A Google Analytics segít az alkalmazások és webhelyek üzemeltetőinek megérteni, hogy a felhasználók hogyan használják webhelyeiket és alkalmazásaikat – például egy online újság melyik rovatának van a legtöbb olvasója, vagy hogy egy online áruház esetében milyen gyakran lépnek ki a vásárlók a választott termékek megvásárlása nélkül.
Ha egy társaság használja a Google Analytics-et, és ennek során személyes adatok (pl. cookiek, IP-cím) továbbítása történik a Google Inc. számára az Amerikai Egyesült Államokba, kiemelt figyelmet kell fordítani az adatvédelmi szempontokra.
Az osztrák adatvédelmi hatóság („Österrechische Datenschutzbehörde” – „DSB”) 2021. december 22-én hozott döntése értelmében ugyanis a Google Analytics használata során nem elég kizárólag a Google online elérhető, az EU-n kívüli országba irányuló adattovábbítás jogszerűségét biztosító általános adatvédelmi szerződési feltételeit („Standard Model Clause” / „SCC”) elfogadni, hanem kiegészítő szerződéses, technikai és szervezési intézkedések is szükségesek. (Ez a megközelítés az Európai Unió Bírósága („EUB”) 2020. július 16-i C-311/18. sz. ítéletén -„Schrems II” – alapul.)
A DSB a döntésben csak az adattovábbítás jogellenességét állapította meg, egyéb intézkedést nem hozott, mert a weboldal üzemeltetéséért való felelősséget az eljárás során egy müncheni székhelyű német társaság vette át. Mivel azonban az EU 2016/679. számú Általános Adatvédelmi Rendelete („GDPR”) az EU minden országában irányadó, a DSB megállapításait a magyarországi társaságoknak is érdemes figyelembe venniük.
A konkrét adatvédelmi panasz a Google Analytics használatával kapcsolatban
A Max Schrems osztrák adatvédelmi aktivista által alapított NOYB („None of your business”) adatvédelmi egyesület 2020 augusztusában Európa-szerte összesen 101 adatvédelmi panaszt nyújtott be különböző szervezetek ellen EU-n kívüli országokba irányuló adattovábbításokkal kapcsolatban– a DSB határozata a panaszok alapján indult egyik ügyben született.
A DSB egy, a Google Analytics-et weboldalába integráló osztrák kiadóvállalat adatkezelési tevékenységét vizsgálta. A weboldalon történő böngészés során a kiadóvállalat személyes adatokat (a panaszos felhasználó IP-címét és cookiek által kezelt személyes adatokat) továbbított az USA-ban székhellyel rendelkező Google Inc. felé a Google Analytics használata körében – a panaszos ezt a gyakorlatot kifogásolta.
A kiadóvállalat és a Google Inc. érvei az adattovábbítás jogszerűsége mellett
A weboldalt üzemeltető kiadóvállalat a Google Analytics-et a weboldala látogatóinak viselkedésére vonatkozó általános statisztikai elemzések elvégzésére használta, nem pedig személyre szabott tartalom megjelenítésére. A kiadóvállalat állítása szerint a statisztikai elemzés anonim módon történt, és nem lehetett konkrét felhasználóhoz kötni. A felhasználói IP-címeket tárolás vagy továbbítás előtt a program ugyanis anonimizálja (ún. IP-anonimizálás, amely eredményeképp az IP-címeket nem kezelik és nem naplózzák), ugyanakkor a kiadóvállalat elismerte, hogy az IP-cím anonimizálást nem megfelelően konfigurálta. Az EU-n kívüli adattovábbítás megfelelő szintű védelmének biztosítása érdeklében a kiadóvállalat elfogadta a Google Inc. által rendelkezésre bocsátott SCC-t.
Az EU-n kívüli adattovábbításokkal kapcsolatban az adatvédelmi hatóságok elsődleges aggálya, hogy az érintett országok hatóságai a GDPR által meghatározott feltételektől eltérő módon hozzáférhetnek a felhasználók személyes adataihoz. A Google Inc. ugyanakkor úgy nyilatkozott, hogy a Google Analytics működéséből kifolyólag a továbbított adatok pszeudonimizált adatoknak tekintendők (mivel a Google Inc. maga nem tudja az IP-címet adott személyhez rendelni). A Google Inc. szerint önmagában az álnevesítés is hatékony kiegészítő intézkedés, mert nem várható, hogy az amerikai hatóságok olyan további információkkal rendelkeznének, amelyek lehetővé tennék számukra a kérelmező vagy egyéb érintettek azonosítását a cookie „gid” és „cid” értékei vagy az IP-cím alapján.
Az osztrák adatvédelmi hatóság megállapításai
A DSB az eljárása során kizárólag azt vizsgálta, hogy történt-e a weboldalüzemeltetőtől a Google Inc. felé személyes adat továbbítás, és ha igen, biztosították-e a GDPR 44. cikkében elvárt megfelelő szintű védelmet.
A DSB legfontosabb megállapításai:
1. A felhasználók azonosítását lehetővé tévő IP-címek személyes adatoknak minősülnek
Az online azonosítókkal kapcsolatban a DSB kifejtette, hogy a kérelmező készülékén és böngészőjében tárolt „_ga” vagy „cid” (ügyfél azonosító) és „_gid” (felhasználói azonosító) cookie-k egyedi Google Analytics-azonosítókat tartalmaznak.
A Google Inc. az online azonosítók segítségével meg tudja különböztetni a weboldal látogatóit, és információt kaphat arról is, hogy új vagy visszatérő látogatókról van-e szó.
A felhasználók IP-címe önmagában véve személyes adatnak minősül, az más elemekkel (Google Analytics-azonosítóval) összekapcsolható, és nem veszíti el a személyes adat minőségét csak azért, mert a felhasználó azonosítását lehetővé tevő eszköz egy harmadik félnél (Google Inc.) van. A DSB kiemelte, hogy nem szükséges, hogy a kiadóvállalat vagy a Google egyedül képesek legyenek a személyes kapcsolatot megállapítani, azaz, hogy az azonosításhoz szükséges valamennyi információval rendelkezzenek. Elegendő, ha bármely harmadik személy – jogilag megengedett eszközökkel és ésszerű erőfeszítésekkel – megállapíthatja ezt a személyes kapcsolatot.
2. A Google Analytics-et a weboldalába integráló fél adatkezelőnek minősül
A DSB megállapította, hogy a weboldal látogatóinak mérését a Google Analytics segítségével végző társaság a GDPR szerint „adatkezelőnek” minősül, mert ő dönt a Google Analytics használatáról, és a Google által biztosított JavaScriptet ő alkalmazza a weboldalon, hogy statisztikai elemzéseket végezzen a látogatók viselkedéséről. Ezért meg kell felelnie a GDPR-ban meghatározott, az adatkezelőkre vonatkozó kötelezettségeknek – így különösen fel kell tüntetnie a Google Analytics használatát adatkezelési tájékoztatójában, és biztosítania kell az adattovábbítás jogszerűségét. A DSB hangsúlyozta, hogy nem vizsgálta a Google szerepét a további adatkezeléssel kapcsolatban. Jelenleg ugyanis nincs egységes hatósági álláspont a Google adatfeldolgozói státuszát illetően – a német adatvédelmi hatóságok konferenciájának 2020 májusban kiadott nyilatkozata például a Google-t a GDPR 26. cikke szerinti közös adatkezelőnek tartja.
3. A Schrems II. ítéletben foglalt kiegészítő intézkedések értékelése
A Schrems II ítélet egyértelművé tette, hogy a nem megfelelő adatvédelmi szintet garantáló harmadik országba (az USA ilyen) történő adattovábbítás esetén a társaságoknak (úgynevezett „adatexportőrként”) előzetesen meg kell vizsgálniuk az adatvédelmi szint megfelelőségét. Az USA egyes hatóságai adathozzáférési lehetőségei miatt az adattovábbítást megelőzően a társaságoknak az adattovábbítás címzettjével (az úgynevezett „adatimportőrrel”) szemben az SCC megkötésén, illetve elfogadásán túl további szerződéses, szervezési és technikai intézkedéseket kell biztosítaniuk. Különösen figyelni kell erre a Google Inc.–hez hasonló szolgáltatók esetében, mert vonatkozik rájuk a FISA („Foreign Intelligence Surveillance Act”) nevű törvény 702. cikke – ez biztosítja az USA hatóságai számára a személyes adatokhoz való hozzáférést. Ez a kötelezettség kifejezetten kiterjedhet azokra a kriptográfiai kulcsokra, amelyek nélkül az adatok nem olvashatók. A titkosítás, mint adatbiztonsági intézkedés így kiüresedne, ha a szolgáltató köteles lenne átadni a kriptográfiai kulcsot, amely a személyes adatok azonosíthatóságának visszaállításához szükséges kiegészítő információ.
A DSB idézte az Európai Adatvédelmi Testület („EDPB”) kiegészítő intézkedésekről szóló 01/2020 ajánlását, és annak fényében nem fogadta el megfelelőnek a kérelmezettek által implementált kiegészítő intézkedések által nyújtott védelmi szintet.
Ezek a kiegészítő intézkedések az alábbiak voltak:
- A Google Inc. minden, hatóságtól érkező adathozzáférési kérelmet egyedileg megvizsgál.
- A Google Inc. úgynevezett „átláthatósági jelentést” teszt közzé azokról az esetekről, amikor adathozzáférési kérést kapott az illetékes hatóságoktól.
- A kiadóvállalat értesíti az érintett felhasználókat a különböző hatóságoktól érkező adatkérésekről (ha az az egyes esetekben nem tilos).
- A Google Inc. védi a szolgáltatásai közötti kommunikációt (pl. titkosítás).
- A Google Inc. biztosítja az adatok biztonságát adatközpontjaiban és védi az általa tárolt adatokat az adatközpontok közötti adatátvitel során.
A DSB mindegyik intézkedés vonatkozásában kifejtette, hogy nem világos és nem egyértelmű, hogy ezek az intézkedések mennyiben akadályozzák meg ténylegesen a harmadik ország hatóságai által érkező megkeresésekor nyújtandó adatszolgáltatást.
A Google Analytics használatával kapcsolatos teendők
A hatósági döntés megállapításai alapján, amennyiben az adatkezelők továbbra is a Google Analytics szolgáltatásait kívánják igénybe venni, fokozottan figyelniük kell az adatvédelmi megfelelés egyes lépéseire:
- A Google Analytics használatának feltüntetése az adatkezelési tájékoztatójukban.
- Adattovábbítási hatásvizsgálat („transfer impact assessment, „TIA”) elvégzése. Ennek során az összes, Google által biztosított (például a döntést követő blogbejegyzésben is kifejtett) technikai és szervezési intézkedést értékelni, majd implementálni kell (beleértve az IP-cím anonimizálás megfelelő végrehajtását is, amely a fenti ügyben nem történt meg).