10 lutego 2022 r. francuski organ nadzorczy – Commission Nationale de l’Informatique et des Libertés (dalej: CNIL), nakazał przestrzegania kilku organizacjom korzystającym z Google Analytics przepisów RODO, uznając transfery danych do USA za nielegalne[1]. 20 lipca 2022 r. CNIL opublikował krótki tekst o tym, w jaki sposób używać Google Analytics zgodnie z RODO[2]. Wytyczne francuskiego organu nadzorczego mogą stanowić ważną wskazówkę dla wszystkich firm europejskich korzystających z Google Analytics.
Rekomendacje CNIL mają związek z wydanym w dniu 16 lipca 2020 r. przez Trybunał Sprawiedliwości Unii Europejskiej orzeczeniem w sprawie C‑311/18, tzw. Schrems II[3], w którym określono, że Tarcza Prywatności (Privacy Shield), która stanowiła ramy przekazywania danych między Unią Europejską a USA, została unieważniona, ponieważ nie zapewniała odpowiednich zabezpieczeń przed ryzykiem bezprawnego dostępu władz USA do danych osobowych mieszkańców Europy.
W następstwie tego orzeczenia CNIL otrzymał liczne skargi, w których kwestionowano korzystanie przez francuskie firmy z narzędzia analitycznego Google Analytics. CNIL uznał skargi za zasadne i nakazał zainteresowanym firmom zastosowanie się do wydanych decyzji. W dniu 20 lipca 2022 r. CNIL opublikował również FAQ[4] odnośnie wydanych przez siebie decyzji, gdzie wytłumaczył jakie są ich konsekwencje oraz powody wydania.
W tych decyzjach CNIL[5] uznał, że korzystanie z Google Analytics opiera się na niewystarczająco uregulowanych transferach danych do Stanów Zjednoczonych. Warto zauważyć, że decyzja CNIL nie jest pierwszą na szczeblu europejskim: na miesiąc przed CNIL austriacki organ ochrony danych wydał pierwszą tego rodzaju decyzję w styczniu, podobnie jak organ francuski.
Na ten moment nie istnieje prawne uregulowanie wspomnianych kwestii między Unią Europejską a Stanami Zjednoczonymi, które zastąpiłoby ww. Tarczę Prywatności. Wspólne oświadczenie Komisji Europejskiej i rządu USA z marca 2022 r.[6] w sprawie przyszłej decyzji (tzw. Trans-Atlantic Data Privacy Framework) o odpowiednim uregulowaniu przepływu danych należy traktować jedynie jako zapowiedź polityczną. Zapowiedzi są jednak obiecujące- wygląda na to, że strona amerykańska planuje wdrożyć realne działania, które zapewnią odpowiedni poziom ochrony danych osobowych Europejczyków w USA. Niestety, są to na razie jedynie plany- dopiero po ich wdrożeniu będziemy mogli z nich skorzystać.
Najpopularniejszą podstawą transferu danych osobowych do USA są obecnie tzw. standardowe klauzule umowne. Jednakże wyłącznie proste wdrożenie standardowych klauzul umownych nie wystarczy, aby uznać korzystanie z Google Analytics za zgodne z RODO. Zdaniem CNIL, takie przekazanie danych może teraz mieć miejsce tylko wtedy, gdy administratorzy danych wprowadzą dodatkowe zabezpieczenia techniczne, prawne i organizacyjne w celu uniemożliwienia dostępu do nich. Jako przykład takiego rozwiązania CNIL podaje użycie właściwie skonfigurowanego serwera Proxy, który może stanowić rozwiązanie operacyjne ograniczające ryzyko dla osób fizycznych.
Wiele podmiotów próbowało zastosować ustawienia techniczne i takie środki, które pozwoliłyby na dalsze korzystanie z Google Analytics przy jednoczesnym poszanowaniu prywatności użytkowników Internetu. Wiązało się to w szczególności ze zmianą ustawień w zakresie przekazywania adresu IP. Jednakże sama zmiana ustawień przetwarzania adresu IP nie jest wystarczająca do spełnienia wymagań TSUE, zwłaszcza że mowa o przekazywaniu danych do USA.
