Czy Google Analytics jest zgodne z RODO? – decyzja CNIL

Google Analytics to popularne internetowe narzędzie do analizy statystyk serwisów WWW. Jego wykorzystanie, od momentu orzeczenia TSUE w tzw. sprawie Schrems II, budzi jednak wiele wątpliwości, co do zgodności z przepisami RODO. Jednym z pierwszych organów nadzorczych, który pochylił się nad wskazanym zagadnieniem był francuski CNIL.Przygotowany dla Państwa artykuł omawia decyzję wydaną przez francuski organ nadzorczy i odpowiada na następujące pytania: Czy firma stosująca Google Analytics jest ADO i dlaczego? Czy Google Analytics zawierają dane osobowe, a jeżeli tak, to jakie? Dlaczego standardowe klauzule umowne nie są skutecznym narzędziem transferu danych poza EOG?Czy transferując dane można oprzeć się na wyjątkach opisanych w art. 49 RODO?

O przetwarzaniu danych i odpowiedzialności za nie

Z opisanego w decyzji CNIL stanu faktycznego wynika, że Google Analytics w celu pomiaru oglądalności i wyników kampanii medialnych przedsiębiorstwa. Firma stwierdziła, że Google Analytics umożliwia w szczególności śledzenie osób fizycznych, jeśli użytkownicy nie odmówili zgody na takie działanie. Łącząc unikalny identyfikator użytkownika z jego danymi pochodzącymi z jednej lub więcej sesji zainicjowanych z jednego lub więcej urządzeń, Google Analytics jest w stanie uzyskać dokładniejsze informacje o użytkownikach (identyfikując go jako konkretnego użytkownika, nawet w innej sesji).

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Działanie Google Analytics polega na umieszczeniu na stronach witryny fragmentu kodu JavaScript. Gdy użytkownik odwiedza stronę internetową, kod ten uruchamia załadowanie pliku JavaScript, który następnie wykonuje operację śledzenia dla Google Analytics. Operacja śledzenia polega na odzyskiwaniu danych związanych z zapytaniem za pomocą różnych środków i wysyłaniu tych informacji do serwerów Google Analytics.

Administratorzy stron internetowych, którzy zintegrowali usługę Google Analytics, mogą przesyłać do Google instrukcje dotyczące przetwarzania danych zebranych za pośrednictwem Google Analytics. Instrukcje te są przekazywane za pośrednictwem menedżera tagów, który zarządza kodem śledzenia zintegrowanym na ich stronie internetowej, oraz za pośrednictwem ustawień menedżera tagów. Administrator strony internetowej może stosować różne ustawienia, na przykład dotyczące okresu przechowywania danych. Funkcja Google Analytics pozwala również administratorom witryn na monitorowanie i utrzymywanie stabilności ich witryny, na przykład poprzez informowanie ich o pewnych zdarzeniach, takich jak wzrost liczby odwiedzin lub brak ruchu. Google Analytics pozwala również administratorom witryn na mierzenie i optymalizację skuteczności kampanii reklamowych prowadzonych za pomocą innych narzędzi Google.

W tym kontekście Google Analytics gromadzi między innymi zapytanie http użytkownika oraz informacje o jego przeglądarce i systemie operacyjnym. Zapytanie http, dotyczące dowolnej strony, zawiera informacje o przeglądarce i urządzeniu wykonującym zapytanie, takie jak nazwa domeny i informacje o przeglądarce (m.in. jej typ, adres odsyłający i język). Google Analytics przechowuje i odczytuje pliki cookie w przeglądarce użytkownika w celu oceny sesji użytkownika i innych informacji dotyczących zapytania.

Po zebraniu tych informacji są one przesyłane do serwerów Google Analytics. Wszystkie dane gromadzone przez Google Analytics są przechowywane w Stanach Zjednoczonych.

Jeśli chodzi o transfer danych, z ustaleń CNIL wynika, że umowa dotycząca funkcji Google Analytics odwołuje się do załącznika zatytułowanego „Warunki przetwarzania danych Google Ads”. Załącznik ten zawiera standardowe klauzule umowne regulujące przekazywanie danych osobowych do Stanów Zjednoczonych Ameryki w ramach usługi Google Analytics. Firma zaznaczyła, że nie posiada żadnych dowodów pozwalających uznać, że klauzule te nie były przestrzegane.

Wszystkie te elementy świadczą o tym, że decydując się na wdrożenie funkcji Google Analytics na tej stronie internetowej w celu oceny i optymalizacji, firma zarządzająca stroną internetową  określiła cele i sposoby gromadzenia i przetwarzania danych uzyskanych w wyniku integracji Google Analytics na swojej stronie internetowej i powinna być uznana za administratora danych w rozumieniu art. 4 pkt 7 RODO.

Czy Google Analytics przetwarza dane osobowe?

Można stwierdzić, że dane gromadzone w ramach funkcji Google Analytics i przekazywane do Stanów Zjednoczonych Ameryki stanowią dane osobowe.

Artykuł 4 pkt 1 RODO definiuje dane osobowe jako

informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Należy zauważyć, że identyfikatory internetowe, takie jak adresy IP lub informacje przechowywane w plikach cookie, mogą być powszechnie wykorzystywane do identyfikacji użytkownika, zwłaszcza w połączeniu z innymi podobnymi rodzajami informacji. Ilustruje to motyw 30 RODO, zgodnie z którym przypisanie identyfikatorów internetowych, takich jak adresy IP i identyfikatory plików cookie, osobom fizycznym lub ich urządzeniom może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. W szczególnym przypadku, gdy administrator twierdzi, że nie jest w stanie zidentyfikować użytkownika dzięki wykorzystaniu (samodzielnie lub w połączeniu z innymi danymi) takich identyfikatorów, oczekuje się od niego ujawnienia konkretnych środków zastosowanych w celu zapewnienia anonimowości zgromadzonych identyfikatorów. Bez takich szczegółów nie można ich uznać za anonimowe.

W związku z tym należy zbadać, w jakim stopniu wdrożenie Google Analytics na stronie internetowej umożliwia administratorowi strony i Google identyfikację osoby, której dane dotyczą (osoby odwiedzającej daną stronę internetową).

W swojej odpowiedzi do CNIL administrator danych stwierdził, że w ramach funkcji Google Analytics przetwarzane są następujące kategorie danych osobowych:

  • identyfikator osoby odwiedzającej stronę (identyfikator pliku cookie Google Analytics, tj. identyfikator klienta Google Analytics);
  • w przypadku osób, które zalogowały się na stronie internetowej za pomocą konta użytkownika - wewnętrzny identyfikator;
  • ewentualne identyfikatory zleceń;
  • Adresy IP.

RODO. Wspracie się przydaje!

Firma zapewnia, że adresy IP są anonimizowane, nie precyzując, jaki proces jest stosowany w celu uczynienia tych adresów anonimowymi. Firma określa jednak te dane jako dane osobowe.

Jeśli chodzi o identyfikatory odwiedzających, należy zauważyć, że są to niepowtarzalne identyfikatory mające na celu rozróżnienie poszczególnych osób. W omawianym przypadku identyfikatory te mogą być łączone z innymi informacjami, takimi jak adres odwiedzanej strony internetowej, metadane dotyczące przeglądarki i systemu operacyjnego, czas i dane dotyczące wizyty na stronie internetowej oraz adres IP. Takie połączenie informacji umożliwia dalsze rozróżnianie poszczególnych osób.

Z tego powodu połączenie kilku elementów może umożliwić indywidualną identyfikację osób odwiedzających stronę internetową,  na której wdrożono Google Analytics. Nie jest wymagana znajomość nazwiska lub adresu (fizycznego) osoby odwiedzającej, ponieważ zgodnie z motywem 26 RODO takie wyróżnienie osób wystarczy, aby można było zidentyfikować osobę odwiedzającą.

Gdyby zdecydowano inaczej, zakres prawa do ochrony danych, gwarantowanego przez art. 8

Karty Praw Podstawowych Unii Europejskiej, zostałby podważony, gdyż pozwoliłoby to firmom na szczególne wyróżnianie osób wraz z danymi osobowymi (np. gdy odwiedzają one konkretną stronę internetową), odmawiając im jednocześnie prawa do ochrony przed takim wyróżnianiem. Taki restrykcyjny pogląd, który podważałby poziom ochrony osób fizycznych, nie jest również zgodny z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, który wielokrotnie orzekał, że zakres RODO należy rozumieć bardzo szeroko (zob. np. C-439/19, pkt 61).

CNIL zauważa ponadto, że w przypadku użytkowników strony internetowej, którzy zidentyfikowali się za pomocą konta użytkownika, lub tych, którzy złożyli zamówienie, dane mogą być bezpośrednio powiązane z danymi identyfikacyjnymi.

Ponadto w kontekście korzystania z Google Analytics oraz w ramach niektórych ustawień konta Google, Google otrzymuje informację, że użytkownik powiązany z kontem Google odwiedził daną stronę internetową. W związku z tym gromadzone są dane osobowe dotyczące tego konta.

Wszystko to prowadzi do wniosku, że przedmiotowe dane należy traktować jako dane osobowe w rozumieniu art. 4 RODO.

Uregulowanie transferu danych do państw trzecich

Artykuł 44 RODO stanowi:

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy - z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

W rozdziale V rozporządzenia przewidziano różne narzędzia służące zapewnieniu poziomu ochrony zasadniczo równoważnego z poziomem gwarantowanym w Unii Europejskiej, zgodnie z art. 44 rozporządzenia:

  • decyzje dotyczące adekwatności (art. 45);
  • odpowiednie zabezpieczenia (art. 46).

W przypadku braku równoważnego poziomu ochrony ustanawia się odstępstwa w szczególnych sytuacjach (art. 49).

W przedmiotowej sprawie CNIL sprawdził, czy eksport danych osobowych do Stanów Zjednoczonych Ameryki jest zgodny z art. 44 RODO, a w szczególności, czy eksport ten opierał się na jednej z wymienionych podstaw, a jeśli tak, to czy podjęto odpowiednie środki.

  1. Decyzje dotyczące adekwatności

W wyroku z dnia 16 lipca 2020 roku (C-311/18) Trybunał Sprawiedliwości Unii Europejskiej unieważnił decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 roku, zgodnie z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności Unia Europejska-USA, nie utrzymując jej skutków.

Wobec braku innej odpowiedniej decyzji stwierdzającej odpowiedni poziom ochrony, przedmiotowe przekazywanie danych nie może opierać się na art. 45 RODO.

  1. Odpowiednie zabezpieczenia

Artykuł 46 ust. 1 rozporządzenia stanowi,

że w razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Artykuł 46 ust. 2 rozporządzenia stanowi,

że Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą […] (c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO.

Akredytowany kurs IOD
potwierdzi Twoje wysokie kompetencje

Przygotuj się do pełnienia funkcji inspektora ochrony danych. Jakość kursu potwierdził Mazowiecki Kurator Oświaty. Zapraszamy!
WYBIERZ TERMIN
W niniejszej sprawie administrator danych i Google zawarły standardowe klauzule umowne dotyczące przekazywania danych osobowych do Stanów Zjednoczonych (Google Ads Data Processing Terms: Model Contract Clauses, Standard Contractual Clauses for Processors). Klauzule te są zgodne z klauzulami opublikowanymi przez Komisję Europejską w decyzji 2010/87/UE.

W tym kontekście należy podkreślić, że standardowe klauzule umowne stanowią narzędzie transferu w rozumieniu rozdziału V rozporządzenia i jako takie nie zostały zakwestionowane przez Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r. (C-311/18). Trybunał uznał jednak, że z umownego charakteru tych klauzul wynika, iż nie mogą one być wiążące dla organów państw trzecich.

W szczególności Trybunał stwierdził, że:

Dlatego też, choć istnieją sytuacje, w których - w zależności od prawa i praktyk obowiązujących w danym państwie trzecim - odbiorca takiego przekazania jest w stanie zagwarantować niezbędną ochronę danych wyłącznie na podstawie standardowych klauzul ochrony danych, to istnieją też inne, wktórych treść tych standardowych klauzul może nie stanowić wystarczającego środka dozapewnienia w praktyce skutecznej ochrony danych osobowych przekazywanych do danegopaństwa trzeciego. Dzieje się tak w szczególności w przypadku, gdy prawo tego państwatrzeciego zezwala jego organom publicznym na ingerencję w prawa osób, których dane dotyczą" (C-311/18, pkt 126, podkreślenie dodane).

Dalsza analiza sytuacji prawnej USA nie jest jednak konieczna, ponieważ TSUE przedstawił już taką analizę w swoim wyżej wymienionym wyroku. Trybunał stwierdził bowiem, że omawiane programy nadzoru nie są skorelowane z minimalnymi gwarancjami wynikającymi z zasady proporcjonalności w prawie Unii, tak że programów nadzoru opartych na tych przepisach nie można uznać za ograniczone do tego, co jest ściśle niezbędne (pkt 184). Ponadto Trybunał stwierdził, że omawiane ramy prawne nie przyznają osobom, których dane dotyczą, praw, które można zaskarżyć do sądu przeciwko władzom amerykańskim, z czego wynika, że osoby te nie mają prawa do skutecznego środka odwoławczego (pkt 192).

Analiza TSUE jest istotna w niniejszej sprawie, ponieważ Google LLC (jako importer danych do USA) należy zakwalifikować jako dostawcę usług łączności elektronicznej w rozumieniu 50 US. Code § 1881(b)(4) i w związku z tym podlega nadzorowi amerykańskich służb wywiadowczych zgodnie z 50 US. Code § 1881a ("FISA 702"). W związku z tym Google LLC ma obowiązek udostępnić rządowi USA dane osobowe na żądanie FISA 702.

Jak wynika z Raportu przejrzystości Google, firma Google LLC regularnie otrzymuje takie wnioski o dostęp od amerykańskich służb wywiadowczych.

Trybunał Sprawiedliwości stwierdził z jednej strony, że decyzja o odpowiedniej ochronie danych wydana w Stanach Zjednoczonych Ameryki jest nieważna ze względu na możliwości dostępu amerykańskich służb wywiadowczych, a z drugiej strony, że zawarcie SCC nie może samo w sobie zapewnić poziomu ochrony wymaganego na mocy art. 44 RODO, ponieważ gwarancje, które zapewniają, pozostają bez zastosowania w przypadku takich wniosków o dostęp. TSUE doszedł bowiem do następującego wniosku:

Wynika z tego, że standardowe klauzule ochrony danych przyjęte przez Komisję na podstawie art. 46 ust. 2 lit. c) RODO mają na celu wyłącznie zapewnienie gwarancji umownych, które mają jednolite zastosowanie we wszystkich państwach trzecich do administratorów i podmiotów przetwarzających mających siedzibę w Unii Europejskiej, a w konsekwencji niezależnie od poziomu ochrony gwarantowanego w każdym państwie trzecim. W zakresie, w jakim te standardowe klauzule ochrony danych nie mogą, ze względu na swój charakter, zapewnić gwarancji wykraczających poza zobowiązanie umowne do zapewnienia zgodności z poziomem ochrony wymaganym na mocy prawa UE, mogą one wymagać,w zależności od sytuacji panującej w danym państwie trzecim, przyjęcia przez administratora dodatkowych środków w celu zapewnienia zgodności z tym poziomem ochrony (pkt 133).

Wdrożenie dodatkowych zabezpieczeń

W swoich zaleceniach 01/2020 z dnia 18 czerwca 2021 r. Europejska Rada Ochrony Danych

(EDPB) wyjaśniła, że jeżeli ocena prawa i/lub praktyk obowiązujących w państwie trzecim może wpłynąć na skuteczność odpowiednich zabezpieczeń narzędzi transferu, na których opiera się eksporter, w kontekście jego konkretnego transferu, co ma miejsce w tym przypadku w następstwie oceny dokonanej przez TSUE, eksporter musi albo zawiesić transfer, albo wdrożyć odpowiednie środki uzupełniające.

W tym względzie EROD zauważa, że:

Każdy środek uzupełniający może być uznany za skuteczny w rozumieniu wyroku TSUE "Schrems II" tylko wtedy i tylko w takim zakresie, w jakim - sam lub w połączeniu z innymi - eliminuje konkretne braki stwierdzone w ocenie sytuacji w państwie trzecim w odniesieniu do jego przepisów i praktyk mających zastosowanie do transferu (pkt 75).

Środki uzupełniające standardowe klauzule ochrony danych można podzielić na trzy kategorie: umowne, organizacyjne i techniczne.

W odniesieniu do środków umownych, EROD zauważył, że środki takie:

[...] mogą uzupełniać i wzmacniać zabezpieczenia, jakie zapewnia narzędzie transferu i odpowiednie ustawodawstwo państwa trzeciego [...]. Z uwagi na charakter środków umownych, które zasadniczo nie mogą wiązać organów państwa trzeciego, jeżeli nie są one stroną umowy, środki te często muszą być łączone z innymi środkami technicznymi i organizacyjnymi, aby zapewnić wymagany poziom ochrony danych [...] (pkt 99).

W odniesieniu do środków organizacyjnych EIOD podkreślił, że

[...] wybór i wdrożenie jednego lub kilku z tych środków niekoniecznie i systematycznie zagwarantuje, że przekazywane dane spełniają zasadniczą normę równoważności wymaganą przez prawo UE. W zależności od konkretnych okoliczności przekazywania danych i oceny ustawodawstwa państwa trzeciego konieczne są środki organizacyjne uzupełniające środki umowne lub techniczne, aby zapewnić poziom ochrony danych osobowych zasadniczo równoważny z poziomem gwarantowanym w EOG (pkt 128).

Funkcja IOD - to się dobrze przekazuje

W odniesieniu do środków technicznych EIOD wskazał, że

[...] środki te będą szczególnie potrzebne, gdy prawo danego kraju nakłada na odbierającego dane obowiązki, które są sprzeczne z zabezpieczeniami określonymi w art. 46 RODO dotyczącymi narzędzi do przekazywania danych, a w szczególności są w stanie naruszyć umowną gwarancję zasadniczo równoważnego poziomu ochrony przed dostępem organów publicznych tego państwa trzeciego do tych danych(pkt 77,). Dodano również, że środki wymienione [w wytycznych] mają na celu zapewnienie, że dostęp organów publicznych w państwach trzecich do przekazywanych danych nie wpływa na skuteczność odpowiednich zabezpieczeń zawartych w narzędziach transferu określonych w art. 46 RODO. Środki te byłyby niezbędne do zagwarantowania zasadniczo równoważnego poziomu ochrony do tego, który jest gwarantowany w EOG, nawet jeśli dostęp organów publicznych jest zgodny z prawem kraju importera, gdy w praktyce taki dostęp wykracza poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie. Środki te mają na celu uniemożliwienie potencjalnie naruszającego prawo dostępu poprzez uniemożliwienie organom identyfikacji osób, których dane dotyczą, wnioskowania o nich, wyodrębniania ich w innym kontekście lub kojarzenia przekazywanych danych z innymi zbiorami danych, które mogą zawierać, między innymi, identyfikatory online dostarczane przez urządzenia, aplikacje, narzędzia i protokoły używane przez osoby, których dane dotyczą,
w innych kontekstach
(pkt 79).

Firma Google LLC, jako odbiorca danych, podjęła środki umowne, organizacyjne i techniczne uzupełniające standardowe klauzule ochrony danych.

Biorąc pod uwagę rozważania TSUE i EROD, należy teraz sprawdzić, czy środki uzupełniające przyjęte przez Google LLC są skuteczne, to znaczy, czy odnoszą się do konkretnej kwestii możliwości dostępu służb wywiadowczych USA.

Jeśli chodzi o przyjęte środki prawne i organizacyjne, należy zauważyć, że ani powiadomienie użytkowników - o ile takie powiadomienie jest w ogóle dopuszczalne - ani publikacja raportu przejrzystości czy publicznie dostępna "Polityka rozpatrywania wniosków rządowych" w rzeczywistości nie zapobiegają możliwościom dostępu służb wywiadowczych USA lub je ograniczają. Ponadto nie jest jasne, w jaki sposób "staranna analiza każdego wniosku" przez Google LLC pod kątem jego dopuszczalności jest skuteczna jako środek uzupełniający, biorąc pod uwagę, że według TSUE dopuszczalne (legalne) wnioski amerykańskich służb wywiadowczych nie są zgodne z wymogami europejskiego prawa ochrony danych.

Jeśli chodzi o zastosowane środki techniczne, należy zauważyć, że ani Google LLC, ani firma nie wyjaśniły, w jaki sposób opisane środki - takie jak ochrona komunikacji między usługami Google, ochrona danych w czasie transportu między centrami danych, ochrona komunikacji między użytkownikami a witrynami internetowymi czy "bezpieczeństwo na miejscu" - faktycznie zapobiegają dostępowi amerykańskich służb wywiadowczych do danych na podstawie amerykańskich ram prawnych lub ograniczają możliwość takiego dostępu.

Jeśli chodzi o technologie szyfrowania - takie jak w przypadku "danych w spoczynku" w centrach danych, o czym Google LLC wyraźnie wspomina jako o środku technicznym - należy zauważyć, że Google LLC jako podmiot odbierający dane ma jednak obowiązek udostępnienia lub przekazania importowanych danych osobowych znajdujących się w ich posiadaniu, w tym wszelkich kluczy kryptograficznych niezbędnych do zapewnienia zrozumiałości danych (zob. Zalecenia 01/2020, pkt 81). Innymi słowy: tak długo, jak Google LLC ma możliwość dostępu do danych osób fizycznych w postaci tekstu jawnego, taki środek techniczny nie może być uznany za skuteczny w niniejszej sprawie.

