Google Analytics – chyba śmiało można uznać za narzędzie bez którego większość stron i biznesów nie istnieje. Mocne stwierdzenie… Ale GA jest najpopularniejszym narzędziem do tworzenia statystyk. Czy da się z niego korzystać legalnie i zgodnie z RODO?


GOOGLE ANALYTICS – KIM TY WŁAŚCIWIE JESTEŚ I ZA CO ODPOWIADASZ?

„Ja nie przetwarzam danych osobowych, mam dostęp tylko do statystyk” – panuje takie przeświadczenie. Jednak często błędne. Ponieważ niejednokrotnie korzystanie z GA wiąże się z przetwarzaniem danych osobowych. Jeśli w ramach korzystania z Google Analytics przetwarzane są dane osobowe, jesteś wtedy administratorem danych osobowych. Natomiast Google jest podmiotem przetwarzającym, czyli podmiotem, który zbiera i przetwarza dane w Twoim imieniu (jako właściciela strony internetowej). Wtedy na Tobie ciążą obowiązki administratora określone w RODO, bo to Ty decydujesz o celach przetwarzania. To Ty zlecasz tworzenie tych statystyk czy kampanii marketingowych.

Skoro ustaliliśmy już kto jest kim, idźmy dalej.


JAKIE DANE PRZETWARZA GOOGLE ANALYTICS?

Identyfikatory internetowe (adresy IP, informacje przechowywane w plikach cookie) wykorzystuje się do identyfikacji użytkownika, w szczególności w połączeniu z innymi podobnymi rodzajami danych. W ten sposób tworzy się profile i identyfikuje użytkowników. Są to dane związane z urządzeniem oraz przeglądarką, adresem IP i działaniami użytkownika w witrynie lub aplikacji.

❗️GA za pomocą plików cookies śledzi użytkownika i zapisuje o nim dane.


I DO RZECZY… CZY GOOGLE ANALYTICS JEST ZGODNE Z RODO?

Przedstawię Ci najważniejsze fakty w punktach:

  • Dane zebrane przez GA są przechowywane na serwerach w USA.
  • Tarcza prywatności stanowiła podstawę transferu danych osobowych do USA.
  • Jednak TSUE orzekł o nieważności Tarczy prywatności (wyrok w sprawie C-311/18).
  • Aktualnie wskazujemy inną podstawę transferu danych do USA – standardowe klauzule umowne, ale czy to wystarczy?

❗️W ostatnich miesiącach w Europie kolejne organy nadzorcze wydały decyzje, w których stwierdziły, że korzystanie z GA narusza przepisy RODO.

Organy uznały, że właściciele stron, którzy korzystają z Google Analytics naruszają art. 44 i następne RODO (te dotyczące transferu danych do państwa trzeciego).

Czym jest ten trasfer to państwa trzeciego? Transfer do państwa trzeciego w aktualnym świecie to na przykład:

  • hosting u podmiotu, który ma serwery w państwie trzecim,
  • korzystanie z usług IT (systemów, oprogramowań) podmiotów, które przechowują Twoje dane na serwerach znajdujących się w państwie trzecim.

Państwo trzecie? To państwo spoza Europejskiego Obszaru Gospodarczego. A EOG to kraje Unii Europejskiej oraz Islandia, Norwegia i Liechtenstein.

Transferowane do USA za pośrednictwem Google Analytics dane osobowe nie są wystarczająco chronione przed dostępem i ingerencją służb amerykańskich. Po prostu służby specjalne USA mają dostęp do danych osobowych Europejczyków.

Konieczne jest wprowadzenie dodatkowych zabezpieczeń (umownych, organizacyjnych i technicznych).
Google podjęło takie działania. Wprowadziło szyfrowanie, pseudonimizację, opcjonalną anonimizację adresów IP. W sprawie rozpatrywanej przez organ francuski stwierdzono, że i tak możliwa jest identyfikacja użytkowników. Na przykład nie można stwierdzić czy Google dokonuje anonimizacji adresów IP przed przekazaniem ich do USA czy dopiero po.

Dlatego brakuje skutecznych narzędzi zapewniających bezpieczeństwo danym osobowym przekazywanym do USA.


Więcej na temat transferu danych poza EOG możesz przeczytać: TRANSFER DANYCH POZA EOG – CO Z FB I INSTA W EUROPIE?

Jest nadzieja…

🔜 Komisja Europejska pracuje nad nową podstawą transferu danych do USA!

Jednak co możemy zrobić już teraz?


1) USTAW PRAWIDŁOWĄ ZGODĘ NA COOKIES

Zadbaj o zgodną z prawem zgodę na korzystanie z plików cookies. Jaka ta zgoda powinna być?

Ważne jest, aby cookies nie były zapisywane przed wyrażeniem zgody przez użytkownika.

Bez zgody użytkownika możesz stosować tylko pliki cookies techniczne, czyli te które są niezbędne do zapewnnienia prawidłowego korzystania ze strony internetowej, np. do zapamiętywania koszyka.

Cookies nie mogą być zapisywane, jeśli użytkownik tej zgody nie wyrazi. Jeżeli użytkownik nie wyrazi zgody na pliki cookies, powinien on mieć możliwość dalszego korzystania ze strony bez zapisywania cookies. Zdarza się, że przedsiębiorcy konstruują zgodę np. tak: „Korzystając z naszej strony wyrażasz zgodę na używanie plików cookies. Jeśli nie wyrażasz zgody, opuść stronę„. Nie jest to rozwiązanie prawidłowe.

Pamiętaj też, że taka zgoda musi być zachowana dla celów dowodowych.

Zapewnij użytkownikom możliwość wycofania zgody, zmiany ustawień zgody i poinformuj ich w jaki sposób mogą to zrobić. Odwołanie do ustawień przeglądarek to za mało. Twoja strona powinna mieć zapewnione ustawienia, w których użytkownik może wyrazić zgodę np. tylko na pliki cookies analityczne albo tylko marketingowe.


2) SPRAWDŹ POLITYKĘ PRYWATNOŚCI NA SWOJEJ STRONIE

Jeśli włączysz jakiekolwiek funkcje reklamowe GA, musisz powiadomić o tym użytkowników, umieszczając w polityce prywatności informacje na temat:

  • dostawcy GA;
  • sposobu korzystania przez właściciela strony i dostawców zewnętrznych z własnych plików cookies (np. GA), innych własnych identyfikatorów, plików cookies firm zewnętrznych (np. plików cookies dotyczących reklam Google) i innych identyfikatorów firm zewnętrznych;
  • zasad zbierania i przetwarzania danych przez GA (zalecane jest, aby zamieścić odwołanie do polityki Google: www.google.com/intl/pl/policies/privacy/partners/);
  • celu korzystania z GA, np. cel statystyczny, analityczny, analiza ruchu i korzystania ze strony internetowej, dopasowanie treści do preferencji użytkowników.

Warto podkreślić, że funkcje statystyczne, reklamowe powinny być wyłączone do czasu uzyskania zgody użytkownika.


3) ZAWRZYJ Z GOOGLE UMOWĘ POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Skoro Ty jesteś administratorem danych osobowych, a GA jest podmiotem przetwarzającym, powinieneś zawrzeć umowę powierzenia przetwarzania danych osobowych z Google. Jak to zrobić? Stosowne informacje znajdziesz tutaj. Google nazywają to Aneksem o przetwarzaniu danych i piszą jak go zaakceptować.


4) ZMINIMALIZUJ ZAKRES DANYCH

Dostosuj ustawienia GA w taki sposób, aby zbierać i przetwarzać jak najmniej danych osobowych.


5) POINFORMUJ UŻYTKOWNIKA, ŻE PRZEKAZUJESZ DANE OSOBOWE DO PAŃSTWA TRZECIEGO

Na koniec, wykonaj obowiązek informacyjny RODO. Jeśli przekazujesz dane osobowe do państwa trzeciego, poinformuj o tym w polityce prywatności.

 

Zastosuj powyższe środki, aby zminimalizować ryzyko. Jednak pamiętaj, że nie da się go wyeliminować dopóki Komisja Europejska nie wyda nowej decyzji stanowiącej podstawę transferu danych osobowych do USA.

 

Leave a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *