A svéd adatvédelmi hatóság 2023. július 3-án bejelentette, hogy két cégre összesen 1,3 millió Eurónak megfelelő összegű bírságot szabott ki a Google Analytics használata miatt, pontosabban a szolgáltatás keretében az USA-ba történő adattovábbítás miatt.
A NYOB 2020 nyarán számos európai cég ellen lépett fel a Google vagy a Facebook felé történő adattovábbításokkal kapcsolatban, az érintettek között magyar honlapok üzemeltetői voltak (a vonatkozó bejegyzésünk itt olvasható). A friss svéd döntések jó apropót szolgáltatnak annak áttekintésére, hogy mi lett ezen eljárások kimenetele.
Google Analytics
A szolgáltatás lényegében egyedi azonosítót rendel a weboldalak és mobil alkalmazások felhasználóihoz, ezzel adatokat gyűjt a használati szokásaikról, és részletes jelentéseket bocsát a honlap üzemeltetője rendelkezésére. Mindezzel nyomon követhető a felhasználók számos jellemzője, többek között az, hova kattintanak, melyik oldalon töltenek több időt, milyen országokban vannak, milyen viselkedés előzte meg az online vásárlásokat. Ezek az információk rendkívül értékesek a honlapok üzemeltetője számára, ugyanakkor ezek nagy része személyes adatnak is minősül.
A Google Analytics-et használó weboldal üzemeltetők megállapodást kötnek a Google Ireland Ltd-vel. Ennek részei azok az általános adatvédelmi klauzulák (Standard Contractual Clauses, SCCs), melyek az érintettek számára bizonyos garanciákat biztosítanak a személyes adatoknak az Egyesült Államokban történő kezelésével kapcsolatban, amelyet a Google LLC végez. Ezek a klauzulák (valójában mintán alapuló szerződések) azonban az Európai Unió Bírósága (EUB) Schrems II döntése (C-311/18) alapján ezek önmagukban nem feltétlenül elegendőek. Ez különösen releváns azokban az esetekben, amikor pl. az Egyesült Államok bűnüldöző hatóságai aránytalan mértékben férhetnek hozzá a továbbított személyes adatokhoz.
2020 augusztusában a Max Schrems-hez kapcsolódó NOYB.EU szervezet panaszokat küldött 101 európai honlap üzemeltetőjének, többek között a Google Analytics használatával járó, Egyesült Államokba történő adattovábbítás jogszerűtlensége miatt. A tagállamok nemzeti adatvédelmi hatóságainak ezzel kapcsolatban hozott döntéseiből az olvasható ki, hogy a honlapot üzemeltetőknek felül kell vizsgálniuk a Google Analytics használatával kapcsolatos adattovábbítási mechanizmusukat, és olyan kiegészítő technikai beállításokat és intézkedéseket kell beiktatniuk, melyekkel megakadályozható, hogy az EU-n kívül személyes adatokat továbbítsanak.
Adatvédelmi hatósági és egyéb döntések
Európai Adatvédelmi Biztos
Az Európai Adatvédelmi Biztos 2022. január 5-én kelt határozata szerint az Európai Parlament megsértette az adatvédelmi szabályokat a COVID tesztelési weboldalán a Google Analytics használatával járó adattovábbítással.
Ausztria
Az osztrák adatvédelmi hatóság néhány nappal később közzétett döntésében kimondta, hogy a Google Analytics használata nem nyújtja a GDPR-ban rögzített megfelelő védelmi szintet az adattovábbítás során.
Franciaország
A francia adatvédelmi hatóság 2022 áprilisában hozott határozata szintén jogsértőnek minősítette a Google Analytics használatával járó, Egyesült Államokba történő adattovábbítását, ezért felszólította, hogy biztosítson GDPR-nak megfelelő garanciáikat vagy szüntesse be a Google Analytics használatát és alkalmazzon olyan eszközt, amely nem jár az EU-n kívüli adattovábbítással. A CNIL kiemelte, hogy a Google LLC-vel kötött általános adatvédelmi kikötések puszta megkötése nem elegendő a GDPR követelményeinek teljesítéséhez, ehhez további jogi, szervezeti és technikai intézkedésekre van szükség.
Olaszország
Az olasz adatvédelmi hatóság 2022. június 9-én közzétett határozatában megállapította, hogy egy, Google Analytics-et használó weboldal üzemeltetője megfelelő adatvédelmi garanciák beiktatása nélkül továbbított személyes adatokat az Egyesült Államokba. A hatóság kiemelte, hogy a Google által tett adattovábbítási intézkedései nem biztosítják az érintettek személyes adatainak az Európai Adatvédelmi Testület (EDPB) 1/2020. sz. ajánlásában foglaltaknak megfelelő szintű védelmét, mivel az Egyesült Államokban működő ügynökségek a GDPR által elvárt garanciák nélkül hozzáférhetnek a továbbított személyes adatokhoz.
