blog

Rudolf Urban
Rudolf Urban

Varstvo podatkov – Google Analytics in prepoved prenosa podatkov v ZDA

Avstrijski urad za varstvo podatkov (Österreichische Datenschutzbehörde) je v odločbi, ki je močno odmevala v poslovni javnosti, odločil, da je treba pri spletni analizi, ki vključuje prenos podatkov v ZDA, upoštevati veljavne pravne pogoje. V konkretnem primeru pritožbe je nadzorni organ ugotovil, da podatki niso bili posredovani v ZDA v skladu s predpisi o varstvu podatkov in da je zato upravljavec spletne strani kršil Splošno uredbo o varstvu podatkov, ker je uporabljal aplikacijo Google Analytics.

Načeloma prenos podatkov v tretje države, za katere ni sklepa o ustreznosti v skladu s členom 45(3) SUVP ali pa niso sprejeti ustrezni zaščitni ukrepi ni dovoljen, če nimajo standarda varstva podatkov, ki je primerljiv standardom EU. S sodbo Evropskega sodišča z dne 16. julija 2020, ki jo je izzval avstrijski aktivist za varstvo podatkov Max Schrems je bil razveljavljen sklep Evropske komisije o ustreznosti ZDA. S tem je neveljaven tudi tako imenovani sporazum Privacy Shield, ki je doslej služil kot pravna podlaga za prenose podatkov v ZDA. Sedaj je treba ZDA obravnavati kot nezadostno varno tretjo državo in prenos podatkov se lahko izvede le, če obstajajo veljavne pravne podlage in zadostna dodatna jamstva.

Da bi sodbi Evropskega sodišča dala večjo praktično težo, je neprofitna organizacija za varstvo podatkov NOYB pri različnih nacionalnih organih za varstvo podatkov vložila skupno 101 pritožb. V konkretnem primeru se je pritožba Maxa Schremsa nanašala na integracijo storitve Google Analytics v spletno prezentacijo nekega avstrijskega podjetja.

Google Analytics je zelo pogosta aplikacija za analizo vedenja uporabnikov na spletu. Operaterji uporabljajo izsledke za izboljšanje lastne ponudbe storitev, povezujejo pa jih tudi z obsežnimi reklamnimi akcijami in jih zanima predvsem spletno gibanje uporabnikov. Google Analytics strokovnjaki za zasebnost uvrščajo med najbolj znana in najzmogljivejša orodja za opazovanje vedenja uporabnikov, vendar hkrati kot najbolj nasprotujoče zasebnosti.

Opazovanju služijo posebni programski deli, tako imenovanimi piškotki (angleško: cookies), ki omogočajo statistične analize in preko teh razumevanje dejanj uporabnikov. Kdor je kdaj iskal in pogledal določene izdelke spletnega trgovca in se nenadoma ravno ti izdelki pojavljajo povsod v oglaševanju, to pozna. Piškoti omogočajo tovrstno opazovanje in predstavljajo osnovo za visoke oglaševalske prihodke glavnih platform družbenih medijev.

Avstrijski organ za varstvo podatkov je v svoji odločbi ugotovil, da v obravnavanem primeru ni zadostne pravne podlage za integracijo aplikacije Google Analytics in da tako ni v skladu z varstvom podatkov. Splošno pričakovanje je, da bo ta odločitev merodajna za bodoči razvoj. Sicer še ni pravnomočna, vendar strokovnjaki domnevajo, da jo sodna preverba ne bo razveljavila. Tako morajo uporabniki Google Analytics zdaj ukrepati, da se izognejo bodočim pritožbam.

Po ukinitvi zasebnostnega ščita Privacy Shield Evropsko sodišče dopušča uporabo standardnih klavzul o varstvu podatkov (Standard Contractual Clauses), pod pogojem, da se sprejmejo dodatni ukrepi za povečanje varstva podatkov, na primer pravilna anonimizacija osebnih podatkov. Nekateri dodatni ukrepi, ki jih je razvilo in predstavilo podjetje Google, so že preverjeni v odločbi Urada za varstvo podatkov. Med te spadata možnost anonimizacije IP-naslova in obveznost sprožitve sodnega postopka ob poizvedbah ameriških oblasti. Urad za varstvo podatkov je ugotovil, da ti ukrepi niso primerni za preprečevanje dostopa ameriškim organom. Tako ostaja uporaba storitve Google Analytics v nasprotju z varstvom podatkov.

Medtem je enako odločitev sprejel tudi francoski organ za varstvo podatkov CNIL in odgovorni osebi naročil, naj v enem mesecu vzpostavi pravno skladnost. Če je potrebno, naj se ukine uporaba aplikacije ali naj se uporabi orodje, ki ne privede do prenosa podatkov izven EU. Po navedbah CNIL-a so takšno zahtevo poslali tudi drugim upravljavcem spletnih strani.

Kot pišejo, so preiskave CNIL-a in organov za varstvo podatkov držav članic EU razširili tudi na druga orodja, ki jih uporabljajo spletne strani, če povzročajo prenos podatkov evropskih uporabnikov interneta v ZDA. Ob danem prevladovanju ameriških aplikacij so posledice na področju obdelave podatkov lahko ogromne, saj bi se morali v skrajnem primeru posloviti od programov, ki jih večina pozna in uporablja.

V bližnji prihodnosti morajo podjetja torej uvesti dodatne ukrepe, da vzpostavijo v bistvu enako ravan varstva podatkov kot v EU, če podatke obdelujejo v tretjih državah. Po eni strani uporabniki bolj cenijo varstvo podatkov, po drugi strani pa bodo organi za varstvo podatkov zagotovili skladnost s pravnim okvirom, pri čemer grozijo lahko tudi zelo hude globe.

V vsakem primeru mora obstajati veljavna pravna podlaga za obdelavo podatkov. Te so izrecno navedene v 6. členu SVUP. Vendar je pravno skladna uporaba analiznih orodij v vsakem primeru povezana z izrecno informirano privolitvijo posameznika, ki koristi spletno ponudbo, saj sklicevanje upravljavca na prevladujoči interes ne velja kot ustrezna pravna osnova.

To je treba v prihodnje upoštevati pri oblikovanju okenc za soglasje in pri izjavah o varstvu podatkov na spletnih mestih. Splošno soglasje brez resnične izbire ali besedila, da nadaljnja uporaba spletnega mesta velja kot privolitev v obdelavo podatkov, ni mogoče šteti za pravno veljavno privolitev. To bi lahko ugotovil organ za varstvo podatkov med inšpekcijo, ki se lahko začne tako po uradni dolžnosti kot na podlagi pritožbe posameznika, na katerega se osebni podatki nanašajo.

Preučitev doslej sprejetih odločitev kaže, da bodo različni nacionalni evropski organi za varstvo podatkov izvajali sodbo Evropskega sodišča glede prenosa podatkov v tretje države na podoben način. Nadaljnje uporabe orodij, ki ne zagotavljajo ustrezne zaščite podatkov, nadzorstvo ne bo več toleriralo.

Morda bodo ZDA po pogajanjih z EU prilagodile svoj pravni okvir, da se ustvari pravna podlaga za ustrezno varstvo podatkov za evropske uporabnike ali pa bo treba ameriška podjetja pripeljati do točke, ko bo obdelava potekala le še v Evropi in ni več nobenega prenosa v ZDA.

Upravljavcem so na razpolago tudi evropske rešitve, ki po kvaliteti danes verjetno še niso povsem na ravni ameriških ponudb, vendar bi se ob ustreznem povpraševanju gotovo prav hitro razvile naprej. Zato je treba povečati ozaveščenost uporabnikov spleta, saj lahko sami s privolitvami k piškotom usmerjajo, koliko podatkov Google Analytics lahko zbere ali pa tudi ne…

 

Avtor:

Mag. Rudolf Urban, MSc
podjetniški svetovalec
DE Dataexpert e.U.
rudolf.urban@expertgruppe.at
www.expertgruppe.at