AEPD odrzuca skargę dotyczącą stosowania Google Analytics
Koniec 2022 r. okazał się bardzo intensywny dla europejskich organów ochrony danych osobowych. Jednym z przykładów decyzji z końca 2022 r. jest decyzja hiszpańskiego organu nadzorczego (AEPD), w której organ ten odrzucił skargę związaną z wykorzystywaniem systemu Google Analytics.
Na pewno pamiętają Państwo “wielką” akcję jednego z europejskich stowarzyszeń zajmujących się ochroną danych osobowych polegającą na wysłaniu do wszystkich europejskich organów ochrony danych osobowych skarg związanych z przetwarzaniem danych osobowych. Skargi te dotyczyły przede wszystkim przetwarzania danych osobowych za pomocą plików cookies oraz wykorzystywania narzędzie statystycznych i możliwości przekazywania takich danych osobowych poza EOG – najczęściej do USA.
W połowie grudnia 2022 r. AEPD wydał decyzję w przedmiotowej sprawie. Postępowanie to zostało zainicjowane skargą:
Pan AAA (zwany dalej stroną skarżącą) w dniu 21 sierpnia 2020 r. złożył skargę do Hiszpańskiej Agencji Ochrony Danych. Roszczenie jest skierowane przeciwko GOOGLE LLC i REAL ACADEMIA ESPAÑOLA (zwane dalej RAE lub strona, której dotyczy roszczenie).
Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
- Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
- Eksperckich tez wybranych orzeczeń
- Decyzji Polskiego Organu Nadzorczego
- Decyzji Europejskich Organów Nadzorczych
- Wytycznych i Opinii EDPB oraz EDPS
- Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram
Osoba ta twierdziła, że:
za pomocą kodu HTML osadzonego w witrynie WWW[.]RAE[.] dane osobowe wnioskodawcy zostały zebrane i przesłane do Stanów Zjednoczonych za pośrednictwem usług Google Analytics i Google Ads zakontraktowanych przez osobę odpowiedzialną za portal, RAE.
podczas wizyty osoby składającej reklamację na w/w stronie RAE przetwarzał jej dane osobowe (przynajmniej adres IP oraz pliki „cookies”) i najwyraźniej część tych danych była przekazywana do Google LLC. Strona skarżąca była zalogowana na swoim koncie Google powiązanym z jej skrzynką odbiorczą.
Strona skarżąca utrzymywała, że przekazywanie danych osobowych do USA przez RAE, ponieważ TSUE unieważnił decyzję w sprawie „Tarczy Prywatności UE-USA” w orzeczeniu C-311 /18 („Schrems II”), a administrator danych nie może już opierać przekazywania danych do Google w USA na decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 RODO.
Organ nadzorczy podjął działania wyjaśniające i we wrześniu 2022 r. potwierdził, że adres URL www[.]rae[.]/info/aviso-legal zawiera następujące informacje:
Identyfikacja i kontakt osoby odpowiedzialnej są zgłaszane, o celu, podstawie prawnej, a także okresie przechowywania, korzystaniu z praw zebranych danych osobowych;
RAE nie przeprowadza międzynarodowych transferów danych ani przydziałów informacji dostarczonych przez użytkowników.
W dniu 10 grudnia 2020 r. RAE przesyła tej Agencji następujące informacje i oświadczenia:
RAE jest spółką prawa publicznego włączoną do Instytutu Hiszpanii;
zgodnie z art. 4 Regulaminu RAE „ główną misją Akademii jest zapewnienie jedności języka hiszpańskiego, w ścisłej współpracy ze wszystkimi uczelniami włączonymi w Stowarzyszenie Akademii Języka Hiszpańskiego (ASALE). ).
Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
- Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
- Eksperckich tez wybranych orzeczeń
- Decyzji Polskiego Organu Nadzorczego
- Decyzji Europejskich Organów Nadzorczych
- Wytycznych i Opinii EDPB oraz EDPS
- Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 30 dni:
- Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
- Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
Wybieram
W uzasadnieniu decyzji AEPD posiłkował się następującymi argumentami uznając, że nie można mówić o naruszeniu RODO w tej sprawie:
(…) korzystanie z narzędzi Google Analityka może mieć na celu uzyskanie dochodu komercyjnego lub biznesowego, w przypadku RAE wspomniane użycie ma jedyny i wyłączny cel realizacji interesu ogólnego jakim jest rozpowszechnianie prawidłowego używania języka hiszpańskiego
Co ważne APED wskazał, że odpowiednia konfiguracja Google Analytics jest kluczem do osiągnięcia zgodności z przepisami:
korzystanie z Google Analytics zostało ograniczone wyłącznie do dostępu do informacji statystycznych i zbiorczych, które nie pozwolą na identyfikację użytkowników
Warto też odnotować, że administrator danych zdecydował się, w grudniu 2020 r., na wyłączenie narzędzia Google Analytics.
