Talijansko nadzorno tijelo nedavno je presudilo o korištenju Google Analyticsa, usluge odnosno web analitike koju Google nudi operaterima web stranica, a koja omogućuje generiranje detaljne statistike o korisnicima.
Odluka nadzornog tijela samo je posljednja u nizu odluka vezanih uz korištenje Google Analyticsa koje su donijeli europski regulatori, posljednji u Danskoj, Francuskoj i Austriji.
Odluka dolazi na kraju složene istrage, pokrenute nakon pritužbe korisnika protiv talijanske tvrtke Caffeina Media Srl, vlasnika talijanske web stranice Caffeina magazina, protiv prijenosa osobnih podataka korisnika u Sjedinjene Američke Države pomoću Google Analyticsa.
Problem je različita razina zaštite osobnih podataka prema europskom i američkom zakonodavstvu: Sjedinjene Države, naime, za razliku od Europske unije, gdje je obrada podataka regulirana i zaštićena GDPR-om, ne nudi dovoljno jamstava za prava ispitanika na području EU. Konkretno, američke agencije za provedbu zakona i obavještajne agencije, kao i vladine institucije mogu pristupiti osobnim podacima, bez obzira na državljanstvo ili nacionalnost ispitanika.
Istraga je pokazala kako Caffeina Media Srl, ali općenito i drugi upravitelji web stranica koji imaju koristi od usluge Analytics, prikupljaju, pomoću kolačića, više informacija koje se odnose na korisnike koji se kreću njihovim web stranicama. To uključuje IP adresu uređaja koji koriste, koja se na temelju propisa (čl. 4 GDPR i uvodna izjava 26 GDPR) i tehničkih analiza smatraju osobnim podacima . Ti se podaci, nakon što se prikupe, prenose u Sjedinjene Američke Države unatoč činjenici da GDPR postavlja ˝zabranu˝ prijenosa podataka u zemlje koje ne jamče razinu zaštite jednaku ili višu od one Europske unije. Ovo posebno uključuje Sjedinjene Države, sankcionirane poništenjem takozvanog Štita privatnosti presudom Schrems II.
Stoga, za prijenos podataka u Sjedinjene Američke Države, kao treću zemlju koja nudi neodgovarajuću razinu zaštite, voditelj obrade može pribjeći određenim alatima definiranim člancima 44.-50. GDPR-a: standardnim ugovornim klauzulama i dopunskim mjerama tehničko-pravne prirode. Ove dodatne mjere treba smatrati dopunom standardnih ugovornih klauzula kako bi se razina zaštite podataka koji se prenose podigla na standarde EU-a. Postoje i drugi mehanizmi o kojima smo dosta pisali i ranije.
U konkretnom slučaju, tvrtka Caffeina Media Srl samo je odobrila uvjete korištenja Google Analyticsa, uz sklapanje standardnih ugovornih klauzula s Googleom o obradi osobnih podataka. Međutim, klauzule koje nudi Google same po sebi ne mogu jamčiti odgovarajuću razinu zaštite u slučaju zahtjeva za pristup od stranih tijela, osobito ako lokalni zakoni predviđaju takav pristup, kao što je slučaj u Sjedinjenim Državama. Upravo iz tih razloga, Google je uveo niz dodatnih zaštitnih mjera, uključujući opciju anonimizacije, ali se pokazalo da su one neadekvatne da zajamče razinu zaštite jednaku onoj koju pruža GDPR, posebno protiv zahtjeva za pristup podacima od američke obavještajne službe.
Istina je da je Google omogućio opciju “IP-Anonymization”, ali ova mjera, ističe talijansko nadzorno tijelo, zapravo predstavlja samo pseudonimizaciju (a ne anonimizaciju) s obzirom da Google može identificirati korisnika dohvaćanjem identiteta osobe putem podaci trećih strana.
Također postoji mogućnost da Google poveže IP adresu s dodatnim informacijama koje već posjeduje, ako se nositelj podataka prijavio putem svog Google profila, kao što su e-pošta, telefonski broj ili bilo koji dodatni osobni podaci, uključujući spol, datum rođenja ili profilnu sliku, kako bi se ponovno stvorio potpuni profil korisnika. Nadzorno tijelo je također dovelo u pitanje zakonitost politike privatnosti objavljene na web stranici Caffeina Media na temelju toga što nije navedeno da se osobni podaci prenose u zemlju bez odgovarajućih mjera zaštite podataka.
Mjere ne sadrže nikakve novčane sankcije zbog informacijske asimetrije između Googlea i Caffeina Media, što nije omogućilo potonjoj procjenu neprimjerenosti mjera koje je Google jednostrano donio. Iz tog je razloga nadzorno tijelo samo opomenulo operatera web stranice, pozivajući ga da u roku od 90 dana uskladi svoje aktivnosti obrade s odredbom GDPR-a, pod prijetnjom obustave protoka podataka prema Sjedinjenim Američkim Državama.
Odredba ne proglašava nezakonitom korištenje Google Analyticsa samo po sebi, ali svakako zahtijeva od tvrtki koje koriste ovu uslugu da razmotre poduzimanje dodatnih mjera potrebnih za usklađivanje iste s propisima o zaštiti podataka.