15 °C, Budapest
15 °C
Budapest
Holnap
18°
Holnapután
18°
Szerda
19°
2022.10.02. , Petra
filter.hu filter.hu

A Google Analytics használatának megtiltására irányuló európai adatvédelmi hatósági döntések

Az utóbbi hónapokban az Európai Unió több tagállamának adatvédelmi hatósága döntéseket hozott és állásfoglalásokat adott ki a Google webelemző szolgáltatásával, a Google Analytics-el kapcsolatban. Ezek a döntések Magyarországon működő vállalkozásokra nem kötelezőek, ugyanakkor a jövőben várható, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság is eljárásokat fog kezdeményezni a témában. Ennek megfelelően javasolt figyelembe venni a már közzétett iránymutatásokat, melyet a jelen cikkben ismertetünk.

1. A francia adatvédelmi hatóság gyakori kérdései és válaszai

A francia adatvédelmi hatóság (CNIL) közzétette a gyakori kérdéseket és válaszokat részletező állásfoglalását a Google Analytics használata tekintetében, melyben szerepelnek az azzal kapcsolatos ellentétes álláspontok, lehetséges alternatív megoldások, illetve tartalmaz az adattovábbításra vonatkozó szabályokkal összhangban álló látogatottság-mérésre alkalmas megoldást is. Az állásfoglalás kiadása azután történt, hogy a hatóság felhívta a francia vállalatok figyelmét, hogy a GDPR-ban foglalt nemzetközi adattovábbításra vonatkozó rendelkezéseknek nem felel meg a Google Analytics használata.

Az előzmények

Egy osztrák adatvédelmi egyesület Google Analytics-el kapcsolatos panaszait követően a CNIL több hatósági döntést is címzett a Google Analyticset használó francia vállalatoknak. Ezek hátterében az európai adatvédelmi hatóságok határozatai, illetve az Európai Unió Bíróságának Schrems II. ítélete húzódnak – a Schrems II. ítélet érvénytelenítette az ún. adatvédelmi pajzsot, és az adatvédelem kapcsán jelentkező többletkötelezettségeket (például: kockázatértékelés, adatbiztonsági intézkedések) írt elő az adatkezelőknek, ha azok csak a harmadik országokba irányuló adattovábbításokra vonatkozó feltételeket alkalmazták.

A CNIL kizárólag egy anonimizált hatósági döntést hozott nyilvánosságra, mely szerint a Google Analytics használata a GDPR rendelkezéseivel nem áll összhangban, mivel a Google Analytics a sütik, vagyis cookiek által gyűjtött személyes adatokat anélkül továbbítja az Egyesült Államokba, hogy a személyes adatokhoz való esetleges hatósági hozzáférés megakadályozása érdekében megfelelő intézkedéseket hozna. Bár a Google tett már erőfeszítéseket további biztonsági intézkedések bevezetése kapcsán, a CNIL szerint ez még mindig nem elegendő.

A CNIL a honlapok látogatottságának mérésre alkalmas sütik segítségével gyűjtött személyes adatok anonimizálását javasolja. Így a mérés aggálymentesen alkalmazható lenne, mert a francia szabályozás értelmében alapvetően a felhasználó hozzájárulása szükséges a sütik használatához. A felhasználó hozzájárulásának beszerzése alóli mentesség csak olyan eszközök, megoldások esetében alkalmazható, amelyek megfelelnek a CNIL által közzétett összesített kritériumoknak, amelyek közül az egyik például az, hogy csak statisztikai, anonim adatok generálására kerüljön sor az adott eszköz, megoldás alkalmazása során. Az adatkezelőnek, vagyis ebben az esetben a honlap tulajdonosának továbbra is biztosítania kell, hogy az EU-n kívüli harmadik országokba történő adattovábbítás megfeleljen az alapvető adatvédelmi követelményeknek.

1.2. A CNIL által közzétett állásfoglalás főbb pontjai

Minden vállalat érintett

Az állásfoglalás rövid, és nem nyújt sokkal több információt, mint amit a 2022 februárjában közzétett anonimizált hatósági döntés már tartalmazott. A NOYB egyesület 101 panaszosának körében szereplő valamennyi francia vállalat hivatalos felszólítást tartalmazó adatvédelmi hatósági döntést kapott a CNIL-től a Google Analytics használatával kapcsolatosan, kérésre meghosszabbítható 1 hónapos határidejük van a megfelelő gyakorlat kialakítására.

