A Google Analytics az amerikai székhelyű multinacionális nagyvállalat, a Google LLC webelemző szolgáltatása, amely olyan sütiket – kisméretű adatcsomagokat, szöveges fájlokat – használ, amelyek egy adott honlapon történt látogatás alkalmával kerülnek elhelyezésre a látogató eszközén, így a számítógépére mentődnek és elősegítik a látogatott honlap használatának elemzését. A látogatók, felhasználók által használt weboldalon elhelyezett sütikkel létrehozott információk rendszerint a Google LLC valamely amerikai szerverére kerülnek és tárolódnak, alapvetően anonimizált formában, mivel a weboldalakon alkalmazásra kerül az IP-anonimizálás, tehát az IP-címek ezáltal nem kapcsolhatók össze a látogatókkal, felhasználókkal. Ennek megfelelően első ránézésre a Google Analytics használata nem tekinthető aggályosnak, mivel kizárólag anonimizált adatok kezelésére kerülhet sor, azonban alaposabb, adatvédelmi szempontok mentén végzett vizsgálatok alapján – a webelemző szolgáltatás működésének technikai oldalát is figyelembe véve – a közelmúltban született, több adatvédelmi hatósági döntésben megállapításra került, hogy a Google Analytics jelenleg alkalmazott gyakorlat szerinti használata a vonatkozó jogszabályi környezetre tekintettel nem jogszerű.
Az osztrák adatvédelmi hatóság döntése
Az osztrák adatvédelmi hatóság (Österrechische Datenschutzbehörde, a továbbiakban: adatvédelmi hatóság) 2021. december 22-én D155.027/2021-0.586.257 számon hozott döntésében megállapításra került, hogy nem nyújt elégséges védelmet az, hogyha az Európai Unión belül üzemeltetett weboldal tulajdonosa és a Google LLC között alkalmazásra kerülnek a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek [az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről szóló Bizottság (EU) 2021/914 Végrehajtási Határozata (2021. június 4.), „Adattovábbítási ÁSZF”], hanem kiegészítő technikai és szervezési intézkedések meghatározása is szükséges a felek jogviszonyán belül. Az ilyen intézkedések biztosítására vonatkozó felelősség elsősorban természetesen azt az Európai Unión belül tevékenységet folytató weboldal-üzemeltetőt terheli, akinek weboldala a Google Analytics-et használja és ezáltal a GDPR hatálya alá tartozó érintettek személyes adatainak Egyesült Államokba történő továbbítása és így adott esetben az adatokhoz való ottani hozzáférés lehetségessé válik – különös tekintettel arra, hogy az amerikai jogszabályok meghatározott feltételek fennállása esetén lehetővé teszik az Egyesült Államok hatóságainak számára, hogy a Google LLC szerverén tárolt adatokhoz hozzáférjenek.
Az adatvédelmi hatóság előtt lefolytatott ügyben az osztrák None of your business („noyb”) nevezetű adatvédelmi egyesület által képviselt panaszos magánszemély egy osztrák weboldalt üzemeltető, a Google Analytics-et a weboldala használatával összefüggésben látogatóinak tevékenységére vonatkozó általános statisztikai elemzések készítésének céljából igénybe vevő vállalat gyakorlatát kifogásolta, miszerint személyes adata – IP-címe – továbbításra került a Google LLC amerikai szerverére. A vállalat azzal érvelt, hogy a statisztikai elemzés során gyűjtött adatok konkrét felhasználóval történő összekapcsolása alapvetően nem volt lehetséges, mivel a Google Analytics az IP-címeket anonimizált formában kezeli és még hogyha sor is került az adatok Egyesült Államokba történő továbbítására, akkor a továbbított adatok alapján lehetetlen a felhasználó azonosítása. A vállalat végül azonban elismerte, hogy az IP-címek anonimizálásának konfigurálására nem megfelelően került sor.
