AEPD odrzuca skargę dotyczącą stosowania Google Analytics

Koniec 2022 r. okazał się bardzo intensywny dla europejskich organów ochrony danych osobowych. Jednym z przykładów decyzji z końca 2022 r. jest decyzja hiszpańskiego organu nadzorczego (AEPD), w której organ ten odrzucił skargę związaną z wykorzystywaniem systemu Google Analytics. 

Na pewno pamiętają Państwo “wielką” akcję jednego z europejskich stowarzyszeń zajmujących się ochroną danych osobowych polegającą na wysłaniu do wszystkich europejskich organów ochrony danych osobowych skarg związanych z przetwarzaniem danych osobowych. Skargi te dotyczyły przede wszystkim przetwarzania danych osobowych za pomocą plików cookies oraz wykorzystywania narzędzie statystycznych i możliwości przekazywania takich danych osobowych poza EOG – najczęściej do USA.

W połowie grudnia 2022 r. AEPD wydał decyzję w przedmiotowej sprawie. Postępowanie to zostało zainicjowane skargą:

Pan AAA (zwany dalej stroną skarżącą) w dniu 21 sierpnia 2020 r. złożył skargę do Hiszpańskiej Agencji Ochrony Danych. Roszczenie jest skierowane przeciwko GOOGLE LLC i REAL ACADEMIA ESPAÑOLA (zwane dalej RAE lub strona, której dotyczy roszczenie).

Osoba ta twierdziła, że:

za pomocą kodu HTML osadzonego w witrynie WWW[.]RAE[.] dane osobowe wnioskodawcy zostały zebrane i przesłane do Stanów Zjednoczonych za pośrednictwem usług Google Analytics i Google Ads zakontraktowanych przez osobę odpowiedzialną za portal, RAE.

podczas wizyty osoby składającej reklamację na w/w stronie RAE przetwarzał jej dane osobowe (przynajmniej adres IP oraz pliki „cookies”) i najwyraźniej część tych danych była przekazywana do Google LLC. Strona skarżąca była zalogowana na swoim koncie Google powiązanym z jej skrzynką odbiorczą.

Strona skarżąca utrzymywała, że przekazywanie danych osobowych do USA przez RAE, ponieważ TSUE unieważnił decyzję w sprawie „Tarczy Prywatności UE-USA” w orzeczeniu C-311 /18 („Schrems II”), a administrator danych nie może już opierać przekazywania danych do Google w USA na decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 RODO.

Organ nadzorczy podjął działania wyjaśniające i we wrześniu 2022 r. potwierdził, że adres URL www[.]rae[.]/info/aviso-legal zawiera następujące informacje:

Identyfikacja i kontakt osoby odpowiedzialnej są zgłaszane, o celu, podstawie prawnej, a także okresie przechowywania, korzystaniu z praw zebranych danych osobowych;

RAE nie przeprowadza międzynarodowych transferów danych ani przydziałów informacji dostarczonych przez użytkowników.

W dniu 10 grudnia 2020 r. RAE przesyła tej Agencji następujące informacje i oświadczenia:

RAE jest spółką prawa publicznego włączoną do Instytutu Hiszpanii;

zgodnie z art. 4 Regulaminu RAE „ główną misją Akademii jest zapewnienie jedności języka hiszpańskiego, w ścisłej współpracy ze wszystkimi uczelniami włączonymi w Stowarzyszenie Akademii Języka Hiszpańskiego (ASALE). ).

W uzasadnieniu decyzji AEPD posiłkował się następującymi argumentami uznając, że nie można mówić o naruszeniu RODO w tej sprawie:

(…) korzystanie z narzędzi Google Analityka może mieć na celu uzyskanie dochodu komercyjnego lub biznesowego, w przypadku RAE wspomniane użycie ma jedyny i wyłączny cel realizacji interesu ogólnego jakim jest rozpowszechnianie prawidłowego używania języka hiszpańskiego

Co ważne APED wskazał, że odpowiednia konfiguracja Google Analytics jest kluczem do osiągnięcia zgodności z przepisami:

korzystanie z Google Analytics zostało ograniczone wyłącznie do dostępu do informacji statystycznych i zbiorczych, które nie pozwolą na identyfikację  użytkowników

Warto też odnotować, że administrator danych zdecydował się, w grudniu 2020 r., na wyłączenie narzędzia Google Analytics.