• Reklama
  • Zakładki
  • Kastomizacja
  • Newsletter
BrandsIT
POWIADOMIENIA Pokaż więcej
Najnowsze
44499915 44499905 BZxBZ
Orlen: kontrakt na dostawy ropy ze wschodu przestanie być realizowany w momencie wprowadzenia kolejnych sankcji
Pieniądze Polityka Polska
44499407 44499395 BZxBZ
Mieszkanie w pobliżu zieleni wpływa na skład mleka matki
Polska Work&Life
44499403 44499388 BZxBZ
Alpiniści zbierają szyszki z okazałych sosen w Puszczy Piskiej
Polska Work&Life
44499398 44499334 BZxBZ
Schreiber: w tym tygodniu komunikat, jak zostaną obniżone ceny biletów na kolei
Pieniądze Polska
44499397 44499326 BZxBZ
Mazowieckie: w 2022 r. spadła liczba oddanych do użytku nowych mieszkań, podobnie może być w tym roku
Polska
  • Biznes
  • Pieniądze
  • Rynki
  • Polityka
  • Technologia
  • Eco
  • Work&Life
  • MAGAZYN
  • Opinie
Czytasz: Google Analytics pod lupą regulatorów
Aa
BrandsITBrandsIT
  • Technologia
  • Biznes
  • Branża IT
  • Świat
  • Pieniądze
    • Inwestycje
    • Kryptowaluty
    • NFT
    • Praca
  • Polityka
    • Polska
    • Europa
    • Świat
  • Technologia
    • Startup
    • Cyberbezpieczeństwo
    • Rozwiązania
    • Gaming
    • Tech Biznes
  • Eco
    • Czysta energia
    • Pogoda i nauka
    • Pojazdy elektryczne
    • Polityka klimatyczna
  • Work&Life
    • W pracy
    • Miasto
    • Nauka
    • Rozrywka
    • Moda
  • Biznes
    • Branża IT
    • Branża deweloperska
    • Branża przemysłowa
    • Branża transportowa
    • Podatki i koszty
Follow US
  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
© 2017-2022 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.
BrandsIT > Marzec2022 > Google Analytics pod lupą regulatorów
Marzec2022

Google Analytics pod lupą regulatorów

Piotr Grzelczak 11 miesięcy temu 5 min czytania
Udostępnij
5 min czytania
Technologia
Udostępnij

W lipcu 2020 r. zapadł wyrok Trybunału Sprawiedliwości UE ws. Schrems II (C-311/18). Wyrok ten ma fundamentalne znaczenie dla wszystkich podmiotów eksportujących dane osobowe do USA. Dzieje się tak z dwóch przyczyn:

  • TSUE unieważnił tzw. Tarczę Prywatności, czyli decyzję Komisji Europejskiej uznającą USA za kraj zapewniający adekwatny poziom ochrony danych osobowych, która pozwalała na zgodne z RODO i w zasadzie bezproblemowe przekazywanie danych za ocean. W ocenie TSUE, prawo amerykańskie pozwala bowiem na zbyt daleko idące i niezgodne z demokratycznymi standardami ingerencje służb wywiadowczych w prawo do prywatności, a więc takiej odpowiedniej ochrony nie zapewnia.
  • TSUE wypowiedział się ponadto odnośnie jednego ze sztandarowych instrumentów pozwalających na transfery danych poza EOG, jakie mogą być używane w przypadkach, gdy Komisja Europejska nie wydała dla danego kraju decyzji adekwatnościowej (albo gdy taka decyzja została unieważniona, jak w przypadku USA), a mianowicie standardowych klauzul umownych (SKU). TSUE podtrzymał możliwość dalszego używania SKU z zastrzeżeniem, że muszą one zapewniać realną – a nie wyłącznie papierową – ochronę danych. To oznacza z kolei, że przed transferem danych należy dokonać analizy, jak wygląda sytuacja prawna i praktyka administracyjna w państwie docelowym, a w razie potrzeby – w zależności od wyników takiej analizy – może istnieć konieczność uzupełnienia SKU dodatkowymi środkami, w tym techniczno-organizacyjnymi (takimi jak np. szyfrowanie), aby zapewnić odpowiedni poziom bezpieczeństwa danych. Jeśli natomiast mimo zastosowania takich dodatkowych środków zapewnienie takiego poziomu bezpieczeństwa danych nie jest możliwe, należy zrezygnować z zagranicznego transferu danych.

Reasumując, chociaż w praktyce TSUE nie zabronił transferów danych do USA, bo te mogą być – przynajmniej teoretycznie – nadal dokonywane w oparciu o SKU, to jednak postawił dla tych transferów dość wysoką poprzeczkę.

Pomimo, że od wydania ww. wyroku upłynęło już półtora roku, w sprawie transferów danych do USA zapadła cisza. Mam tu na myśli ciszę po stronie regulatorów, bo liczni konsultanci w międzyczasie mocno głowili się nad tym, jak zadbać o to, aby te transfery miały jednak pewne uzasadnienie, minimalizujące ryzyka dla eksporterów danych. Oczywiście, w międzyczasie w wielu przypadkach dane nadal płynęły też za ocean bez prób poszukiwania dodatkowych zabezpieczeń tak jakby wyroku w sprawie Schrems II w ogóle nie było (jak wiadomo potrzeba biznesowa dla takich transferów jest w wielu przypadkach przemożna). Dlatego też warto odnotować, że po stronie regulatorów pojawiła się ostatnio pewna, aczkolwiek na razie jeszcze ograniczona aktywność:

  • Europejski Inspektor Ochrony Danych upomniał Parlament Europejski za wykorzystywanie narzędzi Google Analytics i Stripe w kontekście dokonywanego przez nie przekazywania danych do USA (instytucje unijne obowiązują spec-regulacje dotyczące ochrony danych, ale standardy są analogiczne jak w RODO).
  • Austriacki organ nadzorczy uznał stosowanie Google Analytics za naruszenie RODO w zakresie transferów danych do USA. Organ ten uznał, że SKU i dodatkowe środki wdrożone przez Google nie gwarantują odpowiedniego poziomu ochrony danych.
  • W sprawie Google Analytics zareagował również organ francuski (CNIL), który poinformował, iż nakazał administratorowi doprowadzenie przetwarzania danych w ramach strony internetowej do zgodności z RODO poprzez rezygnację z funkcjonalności analitycznych na stronie bądź zastosowanie alternatywnego narzędzia, które nie będzie przekazywać danych do USA.
  • Organ holenderski zapowiedział na swojej stronie internetowej, że również prowadzi postępowania co do narzędzia Google Analytics, sygnalizując, iż także w Holandii stosowanie tego narzędzia może być niebawem niedozwolone. Zareagowały też organy duński i norweski, wydając stosowne oświadczenia.

Póki co nie mamy stanowiska polskiego PUODO w ww. sprawie. Należy się jednak spodziewać, że się ono pojawi. Decyzje zagranicznych organów, o których mowa powyżej, zostały bowiem wydane w następstwie serii skarg złożonych przez organizację NYOB założoną przez aktywistę Maxa Schremsa, który doprowadził do wydania wspomnianego na wstępie wyroku TSUE. Skargi te zostały złożone do regulatorów w różnych krajach, w tym w Polsce.

Podsumowując, jeśli wykorzystujemy na naszych stronach internetowych narzędzie Google Analytics, warto rozważyć jego zmianę na inne rozwiązanie, bo istnieje ryzyko, że zgodność z RODO przetwarzania danych realizowanych z udziałem Google Analytics zostanie zakwestionowana. Ponadto, należy dokładnie przemyśleć inne sytuacje, kiedy dane osobowe, których jesteśmy administratorem bądź procesorem płyną do USA (np. w ramach świadczenia usług drogą elektroniczną czy też w związku z procesami biznesowymi realizowanymi w grupie kapitałowej, której jesteśmy członkiem). Wyrok Schrems II dotyczy bowiem wszystkich transferów (nie tylko Google Analytics), a działania podjęte ostatnio przez organy nadzorcze pokazują, że nie zamierzają one skutków tego wyroku ignorować.

Autor Piotr Grzelczak
Radca prawny przy Okręgowej Izbie Radców Prawnych we Wrocławiu z ponad dziesięcioletnim doświadczeniem zawodowym. Specjalizuje się w doradztwie z zakresu własności intelektualnej i ochrony danych osobowych, w tym w szczególności dla sektora IT i nowych technologii. W ramach Kancelarii GFP Legal jest on odpowiedzialny także za doradztwo na rzecz podmiotów z branży finansowej oraz sektora automotive, z którymi jest związany od lat.
Skomentuj Skomentuj

Dodaj komentarz Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

- Reklama -

© 2017-2023 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.

  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
Zarządzaj swoją prywatnością
We use technologies like cookies to store and/or access device information. We do this to improve browsing experience and to show personalized ads. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Funkcjonalne Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Zarządzaj opcjami
{title} {title} {title}

Removed from reading list

Undo