiedza stronę internetową, kod ten uruchamia załadowanie pliku JavaScript, który następnie wykonuje operację śledzenia dla Google Analytics. Operacja śledzenia polega na odzyskiwaniu danych związanych z zapytaniem za pomocą różnych środków i wysyłaniu tych informacji do serwerów Google Analytics.

Administratorzy stron internetowych, którzy zintegrowali usługę Google Analytics, mogą przesyłać do Google instrukcje dotyczące przetwarzania danych zebranych za pośrednictwem Google Analytics. Instrukcje te są przekazywane za pośrednictwem menedżera tagów, który zarządza kodem śledzenia zintegrowanym na ich stronie internetowej, oraz za pośrednictwem ustawień menedżera tagów. Administrator strony internetowej może stosować różne ustawienia, na przykład dotyczące okresu przechowywania danych. Funkcja Google Analytics pozwala również administratorom witryn na monitorowanie i utrzymywanie stabilności ich witryny, na przykład poprzez informowanie ich o pewnych zdarzeniach, takich jak wzrost liczby odwiedzin lub brak ruchu. Google Analytics pozwala również administratorom witryn na mierzenie i optymalizację skuteczności kampanii reklamowych prowadzonych za pomocą innych narzędzi Google.

W tym kontekście Google Analytics gromadzi między innymi zapytanie http użytkownika oraz informacje o jego przeglądarce i systemie operacyjnym. Zapytanie http, dotyczące dowolnej strony, zawiera informacje o przeglądarce i urządzeniu wykonującym zapytanie, takie jak nazwa domeny i informacje o przeglądarce (m.in. jej typ, adres odsyłający i język). Google Analytics przechowuje i odczytuje pliki cookie w przeglądarce użytkownika w celu oceny sesji użytkownika i innych informacji dotyczących zapytania.

Po zebraniu tych informacji są one przesyłane do serwerów Google Analytics. Wszystkie dane gromadzone przez Google Analytics są przechowywane w Stanach Zjednoczonych.

Jeśli chodzi o transfer danych, z ustaleń CNIL wynika, że umowa dotycząca funkcji Google Analytics odwołuje się do załącznika zatytułowanego „Warunki przetwarzania danych Google Ads”. Załącznik ten zawiera standardowe klauzule umowne regulujące przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki w ramach usługi Google Analytics. Firma zaznaczyła, że nie posiada żadnych dowodów pozwalających uznać, że klauzule te nie były przestrzegane.

Wszystkie te elementy świadczą o tym, że decydując się na wdrożenie funkcji Google Analytics na tej stronie internetowej w celu oceny i optymalizacji, firma zarządzająca stroną internetową  określiła cele i sposoby gromadzenia i przetwarzania danych uzyskanych w wyniku integracji Google Analytics na swojej stronie internetowej i powinna być uznana za administratora danych w rozumieniu art. 4 pkt 7 RODO.

Czy Google Analytics przetwarza dane osobowe?

Można stwierdzić, że dane gromadzone w ramach funkcji Google Analytics i przekazywane do Stanów Zjednoczonych Ameryki stanowią dane osobowe.

Artykuł 4 pkt 1 RODO definiuje dane osobowe jako

informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Należy zauważyć, że identyfikatory internetowe, takie jak adresy IP lub informacje przechowywane w plikach cookie, mogą być powszechnie wykorzystywane do identyfikacji użytkownika, zwłaszcza w połączeniu z innymi podobnymi rodzajami informacji. Ilustruje to motyw 30 RODO, zgodnie z którym przypisanie identyfikatorów internetowych, takich jak adresy IP i identyfikatory plików cookie, osobom fizycznym lub ich urządzeniom może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. W szczególnym przypadku, gdy administrator twierdzi, że nie jest w stanie zidentyfikować użytkownika dzięki wykorzystaniu (samodzielnie lub w połączeniu z innymi danymi) takich identyfikatorów, oczekuje się od niego ujawnienia konkretnych środków zastosowanych w celu zapewnienia anonimowości zgromadzonych identyfikatorów. Bez takich szczegółów nie można ich uznać za anonimowe.

