Regulace: Hrozí Google Analytics konec v Evropě?
Podle rakouského úřadu pro ochranu osobních údajů porušila společnost Google se svou službou Google Analytics evropskou směrnici GDPR.
Zdroj: Shutterstock
Podle rakouského úřadu pro ochranu osobních údajů (DSB) porušila společnost Google se svou analytickou službou Google Analytics evropskou směrnici o ochraně osobních údajů GDPR. Google se podle rozhodnutí provinil tím, že data získaná pomocí Google Analytics „odeslal“ do Spojených států amerických a nezajistil náležitou úroveň ochrany osobních údajů podle Kapitoly V směrnice GDPR (Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím). Rozhodnutí padlo na základě stížnosti od organizace NOYB (None of Your Business), která ji podala v srpnu 2020. Na významné rozhodnutí rakouského úřadu upozornila na sociální síti twitter advokátka Petra Dolejšová.
Verdikt rakouského úřadu pro ochranu osobních údajů se opírá o rozhodnutí Soudního dvora EU z roku 2020 (Schrems II), podle kterého není možné ochranu osobních údajů v USA považovat za rovnocennou se standardem EU. Odesílání osobních údajů z Evropy do Spojených států tak porušuje zákon, pokud tato společnost nemůže zaručit ochranu dat před americkými zpravodajskými službami. Jak poznamenává americký web Fortune, kvůli americkému zákonu FISA (Foreign Intelligence Surveillance Act) nemůže prakticky žádná americká společnost tuto záruku poskytnout. Zákon vyžaduje, aby provozovatelé komunikačních služeb poskytovali vládě USA informace, pokud si je vyžádá. Fortune celkově rozhodnutí označuje za „skutečný problém pro evropské zákazníky amerických cloudových služeb“.
Společnost Google v odpovědi rakouskému úřadu na podanou stížnost loni v dubnu uvedla, že přenosy údajů o návštěvnících webových stránek získaných prostřednictvím Google Analytics se opírají o standardní smluvní doložky a že jsou v souladu s rozhodnutím Schrems II.
Google Analytics je nejrozšířenějším nástrojem pro měření návštěvnosti a chování publika na webových stránkách. Používá ji většina provozovatelů webových stránek nebo e-shopů. Rakouské rozhodnutí může přinést lavinu dalších podobných verdiktů v dalších členských státech Evropské unie. Zástupci organizace NOYB totiž sdělili, že aktuální rozhodnutí se týká pouze jedné ze 101 podaných stížností. „Podobná rozhodnutí se očekávají i v dalších členských státech EU, protože regulační orgány na těchto případech spolupracovaly,“ uvedli v prohlášení.
Je potřeba zdůraznit, že rozhodnutí se týká výhradně otázky exportu a uchovávání dat mimo evropské území, nikoli sběru dat pro nástroj Google Analytics. Organizace NOYB totiž neuspěla se svou stížností zcela. Úřad zamítl část stížnosti zaměřenou na samotnou společnost Google s odůvodněním, že příslušná část GDPR ukládá právní povinnosti „pouze společnosti exportující data“. Zmínit je třeba také to, že rakouský úřad je toho názoru, že identifikátory jako je prohlížeč nebo zařízení uživatele, HTML, název webu, navštívená podstránka, informace o prohlížeči, operační systém, rozlišení obrazovky, výběr jazyka, datum a čas návštěvy a IP adresa jsou dostatečné k identifikaci subjektu a jsou tak považovány za osobní údaj podle GDPR.
Zmiňovaný web Fortune navrhuje tři možná řešení vzniklé situace. První spočívá v tom, že evropské weby přestanou používat nástroj Google Analytics. Druhý, že dojde ke změně americké legislativy a americké společnosti působící v Evropě budou moci zajistit náležitou ochranu a bezpečnost dat. Tu označuje za málo pravděpodobnou. Třetí řešení spočívá v tom, že americké společnosti si na evropském území vybudují ve spolupráci s lokálními firmami cloudová datová centra. Ostatně Google loni v srpnu oznámil vznik takové služby pro podnikové zákazníky v Německu v partnerství s místní společností T-Systems.
-mav-
Tagy