A weboldal üzemeltetője sütik alkalmazásával gyűjtött olyan személyes adatokat, mint pl. az érintett eszközének IP címe, az általa használt böngésző, operációs rendszer, az alkalmazott képernyőfelbontás, a nyelvi beállítások, és a honlap megtekintésének dátuma, valamint időtartama. A hatóság rámutatott arra, hogy az IP-cím személyes adat, és hogy a Google IP címek anonimizálására alkalmazott módszere (IP-maszkolás) álnevesítési technikának minősül és nem anonimizálásnak. E különbségtétel azért fontos, mert az álnevesített adatokat személyes adatnak kell tekinteni. A hatóság ezért kimondta, hogy a Google az IP-címen kívül más adatokat felhasználva képes lehet az érintett személy ismételt azonosítására, különös mert a titkosítási kulcs a Google rendelkezésére áll.
Az olasz hatóság nem adott helyt a weboldal üzemeltetője arra vonatkozó védekezésének, hogy a korlátozott pénzügyi lehetőségei hátráltatták a megfelelő adatvédelmi garanciák kialakítása során, továbbá annak sem, hogy a Google erőfölénye miatt a Google által tett adatbiztonsági nyilatkozatokra támaszkodott az adatkezelési folyamata kialakítása során. Emellett megállapította, hogy a megfelelő adatvédelmi garanciák beiktatása során irrelevánsak a szubjektív, kockázatalapú mérlegelés szerinti tényezők, mint például a továbbított személyes adatokhoz való (hatóságok általi) hozzáférés valószínűségének mértéke.
Dánia
A dán adatvédelmi hatóság 2022. szeptember 21. napján a Google Analytics lehetséges beállításainak elemzése után a fentiekkel egyező érveléssel kimondta (sajtóközlemény itt), hogy az eszközt a jelenlegi formájában nem lehet használni kiegészítő védelmi intézkedések végrehajtása nélkül.
Magyarország
A NAIH is vizsgálta a Google Analytics alkalmazásának jogszerűségét. Kifejtette, hogy a vizsgálat alá vont honlap üzemeltetője nem alkalmazhatja jogszerűen a Google Analytics szolgáltatást, amennyiben az személyes adatok továbbításával jár az Egyesült Államokba, függetlenül attól, hogy a Google Ireland Ltd vagy a Google LLC a szerződéses partnere. Megállapította, hogy ha egy adatkezelő használja a Google Analytics szolgáltatást, a Google Ireland Ltd. minősül adatfeldolgozójának, a Google LLC az al-adatfeldolgozójának. A magyar hatóság felszólította az adatkezelőt arra, hogy a Google Analytics kódjait véglegesen távolítsa el a weboldalról és e kódok alkalmazásához való hozzájárulás lehetőségét távolítsa el a weboldalról.
Svédország
A svéd adatvédelmi hatóság négy honlapot vizsgált meg. Az egyik érintett telekommunikációs vállalatra 1.015.000 Eurónak megfelelő svéd korona összegű bírságot szabtak ki, míg egy másik e-kereskedelmi szolgáltató 25.000 Eurónak megfelelő svéd korona összegű bírságot kapott. A harmadik érintettet kötelezték a Google Analytics használatának abbahagyására, míg a negyedik vállalat esetében erre azért nem volt szükség, mert az önmagától felhagyott ennek használatával.
Hogyan tovább transzatlanti adattovábbítások?
A fenti hatósági döntések távlati szempontból a Schrems II. ítélet után a berlini adatvédelmi biztos által korábban célként meghatározott európai digitális függetlenség irányába mutatnak.
A kompromisszumos megoldás megtalálása, és a jelenleg adatvédelmi aggályokat okozó állapot orvoslása érdekében 2022. március 25-én az Európai Bizottság bejelentette, hogy az EU és az Egyesült Államok megállapodott az új transzatlanti adattovábbítási keretrendszer (Privacy Shield 2.0) létrehozásáról. 2022. december 13-án megszületett a megállapodás tervezet is a megfelelőségi határozatról, melyet jelenleg az Európai Adatvédelmi Testület véleményez. A cél, hogy az EU-ból az Egyesült Államokba történő, többek között a Google Analytics használatával járó adattovábbítások során biztosítsák a GDPR által biztosított, arányosság elvének megfelelő védelmi szintet.
A Privacy Shield 2.0-ról szóló végleges megállapodás a várakozások szerint idén nyáron megkötésre kerülhet. Max Schrems már korábban jelezte, hogy ha az új keretrendszer sem áll majd összhangban GDPR-ral, akkor ismét meg fogják azt támadni. Ennek fényében nem meglepő a svéd hatóság által kiszabott bírságokkal kapcsolatos, NOYB.EU honlapon megjelent bejegyzésük utolsó mondata: „Mivel az új megállapodás szerkezetileg megegyezik két korábbi megállapodással, nagyon valószínű, hogy az EUB ismét megsemmisíti azt.”
Mit tehetnek a Google Analytics-et alkalmazó weboldal üzemeltetők?
Az adatkezelők az adattovábbítás során kötelesek a védelmi szint megfelelőségét értékelni. Ha a vizsgálat alapján szükséges, úgy továbbá kötelesek további kikötéseket hozzáadni az általános adatvédelmi kikötésekhez vagy felfüggeszteni az adattovábbítást. Mindez az adatkezelési tájékoztatók, az adatkezelési tevékenységek nyilvántartása, illetve az adatvédelmi hatásvizsgálatok módosítását igényelheti. A megfelelés nem csak dokumentációs feladat, hanem olyan technikai intézkedéseket (pl. anonimizálás, proxy szerver kiépítése) kell beiktatni, melyekkel megakadályozható, hogy az EU-n kívül személyes adatokat továbbítsanak a honlap üzemeltetői.
Alkalmazandó technikai intézkedések a jogszerűség biztosítása érdekében
A probléma jelentőségére tekintettel a francia adatvédelmi hatóság a 2022. június 7-én közzétett GYIK-ben iránymutatást adott a honlapokra látogatók felhasználási szokásainak jogszerű mérésére vonatkozóan, majd 2022. július 20-án újabb összefoglalásban részletezte a Google Analytics jogszerű használata érdekében végrehajtandó technikai intézkedéseket.
A honlapokra látogatók felhasználási szokásainak mérésére és elemzésére szolgáló eszközökkel kapcsolatban a francia hatóság hangsúlyozta, hogy a Google Analytics-t nem lehet úgy beállítani, hogy ne továbbítson személyes adatokat az EU-n kívülre, és úgy sem, hogy csak anonim adatokat továbbítson az USA-ba. A titkosítás elegendő technikai intézkedés lenne az adattovábbítás követelményeinek való megfelelésre, azonban ez csak akkor jelentene megfelelő biztosítékot, ha az adatátadó kizárólagos ellenőrzést gyakorolna a titkosítás felett. A Google azonban maga titkosítja a személyes adatokat, így azokhoz hozzáférhet.
Ezért a hatóság azt ajánlja, hogy a honlapokra látogatók felhasználási szokásainak mérését csak anonimizált statisztikai adatok kezelésével valósítsák meg, hiszen ekkor nem kerül sor személyes adatok kezelésére.
A hatóság hangsúlyozta, hogy az IP-cím adatvédelmi beállításainak egyszerű megváltoztatása nem elegendő az adatvédelmi követelmények teljesítéséhez, mivel az IP címeket a fenti álnevesítési technikai miatt továbbra is az Egyesült Államokba továbbítják, az érintett személy készüléke által kezelt olyan további adatokkal együtt, melyek a Google Analytics-ot alkalmazó weboldalakon való böngészéssel kapcsolatosak. Egy másik lehetséges intézkedéssel kapcsolatban kimondta a hatóság, hogy a Google Analytics azonosítójának titkosítása, vagy a honlap üzemeltetője által generált azonosítóval való helyettesítése sem jelent előrelépést az érintettek újra-azonosítása ellen, hiszen az IP-címet a Google ettől függetlenül is kezeli, mely alapján azonosítható marad a természetes személy.
Összefoglalva, ezek az intézkedések azért nem oldják meg az Európán kívüli hatóságok adataihoz való hozzáférés kérdését, mert nem szakítják meg az a HTTPS-kapcsolaton keresztül történő közvetlen kapcsolatot az érintett személyek készüléke és a Google szerverei között.
Az érintett eszköze és a Google szervere közötti közvetlen kapcsolat megszakító egyik megoldásként a CNIL proxy szerver alkalmazását ajánlja, mely az EU és USA közötti adattovábbítás során a felhasználó eszköze és az Egyesült Államokban lévő szerver között köztes szerverként funkcionál, elkerülve az IP-címek továbbítását, és ezáltal az adattovábbítás előtti álnevesítéssel biztosítva minden más olyan adat törlését, amely az érintett azonosításához vezethet.
A hatóság javasolta, hogy az adatkezelők végezzenek átfogó elemzést a fenti intézkedések és garanciák hatékonyan végrehajtása érdekében, ugyanis az adattovábbítást megelőző álnevesítés és annak garantálása, hogy a továbbított adatok ne tegyék lehetővé az érintett azonosítását, költséges és komplex technikai megoldásokat kíván.
Szerzők:
Categories: Adatvédelem