Podstawowym problemem, który uniemożliwia stosowanie takiego rozwiązania w kwestii dostępu do danych przez organy pozaeuropejskie, jest bezpośredni kontakt za pośrednictwem połączenia HTTPS między urządzeniem danej osoby fizycznej a serwerami zarządzanymi przez Google. W następstwie tego, serwery te mogą pozyskać adres IP internauty, a także wiele informacji o jego urządzeniu. Informacje te mogą realnie umożliwić ponowną identyfikację użytkownika, a zatem także dostęp do jego przeglądania we wszystkich witrynach korzystających z Google Analytics.
Zatem, tylko rozwiązania pozwalające na zerwanie bezpośredniego kontaktu między urządzeniem internauty a serwerem Google mogą rozwiązać ten problem.
Co istotne, wyraźna zgoda osób fizycznych, których dane dotyczą, jest jednym z możliwych odstępstw przewidzianych na gruncie art. 49 RODO. Jednak, jak stwierdzono w wytycznych Europejskiego Komitetu Ochrony Danych, tego typu odstępstwa mogą one być stosowane wyłącznie w przypadku niesystematycznych transferów i nie mogą stanowić rozwiązania długoterminowego, gdyż nie mogą się one stać ogólną zasadą.
Podmioty zobowiązane do przestrzegania przepisów RODO ustaliły z Google tzw. standardowe klauzule umowne, które Google domyślnie oferuje użytkownikom. Jednak, klauzule te same w sobie nie mogą zapewnić wystarczającego poziomu ochrony w przypadku wniosku o dostęp ze strony władz zagranicznych, w szczególności, jeśli taki dostęp jest przewidziany przez lokalne prawo.
W odpowiedzi na żądania CNIL firma Google wskazała, że zastosowała dodatkowe środki prawne, organizacyjne i techniczne, które CNIL uznała jednak za niewystarczające do zapewnienia skutecznej ochrony przekazywanych danych osobowych, w szczególności gdy mowa o wnioskach o dostęp do danych wystosowanych przez amerykańskie służby wywiadowcze.
Co istotne, nie można ustawić narzędzia Google Analytics w taki sposób, aby dane osobowe nie były przekazywane poza Unię Europejską, gdyż wszystkie dane zebrane za pośrednictwem Google Analytics są przechowywane w Stanach Zjednoczonych. Ponadto, nawet w przypadku braku transferu, organy państw trzecich mogą wymagać od administratorów danych ujawnienia danych osobowych przechowywanych na serwerach znajdujących się w Unii Europejskiej.
Jeżeli zastanawialibyśmy się czy istnieje sposób, aby skonfigurować Google Analytics tak by przesyłał tylko zanonimowane dane do USA, to przede wszystkim należy pamiętać, że Google stosuje środki pseudonimizacji, ale nie anonimizacji. Google jedynie oferuje anonimizację adresów IP, ale nie dotyczy to wszystkich transferów. Ponadto, z wyjaśnień firmy Google nie wynika jasno, czy anonimizacja ma miejsce przed transferem danych do USA.
Jednym z możliwych rozwiązań jest wykorzystanie serwera Proxy. Należy jednak zapewnić, aby serwer spełniał szereg kryteriów, aby móc uznać, że ten dodatkowy środek zabezpieczający jest zgodny z tym, co Europejski Inspektor Ochrony Danych wskazał w zaleceniach z dnia 18 czerwca 2021 r[7].
Skorzystanie z serwera Proxy miałoby na celu uniknięcie jakiegokolwiek bezpośredniego kontaktu między urządzeniem internauty a serwerami narzędzia analitycznego (w tym przypadku Google Analytics).
Jak stwierdzono w zaleceniach CNIL, taki eksport jest możliwy tylko wtedy, gdy administrator ustali, że spseudonimizowanych danych osobowych nie można przypisać zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, nawet w przypadku porównania z innymi informacjami.
Dlatego konieczne jest, (poza brakiem żądania z urządzenia użytkownika skierowanym do serwerów narzędzia analitycznego) zapewnienie, że wszystkie przesyłane informacje w żaden sposób nie pozwolą na ponowną identyfikację użytkownika.
Serwer Proxy musi być również hostowany w warunkach zapewniających, że przetwarzane przez niego dane nie będą przekazywane poza Unię Europejską do kraju, który nie zapewnia poziomu ochrony zasadniczo odpowiadającego temu, który zapewnia EOG.