A CNIL egyértelművé teszi, hogy az egyetlen, 2022. februárjában közzétett anonimizált határozat előírásai úgy értendőek, hogy azok a Google Analyticset használó valamennyi vállalatra vonatkoznak, és nem csak azokra, amelyek hivatalos felszólítást kaptak. Ennek megfelelően minden vállalkozásnak, aki használja a Google Analytics szolgáltatását, érdemes a vállalat által megbízott adatvédelmi tisztviselő segítségét igénybe venni.

 

A kockázatalapú megközelítés elutasítása

A CNIL kategorikusan és mereven elutasítja a kockázatalapú megközelítést, és úgy véli, hogy ha az amerikai hatóságoknak a Google Analytics által gyűjtött adatokhoz való hozzáférése nem is valószínű, amíg a hozzáférés technikailag lehetséges, addig megfelelő biztonságtechnikai intézkedésekre van szükség.

A CNIL egyértelműen kijelenti, hogy a döntő kérdés nem az, hogy "valószínű-e, hogy a külföldi hatóságok hozzáférnek az adatokhoz?", hanem az egyetlen releváns kérdés az, hogy "lehetséges-e, hogy a külföldi hatóságok hozzáférnek az adatokhoz?".

A Google Analytics beállításainak módosítása: Nem elegendő

A Google Analytics beállításainak módosítása (például az IP-cím feldolgozásának megváltoztatása, a személyes adatok csak az EU-n belüli tárolása) a CNIL szerint nem elegendő mindaddig, amíg az EU-n kívüli hatóságok számára továbbra is lehetséges a hozzáférés, és lehetővé teszi a felhasználó azonosítását és az egyik weboldalról a másikra történő navigációjának nyomon követését.

Az adatok titkosítása: Jelenleg nem elegendő

A Google Analytics tekintetében a CNIL úgy véli, hogy az adatok titkosítása önmagában nem elegendő, hiszen a gyakorlatban a Google LLC az a szervezet, mely

- titkosítja az adatokat;

- megőrzi a titkosítási kulcsot; illetve

- köteles azokat a hatósági adatokhoz való hozzáférésre irányuló kérelmeinek beérkezésekor rendelkezésre bocsátani

A CNIL arra a következtetésre jutott, hogy mivel a Google LLC továbbra is hozzáférhet az adatokhoz azok eredeti formájában, a titkosítási intézkedések nem tekinthetők megfelelőnek az amerikai hatóságoktól érkező, az adatokhoz való hozzáférésre irányuló megkeresés esetén. Ennek megfelelően a végső következtetés, hogy a titkosítás megfelelő intézkedés lenne, ha a Google LLC nem férne hozzá a személyes adatokhoz azok eredeti formájában, vagy a titkosítási kulcsokhoz.

A felhasználók hozzájárulásának beszerzése: Nem alkalmazható

A felhasználók hozzájárulásának beszerzése az adattovábbításhoz nem elegendő biztonsági intézkedés, mivel az Európai Adatvédelmi Testület szerint ez csak egyszeri adattovábbításokra alkalmazható, és nem használható állandó megoldásként a személyes adatok rendszeres jelleggel történő továbbítása kapcsán.

Proxyszerver használata: Megfelelő lehet

Az állásfoglalás szerint a CNIL csak proxyszerver használatát tekinti elfogadható megoldásnak. A CNIL szerint a probléma forrása a felhasználók eszközei és a Google szerverei közötti, HTTPS-kapcsolaton keresztüli közvetlen kapcsolat, amely lehetővé teszi a felhasználó IP-címének és egyéb, a felhasználó újbóli azonosítására szolgáló információk gyűjtését. Csak olyan technikai megoldások orvosolhatják ezt a problémát, melyek megszakítják a felhasználó eszköze és az adott weboldal szervere közötti közvetlen kapcsolatot - mint például egy proxyszerver -, mivel ezek az adatokat álnevesítik, mielőtt azok az EU-n kívülre továbbításra kerülnek.

A proxyszervernek, vagy ahhoz hasonló technikai megoldásnak meg kell felelnie az Európai Adatvédelmi Testület kritériumainak, kiemelten a következőknek:

- Az álnevesített adatok további kiegészítő információk felhasználása nélkül nem rendelhetők többé egy adott érintetthez;

-  Ezen kiegészítő információkat kizárólag az adatexportőr őrzi meg, és külön tárolja egy EU- tagállamban vagy egy biztonságos harmadik országban;

- Csak az adatexportőr rendelkezik például a titkosítási kulcsok, az algoritmus vagy az adattár felett, amelyek lehetővé teszik az érintettnek a kiegészítő információk felhasználásával történő újbóli azonosítását. Ennek megfelelően ezek a technikai és szervezeti biztonsági intézkedések megakadályozzák a fent említett információk nyilvánosságra hozatalát vagy jogosulatlan felhasználását

- Az adatkezelő elvégzett egy olyan elemzést, mely szerint az álnevesített adatokhoz hozzáféréssel rendelkező hatóságok nem tudják újra azonosítani az érintettet, még az álnevesített adatoknak a kiegészítő információkkal való összevetésével sem.

A CNIL a megfelelő látogatottság-mérésre alkalmas megoldás használatára vonatkozó iránymutatásban azt is hangsúlyozza, hogy a proxyszerver használata különleges intézkedéseket igényel (például az IP-címnek a látogatott weboldal szervereihez történő továbbításának mellőzése, vagy a felhasználói azonosítónak a proxyszerver által történő helyettesítése) és hogy a proxyszervert olyan körülmények között, olyan beállításokkal kell alkalmazni, amelyek garantálják, hogy a szerver által feldolgozott adatok nem kerülnek továbbításra az EU-n kívülre.

A gyakorlatban viszont a fenti kritériumok technikai szempontból nehezen megoldhatók. Maga a CNIL is elismeri, hogy ez a gyakorlatban rendkívül költséges és bonyolult megoldás lehet, így végső soron a Google Analytics helyett alternatív megoldások alkalmazását ajánlja. 

1.3. Az alternatív megoldások

A CNIL a honlapján közzétette a felhasználók hozzájárulása nélkül alkalmazható, és meghatározott konfiguráció esetén megfelelőnek ítélt megoldások listáját – eszerint jelenleg 18 tanúsított megoldás létezik. A CNIL azonban kiemeli azt is, hogy ezeket a megoldásokat nem értékelték a nemzetközi adattovábbítás területén. Ez azt jelenti, hogy bár a CNIL listáján megfelelőként szerepelnek, nem használhatók ilyen formában, hanem először ellenőrizni kell az adattovábbítás konkrét körülményeit, és alkalmazni kell a Schrems II. ítéletben foglalt biztosítékokat is.

Mik a következő lépések? - A CNIL álláspontjának megtámadása

A CNIL által vázolt megoldások a gyakorlatban továbbra is nehezen alkalmazhatóak és végső soron nem kínálnak valós megoldást a vállalatok számára.

A vállalatok számára lehetséges lépések között szerepel az, hogy a Google Analytics használatának megszüntetésére irányuló felszólításban foglalt adatvédelmi hatósági álláspontot, illetve a gyakori kérdéseket és válaszokat magában foglaló állásfoglalást megtámadhatják.

A CNIL állásfoglalása az adattovábbítással kapcsolatos szélesebb körű álláspontjaként is értékelendő, mivel egyes EU-s hatóságok a weboldalak látogatottságának mérésére alkalmas eszközök, megoldások alkalmazásával kapcsolatos ügyeket arra használják, hogy állást foglaljanak az adattovábbítással kapcsolatos kérdésekben. A vállalatoknak értékelniük kell a weboldalukon alkalmazott látogatottság-mérésre alkalmas technikai megoldásokat, meg kell vizsgálniuk az ezekhez kapcsolódó adatáramlásokat, és mérlegelniük kell, hogy az általuk alkalmazott intézkedések és biztosítékok elegendőek-e a GDPR, a Schrems II. ítélet és az elektronikus hírközlési adatvédelmi Irányelv rendelkezéseinek fényében.

 

2. Az olasz adatvédelmi hatóság döntése

Az olasz adatvédelmi hatóság betiltotta a Google Analytics használatát a Caffeina Media S.r.l. számára, mivel megállapította, hogy a vállalat az USA-ba történő adattovábbítás kapcsán nem nyújt megfelelő garanciákat.

Az előzmények

2020 augusztusában panaszt nyújtottak be az olasz adatvédelmi hatósághoz Egyesült Államokba történő adattovábbítással kapcsolatosan.

A Caffeina Media S.r.l. elleni panasz ügyének vonatkozásában a panaszos meglátogatta az adatkezelő weboldalát, miközben be volt jelentkezve e-mail címéhez kapcsolódó Google-fiókjába. A honlap látogatása során a panaszosra vonatkozó személyes adatok továbbításra kerültek az Egyesült Államokba. A panaszt a Caffeina Media S.r.l. és az USA-beli Google LLC ellen nyújtották be, mivel továbbra is engedélyezték az USA-ba történő adattovábbításokat annak ellenére, hogy azok megsértették a GDPR rendelkezéseit.

Legfontosabb megállapítások

A Caffeina Media S.r.l. a weboldalán Google Analytics-sütik segítségével információkat gyűjtött a felhasználók honlapon végzett tevékenységéről, illetve ennek körülményeiről. Az ezekkel kapcsolatosan gyűjtött adatok között szerepeltek a felhasználói eszköz IP-címe, valamint a böngészőre, az operációs rendszerre, a képernyőfelbontásra, a kiválasztott nyelvre, az oldal megtekintésének dátumára és időpontjára vonatkozó információk.

Az olasz adatvédelmi hatóság álláspontja szerint az IP-cím személyes adatnak minősül, és még az adattartalom rövidítése esetén sem anonimizálható, mivel a Google képes az ilyen adatokat a birtokában lévő további, ún. kiegészítő információkkal összevetni.

Az adatvédelmi hatóság megállapította, hogy a felhasználók személyes adatainak az Egyesült Államokba történő továbbítása a GDPR rendelkezéseibe ütközik, mivel a Google által alkalmazott biztonsági intézkedések nem biztosítottak megfelelő szintű védelmet az Európai Adatvédelmi Testület ajánlása szerint. Az Egyesült Államokban működő kormányzati és hírszerző ügynökségek valóban hozzáférhetnek az oda továbbított személyes adatokhoz a megfelelő adatvédelmi garanciák hiányában.

A döntés

Az adatvédelmi hatóság arra kötelezte Caffeina Media S.r.l.-t, hogy adatkezelési gyakorlatát 90 napon belül hozza összhangba a GDPR rendelkezéseiben foglalt elvekkel és kötelezettségekkel - amennyiben ezt az adatkezelő nem teljesíti, a hatóság elrendeli a Google Analytics használatának felfüggesztését. A

Mivel az adatkezelő a GDPR-nak megfelelő tartalommal aktualizálta adatkezelési tájékoztatóját, az adatvédelmi hatóság nem hozott korrekciós intézkedéseket e tekintetben.

3. Az osztrák adatvédelmi hatóság döntése

Az osztrák adatvédelmi hatóság 2021 decemberében hozott döntése szerint nem nyújt elégséges védelmet az, ha az Európai Unión belül üzemeltetett weboldal tulajdonosa és a Google LLC között alkalmazásra kerülnek a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek, ezen kívül kiegészítő technikai és szervezési intézkedések meghatározása is szükséges. Fontos kiemelni, hogy az ilyen intézkedések biztosítására vonatkozó felelősség elsősorban a weboldal-üzemeltetőt terheli, akinek weboldala a Google Analytics-et használja és ezáltal a GDPR hatálya alá tartozó érintettek személyes adatainak Egyesült Államokba történő továbbítása és így adott esetben az adatokhoz való ottani hozzáférés lehetségessé válik.  

 

4. Észrevételeink

Amennyiben az adott  honlap üzemeltetője a Google Analytics segítségével kívánja elemezni a weboldalának látogatottságát és ennek során a látogatói személyes adatok, mint például IP-cím továbbításra kerül a Google LLC amerikai szerverére, ez harmadik országba történő adattovábbításnak minősül, így alkalmazandók rá az adattovábbításra vonatkozó rendelkezések, valamint a weboldal üzemeltetőjének mint adatkezelőnek gondoskodnia kell adatkezelői kötelezettségeinek teljesítéséről.

Az eddigiek során az adatvédelmi hatóságok nem szolgáltak olyan, a Google Analytics helyett a gyakorlatban ténylegesen kivitelezhető, alkalmazható, biztonságos és emellett gazdaságos, észszerű erőfeszítésekkel megvalósítható technikai megoldásokkal vagy intézkedésekkel, amelyek alkalmazásán keresztül a honlapot üzemeltető adatkezelő hatékonyan és ezzel együtt a GDPR rendelkezéseinek megfelelően tudná felmérni a weboldala látogatottságát és a felhasználók aktivitását. A jelen cikkünkben írtak alapján azonban megfigyelhető, hogy egyre több európai adatvédelmi hatóság minősíti rendkívül aggályosnak a Google Analytics használatát és a nem megfelelő biztonsági intézkedések okán arra figyelmeztetik az adatkezelőket, hogy amennyiben adatkezelési gyakorlatukat – weboldaluk üzemeltetését – nem hozzák összhangba a GDPR rendelkezéseivel, úgy megtiltják számukra a Google Analytics használatát a weboldalukon.

A jelen cikkünk 1. és 2. része a French data protection authority publishes Q&A regarding use of Google Analytics c., valamint az Italian SA bans use of Google Analytics: no adequate safeguards for data transfers from Caffeina Media S.r.l. to the U.S. angol nyelvű cikk magyar nyelvű fordításaként készült.

Amennyiben adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu