Używanie Google Analitics jest nielegalne? Jeśli korzystasz z tego narzędzia, sprawdź czy robisz to zgodnie z prawem.

Piotr KrajewskiPRAWNIK

Kto używa Google Analitics? Znakomita większość e-commerców. Kto wyobraża sobie możliwość rezygnacji z tego narzędzia? Pewnie mało który przedsiębiorca.

I właśnie dlatego kilka dni temu w Internecie powtórnie zawrzało. Austriacki Urząd Ochrony Danych orzekł, że korzystanie z Google Analitics narusza przepisy RODO, przez co jest niezgodne z prawem. Decyzja ma bezpośredni związek z głośnym orzeczeniem Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II, w którym stwierdzono, że tzw. Tarcza Prywatności dotycząca transferów danych USA-UE nie zapewnia właściwego poziomu ochrony danych osobowych Europejczyków. Można śmiało zakładać, że polski Urząd Ochrony Danych Osobowych również w niedługim czasie wyda decyzje w podobnym tonie.  

Przeczytaj nasz artykuł, z którego dowiesz się:

  • czego dotyczy ostatnia decyzja dot. Google Analitics i jakie jest tło głośnej sprawy;
  • jak legalnie korzystać z narzędzi analitycznych w swoim e-commerce;
  • dlaczego warto dywersyfikować analitykę na swojej stronie i jakie są alternatywy dla Google.

Max Schrems i 101 skarg na znane e-commercy

Warto krótko opisać tło całej sprawy. Orzeczenie austriackiego organu ma bezpośredni związek z działaniami znanego aktywisty Maxa Schremsa, który wraz ze swoją organizacją noyb złożył aż 101 skarg, w których podważa legalność transferów danych do USA. Przekazywanie danych miało miejsce nie tylko w przypadku korzystania z  narzędzi Google, dotyczyło również innych amerykańskich gigantów na czele z Facebookiem. Skargi zostały złożone do wielu organów nadzorczych, w tym do polskiego UODO. Na liście można znaleźć e-commercowe potęgi takie jak Decathlon, Leroy Merlin, Sephorę, czy polskie platformy internetowe: Interia, pko.bp, jakdojadę, player .pl, czy tvp. pl Sprawy są w toku i czekają na rozstrzygnięcie.

Pełną listę podmiotów, na które zostały złożone skargi znajdziecie pod linkiem: https://noyb.eu/en/eu-us-transfers-complaint-overview

Dane to ropa naftowa XXI wieku 

Nie jest tajemnicą, że dane to ropa naftowa XXI wieku. Amerykańscy giganci często oferują swoje usługi w zamian za dane klientów, czy użytkowników strony. Dane osobowe, które docierają do USA nie zawsze są chronione w takim stopniu, do czego przyzwyczaiły nas wyśrubowane standardy RODO. 

W związku z tym, orzeczenie Schrems II w sposób wyraźny uniemożliwiło transfer danych do USA, chyba że spełni się odpowiednie warunki. Od czasu wydania orzeczenia każdy transfer danych oparty o SCC wymaga tzw. data transfer impact assessment, czyli innymi słowy oceny sprawdzenia, czy dodatkowe mechanizmy zastosowane w ramach przesyłu danych zapewniają odpowiedni poziom ochrony w kontekście kraju docelowego i sytuacji, która tam panuje. W przypadku USA ta ochrona danych bywa wątpliwa, w szczególności w stosunku do podmiotów, które udostępniają dane organom krajowym, czy rządowym agencjom wywiadowczym.

Od wydania orzeczenia Schrems II nastąpiło prawdziwe rozdwojenie jaźni. Orzecznictwo unijne poszło w jedną stronę, natomiast praktyka i biznes w zupełnie drugą. Regulacje prawne są coraz bardziej rygorystyczne, natomiast wielki biznes nadal dość pobłażliwe traktuje kwestię ochrony danych w ramach unijnego RODO.

Jak ocenia Max Schrems, amerykańscy giganci zamiast realnie dostosować swoje działania do pełnej zgodności z RODO, „dodali wyłącznie nieco tekstu do swoich polityk” i kompletnie zignorowali orzeczenie sądu unijnego. Google zdecydowało się natomiast wdrożyć środki techniczne i organizacyjne w postaci… dodatkowego ogrodzenia wokół centrów przetwarzania danych… 😉 Wiele mniejszych firm poszło tropem gigantów, całkowicie rezygnując z „możliwości prawnych”.

