AEPD odrzuca skargę dotyczącą stosowania Google Analytics
Koniec 2022 r. okazał się bardzo intensywny dla europejskich organów ochrony danych osobowych. Jednym z przykładów decyzji z końca 2022 r. jest decyzja hiszpańskiego organu nadzorczego (AEPD), w której organ ten odrzucił skargę związaną z wykorzystywaniem systemu Google Analytics.
Na pewno pamiętają Państwo “wielką” akcję jednego z europejskich stowarzyszeń zajmujących się ochroną danych osobowych polegającą na wysłaniu do wszystkich europejskich organów ochrony danych osobowych skarg związanych z przetwarzaniem danych osobowych. Skargi te dotyczyły przede wszystkim przetwarzania danych osobowych za pomocą plików cookies oraz wykorzystywania narzędzie statystycznych i możliwości przekazywania takich danych osobowych poza EOG – najczęściej do USA.
W połowie grudnia 2022 r. AEPD wydał decyzję w przedmiotowej sprawie. Postępowanie to zostało zainicjowane skargą:
Pan AAA (zwany dalej stroną skarżącą) w dniu 21 sierpnia 2020 r. złożył skargę do Hiszpańskiej Agencji Ochrony Danych. Roszczenie jest skierowane przeciwko GOOGLE LLC i REAL ACADEMIA ESPAÑOLA (zwane dalej RAE lub strona, której dotyczy roszczenie).
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.Osoba ta twierdziła, że:
za pomocą kodu HTML osadzonego w witrynie WWW[.]RAE[.] dane osobowe wnioskodawcy zostały zebrane i przesłane do Stanów Zjednoczonych za pośrednictwem usług Google Analytics i Google Ads zakontraktowanych przez osobę odpowiedzialną za portal, RAE.
podczas wizyty osoby składającej reklamację na w/w stronie RAE przetwarzał jej dane osobowe (przynajmniej adres IP oraz pliki „cookies”) i najwyraźniej część tych danych była przekazywana do Google LLC. Strona skarżąca była zalogowana na swoim koncie Google powiązanym z jej skrzynką odbiorczą.
Strona skarżąca utrzymywała, że przekazywanie danych osobowych do USA przez RAE, ponieważ TSUE unieważnił decyzję w sprawie „Tarczy Prywatności UE-USA” w orzeczeniu C-311 /18 („Schrems II”), a administrator danych nie może już opierać przekazywania danych do Google w USA na decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 RODO.
Organ nadzorczy podjął działania wyjaśniające i we wrześniu 2022 r. potwierdził, że adres URL www[.]rae[.]/info/aviso-legal zawiera następujące informacje:
Identyfikacja i kontakt osoby odpowiedzialnej są zgłaszane, o celu, podstawie prawnej, a także okresie przechowywania, korzystaniu z praw zebranych danych osobowych;
RAE nie przeprowadza międzynarodowych transferów danych ani przydziałów informacji dostarczonych przez użytkowników.
W dniu 10 grudnia 2020 r. RAE przesyła tej Agencji następujące informacje i oświadczenia:
RAE jest spółką prawa publicznego włączoną do Instytutu Hiszpanii;
zgodnie z art. 4 Regulaminu RAE „ główną misją Akademii jest zapewnienie jedności języka hiszpańskiego, w ścisłej współpracy ze wszystkimi uczelniami włączonymi w Stowarzyszenie Akademii Języka Hiszpańskiego (ASALE). ).
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.W uzasadnieniu decyzji AEPD posiłkował się następującymi argumentami uznając, że nie można mówić o naruszeniu RODO w tej sprawie:
(…) korzystanie z narzędzi Google Analityka może mieć na celu uzyskanie dochodu komercyjnego lub biznesowego, w przypadku RAE wspomniane użycie ma jedyny i wyłączny cel realizacji interesu ogólnego jakim jest rozpowszechnianie prawidłowego używania języka hiszpańskiego
Co ważne APED wskazał, że odpowiednia konfiguracja Google Analytics jest kluczem do osiągnięcia zgodności z przepisami:
korzystanie z Google Analytics zostało ograniczone wyłącznie do dostępu do informacji statystycznych i zbiorczych, które nie pozwolą na identyfikację użytkowników
Warto też odnotować, że administrator danych zdecydował się, w grudniu 2020 r., na wyłączenie narzędzia Google Analytics.