AEPD odrzuca skargę dotyczącą stosowania Google Analytics

Koniec 2022 r. okazał się bardzo intensywny dla europejskich organów ochrony danych osobowych. Jednym z przykładów decyzji z końca 2022 r. jest decyzja hiszpańskiego organu nadzorczego (AEPD), w której organ ten odrzucił skargę związaną z wykorzystywaniem systemu Google Analytics. 

Na pewno pamiętają Państwo “wielką” akcję jednego z europejskich stowarzyszeń zajmujących się ochroną danych osobowych polegającą na wysłaniu do wszystkich europejskich organów ochrony danych osobowych skarg związanych z przetwarzaniem danych osobowych. Skargi te dotyczyły przede wszystkim przetwarzania danych osobowych za pomocą plików cookies oraz wykorzystywania narzędzie statystycznych i możliwości przekazywania takich danych osobowych poza EOG – najczęściej do USA.

W połowie grudnia 2022 r. AEPD wydał decyzję w przedmiotowej sprawie. Postępowanie to zostało zainicjowane skargą:

Pan AAA (zwany dalej stroną skarżącą) w dniu 21 sierpnia 2020 r. złożył skargę do Hiszpańskiej Agencji Ochrony Danych. Roszczenie jest skierowane przeciwko GOOGLE LLC i REAL ACADEMIA ESPAÑOLA (zwane dalej RAE lub strona, której dotyczy roszczenie).

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Osoba ta twierdziła, że:

za pomocą kodu HTML osadzonego w witrynie WWW[.]RAE[.] dane osobowe wnioskodawcy zostały zebrane i przesłane do Stanów Zjednoczonych za pośrednictwem usług Google Analytics i Google Ads zakontraktowanych przez osobę odpowiedzialną za portal, RAE.

podczas wizyty osoby składającej reklamację na w/w stronie RAE przetwarzał jej dane osobowe (przynajmniej adres IP oraz pliki „cookies”) i najwyraźniej część tych danych była przekazywana do Google LLC. Strona skarżąca była zalogowana na swoim koncie Google powiązanym z jej skrzynką odbiorczą.

Strona skarżąca utrzymywała, że przekazywanie danych osobowych do USA przez RAE, ponieważ TSUE unieważnił decyzję w sprawie „Tarczy Prywatności UE-USA” w orzeczeniu C-311 /18 („Schrems II”), a administrator danych nie może już opierać przekazywania danych do Google w USA na decyzji stwierdzającej odpowiedni stopień ochrony zgodnie z art. 45 RODO.

Organ nadzorczy podjął działania wyjaśniające i we wrześniu 2022 r. potwierdził, że adres URL www[.]rae[.]/info/aviso-legal zawiera następujące informacje:

Identyfikacja i kontakt osoby odpowiedzialnej są zgłaszane, o celu, podstawie prawnej, a także okresie przechowywania, korzystaniu z praw zebranych danych osobowych;

RAE nie przeprowadza międzynarodowych transferów danych ani przydziałów informacji dostarczonych przez użytkowników.

W dniu 10 grudnia 2020 r. RAE przesyła tej Agencji następujące informacje i oświadczenia:

RAE jest spółką prawa publicznego włączoną do Instytutu Hiszpanii;

zgodnie z art. 4 Regulaminu RAE „ główną misją Akademii jest zapewnienie jedności języka hiszpańskiego, w ścisłej współpracy ze wszystkimi uczelniami włączonymi w Stowarzyszenie Akademii Języka Hiszpańskiego (ASALE). ).

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

W uzasadnieniu decyzji AEPD posiłkował się następującymi argumentami uznając, że nie można mówić o naruszeniu RODO w tej sprawie:

(…) korzystanie z narzędzi Google Analityka może mieć na celu uzyskanie dochodu komercyjnego lub biznesowego, w przypadku RAE wspomniane użycie ma jedyny i wyłączny cel realizacji interesu ogólnego jakim jest rozpowszechnianie prawidłowego używania języka hiszpańskiego

Co ważne APED wskazał, że odpowiednia konfiguracja Google Analytics jest kluczem do osiągnięcia zgodności z przepisami:

korzystanie z Google Analytics zostało ograniczone wyłącznie do dostępu do informacji statystycznych i zbiorczych, które nie pozwolą na identyfikację  użytkowników

Warto też odnotować, że administrator danych zdecydował się, w grudniu 2020 r., na wyłączenie narzędzia Google Analytics.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności