Google Analytics pod lupą organów. Czy pora szukać alternatywy?

Większość przedsiębiorców wie, że transfer danych osobowych poza EOG wymaga dodatkowego uregulowania. To żadna nowość. Dla części jednak zaskoczeniem może być informacja, że ta sama zasada dotyczy korzystania z tak popularnego narzędzia, jakim jest Google Analytics. Coraz więcej organów dokładnie przygląda się działaniom GA i ma zastrzeżenia do sposobu anonimizacji gromadzonych danych. Czy to oznacza, że pora szukać alternatywnego narzędzia? 

Dane zbierane przez Google Analytics to zawsze dane osobowe?

Google Analytics to obecnie najpopularniejsze narzędzie służące do zbierania i przetwarzania informacji o użytkownikach strony internetowej dla celów statystycznych. Zbiera takie informacje jak:

  • adres IP,
  • adres odwiedzanej strony,
  • metadane związane z przeglądarką oraz systemem operacyjnym.

Dzięki metadanym GA może uzyskać informacje dotyczące samej przeglądarki, jak i urządzenia, z którego korzysta użytkownik (np. nazwa domeny głównej, typ przeglądarki, jej ustawienia i język). Dane są następnie przekazywane do głównego serwera Google, który znajduje się w Stanach Zjednoczonych. Na ich podstawie zostają utworzone dane statystyczne dla administratora strony. Informacje, w których posiadaniu jest Google Analytics, mogą być zatem używane do tworzenia profili użytkowników i stanowić dane osobowe.

Problematyczny transfer danych osobowych do USA

Przypomnijmy, że po wyroku TSUE w sprawie Schrems II[1] zostały przekreślone dotychczasowe zasady przekazywania danych do podmiotów z USA – przez unieważnienie tzw. Tarczy Prywatności[2]. Trybunał podkreślił, że o ile standardowe klauzule umowne mogą regulować kwestię przekazania danych osobowych do USA, to jednak w każdym przypadku administrator powinien je dokładnie przeanalizować jeszcze przed samym przekazaniem. Powinien również dokonać oceny poziomu ochrony danych osobowych w państwie, do którego dane mają trafić.

Amerykański sygnalista Edward Snowden wskazał, że podstawowym problemem przesyłania danych osobowych do Stanów Zjednoczonych pozostaje amerykańska regulacja o kontroli wywiadu[3]. Na jej mocy podmioty działające na terenie USA mają obowiązek udostępnienia informacji (wśród których mogą pojawić się dane osobowe) na polecenie tamtejszych służb specjalnych. W praktyce nie ma pewności, że służby specjalne uzyskają dostęp do danych Europejczyków wyłącznie w sytuacjach uzasadnionych względami bezpieczeństwa. W dokumentach ujawnionych przez Snowdena znalazł się szereg firm, które dostarczają amerykańskim służbom dane osobowe do takich programów. Wśród nich są na przykład Google, Facebook, Apple czy Microsoft.

Działanie Google Analytics pod lupą organów nadzorczych

Austriacka organizacja non-profit NOYB[4], której założycielem jest Max Schrems, złożyła 101 skarg w 30 państwach EOG dotyczących przesyłania danych osobowych do państw trzecich. Skargi wpłynęły również do polskiego Urzędu Ochrony Danych Osobowych. W dwóch postępowaniach została już wydana decyzja. Skargi dotyczyły m.in. przetwarzania danych osobowych przy wykorzystaniu Google Analytics oraz związanego z tym transferu danych osobowych do USA.

Po rozpoznaniu jednej ze spraw austriacki organ nadzorczy DSB[5]uznał, że korzystanie z Google Analytics narusza RODO głównie z dwóch powodów:

  1. deklarowana przez Google anonimizacja dotyczy jedynie adresu IP, a Google Analytics zbiera o wiele więcej informacji, które zbiorczo mogą być określone jako dane osobowe;
  2. zdaniem austriackiego organu do anonimizacji dochodzi po przesłaniu danych na serwery w Stanach Zjednoczonych, a więc dopiero na pewnym etapie przetwarzania danych (po tym jak zostaną one przesłane poza EOG).

16 lutego 2022 r. decyzję dotyczącą korzystania z Google Analytics wydał również francuski organ nadzorczy do spraw ochrony danych osobowych CNIL[6]. Stwierdził, że samo zawarcie standardowych klauzul umownych nie jest wystarczające do zapewnienia odpowiedniej ochrony danych osobowych. Choć po słynnym wyroku TSUE w sprawie Schrems II Google wprowadził do swojego narzędzia nowe zabezpieczenia w postaci anonimizacji adresu IP, to w ocenie organu nie są one wystarczające. Wprowadzone narzędzia zabezpieczające są co prawda rekomendowane w wytycznych ERODu, jednak zdaniem organu w tym przypadku ich stosowanie nie prowadzi do prawidłowej ochrony danych osobowych – ma bowiem charakter opcjonalny oraz brak informacji czy anonimizacja  zostaje dokonana przed czy dopiero po przekazaniu tych danych do Stanów Zjednoczonych.

