1. Google Analytics GDPR szempontból – A francia adatvédelmi hatóság gyakori kérdései és válaszai
A francia adatvédelmi hatóság (CNIL) közzétette a Google Analytics használatával kapcsolatos, gyakori kérdéseket és válaszokat tartalmazó állásfoglalását, amely magában foglalja az azzal kapcsolatos ellentétes álláspontokat, lehetséges alternatív megoldásokat, valamint tartalmaz egy, az adattovábbításra vonatkozó szabályokkal összhangban álló látogatottság-mérésre alkalmas megoldás használatára vonatkozó útmutatást is. Az állásfoglalás kiadására azt követően került sor, hogy a CNIL a weboldalukon Google Analyticset alkalmazó francia vállalatoknak hatósági döntéseket, illetve felszólításokat küldött, amelyekben felhívta a vállalatok figyelmét, hogy a Google Analytics GDPR szempontból nem felel meg a nemzetközi adattovábbításra vonatkozó rendelkezéseknek.
Előzmények az adatvédelem területén
Az osztrák None of your business („NOYB”) nevezetű adatvédelmi egyesület Google Analytics mint látogatottság-mérés céljából alkalmazott megoldással kapcsolatos panaszait követően a CNIL több hatósági döntést is címzett azoknak a francia vállalatoknak, melyek a Google Analyticset használták weboldalukon. Ezek hátterében az európai adatvédelmi hatóságok határozatai, valamint az Európai Unió Bíróságának (EUB) Schrems II. ítélete húzódnak – a Schrems II. ítélet által érvénytelenítetésre került az ún. adatvédelmi pajzs, és adatvédelem kapcsán a többletkötelezettségeket – mint kockázatértékelés és adatbiztonsági intézkedések – írt elő az adatkezelők számára, amennyiben azok csupán a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek alkalmazták.
A CNIL csak egy anonimizált hatósági döntést hozott nyilvánosságra 2022 februárjában. E döntésben a CNIL megállapította, hogy a Google Analytics mint látogatottságmérés céljából alkalmazott megoldás használata nem áll összhangban a GDPR rendelkezéseivel, mivel a Google Analytics a sütik (cookie) által gyűjtött személyes adatokat anélkül továbbítja az Egyesült Államokba, hogy a személyes adatokhoz való esetleges hatósági hozzáférés megakadályozása érdekében megfelelő intézkedések alkalmazására kerülne sor. Bár a Google a Schrems II. ítélet megállapításaira tekintettel tett már erőfeszítéseket további biztonsági intézkedések bevezetése kapcsán, a CNIL úgy véli, hogy ez még mindig nem elegendő.
A CNIL a weboldalak látogatottságának mérésre alkalmas sütik segítségével gyűjtött személyes adatok anonimizálását ajánlja. Ily módon a látogatottság-mérés aggálymentesen alkalmazható lenne, mivel a Franciaországban alkalmazandó szabályozás értelmében alapvetően a felhasználó hozzájárulása szükséges a weboldal látogatottságának mérésére alkalmas sütik használata esetében. A felhasználó hozzájárulásának beszerzése alóli mentesség csak olyan eszközök, megoldások esetében alkalmazható, amelyek megfelelnek a CNIL által közzétett összesített kritériumoknak, amelyek közül az egyik például az, hogy csak statisztikai, anonim adatok generálására kerüljön sor az adott eszköz, megoldás alkalmazása során. Az adatkezelőnek azonban továbbra is biztosítania kell, hogy az EU-n kívüli harmadik országokba történő adattovábbítás megfeleljen az alapvető adatvédelmi követelményeknek.
Az adatvédelmi hatósági döntések hátterében húzódó indokok megismertetése és lehetséges alternatív megoldások biztosítása érdekében a CNIL 2022. június 7-én közzétette a Google Analytics GDPR szempontú állásfoglalását gyakori kérdések és válaszok formájában, valamint ezzel együtt iránymutatást kínált a látogatottság-mérésre alkalmas technikai megoldások használatáról.
1.2. A CNIL által közzétett állásfoglalás – gyakori kérdések és válaszok az adatvédelem kapcsán – főbb pontjai
A Google Analyticset alkalmazó valamennyi vállalat érintett a kérdésben
A gyakori kérdéseket és válaszokat tartalmazó állásfoglalás rövid, és nem nyújt sokkal több információt, mint amit a 2022 februárjában közzétett anonimizált hatósági döntés már tartalmazott. A NOYB egyesület 101 panaszosának körében szereplő valamennyi francia vállalat hivatalos felszólítást tartalmazó adatvédelmi hatósági döntést kapott a CNIL-től a Google Analytics használatával kapcsolatosan, és 1 hónap – kérésre meghosszabbítható -határidejük van a megfelelő gyakorlat kialakítására.
A gyakori kérdések és válaszok célja, hogy a CNIL egyértelművé tegye, hogy az egyetlen, 2022. februárjában közzétett anonimizált határozat előírásai úgy értendőek, hogy azok a Google Analyticset használó valamennyi vállalatra vonatkoznak, és nem csak azokra, amelyek hivatalos felszólítást kaptak.
A kockázatalapú megközelítés elutasítása
A CNIL úgy véli, hogy a Google által alkalmazott további jogi, szervezeti és technikai jellegű garanciák, például a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek alkalmazása és a kiegészítő biztonsági intézkedések továbbra sem lesznek elegendőek az EU-n kívüli hatóságok uniós állampolgárok személyes adataihoz való hozzáférésének megakadályozására, mivel a Google továbbra is amerikai joghatóság alá tartozik.
A CNIL kategorikusan és mereven elutasítja a kockázatalapú megközelítést, és úgy véli, hogy a kockázatok mindaddig fennállnak, amíg a személyes adatokhoz való hozzáférés lehetséges – a CNIL szerint, még ha az amerikai hatóságoknak a Google Analytics által gyűjtött adatokhoz való hozzáférése nem is valószínű (- ami annyit tesz, hogy a gyakorlatban a hatóságok nem nyújtanak be adatokhoz való hozzáférésre irányuló kérelmet -), amíg a hozzáférés technikailag lehetséges, addig megfelelő biztonságtechnikai intézkedésekre van szükség az esetleges hozzáférés lehetetlenné vagy hatástalanná tétele érdekében.
A CNIL egyértelműen kijelenti, hogy a döntő kérdés nem az, hogy „valószínű-e, hogy a külföldi hatóságok hozzáférnek az adatokhoz?”, hanem az egyetlen releváns kérdés az, hogy „lehetséges-e, hogy a külföldi hatóságok hozzáférnek az adatokhoz?”.
A mai napig csak az osztrák adatvédelmi hatóság (DSB) adott hangot a kockázatalapú megközelítés hasonlóan merev elutasításának 2022. április 22-én kiadott határozatában.
A Google Analytics beállításainak módosítása mint intézkedés: Nem elegendő
A Google Analytics GDPR tekintetű beállításainak módosítása (például az IP-cím feldolgozására vonatkozó jellemzők megváltoztatása, a személyes adatoknak csak az EU-n belül történő tárolása, stb.) a CNIL szerint nem elegendő mindaddig, amíg az EU-n kívüli hatóságok számára továbbra is lehetséges a hozzáférés, és lehetővé teszi a felhasználó azonosítását és az egyik weboldalról a másikra történő navigációjának nyomon követését.
Az adatok titkosítása mint intézkedés: Jelenleg nem elegendő
A CNIL kiemeli, hogy a titkosítás csak akkor megfelelő szintű elfogadható biztonsági intézkedés, hogyha a titkosítási kulcsokat az adatexportőr vagy más, az EU-ban vagy biztonságos harmadik országokban honos szervezetek kizárólagos ellenőrzése alatt tartják.
A Google Analytics tekintetében a CNIL úgy véli, hogy az adatok titkosítása nem elegendő, mivel a gyakorlatban a Google LLC az a szervezet, amely
– titkosítja az adatokat;
– megőrzi a titkosítási kulcsot; és
– köteles azokat a hatósági adatokhoz való hozzáférésre irányuló kérelmeinek beérkezésekor rendelkezésre bocsátani (vagy hozzáférést biztosít a hatóságoknak, vagy a birtokában lévő importált adatokat bocsátja rendelkezésre).
A CNIL arra a következtetésre jutott, hogy mivel a Google LLC továbbra is hozzáférhet az adatokhoz azok eredeti formájában, a titkosítási intézkedések nem tekinthetők hatékonynak az amerikai hatóságoktól érkező, az adatokhoz való hozzáférésre irányuló megkeresése esetén. A végső következtetés tehát, hogy a titkosítás megfelelő intézkedés lenne, ha a Google LLC nem férne hozzá a személyes adatokhoz azok eredeti formájában, vagy a titkosítási kulcsokhoz.
A felhasználók hozzájárulásának beszerzése: Nem alkalmazható
A felhasználók hozzájárulásának beszerzése az adattovábbításhoz nem elegendő biztonsági intézkedés, mivel – bár ez a GDPR 49. cikkében felsorolt biztosítékok egyike – az Európai Adatvédelmi Testület (EDPB) szerint ez csak egyszeri adattovábbításokra alkalmazható, és nem használható állandó megoldásként a személyes adatok rendszeres jelleggel történő továbbítása kapcsán.
Proxyszerver használata: Megfelelő lehet
Az tűnik ki az állásfoglalásból, hogy a CNIL csak proxyszerver használatát tekinti lehetséges megoldásnak. A CNIL szerint a probléma forrása a felhasználók eszközei és a Google szerverei közötti, HTTPS-kapcsolaton keresztüli közvetlen kapcsolat, amely lehetővé teszi a felhasználó IP-címének és egyéb, a felhasználó újbóli azonosítására szolgáló információk gyűjtését. Csak olyan technikai megoldások orvosolhatják ezt a problémát, melyek megszakítják a felhasználó eszköze és az adott weboldal szervere közötti közvetlen kapcsolatot – mint például egy proxyszerver -, mivel ezek az adatokat álnevesítik, mielőtt azok az EU-n kívülre továbbításra kerülnek.
A proxyszervernek, vagy ahhoz hasonló technikai megoldásnak meg kell felelnie az Európai Adatvédelmi Testület kritériumainak, különösen az alábbiaknak:
– Az álnevesített adatok további kiegészítő információk felhasználása nélkül nem rendelhetők többé egy adott érintetthez a GDPR 4. cikkének (5) bekezdésével összhangban;
– Ezen kiegészítő információkat kizárólag az adatexportőr őrzi meg, és külön tárolja egy EU- tagállamban vagy egy biztonságos harmadik országban;
– A technikai és szervezeti biztonsági intézkedések megakadályozzák a fent említett információk nyilvánosságra hozatalát vagy jogosulatlan felhasználását (azaz csak az adatexportőr rendelkezik például a titkosítási kulcsok, az algoritmus vagy az adattár felett, amelyek lehetővé teszik az érintettnek a kiegészítő információk felhasználásával történő újbóli azonosítását); és
– Az adatkezelő elvégezte azon elemzést, amely által megállapításra kerül, hogy az álnevesített adatokhoz hozzáféréssel rendelkező hatóságok nem tudják újra azonosítani az érintettet, még az álnevesített adatoknak a kiegészítő információkkal való összevetésével sem.
A fentieken túlmenően a CNIL a gyakori kérdésekkel és válaszokkal együtt közzétett, a megfelelő látogatottság-mérésre alkalmas megoldás használatára vonatkozó iránymutatásban azt is hangsúlyozza, hogy a proxyszerver használata különleges intézkedéseket igényel (például az IP-címnek a látogatott weboldal szervereihez történő továbbításának mellőzése, a felhasználói azonosítónak a proxyszerver által történő helyettesítése, a webhelyek közötti azonosítók gyűjtésének mellőzése, stb.), és hogy a proxyszervert olyan körülmények között, olyan beállításokkal kell alkalmazni, amelyek garantálják, hogy a szerver által feldolgozott adatok nem kerülnek továbbításra az EU-n kívülre.
A gyakorlatban mindezen kritériumok technikai szempontból nehezen kivitelezhetők. Maga a CNIL is elismeri, hogy ez a gyakorlatban igen költséges és bonyolult megoldás lehet, és végső soron a Google Analytics helyett alternatív megoldások alkalmazását ajánlja.
1.3. Alternatív adatvédelmi megoldások
A CNIL a honlapján közzétette a felhasználók hozzájárulása nélkül alkalmazható, és meghatározott konfiguráció esetén megfelelőnek ítélt, sütik használatán alapuló megoldások listáját – eszerint jelenleg 18 tanúsított megoldás létezik. A CNIL azonban hangsúlyozza, hogy ezeket a megoldásokat nem értékelték a nemzetközi adattovábbítás kapcsán, ami azt jelenti, hogy bár a CNIL listáján megfelelőként szerepelnek, nem használhatók ilyen formában, hanem először ellenőrizni kell az adattovábbítás konkrét körülményeit, és alkalmazni kell a Schrems II. ítéletben foglalt biztosítékokat is.
Mik a következő lépések az adatvédelem kapcsán? – A CNIL álláspontjának megtámadása
A CNIL által vázolt megoldások a gyakorlatban továbbra is nehezen alkalmazhatóak és végső soron nem kínálnak működőképes megoldást a vállalatok számára.
A vállalatok számára lehetséges lépések között szerepel az, hogy a Google Analytics használatának megszüntetésére irányuló felszólításban foglalt adatvédelmi hatósági álláspontot megtámadhatják. A CNIL által közzétett gyakori kérdéseket és válaszokat magában foglaló állásfoglalást pedig az ügyben közvetlenül érdekelt vállalatok a francia közigazgatási bíróságok előtt támadhatják meg.
A CNIL állásfoglalása az adattovábbítással kapcsolatos szélesebb körű álláspontjaként is értékelendő, mivel egyes EU-s hatóságok a weboldalak látogatottságának mérésére alkalmas eszközök, megoldások alkalmazásával kapcsolatos ügyeket arra használják, hogy állást foglaljanak az adattovábbítással kapcsolatos kérdésekben. A vállalatoknak értékelniük kell a weboldalukon alkalmazott látogatottság-mérésre alkalmas technikai megoldásokat, meg kell vizsgálniuk az ezekhez kapcsolódó adatáramlásokat, és mérlegelniük kell, hogy az általuk alkalmazott intézkedések és biztosítékok elegendőek-e a GDPR, a Schrems II. ítélet és az elektronikus hírközlési adatvédelmi Irányelv rendelkezéseinek fényében.
2. Az olasz adatvédelmi hatóság döntése a Google Analytics GDPR szemléletű alkalmazása kapcsán
Az olasz adatvédelmi hatóság (SA) betiltotta a Google Analytics használatát a Caffeina Media S.r.l. számára, mivel megállapításra került, hogy a vállalat az Egyesült Államokba történő adattovábbítás kapcsán nem nyújt megfelelő garanciákat a Google Analytics weboldalán történő alkalmazása okán.
Előzmények az adatvédelem területén
- augusztus 17-én panaszt nyújtottak be az olasz adatvédelmi hatósághoz Egyesült Államokba történő adattovábbítással kapcsolatosan. Ez egyike volt annak a 101 panasznak, melyek több olyan EU-s adatvédelmi hatósághoz a NOYB egyesülettől érkeztek, amely hatóságok részt vettek abban a munkacsoportban, amely létrehozásának célja az ilyen jellegű panaszok egységes megközelítéssel történő kezelése volt.
A Caffeina Media S.r.l. elleni panasz ügyének vonatkozásában a panaszos meglátogatta az adatkezelő weboldalát, miközben be volt jelentkezve e-mail címéhez kapcsolódó Google-fiókjába. A weboldalon az adatkezelő beágyazta a Google Analytics-eszközök HTML-kódját. A weboldal látogatása során a panaszosra vonatkozó személyes adatokat továbbítottak az Egyesült Államokba. A panaszt a Caffeina Media S.r.l. és az USA-beli Google LLC ellen nyújtották be, mivel továbbra is engedélyezték az USA-ba történő adattovábbításokat annak ellenére, hogy azok megsértették a GDPR rendelkezéseit.
Legfontosabb adatvédelmi megállapítások
A Caffeina Media S.r.l. a weboldalán Google Analytics-sütik segítségével információkat gyűjtött a felhasználóknak az adott weboldalakon folytatott tevékenységéről, az általa meglátogatott oldalakról és szolgáltatásokról. Az ezekkel kapcsolatosan gyűjtött adatok között szerepeltek a felhasználói eszköz IP-címe, valamint a böngészőre, az operációs rendszerre, a képernyőfelbontásra, a kiválasztott nyelvre, az oldal megtekintésének dátumára és időpontjára vonatkozó információk.
Az olasz adatvédelmi hatóság kinyilvánította, hogy az IP-cím személyes adatnak minősül, és még az adattartalom rövidítése esetén sem anonimizálható – tekintettel arra, hogy a Google képes az ilyen adatokat a birtokában lévő további, ún. kiegészítő információkkal összevetni.
Az adatvédelmi hatóság megállapította, hogy a felhasználók személyes adatainak az Egyesült Államokba történő továbbítása a GDPR V. fejezetének rendelkezéseibe ütközik, mivel a Google által az adattovábbítás kapcsán alkalmazott biztonsági intézkedések (harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek alkalmazása) nem biztosítottak megfelelő szintű védelmet az Európai Adatvédelmi Testület 2021. június 18-i 1/2020. számú ajánlásában foglalt iránymutatás fényében. Az Egyesült Államokban működő kormányzati és hírszerző ügynökségek valóban hozzáférhetnek az oda továbbított személyes adatokhoz a megfelelő adatvédelmi garanciák hiányában. Megállapításra került továbbá, hogy az adatkezelő a honlapján nem biztosította az érintettek a GDPR 13. cikke (1) bekezdésének f) pontjában meghatározott információkat az adattovábbítás kapcsán (annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás), és a személyes adatokat az elszámoltathatóság elvének megsértésével továbbította.
A döntés – Google Analytics és a GDPR
Az adatvédelmi hatóság arra kötelezte Caffeina Media S.r.l.-t, hogy adatkezelési gyakorlatát 90 napon belül hozza összhangba a GDPR rendelkezéseiben foglalt elvekkel és kötelezettségekkel – amennyiben ezt az adatkezelő nem teljesíti, a hatóság elrendeli a Google Analytics-hez kapcsolódó, az USA-ba irányuló adattovábbítás felfüggesztését, tehát a Google Analytics használatát. Az olasz adatvédelmi hatóság megrovásban részesítette a Caffeina Media S.r.l.-t, mivel az adatkezelési műveletei tekintetében megállapítást nyert, hogy megsértette a GDPR 5. cikk (1) bekezdésének a) pontját, az 5. cikk (2) bekezdését, a 13. cikk (1) bekezdésének f) pontját, a 24., 44. és 46. cikkét.
Mivel az adatkezelő a GDPR-nak megfelelő tartalommal aktualizálta adatkezelési tájékoztatóját, az adatvédelmi hatóság nem hozott korrekciós intézkedéseket e tekintetben.
3. Az osztrák adatvédelmi hatóság döntése
Korábbi cikkünkben (A Google Analytics használata és az adatvédelem) bemutattuk az osztrák adatvédelmi hatóság (ÖDB) 2021. december 22-én D155.027/2021-0.586.257 számon hozott döntését, amelyben megállapításra került, hogy nem nyújt elégséges védelmet az, hogyha az Európai Unión belül üzemeltetett weboldal tulajdonosa és a Google LLC között alkalmazásra kerülnek a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek, hanem kiegészítő technikai és szervezési intézkedések meghatározása is szükséges a felek jogviszonyán belül. Kiemelendő, hogy az ilyen intézkedések biztosítására vonatkozó felelősség elsősorban természetesen azt az Európai Unión belül tevékenységet folytató weboldal-üzemeltetőt terheli, akinek weboldala a Google Analytics-et használja és ezáltal a GDPR hatálya alá tartozó érintettek személyes adatainak Egyesült Államokba történő továbbítása és így adott esetben az adatokhoz való ottani hozzáférés lehetségessé válik – különös tekintettel arra, hogy az amerikai jogszabályok meghatározott feltételek fennállása esetén lehetővé teszik az Egyesült Államok hatóságainak számára, hogy a Google LLC szerverén tárolt adatokhoz hozzáférjenek.
4. Észrevételeink – Google Analytics és a GDPR
Ahogyan fent hivatkozott, korábbi cikkünkben hangsúlyoztuk, amennyiben adott weboldal üzemeltetője a Google Analytics igénybevételével kívánja kielemezni a weboldalának látogatottságát és ennek során a Google Analytics által alkalmazott sütiken keresztül gyűjtött látogatói személyes adatok, mint például IP-cím továbbításra kerül a Google LLC amerikai szerverére, ez harmadik országba történő adattovábbításnak minősül a GDPR V. fejezete értelmében és ennek megfelelően alkalmazandók rá az adattovábbításra vonatkozó rendelkezések, valamint a weboldal üzemeltetőjének mint adatkezelőnek gondoskodnia kell adatkezelői kötelezettségeinek teljesítéséről.
Az eddigiek során az adatvédelmi hatóságok nem szolgáltak olyan, a Google Analytics helyett a gyakorlatban ténylegesen kivitelezhető, alkalmazható, biztonságos és emellett gazdaságos, észszerű erőfeszítésekkel megvalósítható technikai megoldásokkal vagy intézkedésekkel, amelyek alkalmazásán keresztül a weboldalt üzemeltető adatkezelő hatékonyan és ezzel együtt a GDPR rendelkezéseinek megfelelően tudná felmérni a weboldala látogatottságát és a felhasználók aktivitását. A jelen cikkünkben írtak alapján azonban megfigyelhető, hogy egyre több európai adatvédelmi hatóság minősíti rendkívül aggályosnak a Google Analytics használatát és a nem megfelelő biztonsági intézkedések okán arra figyelmeztetik az adatkezelőket, hogy amennyiben adatkezelési gyakorlatukat – weboldaluk üzemeltetését – nem hozzák összhangba a GDPR rendelkezéseivel, úgy megtiltják számukra a Google Analytics használatát a weboldalukon.
A jelen cikkünk 1. és 2. része a French data protection authority publishes Q&A regarding use of Google Analytics c., valamint az Italian SA bans use of Google Analytics: no adequate safeguards for data transfers from Caffeina Media S.r.l. to the U.S. angol nyelvű cikk magyar nyelvű fordításaként készült.
Amennyiben adatvédelmi jogász segítségére van szüksége, esetleg egy adatvédelmi audit vált szükségessé vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu