Google Analytics je služba, kterou mohou integrovat webové stránky, jako jsou online prodejní stránky, za účelem měření počtu návštěv uživatelů internetu. V této souvislosti je každému návštěvníkovi přidělen jedinečný identifikátor. Tento identifikátor (který představuje osobní údaje) a související údaje jsou přenášeny společností Google do Spojených států.
Sdružení NOYB (European Center for Digital Rights) podalo několik stížností k CNIL (Commission Nationale Informatique & Libertés) týkajících se právě přenosu údajů, shromážděných během návštěv webových stránek pomocí Google Analytics (GA), do USA.
Celkem bylo společností NOYB podáno 101 stížností ve 27 členských státech EU a ve třech dalších státech Evropského hospodářského prostoru (EHP) proti 101 správcům údajů, kteří údajně předávají osobní údaje do USA.
Evropská analýza
CNIL ve spolupráci se svými evropskými protějšky analyzovala podmínky, za kterých byla data shromážděná pomocí GA převedena do USA, a rizika, která dotyčným jednotlivcům hrozí. Cílem je kolektivně vyvodit důsledky rozsudku Soudního dvora Evropské unie (SDEU) „Schrems II“ ze dne 16. července 2020, který zrušil platnost štítu na ochranu soukromí. SDEU upozornil na riziko, že by americké zpravodajské služby měly přístup k osobním údajům předávaným do Spojených států, pokud by předávání nebylo řádně regulováno.
Důsledky ve Francii
CNIL dochází k závěru, že transfery do USA nejsou v současnosti dostatečně regulovány. V případě neexistence rozhodnutí o přiměřenosti (které by stanovilo, že tato země nabízí dostatečnou úroveň ochrany údajů s ohledem na GDPR) týkající se předávání do USA, lze předávání údajů uskutečnit pouze tehdy, jsou-li poskytnuty vhodné záruky pro zejména tento proud.
CNIL však zjistila, že tomu tak není. Ačkoli společnost Google přijala další opatření k regulaci přenosů dat v souvislosti s funkcí GA, tato opatření nepostačují k vyloučení dostupnosti těchto údajů pro zpravodajské služby USA.
Existuje tedy riziko pro francouzské uživatele webových stránek, kteří tuto službu využívají a jejichž data jsou exportována.
CNIL poznamenává, že údaje uživatelů internetu jsou tak předávány do USA v rozporu s články 44 a násl. nařízení GDPR. CNIL proto nařídil správci webu, aby toto zpracování uvedl do souladu s GDPR, v případě potřeby tím, že přestane používat funkcionalitu GA (za stávajících podmínek) nebo použije nástroj, který nezahrnuje převod mimo EU. Dotyčný provozovatel webu má jeden měsíc na to, aby vyhověl.
Pokud jde o služby měření a analýzy návštěvnosti webových stránek, CNIL doporučuje, aby tyto nástroje byly používány pouze k vytváření anonymních statistických údajů, což umožňuje výjimku ze souhlasu, pokud správce údajů zajistí, že nedochází k nezákonným přenosům. CNIL zahájila program hodnocení, který má určit, která řešení jsou osvobozena od souhlasu a zároveň vydala další příkazy, aby vyhověla provozovatelům webových stránek používajících GA.
Vyšetřování ze strany CNIL a jejích protějšků se vztahuje i na další nástroje používané stránkami, jejichž výsledkem je přenos dat evropských uživatelů internetu do USA. V tomto ohledu mohou být v blízké budoucnosti přijata nápravná opatření.