A Google Analytics egy webelemző szolgáltatás, amely olyan sütiket, vagyis kisméretű adatcsomagokat, szöveges fájlokat használ, melyek a különböző honlapok látogatása során kerülnek mentésre a látogató eszközén. Az adatok anonimizált formában kerülnek a Google LLC valamely amerikai szerverére. Első ránézésre a Google Analytics használata nem tűnik aggályosnak, mivel kizárólag anonimizált adatok kezelésére kerülhet sor, azonban alaposabb, adatvédelmi szempontú vizsgálatok alapján a közelmúltban született, több adatvédelmi hatósági döntésben megállapításra került, hogy a Google Analytics jelenleg alkalmazott gyakorlat szerinti használata a vonatkozó jogszabályi környezetre tekintettel nem jogszerű.
Az osztrák adatvédelmi hatóság döntése
Az osztrák adatvédelmi hatóság 2021. decemberében hozott döntésében megállapításra került, hogy nem nyújt elégséges védelmet az, hogyha az Európai Unión belül üzemeltetett weboldal tulajdonosa és a Google LLC között alkalmazásra kerülnek a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek, hanem kiegészítő technikai és szervezési intézkedések meghatározása is szükséges. Az ilyen intézkedések biztosítása a weboldal-üzemeltetőt terheli, akinek weboldala a Google Analytics-et használja és ezáltal a GDPR hatálya alá tartozó érintettek személyes adatainak Egyesült Államokba történő továbbítása és így adott esetben az adatokhoz való ottani hozzáférés lehetségessé válik. Fontos kiemelni azt is, hogy az amerikai jogszabályok meghatározott feltételek fennállása esetén lehetővé teszik az Egyesült Államok hatóságainak számára, hogy a Google LLC szerverén tárolt adatokhoz hozzáférjenek.
Az osztrák adatvédelmi hatóság előtt lefolytatott ügyben a panaszos magánszemély egy osztrák weboldalt üzemeltető, a Google Analytics-et használó vállalat gyakorlatát kifogásolta, miszerint személyes adata (IP-címe) továbbításra került a Google LLC amerikai szerverére. A vállalat az eljárás során végül elismerte, hogy az IP-címek anonimizálásának konfigurálására nem megfelelően került sor.
A harmadik országba történő adattovábbítás jogszerűségének vizsgálata
Az adatvédelmi hatóság a döntéshozatal során azt vizsgálta, hogy a Google Analytics által gyűjtött és továbbított adatok az IP-címek és az egyéb, jellemzően az adott weboldalon elhelyezett sütik által gyűjtött, a felhasználóhoz köthető azonosítók személyes adatnak minősülnek-e. Az adatvédelem elveit az olyan személyes adatokra is alkalmazni kell, amelyek nem kerültek oly módon anonimizálásra, hogy az érintett nem vagy többé nem azonosítható. Ahhoz, hogy adott adat a GDPR által biztosított védelemben részesítendőnek minősüljön, elegendő, hogyha az adat alapján az érintett alapvetően azonosítható, tényleges azonosításra azonban nincs szükség. Mivel az IP-címek alkalmasak arra, hogy azok alapján a megfelelő technikai műveletek alkalmazásával az érintettet azonosítsák, személyes adatoknak minősülnek és ennek megfelelően kezelésükre, továbbításukra alkalmazni kell a GDPR-ban rögzített adatvédelmi rendelkezéseket. Ez amiatt is kiemelkedően fontos, mert a Google Analytics által alkalmazott sütik segítségével a weboldal látogatóinak, felhasználóinak tevékenysége, viselkedése, beállításaik és preferenciáik egyedileg azonosíthatók és újbóli látogatás esetén a weboldal képes az adott látogató, felhasználó felismerésére, így képes megkülönböztetni őt más látogatóktól.
Az adatvédelmi hatóság arra a megállapításra jutott, hogy az osztrák weboldal tulajdonosát mint adatkezelőt terhelik a GDPR-ban foglalt adatkezelői kötelezettségek és felelősség, mint például az érintettek tájékoztatása a Google Analytics használatáról, a személyes adatok lehetséges címzettjeiről, az adattovábbításokról. Fontos kiemelni, hogy a Google LLC adatfeldolgozói vagy önálló adatkezelői szerepével kapcsolatosan nem alakult még ki egységes szakmai álláspont. Az osztrák weboldal tulajdonos és a Google LLC jogviszonyának kapcsán az adatvédelmi hatóság megállapította, hogy a Google LLC által alkalmazott kiegészítő biztonsági intézkedések nem minősültek elégséges és mindenekelőtt megfelelően hatékony intézkedésnek, mivel azok nem tekinthetők arra alkalmasnak, hogy megakadályozzák az amerikai hírszerző ügynökségek adatokhoz való hozzáférésének lehetőségét.
A Google Analytics jogszerű használata
Az adattovábbítások során megkövetelt védelmi szint tekintetében az Európai Unió Bírósága megállapította, hogy alkalmazni kell a GDPR által a biztosítékok, az érvényesíthető jogok és a jogorvoslatok körében rögzített követelményeket, a védelem szintjének értékeléséhez figyelembe kell venni mind az adattovábbító és az adatimportőr között meglévő szerződéses záradékokat, továbbá az adatimportőr országa hatóságainak lehetséges hozzáférését és jogszabályi környezetét.
Észrevételek
Harmadik országnak minősül az Európai Unió területén kívül elhelyezkedő valamennyi ország. Abban az esetben, ha az Európai Bizottság az adott harmadik ország adatvédelmi szintjét megfelelőnek értékelte, a szóban forgó ország az adatvédelem szempontjából biztonságos harmadik országnak minősül, akkor is be kell tartani az adattovábbítás általános szabályait. Különösen fontos a harmadik országokba történő adattovábbításra vonatkozó adatvédelmi rendelkezések figyelembevétele napjainkban, illetve nem elhanyagolható, hogy az Európai Unión belül egyre több ország adatvédelmi hatósága – köztük Franciaország és Dánia – amellett foglalt állást, hogy az Európai Unión kívüli adattovábbítások jelenlegi gyakorlata nem foglal magában megfelelő garanciákat az érintettek személyes adataira vonatkozó védelem optimális szintjének biztosításához, ezért akár kötelezhetik az adott nemzeti jog hatálya alá tartozó adatkezelőket megfelelő technikai és szervezési intézkedések alkalmazására.
Amennyiben adott weboldal üzemeltetője a Google Analytics szolgáltatásának segítségével kívánja kielemezni a weboldala használatát, a látogatóinak tevékenységét és preferenciáit, és ennek során a Google Analytics által alkalmazott sütiken keresztül gyűjtött látogatói személyes adatok, mint például IP-cím továbbításra kerül a Google LLC amerikai szerverére, ez harmadik országba történő adattovábbításnak minősül, így alkalmazandók rá az adattovábbításra vonatkozó rendelkezések, valamint a weboldal tulajdonosának mint adatkezelőnek gondoskodnia kell adatkezelői kötelezettségeinek teljesítéséről, elsősorban tehát megfelelő információbiztonsági szint, technikai és szervezési intézkedések kialakításáról és fenntartásáról, az érintettek teljeskörű tájékoztatásáról. A Google Analytics használatával kapcsolatosan várható, hogy egyre több nemzeti adatvédelmi hatóság fogja azt jogszerűtlennek minősíteni, az adatkezelőket fokozott biztonsági intézkedések bevezetésére kötelezni, valamint adott esetben részükre ilyen intézkedéseket előírni. Ennek megfelelően szükségesnek tartjuk az adatvédelmi tisztviselő, vagy adatvédelmi ügyvéd által nyújtott konzultációt, valamint az adatvédelmi hatásvizsgálatok elvégzését a Google Analytics igénybevételével összefüggésben.
![[Valid RSS]](https://www.minuszos.hu/wp-content/uploads/logos/valid-rss.png "Validate my RSS feed")
