Početna Blog Francusko nadzorno tijelo dalo je upute o korištenju Google Analyticsa

Francusko nadzorno tijelo dalo je upute o korištenju Google Analyticsa

Svi članci
14.06.2022.

Francusko nadzorno tijelo je izdalo obavijest o korištenju Google Analyticsa, zbog prijenosa podataka u Sjedinjene Američke. Koje su posljedice za organizacije?

 

S obzirom na često postavljena pitanja oko korištenja GA francusko nadzorno tijelo je reagiralo i izdalo uputu te objavilo obavijest vezano uz navedeno.

Zajednička izjava Europske komisije i Sjedinjenih Država u ožujku 2022. o budućoj odluci koja bi zamijenila ˝Privacy Shield˝ ima za cilj pružiti zadovoljavajući pravni okvir koji bi omogućio nesmetani protok podataka u Sjedinjene Države. No, trenutno se radi samo o političkoj najavi. EDPS je 6. travnja objavio priopćenje u kojem je pojasnio da spomenuta zajednička izjava ne predstavlja pravni okvir na koji se organizacije mogu osloniti za prijenos podataka u Sjedinjene Države. Što je naravno svima i jasno, no nekako pruža tračak nade da će se situacija razriješiti.

 

Ukratko, čega se sve trebamo sjetiti, na što su nadzorna tijela upozoravala, osobito francuski CNIL?

Dana 16. srpnja 2020., Sud Europske unije donio je presudu koja je značajno utjecala na poslovanje svih: Privacy Shield, koji je regulirao prijenos podataka između Europske unije i Sjedinjenih Država, ˝poništen je˝ jer nije nudio ispitanicima odgovarajuće mjere zaštite od rizika nezakonitog pristupa američkih vlasti osobnim podacima svih na području EU.

Samo uspostava dodatnih tehničkih, pravnih i organizacijskih mjera zaštite od strane organizacija za sprječavanje takvog pristupa trenutno jedino rješava probleme svih koji GA žele i dalje koristiti.

U kolovozu 2020. udruga NOYB podnijela je 101 pritužbu raznim europskim, nadzornim tijelima za zaštitu podataka u vezi web stranica koje koriste pružatelje usluga iz SAD-a, posebno Facebook i GA. Na taj način vrši se dodatan pritisak na sve da usklade svoje poslovanje.

 

Odluke

U službenoj obavijesti objavljenoj 10. veljače 2022. koja se odnosi na jednu od francuskih organizacija, CNIL je smatrao da:

  • mjere koje je uveo Google nisu dovoljne da isključe mogućnost pristupa podacima ispitanika EU;
  • podaci europskih korisnika interneta se stoga ilegalno prenose putem GA alata.

Navedeno nije jedina odluka, niti je jedina koju je donijelo neko nadzorno tijelo na području EU, a o čemu smo već ranije pisali.

 

Zašto su službene obavijesti većine nadzornih tijela koje iste objavljuju na internetu anonimizirane?

Svaka država članica mogla je pojedina pitanja vezana uz zaštitu privatnosti i osobnih podataka, do mjere u kojima nisu suprotna sa Općom uredbom o zaštiti podataka, urediti posebnim zakonom.

Upravo zbog gore navedenog kao i zbog prakse pojedinih nadzornih tijela ili primjene nekih drugih posebnih zakona u pojedinoj zemlji neke zemlje anonimiziraju prilikom objava podatke o organizacijama kojima su izrečene mjere.

Jedna od službenih obavijesti koja se odnosi na korištenje GA anonimno je objavljena i na web stranici CNIL-a 16. veljače 2022.

CNIL je Odluku anonimizirao jer se nije činilo korisnim citirati naziv organizacije, ali i jer posebni propisi te zemlje omogućavaju navedenu radnju.

Neke zemlje imaju propisano da se mora objaviti tko je kažnjen i kolika je kazna stoga treba biti oprezan jer izricanje bilo koje mjere osobito novčane kazne može štetiti ugledu i dovesti do gubitka klijenata, kupaca i/ili nemogućnosti uspjeha na nekim tenderima.

 

Imaju li organizacije rok  nakon kojeg moraju ispoštovati uputu koju dobiju od nadzornog tijela?

Organizacije koje su dobile službenu obavijest ili uputu nadzornog tijela imaju i rok za izvršenje koji određuju nadzora tijela.

Rok za izvršenje upute se može razlikovati, može biti mjesec dana, a može biti kraći ili duži, sve ovisi od upute nadzornog tijela.  U većini slučajeva ukoliko organizacija smatra da je nemoguće izvršiti sve što je naložilo nadzorno tijelo u traženom roku, može se tražiti produljenje roka, naravno uz dobro obrazloženje koje će prihvatiti nadzorno tijelo.

Ono što svima treba biti jasno da svi, makar se direktno na njih ne odnosi obavijest odnosno uputa nadzornog tijela iste se svi trebaju pridržavati kako bi izbjegli u budućnosti bilo kakvu mjeru ili novčanu kaznu. Preuzimanje rizika može koštati različiti iznos novca, shodno tome, ako ste skloni riskirati pazite da dobro procijenite i izračunate rizike.

 

Je li odluka CNIL-a posljedica tumačenja presude "Schrems II"  i jesu li takvo tumačenje preuzela druga nadzorna tijela?

Europska nadzorna tijela kojima je udruga NOYB uputila pritužbe na temu transfera podataka u treće zemlje organizirala su se u skupinu koja zajedno radi na rješavanju pravnih pitanja postavljenim u tim predmetima. Uloga svih nadzornih tijela trebala bi biti usklađivanje stajališta vezanih uz prijenos podataka u treće zemlje.

Odluka CNIL-a stoga nije prva na europskoj razini, a nije ni zadnja: mjesec dana prije CNIL-a, austrijsko tijelo za zaštitu podataka donijelo je odluku koja ide u istom smjeru kao i francuska.

 

Zašto se sve pritužbe udruge NOYB  nisu rješavale u isto vrijeme?

Sve pritužbe koje je udruga NOYB uputila CNIL-u bile su predmet koordiniranog istraživanja međutim, situacije su ispitivane od slučaja do slučaja i prema očitovanjima organizacija.

Sve organizacije u Francuskoj čija je upotreba Google Analyticsa bila predmet pritužbi sada su predmet nadzornih tijela i svih njih tiču se obavijesti i upute ovog nadzornog tijela.

 

Što se tiče korištenja alata Google Analytics-a - mogu li standardne ugovorne klauzule i dodatna jamstva omogućiti korištenje Google Analyticsa?

Organizacije koje su dobile uputu ili pritužbu o korištenju servisa čiji pružatelji usluga prenose podatke u SAD ili treće zemlje, pokušale su riješiti problem potpisivanjem standardnih ugovornih klauzula s Google-om.

Ono što je nadzorno tijelo utvrdilo je da standardne ugovorne klauzule same po sebi ne mogu osigurati dovoljnu razinu zaštite u slučaju zahtjeva za pristup stranim tijelima, posebno ako je takav pristup predviđen lokalnim zakonima.

CNIL se obratio i Google-u.

U svom odgovoru na zahtjeve CNIL-a, Google je naznačio da je uveo dodatne pravne, organizacijske i tehničke mjere, koje su se međutim opet smatrale nedovoljnima za osiguravanje učinkovite zaštite prenesenih osobnih podataka, posebno protiv zahtjeva za zaštitu podataka za pristup podacima od strane američkih obavještajnih službi.

 

Je li moguće konfigurirati alat Google Analytics tako da ne prenosi osobne podatke izvan Europske unije?

Po CNIL-u ne.

U odgovoru na upitnik koji je poslao CNIL Google-u, Google je naveo da su svi podaci prikupljeni putem Google Analyticsa smješteni u Sjedinjenim Državama .

Čak i u nedostatku prijenosa podataka, korištenje rješenja koje nude tvrtke pod neeuropskim jurisdikcijama predstavljati će poteškoće u smislu pristupa podacima.

Doista, tijela trećih zemalja mogu obvezati organizacije da otkriju osobne podatke koji se nalaze na njihovim podatkovnim centrima koji se nalaze u Europskoj uniji.

 

Je li moguće konfigurirati Google Analytics tako da se u Sjedinjene Američke Države prenose samo anonimni podaci?

