Google Analytics a RODO – co z przekazywaniem danych do USA

Sprawa dotyczyła wykorzystywania Google Analytics (w wersji z 14 sierpnia 2020 r.) przez czterech administratorów: CDON, Coop, Dagens Industri i Tele2. Narzędzie to służyło do przetwarzania danych osobowych, a korzystanie z niego wiązało się z transferem danych osobowych do USA czyli państwa trzeciego. Z uwagi głośny wyrok Trybunału Sprawiedliwości UE w sprawie Schrems II takie przetwarzanie danych zostało zaskarżone do IMY czyli szwedzkiego organu nadzorczego.

Organ orzekł, że dane statystyczne gromadzone w ramach Google Analytics są danymi osobowymi w rozumieniu RODO, ponieważ można było je powiązać z innymi unikalnymi danymi przesyłanymi za pomocą tego narzędzia. W konsekwencji według IMY dochodziło do transferu danych osobowych do państwa trzeciego czyli USA.

Każda z wymienionych firm oparła przekazywanie danych osobowych do USA o standardowe klauzule umowne. W ocenie IMY nie było to jednak wystarczające. Klauzule te powinny być bowiem uzupełnione dodatkowymi zabezpieczeniami. Tymczasem żadna z firm takich środków nie wdrożyła.

W efekcie szwedzki organ nadzorczy:

• nałożył kary pieniężne na Tele2 i CDON,

• nakazał administratorom zaprzestanie przetwarzania danych osobowych za pośrednictwem Google Analytics (z wyjątkiem Tele2, które zaprzestało takich praktyk przed wydaniem decyzji).

• www.imy.se