Akceptacja plików cookie

Strona korzysta z plików cookie. Zarówno z tych niezbędnych - umożliwiających korzystanie z serwisu oraz z dodatkowych, wspierających analitykę i marketing. Kliknij, aby zaakceptować wybrane pliki cookie.

Czy można używać Google Analytics na legalu?
Ciasteczka
12.01.2022

Użytkownik Facebooka wywołał ten temat pod jednym z moich ostatnich postów na fanpage’u.

Google Analytics (GA) większość osób kojarzy. To narzędzie, pozwalające administratorom strony WWW poznać jak najwięcej informacji o osobach odwiedzających witrynę. Z jego pomocą możesz sprawdzić, ile osób wchodzi w interakcję z Twoją stroną, z jakiego są regionu, czy jakie treści na Twojej witrynie są najpopularniejsze. Sam przyznasz, że brzmi przydatnie. 😊

 

IP a dane osobowe

Aby dostarczyć te funkcje, GA zbiera różne informacje takie jak adres IP użytkownika, jego lokalizację oraz aktywność w sieci (np. ile czasu spędził, na jakich stronach i jak trafił na Twoją stronę). Nawet kilkanaście lat temu takie informacje nie stanowiły danych osobowych. Natomiast z dzisiejszej perspektywy „osobistych” smartfonów taka informacje jak adres IP stanowi daną osobową.

Potwierdza to ostatnia decyzja UODO (Urząd Ochrony Danych Osobowych), dotycząca zarządzania ciasteczkami na stronie jednej z topowych firm zajmujących się tematyką ochrony danych. Firma dostała upomnienie.

 

Jeżeli IP to dane osobowe, to co? RODO. 😊

Używając GA, zbieramy dane o użytkownikach odwiedzających naszą stronę i przesyłamy je do USA. Właśnie proces przesyłania danych osobowych do USA stanowił główny przedmiot orzeczenia Trybunału Sprawiedliwości UE.

 

Kiedy GA można stosować na legalu?

RODO oczywiście pozwala na przesyłanie danych osobowych do państwa spoza Unii Europejskiej, ale tylko w określonych przypadkach. W kontekście przesyłania danych przy użyciu GA mamy trzy możliwości:

  1. Komisja Europejska wyda decyzję w tej sprawie – czyli stwierdzi, że przepisy USA zapewniają ten sam poziom bezpieczeństwa jak przepisy RODO.
  2. Zawierając umowę z Google, zastosujemy tzw. standardowe klauzule umowne, które mają zabezpieczyć dane.
  3. Użytkownik strony wyraził zgodę na przesyłanie danych do USA i został poinformowany o wszelkich ryzykach.

Pamiętaj, proszę, że klauzule umowne stosujemy wtedy, gdy Komisja Europejska nie wydała decyzji. Zgodę z kolei możemy zastosować dopiero gdy nie ma decyzji i nie możemy wprowadzić standardowych klauzul do umowy.

 

Do 2020 było łatwo

W 2016 roku Komisja Europejska uchwaliła tzw. Tarczę Prywatności. To decyzja, według której USA otaczają dane osobowe tym samym poziom bezpieczeństwa co przepisy w UE. Tarcza prywatności była dokumentem, na który mógł się powołać każdy przedsiębiorca z UE korzystający z Google Analytics.

 

Wyrok Schrems II

Wszystko zmienił wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16 lipca 2020 roku. Wyrok jest popularnie nazywany Schrems II, od nazwiska austriackiego aktywisty Maxa Schremsa, który dąży do tego, by giganci technologiczni zaprzestali przesyłania danych osobowych do Stanów Zjednoczonych.

 

Na mocy wyroku TSUE unieważnił Tarczę Prywatności.

Skutek? Od tego dnia przekazywanie danych osobowych na tej podstawie uznać należy za niedopuszczalne – Trybunał nie określił bowiem żadnych przepisów przejściowych mogących zostać uznanych za, chociażby, czasowe rozwiązanie powstałych w wyniku orzeczenia wątpliwości.

Nie możemy powoływać się już na pierwszy ze wskazanych powyżej punktów.

 

Ogólnoeuropejska panika

I w tym momencie w świecie e-commerce nastąpił chaos. Spora liczba osób zaprzestała stosowania GA. Podobne praktyki można zauważyć, w niektórych krajach, gdzie organy państwowe zakazały stosowania GA. Na szczęście, Nasz polski UODO cierpliwie czeka na rozwój sytuacji.

 

Co możemy zrobić?

Z pomocą mogą Nam przyjść SKU, czyli standardowe klauzule umowne. Przypominam, że korzystając z usług Google, możesz zawrzeć aneks o przetwarzaniu danych:

Akceptując aneks, spełniamy wymóg stosowania standardowych klauzul umownych. Problem w tym, że Trybunał w wyroku stwierdził, że same klauzule nie wystarczą. Ponieważ przepisy w USA pozwalają na przekazywanie przez przedsiębiorców danych do organów publicznych, niezbędne jest również wprowadzenie dodatkowych środków zabezpieczających.

 

Maskowanie adresu IP

Google wychodzi tutaj naprzeciw oczekiwaniom europejskich przepisów. Używając GA, masz możliwość wprowadzenia tzw. anonimizacji – maskowania adresu IP. W ten sposób do GA do Stanów Zjednoczonych trafia tylko niepełny adres IP.

Więcej o maskowaniu adresu IP znajdziesz u źródła: https://support.google.com/analytics/answer/2763052?hl=pl&ref_topic=2919631

 

Podsumowanie

Moim zdaniem podpisując aneks oraz wprowadzając maskowanie IP, właściciel strony jest w stanie wykazać zgodność z przepisami RODO, a tym samym może używać GA na legalu.

 

Pomyślisz pewnie:

„Dlaczego nie można po prostu skorzystać ze zgody użytkownika strony na przesyłanie danych do USA?”

Powyżej masz już odpowiedź. 😊 Zgodę można zastosować tylko w przypadku braku standardowych klauzul umownych. Skoro takie klauzule są, nie możemy używać tutaj zgody.

 

PS

Na pocieszenie dodam, że trwają wspólne prace Komisji Europejskiej oraz przedstawicieli administracji Stanów Zjednoczonych nad kolejną umową, która miałaby zastąpić uchyloną Tarczę Prywatności. Dlatego bądźcie dobrej myśli. Myślę, że Google Analytics już za bardzo wsiąknęło w rynek europejski, by całkowicie zakazać jego użycia.