Korábbi cikkünkben bemutattuk a Max Schrems osztrák adatvédelmi aktivista által alapított NOYB („None of your business”) adatvédelmi egyesület 2020 augusztusában indított kezdeményezését. Ennek során Európa-szerte összesen 101 adatvédelmi panaszt nyújtottak be különböző szervezetek ellen az EGT-n kívüli országokba irányuló adattovábbítások kapcsán, és az osztrák adatvédelmi hatóság „Österrechische Datenschutzbehörde – „DSB”) ezzel összefüggésben hozta meg első döntését, amely kimondta a Google Analytics használatának jogellenességét.
A Google Analytics használata során ugyanis számos felhasználói adatot továbbít az Amerikai Egyesült Államokba, így többek között az eszközök IP-címét, a böngésző adatait, információt a használt operációs rendszerről, a képernyőfelbontást, a nyelvválasztást, valamint a weboldal látogatásának dátumát és időpontját – a DSB határozata szerint ugyanakkor a GDPR által elvárt megfelelő védelem nélkül.
A DSB első határozatát követően a Google Analytics használatának jogszerűségét több európai adatvédelmi hatóság is vizsgálta a GDPR 60. cikk szerinti együttműködés keretében. Ugyan a magyar Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) még nem bocsátott ki a Google Analytics használatával kapcsolatos, nyilvános határozatot, a többi európai adatvédelmi hatóság döntése a magyarországi szervezetek számára is tanulságosak lehetnek, mert nagyon valószínű, hogy a NAIH is hasonló álláspontra jut(na).
Ebben a cikkben a legutóbbi hatósági gyakorlat alapján bemutatjuk, mely adatvédelmi szempontokra érdemes figyelni a Google Analytics használatával kapcsolatos kockázatok felmérése során.
1. A nemzeti adatvédelmi hatóságok eltérő megközelítése
Az Európai Adatvédelmi Testület („EDPB”) 2020. szeptemberében munkacsoportot hozott létre az Európai Unió Bírósága („EUB”) Schrems II ítéletét követően benyújtott panaszok kivizsgálására, valamint a nemzeti adatvédelmi hatóságok állásfoglalásainak összehangolására. Az EDPB kezdeményezése ellenére ugyanakkor a nemzeti hatóságok eltérő módon közelítik meg a panaszokat. Míg az osztrák, francia és az olasz adatvédelmi hatóság alaposan kivizsgálta a személyes adatokat az USA-ba továbbító Google Analytics használatát, a spanyol és a luxemburgi adatvédelmi hatóság egyszerűen csak elutasította az adott eszközt használó szervezet elleni panaszt, mivel a weboldal szolgáltatója a panaszt követően eltávolította a Google Analytics-et weboldalról.
2. A francia, osztrák és olasz adatvédelmi hatóságok állásfoglalásai
A francia adatvédelmi hatóság („CNIL”) több panaszt is kapott az NOYB-től a Google Analytics alkalmazásával kapcsolatban. Az egyik ilyen panasszal érintett szervezetre vonatkozó, 2022. február 10-én közzétett döntésében a CNIL megállapította, hogy a Google és a weboldal-üzemeltetők között alkalmazott általános szerződési feltételek önmagukban nem elegendőek a GDPR által elvárt megfelelő szintű védelem biztosításához, valamint a Google által bevezetett intézkedések nem kezelik megfelelően az USA illetékes hatóságainak a GDPR hatálya alá tartozó személyek adataival kapcsolatos hozzáférési kéréseit. A Google Analytics használata emiatt nem felel meg a GDPR-nak. A döntését követően a CNIL közzétett egy, a Google Analytics jogszerű használatához segítséget nyújtó összefoglalót és útmutatót.
Az osztrák DSB a korábbi saját, valamint a CNIL döntését követően 2022. április 22-én újabb határozatot hozott a Google Analytics használatát illetően, és úgy foglalt állást, hogy az EGT és az USA közötti adattovábbítás során a Google IP-anonimizálásának használata nem megfelelő védelmi intézkedésnek minősül, továbbá a GDPR által elméletileg lehetővé tett “kockázatalapú megközelítés“[1] az adattovábbítás tekintetében nem alkalmazható.
2022. június 23-án az olasz adatvédelmi hatóság („Garante”) is közzétette a Google Analytics használatával kapcsolatos döntését, amelyben az osztrák és francia hatósággal összhangban megállapította, hogy a Google Analytics weboldalakba való beépítése során a felhasználók személyes adatainak kezelése nem felel meg a GDPR-nak. A Garante figyelmeztetésben részesítette az adatkezelőt, és felszólította, hogy 90 napon belül tegyen eleget a GDPR V. fejezetében meghatározott kötelezettségeknek, vagy függessze fel a személyes adatok továbbítását. A hatóság felszólította a Google Analytics-et használó más helyi weboldalakat is, hogy ellenőrizzék saját megfelelőségüket.
Mit vizsgáltak az adatvédelmi hatóságok a Google Analytics használatával kapcsolatban?
A francia, osztrák és olasz adatvédelmi hatóságok eljárásaik során az alábbi kérdéseket vizsgálták:
- Használható-e a Google Analytics a felhasználók hozzájárulása alapján?
A CNIL a Google Analytics kapcsán külön vizsgálta, lehetséges-e az adattovábbítás a felhasználók hozzájárulása alapján – a GDPR 49. cikke ugyanis biztosítja ezt a lehetőséget, ha a személyes adatoknak az adattovábbítás során történő védelme tekintetében nem állnak rendelkezésre megfelelő garanciák. A hatóság ezzel kapcsolatban azonban megállapította, hogy az EDPB iránymutatása szerint ezek az eltérések csak a „nem ismétlődő” (véletlenül előálló, ismeretlen körülmények között és esetleges időközönként) adattovábbítás esetén alkalmazhatók, így a Google Analytics használata esetében nem jelenthetnek hosszú távú és állandó megoldást.
- Használható-e a Google Analytics a „kockázatalapú megközelítés” alapján?
A Schrems II. ítélet után a gyakorlatban felmerült az is, lehetséges-e az EGT-n kívüli adattovábbítások “kockázatalapú megközelítés” szerinti vizsgálata. Vagyis: az EUB által kért további biztosítékokra csak abban az esetben legyen szükség, ha az adatkezelő saját kockázatértékelése szerint jelentős kockázat áll fenn az érintett jogaira és szabadságaira nézve – bizonyos, alacsony kockázatúnak minősíthető esetekben (például online azonosítók vagy az IP-címek továbbítása esetén) legyen elegendő az adattovábbítással kapcsolatos általános szerződési feltételek (Standard Contractual Clauses) használata.
A CNIL elutasított a „kockázatalapú megközelítés” alkalmazásának lehetőségét, mivel az EGT-n kívüli országba továbbított személyes adatoknak a GDPR által elvárt védelemmel azonos szintű védelemben kell részesülniük. Amíg a harmadik országban lehetséges a hozzáférés a személyes adatokhoz, addig további technikai intézkedéseket kell tenni, amelyek megfelelnek az EDPB-nek „az adattovábbítási eszközöket a személyes adatok uniós védelmi szintjének való megfelelés biztosítása érdekében kiegészítő intézkedésekről” szóló 01/2020. számú ajánlásának („EDPB Ajánlás”), annak érdekében, hogy az ilyen hozzáférést lehetetlenné tegyék.
A DSB a CNIL-hez hasonlóan úgy foglalt állást – a „kockázatalapú megközelítést” nem lehet alkalmazni a GDPR szempontjából nem biztonságos harmadik országokba történő adattovábbítás során, mert a GDPR V. fejezete nem ismeri ezt a fogalmat.
- Megvalósítható-e a Google Analytics használata során személyes adatok álnevesítése, anonimizálása vagy titkosítása?
A Google szolgáltatásai során főszabály szerint álnevesítésre vonatkozó intézkedéseket alkalmaz. Kínál ugyan IP-anonimizálást is, de ez egyrészt nem alkalmazható minden adattovábbításra, másrészt pedig a CNIL szerint nem tisztázott, hogy maga az anonimizálás az adatok USA-ba történő továbbítása előtt, vagy pedig azt követően történik. A CNIL továbbá azt is megállapította, hogy a látogatói azonosítók (egyedi azonosítók, amelyek célja az egyének megkülönböztetése) kizárólagos használata azonosíthatóvá teheti az egyént, amennyiben azokat más információkkal, például a böngésző vagy az operációs rendszer metaadataival, a weboldal látogatásának időpontjával, vagy az IP-címmel összekapcsolják. Ezen túlmenően a Google Analytics más Google-szolgáltatásokkal történő együttes használata, illetve a böngészési előzmények nyomon követése is megteremtheti az egyének azonosításának lehetőségét.
A CNIL szerint a Google Analytics használata során a személyes adatok titkosítása jelenlegi formájában szintén nem nyújt megfelelő megoldást, mert azt egyrészt maga a Google végzi, másrészt adott esetben az EGT-n kívüli ország hatóságai kötelezhetik, hogy hozzáférést biztosítson a kezelésében lévő adatokhoz, valamint az adatokhoz való hozzáféréshez szükséges titkosítási kulcsokhoz. Ahhoz, hogy a titkosítás elegendő kiegészítő intézkedésnek minősüljön, a titkosítási kulcsokat az adatexportőr vagy más, a GDPR szerint megfelelő szintű adatvédelmet biztosító országban letelepedett szervezetek kizárólagos ellenőrzése alatt kell tartani.
A DSB szintén megerősítette, hogy a Google Analytics használatakor aktiválható IP-anonimizálás nem biztosít hatékony védelmet az USA-ba továbbított adatokhoz való hozzáférése ellen. A DSB érvelésében kifejtette, hogy a Google IP-anonimizálása egyrészt csak az IP-címet érinti, így az olyan adatok, mint a cookiekban meghatározott online azonosítók vagy az eszközadatok, azonosítható formában kerülnek továbbításra. Másrészt az IP-anonimizálás csak azután történik meg, hogy az adatokat már továbbították.
A Garante szintén rávilágított arra is, hogy amennyiben a felhasználó bejelentkezett a Google-profiljába, úgy a Google képes az IP-címet további, már birtokában lévő információkkal (például a felhasználói fiókban szereplő információkkal) összekapcsolni, így az IP-anonimizálás aktiválása ellenére továbbra is lehetséges volt a felhasználók újraazonosítása.
- Milyen biztonsági intézkedések mellett lehet jogszerű a Google Analytics használata?
Ahhoz, hogy a Google Analytics jogszerűen alkalmazható legyen, a CNIL szerint több intézkedést is végre kellene hajtani:
- Az IP-cím ne kerüljön továbbításra a mérést végző eszközök szerverére.
- Egy, az EDPBAjánlás szerint alkalmazott proxyszerver lehetővé tenné a felhasználó és a Google szerverei közötti közvetlen kapcsolat elkerülését, ezáltal bizonyos adatok nem kerülnének továbbításra, mint például a felhasználó IP címe, helymeghatározása, vagy a felhasználói azonosítók.
- Az úgynevezett „referer” információkat el kell távolítani[2]
- Az egyedi felhasználói lenyomat készítésére alkalmas adatokat át kell dolgozni, például maszkolni (például az IP cím egy részének elrejtése);
- Minden, az újbóli azonosításhoz vezető adatot törölni kell. (A CNIL nem részletezi, ezek milyen adatok pontosan.)
- A proxyszerver alkalmazása nem járhat az EGT-n kívüli, harmadik országba történő adattovábbítással.
Tekintve, hogy mindezen intézkedések végrehajtása igen költséges és összetett lehet, a CNIL alternatívaként azt ajánlja az adatkezelőknek, hogy olyan megoldást alkalmazzanak, amelyet az EDPB Ajánlás is tartalmaz, és nem jár a személyes adatok EGT-n kívüli továbbításával.
3. Mit tehet az a társaság, aki még Google Analytics-et használ?
Az európai adatvédelmi hatóságok még nem bírálták el valamennyi, a Google Analytics használatával kapcsolatos panaszt, és a NAIH sem bocsátott ki még a Google Analytics-el kapcsolatos nyilvános határozatot.
A cikkben említett hatósági határozatok azonban mindenképpen érintik a magyar weboldal-üzemeltetőket, ezért érdemes lehet áttekinteni az adatvédelmi tájékoztatókat, cookie tájékoztatókat, cookie bannerek-et és weboldal használati feltételeket, hogy részletesen tartalmazzák-e a Google Analytics működésével kapcsolatos tudnivalókat.
Ha nem, akkor ezeket a dokumentumokat hatályosítani kell – a GDPR által előírt „elszámoltathatóság” szempontjából ez a minimum. Ezen túlmenően, a fent ismertetett hatósági iránymutatások alapján mérlegelni szükséges a rendelkezésre álló (akár a cikkben bemutatott) technikai lehetőségeket az adattovábbítás jogszerűségének biztosítására, és a kockázatviselési hajlandóságra, valamint az észszerű üzleti kockázatokra figyelemmel dönteni a Google Analytics további használatával kapcsolatban.
________________________________________________________________________________
[1] A hatóság a GDPR 24. cikkét vizsgálta – lehetséges-e, hogy az adatkezelő dönthesse el a kockázat figyelembe vételével, hogy milyen technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik.
[2] A referer egy weboldal letöltésekor a böngésző által a fejlécben elküldött egyik sor, ami az oldalra hivatkozó weblap URL‑jét tartalmazza.