Najnowszą decyzję w sprawie korzystania z Google Analytics wydał włoski organ nadzorczy 9 czerwca 2022 r. Potwierdził wnioski płynące z wyżej przywołanych decyzji dotyczące braku zgodności przetwarzania danych osobowych w ramach Google Analytics z RODO oraz braku stosowania przez Google środków mających zapewnić legalność takiego przetwarzania. Co ciekawe zdaniem organu funkcja anonimizacji adresu IP wprowadzona przez Google, w rzeczywistości jest pseudonimizacją danych osobowych. Argumentem za tym ma być fakt, że „obcięcie” adresu IP, nie uniemożliwia spółce amerykańskiej ponownej identyfikacji konkretnego użytkownika, z uwagi na szereg innych informacji, które Google posiada na jego temat.

Czas na poszukiwania alternatywy dla Google Analytics?

Google Analytics jest najpopularniejszym narzędziem statystycznym, jednak czy korzystanie z niego jest warte ryzyka ewentualnych kar administracyjnych? Kary organów nadzorczych mogą wynieść maksymalnie do 20 milionów EURO lub 4% rocznego obrotu przedsiębiorstwa.

Dla wielu przedsiębiorców, szczególnie z branży e-commerce, statystyki są na wagę złota. Rekomendacją dla nich jest rozpoczęcie poszukiwań alternatywnych narzędzi, które spełnią wymogi w zakresie przepisów ochrony danych osobowych – takich deklarujących zgodność z RODO jest na rynku kilka. To narzędzia, które gromadzą dane na serwerach w Europie lub umożliwiają ich gromadzenie na własnym serwerze administratora. Istnieją również aplikacje, które posiadają certyfikat ISO 2700. Aby uzyskać taki certyfikat firma musi wdrożyć normy ISO 2700, które są międzynarodowym standardem systemów bezpieczeństwa informacji. Część aplikacji oferuje również możliwość włączenia funkcji, która gwarantuje, że zebrane przez narzędzie dane nie zostaną przekazane poza Europę. Jeśli natomiast administrator strony zdecyduje się na przesyłanie danych do Stanów Zjednoczonych, w przypadku danych Europejczyków narzędzia zaszyfrują je, a sam klucz szyfrowania pozostanie w Europie.

Na rynku dostępne są również rozwiązania, które uzyskały pozytywną opinię francuskiego organu nadzorczego. CNIL zaznaczył jednak, że nie każda aplikacja zapewni zgodność z RODO w ramach ustawień automatycznych. Administrator strony powinien mieć możliwość wprowadzenia modyfikacji w ustawieniach.

Dane osobowe – na co zwrócić uwagę poszukując alternatywnego narzędzia do analityki?

Dokonując weryfikacji narzędzi alternatywnych dla Google Analytics powinniśmy zwrócić szczególną uwagę na:

  1. miejsce przechowywania zebranych danych osobowych – czy aplikacja umożliwia podjęcie autonomicznej decyzji o miejscu przechowywania zebranych danych, w tym przechowywania danych na własnych serwerach administratora lub na serwerach zewnętrznych zlokalizowanych na terenie EOG;
  2. możliwość wyłączenia stosowania plików cookie;
  3. czy aplikacja dokonuje eksportu danych dla celów określanych przez jego dostawcę i czy jest możliwość jego wyłączenia;
  4. zakres danych, które zbiera narzędzie – czy jest on adekwatny do realizowanego celu. Należy upewnić się, czy narzędzie nie zbiera danych nadmiarowych oraz czy sam adres URL nie zawiera danych osobowych, takich jak imię i nazwisko, kod pocztowy czy adres e-mail. Jeśli tak – powinno się je usunąć;
  5. na podstawie jakiej formy danych narzędzie tworzy statystyki – czy wykorzystuje dane zanonimizowane czy pełne;
  6. czy umożliwia się migrację danych z dotychczasowego serwera;
  7. funkcjonalności jakie oferuje narzędzie – czy są wystarczające dla administratora strony;
  8. możliwość zawarcia umowy powierzenia danych oraz jej ewentualną treść.

Funkcjonalności alternatywnych narzędzi dostępnych na rynku często są bardzo zbliżone do tego, co oferuje sam Google Analytics. Część z nich posiada dodatkowe funkcje statystyczne. Istotne jest również to, że korzystając z alternatywnych narzędzi można uniknąć problemu nielegalnego przekazywania danych osobowych oraz zbierania danych nadmiarowych. I choć w niektórych przypadkach korzystanie z nich związane jest z opłatą, to jednak grożąca administratorowi kara za niezgodny z prawem transfer danych osobowych może okazać się dużo większym problemem.


[1] sygnatura C-311/18

[2] decyzja Komisji UE 2016/1250 z dnia 12 lipca 2016 r.

[3] sekcja 702 ustawy o kontroli wywiadu („FISA 702”) oraz rozporządzenie wykonawcze nr 12333 („EO 12333”)

[4] NOYB – „none of your bussiness”, „nie twój interes”

[5] Datenschutzbehörde

[6]  Commission Nationale de l’Informatique et des Libertés

Autor: Łukasz Pociecha

SENIOR ASSOCIATE ADWOKAT lukasz.pociecha@olesinski.com

Autor: Żaneta Zniszczoł

JUNIOR ASSOCIATE DZIAŁ PRAWNY zaneta.zniszczol@olesinski.com