W związku z tym należy zbadać, w jakim stopniu wdrożenie Google Analytics na stronie internetowej umożliwia administratorowi strony i Google identyfikację osoby, której dane dotyczą (osoby odwiedzającej daną stronę internetową).

W swojej odpowiedzi do CNIL administrator danych stwierdził, że w ramach funkcji Google Analytics przetwarzane są następujące kategorie danych osobowych:

• identyfikator osoby odwiedzającej stronę (identyfikator pliku cookie Google Analytics, tj. identyfikator klienta Google Analytics);
• w przypadku osób, które zalogowały się na stronie internetowej za pomocą konta użytkownika - wewnętrzny identyfikator;
• ewentualne identyfikatory zleceń;
• Adresy IP.

Firma zapewnia, że adresy IP są anonimizowane, nie precyzując, jaki proces jest stosowany w celu uczynienia tych adresów anonimowymi. Firma określa jednak te dane jako dane osobowe.

Jeśli chodzi o identyfikatory odwiedzających, należy zauważyć, że są to niepowtarzalne identyfikatory mające na celu rozróżnienie poszczególnych osób. W omawianym przypadku identyfikatory te mogą być łączone z innymi informacjami, takimi jak adres odwiedzanej strony internetowej, metadane dotyczące przeglądarki i systemu operacyjnego, czas i dane dotyczące wizyty na stronie internetowej oraz adres IP. Takie połączenie informacji umożliwia dalsze rozróżnianie poszczególnych osób.

Z tego powodu połączenie kilku elementów może umożliwić indywidualną identyfikację osób odwiedzających stronę internetową,  na której wdrożono Google Analytics. Nie jest wymagana znajomość nazwiska lub adresu (fizycznego) osoby odwiedzającej, ponieważ zgodnie z motywem 26 RODO takie wyróżnienie osób wystarczy, aby można było zidentyfikować osobę odwiedzającą.

Gdyby zdecydowano inaczej, zakres prawa do ochrony danych, gwarantowanego przez art. 8

Karty Praw Podstawowych Unii Europejskiej, zostałby podważony, gdyż pozwoliłoby to firmom na szczególne wyróżnianie osób wraz z danymi osobowymi (np. gdy odwiedzają one konkretną stronę internetową), odmawiając im jednocześnie prawa do ochrony przed takim wyróżnianiem. Taki restrykcyjny pogląd, który podważałby poziom ochrony osób fizycznych, nie jest również zgodny z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, który wielokrotnie orzekał, że zakres RODO należy rozumieć bardzo szeroko (zob. np. C-439/19, pkt 61).

CNIL zauważa ponadto, że w przypadku użytkowników strony internetowej, którzy zidentyfikowali się za pomocą konta użytkownika, lub tych, którzy złożyli zamówienie, dane mogą być bezpośrednio powiązane z danymi identyfikacyjnymi.

Ponadto w kontekście korzystania z Google Analytics oraz w ramach niektórych ustawień konta Google, Google otrzymuje informację, że użytkownik powiązany z kontem Google odwiedził daną stronę internetową. W związku z tym gromadzone są dane osobowe dotyczące tego konta.

Wszystko to prowadzi do wniosku, że przedmiotowe dane należy traktować jako dane osobowe w rozumieniu art. 4 RODO.

Uregulowanie transferu danych do państw trzecich

Artykuł 44 RODO stanowi:

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy - z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

W rozdziale V rozporządzenia przewidziano różne narzędzia służące zapewnieniu poziomu ochrony zasadniczo równoważnego z poziomem gwarantowanym w Unii Europejskiej, zgodnie z art. 44 rozporządzenia:

• decyzje dotyczące adekwatności (art. 45);
• odpowiednie zabezpieczenia (art. 46).