Do administratorów danych będzie należało przeprowadzenie w tym zakresie analizy i wprowadzenie niezbędnych środków i zabezpieczeń w przypadku chęci skorzystania z tego typu rozwiązań.
Stosowanie serwera Proxy musi zatem wiązać się ze wdrożeniem zestawu środków ograniczających przesyłane dane. Jednak warto mieć na uwadze, że wdrożenie opisanych poniżej środków może być kosztowne i złożone oraz nie zawsze będzie odpowiadać potrzebom stosującego ich podmiotu.
CNIL uważa za konieczne:
– brak przekazywania adresu IP na serwery narzędzia analitycznego;
– zastąpienie identyfikatora użytkownika przez serwer Proxy;
– usuwanie z witryny informacji o zewnętrznych odsyłaczach;
– usunięcie wszelkich parametrów zawartych w zebranych adresach URL;
– ponowne przetwarzanie informacji, które można wykorzystać do wygenerowania „odcisku palca”, w celu usunięcia najrzadszych konfiguracji, które mogą prowadzić do ponownej identyfikacji;
– niegromadzenie identyfikatorów międzylokacyjnych lub trwałych;
– usunięcie wszelkich innych danych, które mogłyby prowadzić do ponownej identyfikacji.
Obecnie, nie tylko podmioty, którym udzielone zostało formalne upomnienie, mają obowiązek dostosowania swoich praktyk, aby zachować zgodność z wytycznymi CNIL, zatem dotyczy to wszystkich administratorów danych korzystających z Google Analytics.
Szyfrowanie może stanowić dodatkową gwarancję bezpieczeństwa, ale tylko pod pewnymi warunkami.
Szyfrowanie danych stosowane przez Google nie stanowi wystarczającego zabezpieczającego środka technicznego, ponieważ firma Google sama szyfruje dane i jest zobowiązana do ich udostępnienia, w tym także kluczy szyfrowania niezbędnych do zapewnienia zrozumiałości danych. Zatem pomysł, aby zastosować szyfrowanie identyfikatora generowanego przez Google Analytics lub zastąpić go identyfikatorem generowanym przez operatora strony, daje w praktyce niewielką lub żadną dodatkową gwarancję przed ewentualną ponowną identyfikacją osób, których dane dotyczą, głównie ze względu na ciągłe przetwarzanie adresu IP przez Google.Dodatkowo, Google zastrzega sobie możliwość klarownego dostępu do danych osób fizycznych, zatem stosowane środki techniczne nie mogą być w tym przypadku uznane za skuteczne.[8]
Zatem, aby szyfrowanie stanowiło funkcję dodatkowego zabezpieczenia, klucze szyfrujące powinny m. in. pozostawać pod wyłączną kontrolą podmiotu przekazującego dane lub innych podmiotów mających siedzibę na terytorium zapewniającym odpowiedni poziom ochrony. [9]
Z rekomendacji CNIL wyraźnie wynika, że dotychczas stosowane w przypadku Google Analytics rozwiązania w zakresie transferu danych osobowych do USA w dalszym ciągu są niewystarczające. Wydaje się, że ostatecznie ten problem rozwiązałoby przyjęcie Trans-Atlantic Data Privacy Framework, jednak na razie nie znamy nawet projektu tego rozwiązania, a co dopiero daty jego wdrożenia. Do tego czasu należy zatem dostosować się do najnowszych zaleceń organów nadzorczych.
Podał Ci się artykuł? Przeczytaj o tym, jak wdrażać zmiany do systemu informatycznego zgodnie z RODO- artykuł dostępny tutaj.
Jeśli chcesz być na bieżąco z tym, co robimy odwiedź nasz profil na Linkedin. Piszemy tylko o sprawach ważnych dla przedsiębiorców.
[1] https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply
[2] https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr
[3] Orzeczenie dostępne tutaj: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=9752016
[4] https://www.cnil.fr/en/qa-cnils-formal-notices-concerning-use-google-analytics
[5] Np.: https://www.cnil.fr/sites/default/files/atoms/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf
[6] Dostępne tutaj: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087
[7] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
[8] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
[9] zalecenia 01/ 2020 EROD, §84