Evropské úřady pro ochranu osobních údajů začaly ve velkém brojit proti Google Analytics.
Vážení klienti, dle např. rakouského úřadu pro ochranu osobních údajů porušila společnost Google GDPR.
Jen na úvod našeho pojednání dodejme, že Google Analytics je nejrozšířenějším nástrojem pro měření návštěvnosti a chování návštěvníků na webových stránkách. Používá ji většina provozovatelů webových stránek, jako jsou např. e-shopy atd.
Google se podle správního rozhodnutí provinil jednoduše skutečností, že data získaná Google Analytics odeslal do USA a nezajistil potřebnou úroveň ochrany osobních údajů podle GDPR, konkrétně předávání osobních údajů do třetích zemí nebo mezinárodním organizacím.
Verdikt rakouského úřadu pro ochranu osobních údajů se opírá o rozhodnutí Soudního dvora EU z roku 2020 (tzv. Schrems II), podle kterého není možné ochranu osobních údajů v USA považovat za rovnocennou se standardem EU. Odesílání osobních údajů z Evropy do Spojených států tak porušuje zákon, pokud tato společnost nemůže zaručit ochranu dat před americkými zpravodajskými službami. Společnost Google v odpovědi rakouskému úřadu na podanou stížnost loni v dubnu uvedla, že přenosy údajů o návštěvnících webových stránek získaných prostřednictvím Google Analytics se opírají o standardní smluvní doložky a že jsou v souladu s rozhodnutím Schrems II.
V poslední době však tyto tendence vyústily v rozhodnutí několika dalších evropských úřadů na ochranu osobních údajů (in concreto německého, nizozemského a norského), kterými bylo rozhodnuto, že Google Analytics porušuje evropské právo. Posledním takovýmto rozhodnutím je rozhodnutí Francouzské komise pro informatiku a svobodu webových stránek (CNIL), neboť transatlantický pohyb osobních údajů přes Google Analytics do Spojených států amerických není dostatečně regulován (ostatně stejný právní názor zastávají i další vyjmenované úřady). Mezi USA a EU aktuálně neexistuje jasný rámec pro přenášení dat. Někdejší program nazvaný „Privacy Shield“ předloni zrušil Soudní dvůr Evropské unie (viz výše). Stručně řečeno, francouzský CNIL zakázal několika společnostem používat Google Analytics.
Rozhodnutí francouzského, rakouského, německého a nizozemského správního orgánu je přitom de facto zásadní pro skoro všechny webové stránky v Evropské unii. Google Analytics je totiž nejrozšířenějším webovým statistickým programem sledujícím návštěvnost a další metriky (viz výše). Přestože existuje mnoho alternativ (pozn. Plausible, Fathom, Umami.is, AnalytikaWebu.cz či TOPlist), které jsou provozovány na evropských serverech, většina internetových stránek se spoléhá právě na služby společnosti Google. Rozhodnutí francouzské Národní komise padlo pouhé dva týdny po výroku rakouského Úřadu pro ochranu osobních údajů, jenž došel ke stejnému závěru jako Francouzi. Vedoucí aktivistické skupiny NOYB Max Schrems, na jehož popud se úřady začaly problematikou zabývat, očekává, že kroky ze strany dalších evropských států by měly být koordinované a rozhodnutí obdobné.
Je tedy jen otázkou času, kdy se výše nastíněnou problematikou bude zabývat i český Úřad pro ochranu osobních údajů. S ohledem na fakt, že nařízení GDPR je pro celou Evropskou unii jednotné, rozhodnutí jednoho úřadu do jisté míry vytváří precedent pro celou sedmadvacítku, a tedy i UOOU by měl tato předcházející rozhodnutí ve svém rozhodovacím procesu pro futuro reflektovat. Vedle toho, že se bezesporu (odborná literatura o tom mlčí) v souvislosti s výše uvedeným jedná vlastně i o poskytnutí osobních údajů (samozřejmě bez souhlasu návštěvníků webových stránek) třetím osobám ve Spojených státech amerických.
Prameny:
https://www.mediaguru.cz/clanky/2022/01/regulace-hrozi-google-analytics-konec-v-evrope/;
https://www.mediar.cz/mereni-google-analytics-porusuje-gdpr-tvrdi-regulatori-ve-francii-a-rakousku/;
https://www.vilimkovadudak.cz/soumrak-google-analytics/#content.
V Praze dne 16. května 2022
Mgr. Petr Jezdinský, právník a taktéž pověřenec pro ochranu osobních údajů v Prestige Philately Club Prague