W przypadku braku równoważnego poziomu ochrony ustanawia się odstępstwa w szczególnych sytuacjach (art. 49).

W przedmiotowej sprawie CNIL sprawdził, czy eksport danych osobowych do Stanów Zjednoczonych Ameryki jest zgodny z art. 44 RODO, a w szczególności, czy eksport ten opierał się na jednej z wymienionych podstaw, a jeśli tak, to czy podjęto odpowiednie środki.

1. Decyzje dotyczące adekwatności

W wyroku z dnia 16 lipca 2020 roku (C-311/18) Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 roku, zgodnie z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności Unia Europejska-USA, nie utrzymując jej skutków.

Wobec braku innej odpowiedniej decyzji stwierdzającej odpowiedni poziom ochrony, przedmiotowe przekazywanie danych nie może opierać się na art. 45 RODO.

2. Odpowiednie zabezpieczenia

Artykuł 46 ust. 1 rozporządzenia stanowi,

że w razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Artykuł 46 ust. 2 rozporządzenia stanowi,

że Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą […] (c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO.

Praktyczny kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Zapraszamy!

WYBIERZ TERMIN

W tym kontekście należy podkreślić, że standardowe klauzule umowne stanowią narzędzie transferu w rozumieniu rozdziału V rozporządzenia i jako takie nie zostały zakwestionowane przez Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r. (C-311/18). Trybunał uznał jednak, że z umownego charakteru tych klauzul wynika, iż nie mogą one być wiążące dla organów państw trzecich.

W szczególności Trybunał stwierdził, że:

Dlatego też, choć istnieją sytuacje, w których - w zależności od prawa i praktyk obowiązujących w danym państwie trzecim - odbiorca takiego przekazania jest w stanie zagwarantować niezbędną ochronę danych wyłącznie na podstawie standardowych klauzul ochrony danych, to istnieją też inne, wktórych treść tych standardowych klauzul może nie stanowić wystarczającego środka dozapewnienia w praktyce skutecznej ochrony danych osobowych przekazywanych do danegopaństwa trzeciego. Dzieje się tak w szczególności w przypadku, gdy prawo tego państwatrzeciego zezwala jego organom publicznym na ingerencję w prawa osób, których dane dotyczą" (C-311/18, pkt 126, podkreślenie dodane).

Dalsza analiza sytuacji prawnej USA nie jest jednak konieczna, ponieważ TSUE przedstawił już taką analizę w swoim wyżej wymienionym wyroku. Trybunał stwierdził bowiem, że omawiane programy nadzoru nie są skorelowane z minimalnymi gwarancjami wynikającymi z zasady proporcjonalności w prawie Unii, tak że programów nadzoru opartych na tych przepisach nie można uznać za ograniczone do tego, co jest ściśle niezbędne (pkt 184). Ponadto Trybunał stwierdził, że omawiane ramy prawne nie przyznają osobom, których dane dotyczą, praw, które można zaskarżyć do sądu przeciwko władzom amerykańskim, z czego wynika, że osoby te nie mają prawa do skutecznego środka odwoławczego (pkt 192).

Analiza TSUE jest istotna w niniejszej sprawie, ponieważ Google LLC (jako importer danych do USA) należy zakwalifikować jako dostawcę usług łączności elektronicznej w rozumieniu 50 US. Code § 1881(b)(4) i w związku z tym podlega nadzorowi amerykańskich służb wywiadowczych zgodnie z 50 US. Code § 1881a ("FISA 702"). W związku z tym Google LLC ma obowiązek udostępnić rządowi USA dane osobowe na żądanie FISA 702.

Jak wynika z Raportu przejrzystości Google, firma Google LLC regularnie otrzymuje takie wnioski o dostęp od amerykańskich służb wywiadowczych.

Trybunał Sprawiedliwości stwierdził z jednej strony, że decyzja o odpowiedniej ochronie danych wydana w Stanach Zjednoczonych Ameryki jest nieważna ze względu na możliwości dostępu amerykańskich służb wywiadowczych, a z drugiej strony, że zawarcie SCC nie może samo w sobie zapewnić poziomu ochrony wymaganego na mocy art. 44 RODO, ponieważ gwarancje, które zapewniają, pozostają bez zastosowania w przypadku takich wniosków o dostęp. TSUE doszedł bowiem do następującego wniosku:

Wynika z tego, że standardowe klauzule ochrony danych przyjęte przez Komisję na podstawie art. 46 ust. 2 lit. c) RODO mają na celu wyłącznie zapewnienie gwarancji umownych, które mają jednolite zastosowanie we wszystkich państwach trzecich do administratorów i podmiotów przetwarzających mających siedzibę w Unii Europejskiej, a w konsekwencji niezależnie od poziomu ochrony gwarantowanego w każdym państwie trzecim. W zakresie, w jakim te standardowe klauzule ochrony danych nie mogą, ze względu na swój charakter, zapewnić gwarancji wykraczających poza zobowiązanie umowne do zapewnienia zgodności z poziomem ochrony wymaganym na mocy prawa UE, mogą one wymagać,w zależności od sytuacji panującej w danym państwie trzecim, przyjęcia przez administratora dodatkowych środków w celu zapewnienia zgodności z tym poziomem ochrony (pkt 133).

Wdrożenie dodatkowych zabezpieczeń

W swoich zaleceniach 01/2020 z dnia 18 czerwca 2021 r. Europejska Rada Ochrony Danych

(EDPB) wyjaśniła, że jeżeli ocena prawa i/lub praktyk obowiązujących w państwie trzecim może wpłynąć na skuteczność odpowiednich zabezpieczeń narzędzi transferu, na których opiera się eksporter, w kontekście jego konkretnego transferu, co ma miejsce w tym przypadku w następstwie oceny dokonanej przez TSUE, eksporter musi albo zawiesić transfer, albo wdrożyć odpowiednie środki uzupełniające.

W tym względzie EROD zauważa, że:

Każdy środek uzupełniający może być uznany za skuteczny w rozumieniu wyroku TSUE "Schrems II" tylko wtedy i tylko w takim zakresie, w jakim - sam lub w połączeniu z innymi - eliminuje konkretne braki stwierdzone w ocenie sytuacji w państwie trzecim w odniesieniu do jego przepisów i praktyk mających zastosowanie do transferu (pkt 75).

Środki uzupełniające standardowe klauzule ochrony danych można podzielić na trzy kategorie: umowne, organizacyjne i techniczne.

W odniesieniu do środków umownych, EROD zauważył, że środki takie:

[...] mogą uzupełniać i wzmacniać zabezpieczenia, jakie zapewnia narzędzie transferu i odpowiednie ustawodawstwo państwa trzeciego [...]. Z uwagi na charakter środków umownych, które zasadniczo nie mogą wiązać organów państwa trzeciego, jeżeli nie są one stroną umowy, środki te często muszą być łączone z innymi środkami technicznymi i organizacyjnymi, aby zapewnić wymagany poziom ochrony danych [...] (pkt 99).

W odniesieniu do środków organizacyjnych EIOD podkreślił, że

[...] wybór i wdrożenie jednego lub kilku z tych środków niekoniecznie i systematycznie zagwarantuje, że przekazywane dane spełniają zasadniczą normę równoważności wymaganą przez prawo UE. W zależności od konkretnych okoliczności przekazywania danych i oceny ustawodawstwa państwa trzeciego konieczne są środki organizacyjne uzupełniające środki umowne lub techniczne, aby zapewnić poziom ochrony danych osobowych zasadniczo równoważny z poziomem gwarantowanym w EOG (pkt 128).

W odniesieniu do środków technicznych EIOD wskazał, że

[...] środki te będą szczególnie potrzebne, gdy prawo danego kraju nakłada na odbierającego dane obowiązki, które są sprzeczne z zabezpieczeniami określonymi w art. 46 RODO dotyczącymi narzędzi do przekazywania danych, a w szczególności są w stanie naruszyć umowną gwarancję zasadniczo równoważnego poziomu ochrony przed dostępem organów publicznych tego państwa trzeciego do tych danych(pkt 77,). Dodano również, że środki wymienione [w wytycznych] mają na celu zapewnienie, że dostęp organów publicznych w państwach trzecich do przekazywanych danych nie wpływa na skuteczność odpowiednich zabezpieczeń zawartych w narzędziach transferu określonych w art. 46 RODO. Środki te byłyby niezbędne do zagwarantowania zasadniczo równoważnego poziomu ochrony do tego, który jest gwarantowany w EOG, nawet jeśli dostęp organów publicznych jest zgodny z prawem kraju importera, gdy w praktyce taki dostęp wykracza poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie. Środki te mają na celu uniemożliwienie potencjalnie naruszającego prawo dostępu poprzez uniemożliwienie organom identyfikacji osób, których dane dotyczą, wnioskowania o nich, wyodrębniania ich w innym kontekście lub kojarzenia przekazywanych danych z innymi zbiorami danych, które mogą zawierać, między innymi, identyfikatory online dostarczane przez urządzenia, aplikacje, narzędzia i protokoły używane przez osoby, których dane dotyczą,
w innych kontekstach (pkt 79).

Firma Google LLC, jako odbiorca danych, podjęła środki umowne, organizacyjne i techniczne uzupełniające standardowe klauzule ochrony danych.

Biorąc pod uwagę rozważania TSUE i EROD, należy teraz sprawdzić, czy środki uzupełniające przyjęte przez Google LLC są skuteczne, to znaczy, czy odnoszą się do konkretnej kwestii możliwości dostępu służb wywiadowczych USA.

Jeśli chodzi o przyjęte środki prawne i organizacyjne, należy zauważyć, że ani powiadomienie użytkowników - o ile takie powiadomienie jest w ogóle dopuszczalne - ani publikacja raportu przejrzystości czy publicznie dostępna "Polityka rozpatrywania wniosków rządowych" w rzeczywistości nie zapobiegają możliwościom dostępu służb wywiadowczych USA lub je ograniczają. Ponadto nie jest jasne, w jaki sposób "staranna analiza każdego wniosku" przez Google LLC pod kątem jego dopuszczalności jest skuteczna jako środek uzupełniający, biorąc pod uwagę, że według TSUE dopuszczalne (legalne) wnioski amerykańskich służb wywiadowczych nie są zgodne z wymogami europejskiego prawa ochrony danych.

Jeśli chodzi o zastosowane środki techniczne, należy zauważyć, że ani Google LLC, ani firma nie wyjaśniły, w jaki sposób opisane środki - takie jak ochrona komunikacji między usługami Google, ochrona danych w czasie transportu między centrami danych, ochrona komunikacji między użytkownikami a witrynami internetowymi czy "bezpieczeństwo na miejscu" - faktycznie zapobiegają dostępowi amerykańskich służb wywiadowczych do danych na podstawie amerykańskich ram prawnych lub ograniczają możliwość takiego dostępu.

Jeśli chodzi o technologie szyfrowania - takie jak w przypadku "danych w spoczynku" w centrach danych, o czym Google LLC wyraźnie wspomina jako o środku technicznym - należy zauważyć, że Google LLC jako podmiot odbierający dane ma jednak obowiązek udostępnienia lub przekazania importowanych danych osobowych znajdujących się w ich posiadaniu, w tym wszelkich kluczy kryptograficznych niezbędnych do zapewnienia zrozumiałości danych (zob. Zalecenia 01/2020, pkt 81). Innymi słowy: tak długo, jak Google LLC ma możliwość dostępu do danych osób fizycznych w postaci tekstu jawnego, taki środek techniczny nie może być uznany za skuteczny w niniejszej sprawie.

Google LLC twierdzi, że w zakresie, w jakim dane Google Analytics do pomiaru przekazywane przez właścicieli witryn internetowych są danymi osobowymi, należy je traktować jako „pseudonimowe", należy zauważyć, że uniwersalne niepowtarzalne identyfikatory (UUID) nie mieszczą się w definicji zawartej w art. 4 ust. 5 RODO. Podczas gdy pseudonimizacja może być techniką zwiększającą prywatność, unikalne identyfikatory, jak już wspomniano, mają na celu wyróżnienie użytkowników, a nie pełnienie funkcji ochronnej. Ponadto powyżej wyjaśniono, dlaczego połączenie unikatowych identyfikatorów z innymi elementami (takimi jak metadane przeglądarki lub urządzenia oraz adres IP) oraz możliwość powiązania takich informacji z kontem Google w każdym przypadku umożliwia identyfikację osoby fizycznej.

Jeśli Google LLC powołuje się na "opcjonalny środek techniczny" w postaci funkcji anonimizacji adresów IP, należy przede wszystkim zauważyć, że środek ten - jak sama nazwa wskazuje - jest opcjonalny i nie ma zastosowania do wszystkich transferów. Ponadto, z odpowiedzi Google nie wynika jasno, czy anonimizacja ma miejsce przed przekazaniem, czy też cały adres IP jest przekazywany do Stanów Zjednoczonych i dopiero po przekazaniu do Stanów Zjednoczonych jest skracany. Tak więc z technicznego punktu widzenia istnieje potencjalny dostęp do całego adresu IP przed jego skróceniem.

W związku z tym przyjęte środki uzupełniające przedstawione przez Google nie są skuteczne, ponieważ żaden z nich nie odnosi się do konkretnych kwestii w omawianej sprawie, co oznacza, że żaden z nich nie uniemożliwia dostępu służbom wywiadowczym USA ani nie czyni tego dostępu nieskutecznym.

Odstępstwa przewidziane w rozdziale V rozporządzenia

Artykuł 49 rozporządzenia stanowi:

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.

ZOBACZ WIĘCEJ

1. osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
2. przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą.

Administrator argumentował, że przekazanie danych może być oparte na art. 49 ust. 1 lit. a RODO, wskazując, że osoby, których dane dotyczą, mogą nie wyrazić zgody na śledzenie przez Google ich wizyt na stronie internetowej.

Zgoda użytkownika na przechowywanie plików cookie podczas jego wizyty na stronie internetowej nie może być jednak uznana za równoznaczną z jego wyraźną zgodą na proponowane przekazanie danych, po uzyskaniu informacji o możliwym ryzyku takiego przekazania dla osoby, której dane dotyczą, z powodu braku decyzji stwierdzającej odpowiedni poziom ochrony i odpowiednich zabezpieczeń w rozumieniu art. 49 ust. 1 lit. a) RODO.

Firma powołuje się również na art. 49 ust. 1 lit. b) rozporządzenia, ponieważ funkcje te są niezbędne do prawidłowego funkcjonowania strony internetowej i wykrywania anomalii.

Argument ten nie jest jednak poparty żadnymi konkretnymi dowodami, a przede wszystkim firma nie wykazała, że istnieje stosunek umowny między nią a wszystkimi użytkownikami jej strony internetowej.

<pW związku z tym przedsiębiorstwo nie może powoływać się na art. 49 RODO w celu uzasadnienia przedmiotowego przekazywania danych.

Wnioski

Zgodnie z ustaleniami CNIL należy stwierdzić, że spółka nie może powoływać się na żadne narzędzia przewidziane w rozdziale V rozporządzenia, aby uzasadnić przekazywanie danych osobowych osób odwiedzających jej stronę internetową, a w szczególności niepowtarzalnych identyfikatorów, adresów IP, danych przeglądarki i metadanych, do Google LLC w Stanach Zjednoczonych. Co za tym idzie, należy zgodzić się z francuskim organem nadzorczym, że brak jest skutecznych narzędzi zapewniających bezpieczeństwo przekazywanym do USA danym.