A harmadik országba történő adattovábbítás jogszerűségének vizsgálata
Az adatvédelmi hatóság a döntéshozatal során azt vizsgálta, hogy a Google Analytics által gyűjtött és továbbított adatok a GDPR 4. cikk (1) bekezdése értelmében az IP-címek és az egyéb, jellemzően az adott weboldalon elhelyezett sütik által gyűjtött, a felhasználóhoz köthető azonosítók személyes adatnak minősülnek-e. A (26) Preambulumbekezdésre tekintettel az adatvédelem elveit az olyan személyes adatokra is alkalmazni kell, amelyek nem kerültek oly módon anonimizálásra, hogy az érintett nem vagy többé nem azonosítható. Ahhoz, hogy adott adat a GDPR által biztosított védelemben részesítendőnek minősüljön, elegendő, hogyha az adat alapján az érintett azonosítható, tényleges azonosításra nincs szükség. Mivel az IP-címek alkalmasak arra, hogy azok alapján a megfelelő technikai műveletek alkalmazásával az érintettet azonosítsák, személyes adatoknak minősülnek és ennek megfelelően kezelésükre, továbbításukra alkalmazni kell a GDPR-ban rögzített adatvédelmi rendelkezéseket.– különös tekintettel arra, hogy a Google Analytics által alkalmazott sütik segítségével a weboldal látogatóinak, felhasználóinak tevékenysége, viselkedése, beállításaik és preferenciáik egyedileg azonosíthatók és újbóli látogatás esetén a weboldal képes az adott látogató, felhasználó felismerésére, így képes megkülönböztetni őt más látogatóktól.
Az adatvédelmi hatóság vizsgálta továbbá a weboldal üzemeltetője – mint a GDPR szerinti, Európai Unión belül tevékenységet végző adatkezelő – és a Google LLC felelősségének kérdéskörét. Ezzel kapcsolatosan arra a megállapításra jutott, hogy az osztrák weboldal tulajdonosát mint adatkezelőt terhelik a GDPR-ban foglalt adatkezelői kötelezettségek és felelősség, mint például az érintettek tájékoztatása a Google Analytics használatáról, a személyes adatok lehetséges címzettjeiről, az adattovábbításokról. Kiemelendő, hogy a Google LLC adatfeldolgozói vagy önálló adatkezelői szerepével kapcsolatosan nem alakult még ki egységes szakmai álláspont. A fenti ügy kapcsán ún. adatimportőrnek minősül, tehát az Európai Unióból továbbított adatok fogadójának, ennek alapján nem vonatkoznak rá a GDPR-ban foglalt kötelezettségek és felelősségek, ezért az adatvédelmi hatóság vizsgálata az amerikai nagyvállalat adatkezelési gyakorlatára, tevékenységére önmagában nem terjedhetett ki. Az osztrák weboldal tulajdonos és a Google LLC jogviszonyának kapcsán – a felek által alkalmazott adattovábbítási általános szerződési feltételek körén kívül – az adatvédelmi hatóság megállapította, hogy a Google LLC által alkalmazott kiegészítő biztonsági intézkedések – például a tárolt adatok adatvédelmi szabványban meghatározott gyakorlatnak megfelelő titkosítása és az amerikai hatóságok által igényelt, minden egyes adatszolgáltatásra irányuló kérelem alapos felülvizsgálata – nem minősültek elégséges és mindenekelőtt megfelelően hatékony intézkedésnek, mivel azok nem tekinthetők arra alkalmasnak, hogy megakadályozzák az amerikai hírszerző ügynökségek adatokhoz való hozzáférésének lehetőségét.
Hogyan használható jogszerűen a Google Analytics az adatvédelem szempontjából?