Kao dio službene obavijesti, Google je naveo da koristi mjere pseudonimizacije, ali ne i anonimizaciju . Google nudi funkciju anonimizacije IP adrese, ali to nije primjenjivo na sve prijenose. Nadalje, elementi koje pruža Google ne omogućuju utvrđivanje hoće li se ova anonimizacija dogoditi prije prijenosa u Sjedinjene Države.

Također, samo korištenje jedinstvenih identifikatora za razlikovanje pojedinaca može pomoći da se podaci mogu identificirati, posebno kada se kombiniraju s drugim informacijama kao što su metapodaci preglednika i operativnog sustava. Ovi podaci omogućuju precizno praćenje korisnika, u nekim slučajevima na više zasebnih uređaja. Ako EDPS prihvati tu mogućnost korištenja pseudonimizacije kao dodatne mjere, njezino korištenje podliježe analizi koja ima za cilj osigurati da sve prenesene informacije ni na koji način ne dopuštaju ponovnu identifikaciju osobe.

Konačno, korištenje GA zajedno s drugim Googleovim uslugama, uključujući marketing, povećava rizik od praćenja (primjerice, mogu omogućiti unakrsno provjeravanje IP adrese i na taj način pratiti povijest pregledavanja većine korisnika interneta na velikom broju stranica).

 

Razlika između anonimizacije i pseudonimizacije

Pseudonimizacija je obrada osobnih podataka na način da se podaci koji se odnose na fizičku osobu više ne mogu dodijeliti bez dodatnih informacija. U praksi se pseudonimizacija sastoji od zamjene podataka koji izravno identificiraju (prezime, ime, itd.) odnosno od skupa podataka s neizravnim identifikacijskim podacima (pseudonim, redni broj, itd.).

Anonimizacija se sastoji u korištenju skupa tehnika na način da onemogućuje, u praksi, bilo kakvu identifikaciju osobe (na bilo koji način i nepovratno). Anonimizirani podaci više ne podliježu GDPR-u.

 

Može li šifriranje biti dovoljna dodatna zaštita?

Da, ali pod određenim uvjetima.

Provedba enkripcije podataka od strane Googlea pokazala se nedostatnom tehničkom mjerom jer Google LLC sam šifrira podatke i ima obvezu odobriti pristup ili dati uvezene podatke nadležnim tijelima, a koje ima u svom posjedu, uključujući ključeve za šifriranje potrebne da podaci budu razumljivi. 

 

Google LLC zadržava mogućnost pristupa podacima fizičkih osoba, a takve se tehničke mjere u ovom slučaju ne mogu smatrati učinkovitima (vidi preporuke Europskog odbora za zaštitu podataka o dodatnim mjerama za prijenose, točku 85.).

Šifriranje upravo zbog gore navedenih razloga nije dovoljno dodatno jamstvo ako organizacija koja podliježe zahtjevima američkih vlasti može pristupiti osobnim podacima pa i u običnom tekstu.

Kako bi se enkripcija smatrala dovoljnim dodatnim jamstvom, ključevi za šifriranje posebno bi se trebali držati pod isključivom kontrolom izvoznika podataka ili drugih subjekata osnovanih na teritoriju koji nudi odgovarajuću razinu zaštite (vidi preporuke 01/2020. Europskog odbora za zaštitu podataka, točka 84.).

 

Postoje li dovoljne dodatne mjere zaštite za nastavak korištenja samo alata Google Analytics?

Nijedno od dodatnih jamstava predstavljenih CNIL-u, a ni drugim nadzornim tijelima, kako se za sada čini ne bi spriječilo ili učinilo neučinkovitim pristup američkih obavještajnih službi osobnim podacima europskih korisnika.

Može se predvidjeti rješenje koje omogućuje uključivanje proxy poslužitelja (ili “proxy”) kako bi se izbjegao bilo kakav izravan kontakt između terminala korisnika interneta i poslužitelja mjernog alata. Međutim, mora se osigurati da ovaj poslužitelj ispunjava niz kriterija kako bi se moglo smatrati da je ova dodatna mjera u skladu s onim što je EDPS propisao u svojim preporukama od 18. lipnja 2021.

 

Je li moguće nastaviti s prijenosom podataka uz izričit pristanak pojedinaca?

Izričiti pristanak ispitanika jedno je od mogućih odstupanja predviđenih u određenim posebnim slučajevima člankom 49. GDPR-a. Međutim, kako je navedeno u smjernicama Europskog odbora za zaštitu podataka o tim odstupanjima, oni se mogu koristiti samo za određene prijenose i ne mogu predstavljati trajno i dugoročno rješenje.

 

Postoje li alternativni alati?

CNIL je objavio popis alata za mjerenje publike koji mogu biti izuzeti od pristanka kada su ispravno konfigurirani.

Ovaj popis uključuje alate koji su već uspjeli dokazati nadzornom tijelu da se mogu konfigurirati tako da budu ograničeni na ono što je strogo potrebno za pružanje usluge, te stoga ne zahtijevaju pristanak korisnika.

Moramo naglasiti kako ovaj popis nije prošao provjeru vezano uz međunarodne transfere.

 

Kako osigurati da alati za mjerenje publike odnosno alati koje koriste pružatelji usluga ne prenose podatke u ˝neprikladnu˝ treću zemlju?

U slučaju da predviđeni alat prenosi podatke izvan Europske unije ili kada tvrtka koja objavljuje alat ima kapitalne ili organizacijske veze s matičnom tvrtkom koja se nalazi u zemlji koja pruža mogućnost da obavještajne službe zahtijevaju pristup osobnim podacima koji se nalaze u drugoj zemlji teritorija, potrebno je ocijeniti pravni okvir treće zemlje.

Ova se procjena može temeljiti na:

  • odlukama CJEU-a ili Europskog suda za ljudska prava, koji su mogli ocijeniti usklađenost pojedinih zakona s europskim standardima u pogledu zaštite podataka.
  • Preporukama nadzornih tijela, u kojima su, na primjer , detaljno opisane bitne zaštitne mjere koje se moraju osiguravati, u smislu nadzora, u trećoj zemlji prilikom procjene razine zaštite podataka.

Također se može razmotriti korištenje metode proxyifikacije koja omogućuje, kada je dobro konfigurirana, slanje samo pseudonimiziranih podataka poslužitelju koji se nalazi izvan Europske unije.

 

Mogu li voditelji obrade temeljiti procjenu pravnog okvira treće zemlje i procjenu prijenosa na riziku, uzimajući u obzir postotak vjerojatnosti zahtjeva za pristup podacima od strane nadležnih tijela treće zemlje?

Ne.

Osobni podaci koji se prenose u zemlju izvan Europske unije moraju imati zaštitu koja je "pravno i značajno ekvivalentna" onoj zajamčenoj u EU.

Konkretno, mogućnost nezakonitog pristupa osobnim podacima koji nadilazi ono što je potrebno i proporcionalno u demokratskom društvu od strane javnih tijela ozbiljno narušava temeljna prava i slobode ispitanika.

U slučaju da je taj pristup moguć (a ne samo kada je pristup vjerojatan) i da jamstva koja reguliraju izdavanje zahtjeva za pristup podacima ne omogućuju jamčenje razine zaštite podataka koja je u osnovi jednaka onoj zajamčenoj u Europskoj uniji (vidjeti preporuke EDPS-a o bitnim zaštitnim mjerama), potrebno je poduzeti dodatne tehničke mjere kako bi se ovaj pristup učinio nemogućim ili neučinkovitim. Spomenute su mjere predviđene u preporukama o dodatnim mjerama prijenosa Europskog odbora za zaštitu podataka.

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori

Vaša privatnost i osobni podaci su nam bitni. Sukladno novoj Općoj uredbi o zaštiti podataka ažurirali smo naša Pravila privatnosti .

Kako bi se osigurao ispravan rad ovih web-stranica, ponekad na vaše uređaje pohranjujemo male podatkovne datoteke poznate pod nazivom kolačići.

Više o Pravilima privatnosti pročitajte ovdje.

Više o Pravilima o korištenju kolačića pročitajte ovdje.

 

Postavke o kolačićima možete urediti i/ili ažurirati ili obrisati prilikom svakog posjeta našoj stranici pod ˝Uredi privole˝. O svemu više pročitajte u Pravilima o korištenju kolačića.

Google tag manager
Google analytics