Európske dozorné orgány sa začínajú zaoberať prenosmi osobných údajov európskych užívateľov do USA. Do pozornosti sa dostala predovšetkým služba Google Analytics.
Podľa rakúskeho dozorného orgánu porušuje
služba Google Analytics GDPR,
keďže dochádza k prenosu dát užívateľov na servery v USA. Za
problematické považujú americké zákony, ktoré umožňujú zdieľanie dát užívateľov
s americkými agentúrami v prípade, ak ich tie vyžiadajú. Na tieto
praktiky americkej vlády upozornil aj známy whistleblower Edward Snowden.
Za problematický považuje Google Analytics aj Európsky dozorný úrad pre ochranu údajov (EDPS), ktorý z rovnakých dôvodov pokarhal Európsky parlament. Ten využíval služby Google Analytics a Stripe na webovej stránke slúžiacej na testovanie COVID-19. O nezákonnosti prenosu údajov do USA pri využívaní Google Analytics rozhodol už aj francúzsky dozorný orgán. Obe rozhodnutia nadväzujú na 101 sťažností podaných občianskym združením noyb, z ktorých sa tri týkajú aj slovenských webových stránok.
Používanie Google Analytics je zvýšené riziko pre prevádzkovateľa webstránky
Známe rakúske rozhodnutie konštatujúce
porušovanie GDPR pri používaní Google Analytics hodnotilo jeho nastavenie
a zmluvnú dokumentáciu z augusta 2020. Google zareagoval prijatím novej
zmluvnej dokumentácie aj dodatočných opatrení platných pre Google Analytics vychádzajúcich
aj z kľúčových odporúčaní Európskeho výboru pre ochranu údajov v septembri
2021. Aktuálne tak panuje neistota v tom, že či aj pri aplikovaní týchto „nových“ dodatočných záruk a využití nových nastavení zo strany prevádzkovateľa webstránky, by používanie Google Analytics mohlo viesť k porušovaniu GDPR.
Kým sa situácia pod vplyvom ďalšej rozhodovacej praxe dozorných orgánov viac nevyjasní, bude existujúce riziko vhodné zmierniť najmä súhrnom viacerých opatrení, a to najmä:
- používaním funkčnej opt-in lišty na udelenie súhlasu / nesúhlasu s cookies,
- uzatvorením zmluvy o spracúvaní osobných údajov a nových štandardných zmluvných doložiek,
- nepovolením spracúvania celej IP adresy pre Google,
- vypnutím zdieľania údajov a využívania údajov na reklamné účely pre Google v nastaveniach Google Analytics,
- deaktivovaním funkcie User ID Google,
- vykonaním rizikového posúdenia cezhraničného prenosu do USA (tzv. Transfer Impact Assessment) a podľa jeho záveru sa definitívne rozhodnúť, či Google Analytics možno v podmienkach konkrétneho prevádzkovateľa využívať.
Komplexné riešenie v nedohľadne
Napriek záujmu Európskej komisie a dozorných orgánov viacerých členských krajín stále nie sú problémy súvisiace s prenosmi dát do USA vyriešené. Dostupné alternatívy sú podľa odborníka na ochranu osobných údajov buď zmeny v legislatíve USA na federálnej úrovni, alebo výrazné obmedzenia ziskov amerických firiem.
„Ideálne by bolo, aby Spojené štáty opäť získali status primeranosti, čo je však po zrušení predchádzajúcich dvoch rozhodnutí Komisie možné len v prípade schválenia nového federálneho zákona, podobného GDPR. To však podľa aktuálnych informácií nepovažujem v blízkej budúcnosti za reálne. Alternatívou je oddelenie serverov a uchovávanie dát spadajúcich pod GDPR v Európskom hospodárskom priestore, čo by zo strany amerických spoločností vyžadovalo viaceré investície. V prípade nevhodne zvolenej stratégie by mohlo dôjsť tiež k zníženiu presnosti poskytovaných cielených či analytických služieb. S ohľadom na komplexnosť tzv. FISA legislatívy navyše nevedia často ani špecializovaní americkí právnici s istotou povedať, či by sa na americké entity a ich dcérske spoločnosti problematický zákon naďalej nevzťahoval,“ sumarizuje advokát Jakub Berthoty z Dagital Legal.
Ak chcú užívatelia služieb ako Google Analytics dodržiavať GDPR, nemajú veľa možností. „Klientom odporúčame využívať softvér inštalovateľný na ich vlastný webový server, prípadne zvážiť európskych poskytovateľov. To sú aktuálne 100 % bezpečné možnosti, ako predísť v tomto ohľade rozporu s GDPR. Uzatvorenie dodatkov k zmluvám s Google, ako Data Processing Agreement (DPA) a Standard Contractual Clauses (SCC), či vykonanie ďalších doplnkových opatrení sú len kroky na zmiernenie dôsledkov na ochranu osobných údajov,“ upozorňuje Jakub Berthoty a uzatvára: „Najmä je však v prípade akýchkoľvek prenosov do USA a krajín s podobným statusom nevyhnutné vykonať tzv. transfer impact assessment, ktorým sa vyhodnotí bezpečnosť a okolnosti daného prenosu. Dozorné orgány v celej EÚ sa naň začínajú stále viac sústreďovať.“ Práve výsledok takéhoto posúdenia by mal podľa Berthotyho poskytnúť aj konkrétnu odpoveď, či nejakú službu z tretej krajiny používať, alebo radšej nie.
Zdroj: CHAPTER 4 Slovakia