A fent ismertetett döntésben szereplő adatvédelmi hatósági megállapítás, miszerint a kiegészítő biztonsági intézkedések nem voltak elégségesek, az Európai Unió Bírósága 2020. július 16-i C-311/18. számon hozott, közismerten Schrems II. ítéletén alapul. Ezen ítéletben megállapításra került, hogy a Google Analytics használata adatvédelmi szempontból csak akkor tekinthető jogszerűnek, hogyha az Európai Unión kívül történő adattovábbítás során a GDPR hatálya alá tartozó érintettek személyes adatai legalább a GDPR-ban biztosított védelemben részesülnek, itt került tehát rögzítésre az az alapelv, miszerint az Európai Unión kívülre történő adattovábbítások során a GDPR hatálya alá tartozó, adattovábbítást végző adatkezelő és az adatokat harmadik országban fogadó adatimportőr között az adattovábbítási általános szerződési feltételek alkalmazása önmagában nem biztosítja a harmadik országba történő adattovábbítás jogszerűségét, GDPR-megfelelőségét és mindenekelőtt biztonságát. Az adattovábbítások során megkövetelt védelmi szint tekintetében az Európai Unió Bírósága megállapította, hogy alkalmazni kell a GDPR által a biztosítékok, az érvényesíthető jogok és a jogorvoslatok körében rögzített követelményeket, a védelem szintjének értékeléséhez figyelembe kell venni mind az adattovábbító és az adatimportőr között meglévő szerződéses záradékokat, továbbá az adatimportőr országa hatóságainak lehetséges hozzáférését és jogszabályi környezetét.
Észrevételeink az adatvédelem, adatkezelés kapcsán
Harmadik országnak minősül az Európai Unió területén kívül elhelyezkedő valamennyi ország. Abban az esetben, ha az Európai Bizottság az adott harmadik ország adatvédelmi szintjét megfelelőnek értékelte, a szóban forgó ország az adatvédelem szempontjából biztonságos harmadik országnak minősül, ugyanakkor fontos, hogy ez esetben is be kell tartani az adattovábbítás általános szabályait. Különös jelentőséggel bír a harmadik országokba történő adattovábbításra vonatkozó adatvédelmi rendelkezések figyelembevétele napjainkban, a jelen cikkünkben ismertetett adatvédelmi hatósági döntésre tekintettel, továbbá nem elhanyagolható, hogy az Európai Unión belül egyre több ország adatvédelmi hatósága – köztük Franciaország és Dánia – amellett foglalt állást, hogy az Európai Unión kívüli adattovábbítások jelenlegi gyakorlata nem foglal magában megfelelő garanciákat az érintettek személyes adataira vonatkozó védelem optimális szintjének biztosítása érdekében, ezért akár kötelezhetik az adott nemzeti jog hatálya alá tartozó adatkezelőket megfelelő technikai és szervezési intézkedések alkalmazására.
Amennyiben adott weboldal üzemeltetője a Google Analytics igénybevételével kívánja kielemezni a weboldala használatát, a látogatóinak tevékenységét és preferenciáit, és ennek során a Google Analytics által alkalmazott sütiken keresztül gyűjtött látogatói személyes adatok, mint például IP-cím továbbításra kerül a Google LLC amerikai szerverére, ez harmadik országba történő adattovábbításnak minősül a GDPR V. fejezete értelmében és ennek megfelelően alkalmazandók rá az adattovábbításra vonatkozó rendelkezések, valamint a weboldal tulajdonosának mint adatkezelőnek gondoskodnia kell adatkezelői kötelezettségeinek teljesítéséről, elsősorban tehát megfelelő információbiztonsági szint, technikai és szervezési intézkedések kialakításáról és fenntartásáról, az érintettek teljeskörű tájékoztatásáról. A Google Analytics használatával kapcsolatosan várható, hogy egyre több nemzeti adatvédelmi hatóság fogja azt jogszerűtlennek minősíteni, az adatkezelőket fokozott biztonsági intézkedések bevezetésére kötelezni, valamint adott esetben részükre ilyen intézkedéseket előírni. Ennek megfelelően szükségesnek tartjuk az adatvédelmi tisztviselő (DPO) által nyújtott konzultációt, valamint az adattovábbítások kockázatainak azonosítására és értékelésére szolgáló hatásvizsgálatok elvégzését a Google Analytics igénybevételével összefüggésben.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu