Dozorné orgány štátov EÚ čoraz častejšie upozorňujú na rozpory Google Analytics s ePrivacy a GDPR. Nástroj pritom využívajú aj mnohí prevádzkovatelia webových stránok na Slovensku. Riešením môže byť podľa odborníkov na ochranu osobných údajov len zosúladenie nastavení služby s európskou legislatívou.

O prenosoch dát európskych užívateľov do USA sa hovorí už dlho. Aktuálne je z dôvodu viacerých podaných sťažností problematická služba Google Analytics, ktorá sa využíva hlavne na analytické a marketingové účely. Európski regulátori vidia problém predovšetkým v americkej legislatíve (FISA), na základe ktorej majú americké úrady prístup k dátam užívateľov danej služby a to aj v prípade, ak ich Google zašifruje. Dotknuté osoby sa voči takýmto zásahom v podstate nemajú právo brániť. Vo  veci už rozhodol v neprospech amerického dátového giganta európsky dozorný úradník (EDPS) v prípade Európskeho parlamentu, francúzsky dozorný orgán, v dvoch prípadoch aj rakúsky dozorný orgán a najnovšie nariadil zákaz používania Google Analytics aj taliansky dozorný orgán, podľa ktorého prenos údajov do USA cez Google Analytics, zhromaždených prevádzkovateľmi webových stránok, neposkytuje vhodné primerané záruky. Rovnako ako EDPS, francúzsky a rakúsky úrad, ani taliansky regulátor nepovažuje opatrenia prezentované v konaniach za dostatočné.

Je teda možné Google Analytics používať?

Spoločnosť Google na rozhodnutia reagovala viacerými aktualizáciami, ktoré sa viac zameriavajú na ochranu osobných údajov európskych používateľov. Aktualizácie a nové možnosti sú obsiahnuté predovšetkým vo verzii Google Analytics 4, nie však napr. v Google Universal Analytics, ktoré je odporúčané prestať používať. V rámci verzie Google Analytics 4 je možné zabezpečiť silnú pseudonymizáciu dát ešte pred ich prenosom na server Google, čo by malo znemožniť prístup amerických úradov k údajom. Ďalšou alternatívou, ktorú odporúča francúzsky dozorný orgán, je využívanie proxy servera, ktorý je možné označiť za všeobecnú možnosť prenosov do USA a ďalších krajín, nezabezpečujúcich primeranú úroveň ochrany osobných údajov. Proxy server totiž zabráni priamemu kontaktu medzi koncovým zariadením používateľa a servermi Google. Do tretice, ak využívate platenú verziu služby Google Analytics 360, môžete zvážiť aj šifrovanie dát s využitím Big Query a Cloud Key Management Service.

Existuje aj iné efektívne riešenie, ako zabezpečiť prenosy do tretích krajín? „Často sa zabúda na tzv. „zlatý štandard medzinárodných prenosov údajov“, ako záväzné vnútropodnikové pravidlá označil britský dozorný orgán. Tieto môže využívať skupina podnikov alebo podniky zapojené do spoločnej hospodárskej činnosti,“ približuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal. „V Slovenskej republike s týmto schvaľovacím procesom už máme prvú skúsenosť. Napriek tomu, že úvodné spracovanie potrebnej dokumentácie je náročné, v závere mimoriadne znižuje časové i finančné náklady na prenosy údajov v rámci skupiny a je aj určitou pečaťou kvality pre klientov takýchto medzinárodných skupín,“ dodáva Jakub Berthoty.

Črtá sa komplexné riešenie

Napriek komplikovanosti problému sa možno v dohľadnom čase dočkáme jednoduchého riešenia. Európsky komisár Didier Reynders totiž uviedol, že oficiálny právny text dohody o prenosoch medzi EÚ a USA bude vypracovaný v najbližších týždňoch. Tým sa začne proces posúdenia primeranosti, ktorý povedie k finalizovanej dohode najneskôr do konca prvého štvrťroka budúceho roka. „Ak by sa podarilo prelomiť právo plošného prístupu amerických tajných služieb k údajom užívateľov a zaviesť do systému prvky proporcionality a nevyhnutnosti a možno aj väčšieho dohľadu, mohlo by to znamenať, že USA sa, ako celok, stanú primeranou treťou krajinou a mohli by sme do Spojených štátov vykonávať prenosy osobných údajov v podobnom režime, ako v rámci EÚ, resp. EHP. Úplne ideálne by bolo, ak by v USA existovala federálna legislatíva na ochranu osobných údajov, podobná GDPR,“ uzatvára Berthoty.

Značky: