Google analytics a RODO krok po kroku w postępowaniu

Wdrożenie i użytkowanie narzędzi analitycznych na stronach internetowych stało się standardem we współczesnym biznesie. Wśród nich najpopularniejszym rozwiązaniem jest Google Analytics. Jednak korzystanie z tego narzędzia w sposób niezgodny z przepisami o ochronie danych osobowych może narazić administratora na poważne konsekwencje prawne. Kwestia relacji między Google Analytics a Ogólnym Rozporządzeniem o Ochronie Danych (RODO) jest przedmiotem intensywnych debat, decyzji organów nadzorczych oraz wyroków sądowych w całej Europie. Niniejsze opracowanie przedstawia szczegółową procedurę postępowania mającą na celu zapewnienie zgodności z prawem oraz obronę w przypadku postępowania przed organem nadzorczym.

1. Teza publikacji: Legalność Google Analytics w erze RODO

Zgodne z prawem korzystanie z Google Analytics jest możliwe, ale wymaga od administratora danych osobowych (ADO) podjęcia aktywnych, wielostopniowych działań technicznych i prawnych. Samo domyślne zaimplementowanie kodu śledzącego na stronie internetowej bez odpowiedniej konfiguracji i bez uzyskania uprzedniej zgody użytkownika stanowi bezpośrednie naruszenie przepisów RODO. Kluczem do legalności jest minimalizacja zbieranych danych, wdrożenie zaawansowanych mechanizmów zarządzania zgodami oraz rzetelne udokumentowanie procesu analizy ryzyka.

2. Istota problemu: Dlaczego Google Analytics budzi wątpliwości prawne?

Wątpliwości wokół Google Analytics koncentrują się wokół dwóch głównych zagadnień: kwalifikacji zbieranych informacji jako danych osobowych oraz transferu tych danych do Stanów Zjednoczonych. Narzędzie to gromadzi m.in. unikalne identyfikatory klientów, adresy IP, dane o lokalizacji, a także informacje o konfiguracji urządzenia i przeglądarki użytkownika. Zgodnie z motywem 30 RODO, identyfikatory sieciowe mogą zostać powiązane z innymi informacjami i posłużyć do stworzenia profili osób fizycznych oraz ich identyfikacji. Tym samym, dane te należy uznać za dane osobowe.

Drugim, znacznie poważniejszym problemem jest fakt, że Google LLC jest podmiotem z siedzibą w USA. Przez lata transfer danych użytkowników z Unii Europejskiej do USA opierał się na decyzjach Komisji Europejskiej, które były kolejno uchylane przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawach znanych jako Schrems I oraz Schrems II. Głównym zarzutem był brak zapewnienia w USA poziomu ochrony danych merytorycznie równoważnego z poziomem gwarantowanym w UE, ze względu na szerokie uprawnienia amerykańskich służb wywiadowczych do dostępu do danych osobowych bez skutecznej kontroli sądowej dla obywateli UE.

3. Kogo dotyczy problem i jakie podmioty są narażone na ryzyko?

Problem dotyczy każdego podmiotu, który prowadzi stronę internetową, sklep online, portal informacyjny czy aplikację mobilną i korzysta z Google Analytics do śledzenia ruchu użytkowników. Dotyczy to zarówno małych jednoosobowych działalności gospodarczych, jak i wielkich korporacji oraz instytucji publicznych. Każdy z tych podmiotów występuje w roli administratora danych osobowych odwiedzających ich stronę i ponosi pełną odpowiedzialność za zgodność stosowanych narzędzi marketingowych i analitycznych z prawem.

4. Ewolucja podstaw prawnych: Od Schrems II do Data Privacy Framework

Po wyroku TSUE w sprawie Schrems II (C-311/18), który unieważnił tarczę prywatności (Privacy Shield), transfer danych do USA stał się niezwykle skomplikowany. Wiele europejskich organów nadzorczych, w tym w Austrii, Francji czy we Włoszech, wydało decyzje uznające stosowanie Google Analytics za niezgodne z RODO, jeśli administratorzy nie wdrożyli dodatkowych środków zabezpieczających.

Sytuacja uległa zmianie w lipcu 2023 roku, kiedy Komisja Europejska przyjęła nową decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych zapewniany przez ramy ochrony danych UE-USA (EU-US Data Privacy Framework). Google LLC certyfikowało się w tym programie, co formalnie otworzyło drogę do legalnego transferu danych. Należy jednak pamiętać, że decyzja ta jest stale kwestionowana przez organizacje ochrony prywatności, a sam fakt jej istnienia nie zwalnia administratorów z innych obowiązków wynikających z RODO, takich jak pozyskiwanie zgód czy realizacja obowiązku informacyjnego.

5. Obowiązki administratora danych osobowych (ADO)

Na administratorze spoczywa szereg obowiązków, których niedopełnienie w kontekście analityki internetowej może skutkować nałożeniem administracyjnych kar pieniężnych. Do najważniejszych należą: obowiązek rozliczalności (art. 5 ust. 2 RODO), polegający na konieczności wykazania zgodności przetwarzania z przepisami; obowiązek wdrożenia ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 RODO); a także obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania (art. 32 RODO).

6. Procedura krok po kroku: Jak dostosować Google Analytics do RODO?

Aby zminimalizować ryzyko prawne i przygotować się na ewentualne postępowanie kontrolne, należy wdrożyć poniższą procedurę krok po kroku.

Krok 1: Migracja do Google Analytics 4 (GA4)

Starsza wersja narzędzia (Universal Analytics) przestała być wspierana i gromadziła dane w sposób znacznie bardziej inwazyjny. Pierwszym krokiem jest upewnienie się, że strona korzysta wyłącznie z Google Analytics 4. GA4 zostało zaprojektowane z myślą o prywatności i nie rejestruje ani nie przechowuje adresów IP użytkowników w sposób domyślny (są one odrzucane na wczesnym etapie zbierania danych).

Krok 2: Konfiguracja ustawień prywatności w panelu GA4

Samo przejście na GA4 nie gwarantuje zgodności. Administrator musi ręcznie skonfigurować ustawienia w panelu administracyjnym usługi: należy skrócić okres przechowywania danych użytkowników i zdarzeń do minimum (domyślnie 2 miesiące zamiast 14); wyłączyć zbieranie szczegółowych danych o lokalizacji i urządzeniach, jeśli nie są one niezbędne do celów biznesowych; wyłączyć personalizację reklam dla użytkowników z określonych regionów (np. Unii Europejskiej).

Krok 3: Wdrożenie zaawansowanego systemu zarządzania zgodami (Consent Mode v2)

Zgoda użytkownika jest jedyną dopuszczalną podstawą prawną dla zapisywania plików cookies oraz przetwarzania danych w celach analitycznych i marketingowych (art. 6 ust. 1 lit. a RODO w zw. z art. 173 Prawa telekomunikacyjnego). Administrator musi wdrożyć tzw. Consent Banner (baner cookies), który spełnia następujące warunki: nie może zawierać domyślnie zaznaczonych zgód; musi dawać możliwość łatwego odrzucenia wszystkich plików cookies (przycisk "Odrzuć" musi być tak samo widoczny jak "Akceptuj"); musi blokować uruchamianie skryptów Google Analytics do momentu, aż użytkownik wyrazi na to świadomą i aktywną zgodę. Dodatkowo, w związku z wymogami Google, konieczne jest wdrożenie Consent Mode v2, który przekazuje stan zgody użytkownika bezpośrednio do systemów Google.

Krok 4: Przeprowadzenie analizy transferu danych (TIA) oraz oceny skutków (DPIA)

Mimo istnienia ram ochrony danych UE-USA, dobrą praktyką i elementem zasady rozliczalności jest sporządzenie dokumentu Transfer Impact Assessment (TIA). Dokument ten powinien analizować, czy dane przesyłane do Google LLC są bezpieczne, jakie środki techniczne (np. szyfrowanie) są stosowane oraz czy Google uczestniczy w programie Data Privacy Framework. W przypadku zaawansowanego profilowania użytkowników, zaleca się również przeprowadzenie oceny skutków dla ochrony danych (DPIA).

Krok 5: Aktualizacja polityki prywatności i klauzul informacyjnych

Polityka prywatności na stronie internetowej musi w sposób jasny, przejrzysty i zrozumiały informować użytkownika o: fakcie korzystania z Google Analytics; tożsamości odbiorcy danych (Google LLC); celach przetwarzania; okresie przechowywania danych; prawach użytkownika (w tym prawie do cofnięcia zgody); oraz o fakcie transferu danych poza Europejski Obszar Gospodarczy wraz ze wskazaniem podstawy prawnej tego transferu.

7. Postępowanie przed Prezesem UODO – krok po kroku

W przypadku, gdy do Urzędu Ochrony Danych Osobowych wpłynie skarga od użytkownika dotycząca nielegalnego śledzenia na stronie internetowej, organ wszczyna postępowanie administracyjne. Oto jak przebiega ta procedura i jak powinien zachować się administrator.

Otrzymanie pisma z organu nadzorczego i bieg terminu

Postępowanie rozpoczyna się od doręczenia administratorowi pisma od Prezesa UODO informującego o wszczęciu postępowania i wzywającego do złożenia wyjaśnień. Organ wyznacza zazwyczaj termin od 7 do 14 dni na udzielenie odpowiedzi. Termin ten ma charakter procesowy i jego niedotrzymanie może skutkować nałożeniem kary za brak współpracy z organem. W uzasadnionych przypadkach można wnioskować o przedłużenie tego terminu, jednak wniosek taki musi być dobrze uargumentowany i złożony przed jego upływem.

Przygotowanie odpowiedzi i realizacja obowiązku dowodowego

Odpowiedź na pismo UODO musi być precyzyjna i poparta dowodami. Administrator musi wykazać, że dołożył należytej staranności w celu zapewnienia zgodności z prawem. Do pisma wyjaśniającego należy dołączyć: dowody na prawidłowe działanie baneru cookies (np. zrzuty ekranu, raporty techniczne wykazujące, że skrypt GA nie ładuje się przed wyrażeniem zgody); logi potwierdzające rejestrowanie zgód użytkowników; kopię umowy powierzenia przetwarzania danych z Google (Data Processing Amendment); dokumentację TIA (Transfer Impact Assessment); oraz treść polityki prywatności obowiązującej w momencie rzekomego naruszenia.

8. Najczęstsze błędy popełniane przez administratorów stron

Do najczęstszych błędów, które podczas kontroli natychmiast kwalifikują administratora do nałożenia sankcji, należą: ładowanie skryptów Google Analytics w tle zanim użytkownik podejmie jakąkolwiek decyzję na banerze cookies; brak przycisku "Odrzuć wszystko" na pierwszym poziomie baneru (zmuszanie użytkownika do wchodzenia w ustawienia zaawansowane); stosowanie tzw. cookie wall (blokowanie dostępu do treści strony, jeśli użytkownik nie wyrazi zgody na śledzenie); brak aktualizacji polityki prywatności; oraz ignorowanie wezwań Prezesa UODO lub udzielanie wymijających odpowiedzi.

9. Praktyczny przykład (Case Study)

Firma prowadząca sklep internetowy otrzymała wezwanie od Prezesa UODO do złożenia wyjaśnień w związku ze skargą klienta, który twierdził, że jego dane były przesyłane do Google bez jego zgody. Sklep posiadał wdrożony zaawansowany system zarządzania zgodami (CMP). W odpowiedzi na wezwanie, pełnomocnik firmy przedstawił techniczną analizę działania strony wykazującą, że skrypt GA4 był blokowany do momentu kliknięcia przycisku "Akceptuję". Dodatkowo przedstawiono log z bazy danych CMP, z którego wynikało, że skarżący użytkownik faktycznie wyraził zgodę w określonym dniu i godzinie, a następnie ją wycofał, co skutkowało natychmiastowym zaprzestaniem śledzenia. Prezes UODO, po analizie materiału dowodowego, umorzył postępowanie, nie stwierdzając naruszenia przepisów RODO.

10. Skutki prawne i finansowe braku zgodności

Konsekwencje zlekceważenia procedur mogą być niezwykle dotkliwe. Zgodnie z art. 83 RODO, za naruszenie podstawowych zasad przetwarzania, w tym warunków wyrażenia zgody oraz zasad transferu danych do państw trzecich, organ nadzorczy może nałożyć administracyjną karę pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Oprócz kar finansowych, organ może wydać nakaz dostosowania operacji przetwarzania do przepisów, co w praktyce może oznaczać nakaz natychmiastowego usunięcia wszystkich dotychczas zebranych danych analitycznych, co paraliżuje działania marketingowe firmy.

11. Podsumowanie i rekomendacje dla biznesu

Zgodność Google Analytics z RODO nie jest stanem danym raz na zawsze, lecz procesem wymagającym stałego nadzoru. Administratorzy stron muszą odejść od traktowania analityki jako narzędzia czysto technicznego i włączyć je w ramy wewnętrznych procedur ochrony danych. Regularne audyty działania baneru cookies, monitorowanie statusu prawnego transferów danych do USA oraz dbałość o rzetelną dokumentację to jedyna skuteczna metoda na uniknięcie kar i wygranie ewentualnego postępowania przed Prezesem UODO.