Môžu spoločnosti z EÚ stále používať nástroje z USA? Za akých podmienok môže byť používanie Google Analytics v súlade s GDPR? Tieto otázky boli témou webinára, ktorý priniesol pohľady viacerých odborníkov na Google Analytics v roku 2022 a ďalej. Prednášajúcimi boli právnici a odborníci v oblasti IT a ochrany osobných údajov zo Španielska, Belgicka a USA. Každý z nich priniesol svoj pohľad na problematiku.
Webinár organizovala spoločnost Consulegis v súvislosti s ešte stále pomerne nedávnym rozhodnutím rakúskeho úradu na ochranu údajov, ktorý rozhodol, že používanie služby Google Analytics je v rozpore GDPR. Cieľom webinára bolo zistiť, či môžu spoločnosti z EÚ stále používať nástroje USA, alebo je to koniec medzinárodného prenosu údajov v Európe.
Samozrejme, takáto téma sa nedá rozlúsknuť na hodinu trvajúcom webinári, ale bolo užitočné vypočuť si sumár čo sa vlastne udialo, čo tomu predchádzalo, aké sú riziká a prípadné riešenia či východiská zo situácie, v ktorej sme sa ocitli.
História problému
16. 7. 2020 Európsky súdny dvor prijal rozhodnutie známe ako Schrems II., ktorým sa zrušila platnosť Privacy Shield, dohody medzi EU a USA o prenose osobných údajov. Európske spoločnosti zostali ponechané na seba s otázkami – to máme teraz ukončiť prácu so všetkými softvérmi a platformami, ktoré majú sídlo a servery v USA? Ako máme robiť biznis bez analytík, reklamy?
V tom období som sa zúčastnila viacerých zahraničných webinárov venovaných problematike „svet po Schrems II.“, ale riešenia pre mojich klientov som nenašla. Rady, ktoré zaznievali boli pre malé a stredné podniky dogamtické a nerealistické, aj veľké spoločnosti by mali problém ich implementovať.
Postupom času sa firmy prestávali pýtať aj báť. Zvykli si na šedú online zónu – pravidlá prenosu osobných údajov do zahraničia porušoval každý a neriešil to nikto, pretože nikto riešenie nemal a žiadnemu dozornému orgánu sa akoby nechcelo ísť do otvoreného konfliktu.
V čom vidia problém dozorné orgány v zahraničí
Až do januára 2020, keď sa rozhodol konať rakúsky úrad pre ochranu osobných údajov. Pokuty za používanie Google Analytics a nezákonný prenos osobných údajov do tretej krajiny vyrúbil malej rakúskej spoločnosti, ktorá poskytuje prístup ku najnovším zdravotníckym informáciám. Spoločnosť je maličká, má len 8-členný tím editorov. Avšak bez ohľadu na veľkosť rakúskeho tímu, Google sa radí medzi poskytovateľov elektronických služieb podľa FISA.
Rakúsky úrad pre ochranu osobných údajov sa priklonil ku širokému poňatiu, čo sú osobné údaje:
- online identifikátory, ktoré obsahovali cookies
- IP adresa zariadenia
- údaje o browseri
Rozhodol, že zapnutie funkcie IP anonymizácie nebolo dostatočným opatrením na dosiahnutie súladu s GDPR. Avšak, ako zaznelo z publika počas webinára, zdá sa, že skutočným dôvodom pre rozhodnutie súdu bol fakt, že funkcia anonymizácie adries IP nebola správne nastavená. Analýzu rozhodnutia si môžete prečítať (v angličtine) v tomto článku.
Avšak už vo februári 2022 aj francúzsky dozorný orgán (CNIL) prišiel s dvomi rozhodnutiami, že používanie Google Analytics nie je v súlade s GDPR. Ani v týchto prípadoch nešlo o žiadnych veľkých hráčov, ale menšie spoločnosti z oblasti starostlivosti o telo a športového náradia. Rozhodnutia aj zdôvodnenia boli takmer identické s rozhodnutím rakúskeho dozorného orgánu.
CNIL sa vyjadril, že žiadne z tzv. dodatočných opatrení, ktoré prijal Google, nechráni osobné údaje dostatočne voči prístupu amerických spravodajských služieb. Zároveň vydal odporúčanie, aby prevádzkovatelia využívali také nástroje, ktoré poskytujú anonymné údaje o výkone webu. Aké to sú? CNIL ich v dohľadom čase identifikuje. Ja jeden tip mám, verím, že je správny.
Ako to vidí Amerika
Vo vzťahu ku ochrane osobných údajov a súkromia ako takého, sa uplatňujú v USA tri zákony: FISA (Foreign Intelligecne Surveillance Act of 1978), teda Zákon o zahraničnom spravodajskom dohľade z roku 1978, Executive Order 12333, ktorá autorizuje extrateritoriálne zbierky “signálov spravodajstva” a Cloud Act, ktorý schvaľuje žiadosti o elektronické informácie o spoločnostiach bez ohľadu na to, kde sa údaje nachádzajú, a tiež schvaľuje dohody so zahraničnými mocnosťami na žiadosti a zdieľanie údajov elektronického dohľadu.
Napriek vyššie uvedenému, USA vníma vo vzťahu ku rozhodnutiam rakúskeho a francúzskeho dozorného orgánu najmä rozhorčenie, ale aj potrebu hľadať riešenia. Vo všeobecnosti, vo vzťahu ku podaniam M. Schremsa, vníma USA problémy súvisiace s prenosom osobných údajov do USA ako zástupné, politicky motivované a prehané, založené na hypotetických obavách a nesprávom ponímaní súkromia.
Ako jeden z účastníkov podotkol, skutočným problémom môže byť vytváranie profilov, ktoré ktorý si Google s týmito dátovými bodmi vytvára.
Možný vývoj a riešenie problému
Belgický odborník z právnickych kruhov predpokladá, že podobné rozhodnutia ako v Rakúsku a Francúzsku budú stále častejšie a nebudú sa týkať len Google Analytics, ale aj Cloudfare, Facebooku, Mailchimpu, Recaptcha, Google fonts a ďalších služieb. Ku podobným rozhodnutiam zrejme bude dochádzať aj v ďalších krajinách, už teraz aktivistická skupina NYOB Maxa Schremsa podala 101 žalôb. Nájdete medzi nimi aj žaloby na tri slovenské subjekty.
EDPB (Európsky výbor pre ochranu osobných údajov) skoordioval svoje sily pri riešení. S najväčšou pravdepodobnosťou sa však neadaptujú big tech spoločnosti. Niektoré z nich sa úplne stiahnú z EU trhu, niektoré otvoria zastúpenie v EU.
Na webinári zaznela aj odvážna hypotéza, že pravdepodobne časom aj Európa prispôsobí GDPR. Výsledkom bude akási politická dohoda, niečo ako Privacy Shield 3.0.
Aktuálne riziká a ako sa s nimi vysporiadať
Riziká uloženia pokút pre nezákonné spracúvanie osobných údajov rastú priamo úmerne s nárastom počtu súdnych podaní v EU. Aj dozorné orgány sú stále striktnejšie a aktívnejšie. Zároveň pripomíname, že od 1.2.2022 na Slovensku začal platiť Zákon o elektronických komunikáciách, a teda okrem GDPR problému s Google analytikami pribudla do balíčka „na riešenie“ zásadná zmena. Analytické cookies už nesmú byť nasadené na základe oprávneného záujmu, ale len súhlasu dotknutej osoby. Samozrejme, súhlasy musia spĺňať podmienku zákonnosti, jednoznačnosti, dobrovoľnosti a musia byť odvolateľné.
Situácia však napriek tomu nie je úplne beznádejná a dá sa riešiť. Nech už používate akýkoľvek e-nástroj, pri ktorom dochádza ku prenosu osobných údajov do tzv. tretích krajín (teda aj USA):
- Urobte podrobnú analýzu a zadokumentujte hodnotenia, na základe ktorých ste rozhodli, prečo práve ten konkrétny nástroj musíte používať
- Ohodnoťte a zdokumentujte, prečo nemôžete použiť iný EU nástroj, prípadne overte, či je možné aplikovať GDPR čl. 46
- Nasaďte na svoj web a správne nastavte cookies lištu
- Zaveďte systém enkrypcie a anonymizácie
- Nastavte správne Nastavenia v Google Analytics
- Nastavte správne lehoty na výmaz
- Obmedzte v Google Analytics zdieľanie údajov
- Vyžiadajte si od dotknutých osôb súhlasy so spracúvaním osobných údajov
- Pravidelne vymazávajte osobné údaje
- Zaveďte dodatočné opatrenia pre ochranu osobných údajov
- Aktualizujte svoje Zásady ochrany osobných údajov, aj Záznamy o spracovateľských činnostiach a ostatnú dokumentáciu