Google LLC twierdzi, że w zakresie, w jakim dane Google Analytics do pomiaru przekazywane przez właścicieli witryn internetowych są danymi osobowymi, należy je traktować jako „pseudonimowe", należy zauważyć, że uniwersalne niepowtarzalne identyfikatory (UUID) nie mieszczą się w definicji zawartej w art. 4 ust. 5 RODO. Podczas gdy pseudonimizacja może być techniką zwiększającą prywatność, unikalne identyfikatory, jak już wspomniano, mają na celu wyróżnienie użytkowników, a nie pełnienie funkcji ochronnej. Ponadto powyżej wyjaśniono, dlaczego połączenie unikatowych identyfikatorów z innymi elementami (takimi jak metadane przeglądarki lub urządzenia oraz adres IP) oraz możliwość powiązania takich informacji z kontem Google w każdym przypadku umożliwia identyfikację osoby fizycznej.

Jeśli Google LLC powołuje się na "opcjonalny środek techniczny" w postaci funkcji anonimizacji adresów IP, należy przede wszystkim zauważyć, że środek ten - jak sama nazwa wskazuje - jest opcjonalny i nie ma zastosowania do wszystkich transferów. Ponadto, z odpowiedzi Google nie wynika jasno, czy anonimizacja ma miejsce przed przekazaniem, czy też cały adres IP jest przekazywany do Stanów Zjednoczonych i dopiero po przekazaniu do Stanów Zjednoczonych jest skracany. Tak więc z technicznego punktu widzenia istnieje potencjalny dostęp do całego adresu IP przed jego skróceniem.

W związku z tym przyjęte środki uzupełniające przedstawione przez Google nie są skuteczne, ponieważ żaden z nich nie odnosi się do konkretnych kwestii w omawianej sprawie, co oznacza, że żaden z nich nie uniemożliwia dostępu służbom wywiadowczym USA ani nie czyni tego dostępu nieskutecznym.

Odstępstwa przewidziane w rozdziale V rozporządzenia

Artykuł 49 rozporządzenia stanowi:

Praca dobrymi narzędziami RODO to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.
ZOBACZ WIĘCEJ
W razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 lub braku odpowiednich zabezpieczeń określonych w art. 46, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że:

  1. osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;
  2. przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą.

Administrator argumentował, że przekazanie danych może być oparte na art. 49 ust. 1 lit. a RODO, wskazując, że osoby, których dane dotyczą, mogą nie wyrazić zgody na śledzenie przez Google ich wizyt na stronie internetowej.

Zgoda użytkownika na przechowywanie plików cookie podczas jego wizyty na stronie internetowej nie może być jednak uznana za równoznaczną z jego wyraźną zgodą na proponowane przekazanie danych, po uzyskaniu informacji o możliwym ryzyku takiego przekazania dla osoby, której dane dotyczą, z powodu braku decyzji stwierdzającej odpowiedni poziom ochrony i odpowiednich zabezpieczeń w rozumieniu art. 49 ust. 1 lit. a) RODO.

Firma powołuje się również na art. 49 ust. 1 lit. b) rozporządzenia, ponieważ funkcje te są niezbędne do prawidłowego funkcjonowania strony internetowej i wykrywania anomalii.

Argument ten nie jest jednak poparty żadnymi konkretnymi dowodami, a przede wszystkim firma nie wykazała, że istnieje stosunek umowny między nią a wszystkimi użytkownikami jej strony internetowej.

<pW związku z tym przedsiębiorstwo nie może powoływać się na art. 49 RODO w celu uzasadnienia przedmiotowego przekazywania danych.

Wnioski

Zgodnie z ustaleniami CNIL należy stwierdzić, że spółka nie może powoływać się na żadne narzędzia przewidziane w rozdziale V rozporządzenia, aby uzasadnić przekazywanie danych osobowych osób odwiedzających jej stronę internetową, a w szczególności niepowtarzalnych identyfikatorów, adresów IP, danych przeglądarki i metadanych, do Google LLC w Stanach Zjednoczonych. Co za tym idzie, należy zgodzić się z francuskim organem nadzorczym, że brak jest skutecznych narzędzi zapewniających bezpieczeństwo przekazywanym do USA danym.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Jakie dane osobowe nie są przetwarzane w ramach Google Analytics?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska

"Nie potrzebujemy
żadnych narzędzi do RODO"

Jesteś tego pewien?

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".