Передача даних до Google Analytics як порушення вимог GDPR: рішення німецького суду
Нещодавно Кельнський окружний суд виніс рішення, що використання Google Analytics одним із операторів мобільного зв’язку у Німеччині порушує вимоги GDPR щодо міжнародної передачі даних.
Рішення Кельнського суду може застосовуватися лише до відповідача у справі, Telekom Deutschland GmbH, але його позицію важливо знати та розуміти будь-якому бізнесу, що діє на території Європейського Союзу (“ЄС”) та використовує Google Analytics у своїй діяльності.
Причиною цього є те, що вже декілька років будь-яка передача даних з ЄС до США є дискусійною, оскільки у 2020 Європейський суд справедливості у справі Schrems II визнав недійсним Privacy Shield, який дозволяв безперешкодно передавати будь-які дані, у тому числі дані аналітики.
Нижче ми наводимо основні тези з рішення та повний його текст у автоматичному перекладі на англійську мову. Детальна аргументація суду щодо використання Google Analytics розміщена на сторінках 24-29.
IP-адреси є персональними даними відповідно до GDPR
Відповідно до рішення суду, динамічні IP-адреси визнаються персональними даними, якщо контролери даних можуть за їх допомогою ідентифікувати певного суб’єкта даних.
При цьому і оператор мобільного зв’язку у Німеччини, і Google Analytics у США є контролерами даних, які можуть ідентифікувати суб’єкта даних за допомогою IP-адреси.
Telekom Deutschland GmbH, як провайдер телекомунікаційних послуг, може ідентифікувати фізичну особу за IP, поєднуючи цю адресу з іншою наявною інформацією, зокрема датою, часом або тривалістю відвідування певного користувача свого веб-сайту.
Аналогічні можливості для ідентифікації має і Google Analytics, яка за допомогою даних IP-адреси та інших сервісів може створити характеристику особи та використати її для ідентифікації.
У США не гарантується належний рівень захисту персональних даних
У 2020 році Європейський суд справедливості у справі Schrems II визнав недійсним рішення між ЄС та США щодо належного рівня захищеності даних, також відоме як Privacy Shield. Оскільки Privacy Shield був скасований, дані з ЄС до США можуть передаватися тільки за наявності належних гарантій або відступів, як це передбачено GDPR.
Нагадуємо, що у цілому GDPR передбачає три випадки міжнародної передачі даних – на підставі рішення про відповідність (стаття 45 GDPR), з урахуванням належних гарантій (стаття 46 GDPR) або відповідно до відступів для спеціальних ситуацій (стаття 49 GDPR).
Якщо між ЄС та певною країною є рішення про відповідність то цього достатньо для передачі даних. Якщо такого рішення немає (або воно було скасовано, як у випадку з США), то необхідним є або використання належних гарантій (найчастіше використовуються стандартні договірні положення, розроблені Європейською комісією), або відступи для спеціальних ситуацій, якщо передача даних не є систематичною.
Стандартні договірні положення самі по собі не можуть слугувати підставою для передачі даних, оскільки не забезпечують захист від доступу до даних з боку органів державної влади у США
Стандартні договірні положення Європейської комісії (або SCCs) є одним із важливих інструментів для міжнародної передачі даних відповідно до GDPR, але вони по своїй суті є договором, який не може зобов’язати утриматися від дій державні органи тієї чи іншої країни, у тому числі США.
У справі Schrems II Європейський суд справедливості скасував дію Privacy Shield саме у зв’язку із відповідним законодавством США, яке дозволяє здійснювати спостереження та моніторинг даних у США.
У зв’язку з цим недостатньо використовувати лише SCCs для передачі даних з ЄС до США і необхідно додатково вживати інші технічні або організаційні заходи, докази використання яких Telekom Deutschland GmbH не представив. До таких заходів, наприклад, можуть належати міри, передбачені у рекомендаціях Європейської ради з питань захисту даних щодо міжнародної передачі.
У випадку міжнародної передачі даних на основі згоди суб’єкта згідно до відступів, передбачених у статті 49 GDPR, необхідно чітко проінформувати про таку передачу
Окрім того, у своєму рішенні Кельнський окружний суд також додатково вказав, що у випадку передачі даних на основі відступів, зокрема за наявності чіткої згоди суб’єкта, перш за все необхідно, щоб суб’єкт даних був проінформований про міжнародну передачу.
При цьому, Telekom Deutschland GmbH в цілому не інформував своїх користувачів про передачу даних до Google Analytics, що є порушенням вимог GDPR. Оскільки суб’єкти даних не були навіть проінформовані про передачу їх інформації до Google, то оператор мобільного зв’язку, відповідно, і не міг посилатися на явну згоду суб’єктів як підставу для міжнародної передачі.
Таким чином, необхідно пам’ятати, що IP-адреси є персональними даними і для їх передачі у Google Analytics необхідно використовувати не тільки стандартні договірні положення, але і додаткові технічні та організаційні засоби захисту, що можуть нівелювати можливості державних органів США щодо моніторингу даних.
