Austriacki organ ochrony danych uznał, że korzystanie z Google Analytics narusza RODO. Konsekwencje mogą dotknąć tysięcy firm przesyłających dane do USA.
To kolejna odsłona w toczącej się od lat batalii prawnej o przekazywanie danych Europejczyków do USA. Austriacki organ wydał decyzję jako pierwszy, ale na rozstrzygnięcie czeka kolejnych 100 skarg skierowanych w 30 państwach EOG. - Biorąc pod uwagę to, co wynika z wyroku TSUE w sprawie Schrems II, ta decyzja nie powinna nikogo zaskakiwać, ale zaskakuje wielu, bo przez lata przywykliśmy do tego, że przepisy i sądy mówią swoje w sprawach transferów danych, a administratorzy danych i tak robią swoje. Ta swoista schizofrenia kiedyś się musi skończyć, a może się skończyć albo przez złagodzenie prawa, na co nie ma szans, albo przez stosowanie tego prawa - i to stosowanie właśnie zaczynamy obserwować - zauważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Choć decyzja dotyczy używania konkretnego narzędzia, jakim jest Google Analytic, to de facto oznacza podważenie legalności przesyłania danych do USA. Skutki mogą być więc bardzo daleko idące, bo bez nowej podstawy prawnej nie będzie możliwe korzystanie z wielu usług dostarczanych przez amerykańskie koncerny.
Wszystko przez służby
W każdej ze 101 spraw skarżących reprezentuje NOYB. To organizacja non profit walcząca o cyfrowe prawa (jej nazwa to skrót od „none of your business”; „nie twój interes”). Założył ją w 2017 r. Austriak Max Schrems. To on w 2015 r. doprowadził do unieważnienia programu „Safe Harbour”, który był podstawą do przesyłania danych Europejczyków do USA. W 2020 r. wygrał kolejną sprawę przed TSUE, który stwierdził nieważność następcy „Safe Harbour”, czyli porozumienia „Privacy Shield”. Za każdym razem powód był ten sam - jak ujawnił Edward Snowden, amerykańskie firmy mają obowiązek udostępnienia na żądanie tamtejszych służb wszystkich danych. To zaś nie odpowiada wymogom proporcjonalności, które przewiduje prawo unijne. Mówiąc wprost - nie ma gwarancji, że amerykańskie służby inwigilują Europejczyków tylko wtedy, gdy jest to uzasadnione choćby względami bezpieczeństwa.
Teraz NOYB znów dowodzi, że transfer danych do USA jest bezprawny. Skupia się na dwóch firmach, Facebook i Google, tyle że w rzeczywistości chodzi o tysiące europejskich przedsiębiorców korzystających z tych serwisów. Także z polski, bo skargi do polskiego UODO dotyczą TVN, TVP, Interii, PKO BP i Onet-RASP, wykorzystujących narzędzia Google i Facebooka. W pierwszym przypadku chodzi o Google Analytics, który pozwala na mierzenie ruchu na stronach. Problem w tym, że zebrane w ten sposób dane wędrują do USA, choć - jak uznał właśnie austriacki organ danych - dzieje się to bez podstawy prawnej. Kilka dni wcześniej podobną decyzję podjął w stosunku do Parlamentu Europejskiego dr Wojciech Wiewiórowski, europejski inspektor ochrony danych. To postępowanie również dotyczyło skargi złożonej przez NOYB, tym razem w sprawie strony internetowej prowadzonej przez PE, a poświęconej testom na koronawirusa. Na niej również znajdował się kod Google Analytics i korzystanie z niego również zostało zakwestionowane.
W poszukiwaniu wyjścia
Wygląda więc na to, że sytuacja wraca do punktu wyjścia i znów nie ma legalnego sposobu na transfer danych za ocean. Jedyny to ich szyfrowanie, tylko że to w zasadzie wyklucza przetwarzanie danych w USA. - Po wyroku TSUE w sprawie Schrems II podjęto wiele działań, żeby umożliwić biznesowi transfery danych osobowych do państw trzecich, w tym do USA. Dotyczy to także korzystania z narzędzi analitycznych Google’a, Face booka i innych, których efektem może być transfer danych do USA. Jednak w świetle austriackiej decyzji nadal nie zapewnia to bezpieczeństwa danych, głównie ze względu na nieograniczony dostęp do nich ze strony amerykańskich służb. Należy spodziewać się kontynuacji takiego podejścia w stanowiskach i decyzjach organów innych państw UE - mówi dr hab. Arwid Mednis, wykładowca WPiA UW i partner w kancelarii Kobylańska Lewoszewski Mednis.
- Patrząc z puntu widzenia przedsiębiorcy, nie ma w tej chwili rozwiązań całkowicie bezpiecznych prawnie. Jedyna nadzieja w tym, że będzie nowe porozumienie UE-USA i decyzja komisji zezwalająca na transfer danych - dodaje.
Decyzja austriackiego organu oznacza, że oparcie się na standardowych klauzulach umownych nie jest już możliwe. Wielu prawników powtarzało to już od wyroku w sprawie Schrems II. Bo co z tego, że wpiszemy do umowy gwarancje bezpieczeństwa danych, skoro amerykańskie prawo wyklucza ich stosowanie?
- Decyzja nie pozostawia złudzeń: kosmetyczne zmiany w politykach prywatności nie wystarczą do legalnego korzystania z Google Analytics i - jak można sądzić - innych amerykańskich usług chmurowych czy analitycznych. W związku z tym powinna ona mieć znaczenie w zasadzie dla każdego operatora strony internetowej w Europie, który korzysta z takich usług, i powinna zmobilizować go do przeanalizowania swoich praktyk i rozważenia wybrania alternatywnych, europejskich dostawców - przekonuje Karolina Iwańska, prawnik z Fundacji Panoptykon.
W praktyce więc firmy, które chcą mieć pewność, że nie łamią prawa, nie mogą transferować danych do USA. Wiele z nich uważa, że nie ma alternatywy.
- Nie da się wstrzymać transatlantyckich transferów danych z dwóch powodów: oznaczałoby to koniec relacji biznesowych między Unią a USA, a w UE nie ma produktów i usług substytutywnych wobec tego, co dostarczają nam Google, Face book, Microsoft, Amazon i inni. Moim zdaniem czekają nas więc zmiany w zasadach świadczenia usług tak, by zapewnić zgodność z RODO: albo przez wyeliminowanie danych osobowych spośród informacji przekazywanych do USA, albo przez szyfrowanie danych - uważa dr Litwiński.
- Ja z kolei w dłuższej perspektywie zgadzam się z oceną Maxa Schremsa, który przekonuje, że możliwe wyjścia z tego impasu są dwa: albo amerykańskie firmy pozostawią dane Europejczyków w Europie, albo amerykański rząd zreformuje zasady dostępu służb do danych obcokrajowców - dodaje Karolina Iwańska. ©℗