Avstrijski informacijski pooblaščenec: Google Analytics ni v skladu z GDPR

Avstrijski informacijski pooblaščenec (DSB) je ugotovil (odločba v izvirniku), da uporaba Google Analytics krši Splošno uredbo (GDPR). Konkretno gre za kršitev 44. člena, ki ureja splošna načela za prenose v tretje države ali mednarodne organizacije ter jih dovoljuje le, če tudi tam obdelovalec spoštuje GDPR.

Geneza primera sega v julij 2020, ko je Sodišče EU razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu za izvoz osebnih podatkov v ZDA ter trditve Komisije, da je stopnja zaščite osebnih podatkov v ZDA primerljiva z evropsko. Ker je sodišče ugotovilo da, splošnih odpustkov ni in bi to moral posebej dokazovati vsak upravljavec osebnih podatkov za svoj primer. Razveljavitev Privacy Shielda, podobno kot razveljavitev Safe Harborja iz leta 2015, pa ima posledice na vse, ki se ukvarjajo z osebnimi podatki izven meja ZDA. A velikani, kot je Google, so nadaljevali dotedanje prakse, saj so v svoje pogoje uporabe in pogodbe dodali le nekaj vrstic besedila in s tem želeli nadaljevati po starem (Standard Contract Clauses). A sodišče EU je tedaj jasno povedalo, da zakoni, kot sta FISA ali Cloud Act, ZDA omogočajo množično prestrezanje podatkov, kar je v nasprotju z GDPR.

Aktivist Max Schrems je po razsodbi iz leta 2020 (tako imenovana Schrems II) skupaj s skupino Noyb množično vlagal pritožbe zoper tehnološke velikane pri evropskih informacijskih pooblaščencih. Noyb se je pri DSB pritožil avgusta 2020, sprva zoper konkretnega uporabnika Google Analytics, kasneje pa je DSB primer razširil kar na Google kot ponudnika. Z uporabo Google Analytics namreč upravljavec spletne strani osebne podatke obiskovalcev prenaša na Google, ki pa ni izkazal spoštovanja GDPR, zato je tak prenos v nasprotju s 44. členom. Med osebnimi podatki so IP-naslov obiskovalca in parametri brskalnika, ki omogočajo enolično sledenje uporabniku. Da je IP-naslov osebni podatek, so sodišča in informacijski pooblaščenci po EU že konsistentno ugotavljali. Google je ugovarjal, da je sprejel tehnične in organizacijske ukrepe, ki ustrezajo pogojem za obdelavo evropskih osebnih podatkov.

Odločitev DSB je prva. Noyb je vložil 101 primerljivo pritožbo v skoraj vseh država EU. Ta teden je tudi evropski informacijski pooblaščenec opozoril Evropski parlament, da uporaba Google Analytics na njihovih straneh o koronavirusu ni v skladu z zakonodajo. DSB je odločil le o uporabi Google Analytics, tečejo pa še nadaljnji postopki glede ostalih storitev. DSB tudi ni izrekel nobene globe, temveč je z odločitvijo le opozoril upravljavce strani, da naj prilagodijo svojo analitiko. Prav tako DSB ni ugotovil kršitve 44. člena Googla LLC kot upravljavca zbranih podatkov, ker ni evropska pravna oseba. Poteka pa preiskava, ali nemara krši 5., 28. ali 29. člen GDPR.

Slovenskega Informacijskega pooblaščenca tovrstne malenkosti na srečo ne motijo. Skoraj tri leta po opisu primerov dobrih praks, sta dva izmed treh opisanih primerov še vedno natančno takšna, kot sta bila.