Orzeczenie zapadło w Austrii. Czy będzie dotyczyć polskich e-commerców? 

Decyzja austriackiego organu nie oznacza, że zakazane są wszystkie transfery danych do USA. Postępowanie organu dotyczyło bowiem jednego, konkretnego przypadku. 

Niemniej jednak zarówno z decyzji austriackiego organu, jak i orzeczenia Schrems II jasno wynika, że firmy w UE nie mogą swobodnie i bez ograniczeń korzystać z amerykańskich rozwiązań chmurowych. Google Analitics jest najpopularniejszym narzędziem do mierzenia statystyk stron internetowych, to podstawowe narzędzie pracy w e-commerce i prace z użyciem jego funkcjonalności czeka niemała rewolucja.

Jak możesz przygotować swój e-commerce na nadchodzące zmiany?

Spodziewamy się, że orzeczenie Schrems II oraz styczniowa decyzja austriackiego organu spowoduje wydanie kolejnych decyzji w pozostałych państwach członkowskich, w tym w Polsce.

Miejmy więc nadzieję, że zarówno unijny prawodawca, jak i amerykańscy giganci pochylą się nad szybkim wdrożeniem alternatyw dla możliwości legalnego korzystania z narzędzi typu Google Analitics. W interesie Google jest utrzymanie obecnego sposobu działania udostępnianych produktów. Zmienią się zapewne narzędzia, lecz funkcjonalności analityczne pozostaną w dużej mierze te same. 

Zanim to się jednak stanie, zalecamy:

  • Sprawdź, z jakich narzędzi i funkcjonalności od amerykańskich dostawców korzysta Twoja firma. Zrób audyt, sprawdź czy wszystkie rzeczywiście są Tobie potrzebne. Przy okazji przypomnij sobie o ogólnej zasadzie wynikającej z RODO: im mniej danych przetwarzasz, tym lepiej!
  • Najważniejsze: jeśli korzystasz z Google Analitics koniecznie włącz anonimizację IP, czyli maskowanie danych w swoim panelu użytkownika! To prosty trik, a dzięki temu Twoje działania nie będą już nielegalne – przestaniesz od tej pory wysyłać dane osobowe Twoich klientów i użytkowników odwiedzających Twoją stronę do USA. 
    Gdy poprosisz o anonimizację adresów IP, Analytics ukryje te adresy najszybciej, jak to tylko technicznie możliwe. Dostępna w Analytics funkcja anonimizacji adresów IP wstawia w pamięci zera w miejsce ostatniego oktetu adresów IP użytkownika korzystającego z protokołu IPv4 i w miejsce ostatnich 80 bitów adresów IPv6 wkrótce po wysłaniu tych adresów do Google Analytics. W takim przypadku pełny adres IP nie jest nigdy zapisywany na dysku.

  • Dywersyfikuj narzędzia wykorzystywane do analiz i statystyk. Zapewnisz sobie bufor bezpieczeństwa w przypadku czasowych lub trwałych problemów z zalegalizowaniem korzystania z amerykańskich dostawców. W ostatnim czasie można zaobserwować znaczący wzrost podmiotów na terenie Unii, którzy oferują podobne usługi jak Google Analitics, a przez to że mają siedziby na terenie Europy, odpada problem transferu danych do USA i znacznie łatwiej zapewnić zgodność z RODO. Matowo, Tracker, PIWIK Pro, AT Internet, czy mniejsze platformy jak Sample Analytics, Plausible, czy Fachom. Poza znacznym ułatwieniem w kontekście legalności przetwarzania danych osobowych, warto wspierać rodzime firmy i startupy z naszego kraju, czy regionu.

  • Sprawdź, czy polityka prywatności i polityka cookies na Twojej stronie dokładnie opisuje jakie dane i w jaki sposób będziesz wykorzystywał do analizy. Zbyt ogólnie i nieprecyzyjne dokumenty prawne na stronie nie chronią Cię jako przedsiębiorcy. 
Masz pytanie?

Napisz i sprawdź
jak możemy Ci pomóc

Podając swoje dane osobowe, w tym adres e-mail i numer telefonu, a następnie przesyłając formularz, wyrażasz zgodę na skontaktowanie się z Tobą w celu odpowiedzi na zadane pytanie. Zapoznaj się z naszą polityką prywatności.