A Google Analytics szolgáltatáshoz tartozó egyes kódok még a használatának megszüntetése után is továbbíthatnak személyes adatokat az USA-ba – ez pedig a GDPR 28. cikkébe ütközik – állapítja meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) friss vizsgálata. Az uniós jogi aggályok és az Európai Unió Bíróságának Schrems II döntése ellenére számos adatkezelő továbbra is alkalmazza a Google szolgáltatásait.
Ahogy a Google Analytics használatával kapcsolatos korábbi cikkünkben már ismertettük, az Európai Unió Bíróságának Schrems II döntése után a NOYB – Európai Digitális Jogok Központja civil szervezet (a továbbiakban: NOYB) 101 adatvédelmi panaszt nyújtott be az EGT területén található weboldalakról az USA történő adattovábbításokkal összefüggésben.
A gyakorlatban azonban számos adatkezelő továbbra is alkalmazza a Google szolgáltatásait, függetlenül attól az EU-s jogi aggálytól, hogy a Google, mint elektronikus hírközlési szolgáltató, az USA külföldi hírszerzési megfigyelési törvénye (Foreign Intelligence Surveillance Act – FISA) értelmében köteles személyes adatokat szolgáltatni az amerikai hatóságoknak.
Most a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata is megállapította, hogy
a Google Analytics szolgáltatáshoz tartozó egyes kódok még a használatának megszüntetése után is továbbíthatnak személyes adatokat az USA-ba – ez pedig a GDPR 28. cikkébe ütközik.
Az ügy előzménye
A NAIH-hoz panasz érkezett egy, a NOYB által képviselt személytől azzal kapcsolatban, hogy az Időkép Kft. mint adatkezelő nem a GDPR-nak megfelelően továbbít személyes adatokat az USA-ba. A panaszos 2020. augusztus 12-én látogatott el az adatkezelő által üzemeltetett weboldalra, miközben bejelentkezett a Gmail e-mail címéhez kapcsolódó Google fiókjába. A panaszos állítása szerint az adatkezelő a weboldalba beágyazott Google szolgáltatások kódjait használta, köztük a Google Analytics-ét, így a weboldal látogatása során az adatkezelő a panaszos személyes adatait (IP-címet és egyéb, a határozat által nem részletezett cookie-adatokat) is kezelte, és az adatok legalább egy részét továbbították a Google-nek, amely a szerződéses feltételeinek megfelelően importálta azokat az USA-ba.
A panaszos szerint a személyes adatoknak az USA-ba történő továbbítása sérti a GDPR 28. (az adatfeldolgozóra és a vele kötött szerződés tartalmára vonatkozó) cikkét és a GDPR V. (személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítására vonatkozó) fejezetének szabályait, figyelembe véve, hogy a Schrems II döntés megsemmisítette az EU-USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozatot. (A weboldal látogatásakor még nem alkalmazták a Google szolgáltatások tekintetében az Európai Bizottság által jóváhagyott általános (adattovábbítási) szerződési feltételeket (SCC) sem, habár azok alkalmazása sem nyújtott volna megfelelő védelmet, tekintettel arra, hogy az SCC nem vonatkozik az amerikai hatóságokra.)
A panaszos kérte a NAIH-ot, hogy vizsgálja ki a panaszt és állapítsa meg, hogy
- mely személyes adatokat továbbítja az adatkezelő a Google LLC részére az USA-ba, más harmadik országba vagy nemzetközi szervezetnek;
- az adatkezelő a GDPR 44. és azt követő cikkei közül mely adattovábbítási mechanizmusra alapítja az adattovábbítást;
- az alkalmazandó Google Analytics általános felhasználási feltételek és az (új) Google Ads adatkezelési feltételek megfelelnek-e a GDPR 28. cikkében foglalt követelményeknek a személyes adatok harmadik országba történő továbbítása tekintetében.
A panaszos továbbá azt is kérte, hogy a NAIH haladéktalanul tiltsa meg vagy függessze fel az adatkezelőtől a Google LLC részére az USA-ba történő adattovábbítást, és rendelje el az adatoknak az EU/EGT-be vagy egy olyan országba történő visszaküldését, amely megfelelő szintű védelmet biztosít.
A NAIH vizsgálata
A NAIH kérésére az adatkezelő közölte, hogy a weboldal üzemeltetése során már nem használja a Google Analytics szolgáltatás HTML-kódjait és cookiejait. A kódokat az adatkezelő azt követően távolította el a weboldalról, miután tudomást szerzett a Schrems-II ítélet lehetséges következményeiről.
Az adatkezelő mellékelte továbbá azon külső szervezetek listáját, amelyeknek a weboldalon használt kódok miatt közvetlenül vagy közvetve személyes adatokat továbbítottak vagy továbbítanak, megjelölve az adatkezelés jogalapját, időtartamát és helyét. Az adatkezelő nyilatkozata szerint a Google Ads eszközeit olyan beállításokkal használják, amelyek nem teszik lehetővé a látogatói adatok EGT-n kívüli harmadik országba történő továbbítását a hirdetések kiszolgálása során. Ugyanakkor az adatkezelő szerint a felhasználó hozzájárulása és (feltehetőleg Google sütikkel kapcsolatos) beállításai alapján a weboldalon található sütik gyűjthetnek a személyes adatokat, így különösen azt az IP-címet, amelyről a felhasználó a weboldalt meglátogatta.
A NAIH ezt követően tesztelte a weboldal által használt cookiekat. A tesztelés során megerősítést nyert, hogy az adatkezelő a Google Analytics használatát felfüggesztette, de továbbra is használja a Google Doubleclick szolgáltatást. Az adatkezelő által benyújtott dokumentumok alapján a Google Doubleclick for Publishers szolgáltatás a Google Ads szolgáltatáscsomag részét képezi, és a teszteredmények szerint a weboldal három, a Google Ads-hoz kapcsolódó sütit is használ, amelyek adatokat továbbítanak az USA-ba.
A NAIH jogi értékelése
A NAIH a vizsgálat során megállapította, hogy az Időkép Kft. a vizsgált cookiekkal történő adatkezelés tekintetében független adatkezelőnek minősül, mivel önállóan döntött a cookiek alkalmazását igénylő szolgáltatások igénybevételéről, valamint az ilyen szolgáltatások igénybevételének felfüggesztéséről és esetleges megszüntetéséről. A NAIH vizsgálatának fő megállapítása, hogy
a weboldalon használt cookiek bizonyos esetekben továbbra is továbbíthatnak személyes adatokat az USA-ba, annak ellenére, hogy az adatkezelő felfüggesztette a Google Analytics használatát.
A GDPR 28. cikkének (1) bekezdése értelmében
az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR követelményeinek való megfelelés és az érintettek jogainak védelmét biztosító megfelelő technikai és szervezési intézkedések végrehajtására.
A fentiek alapján a NAIH megállapította, hogy az adatkezelő jogellenesen továbbított személyes adatokat az USA-ba, ezzel megsértve a GDPR 28. cikk (1) bekezdését. (Technikailag az adatokat a Google Ireland Limited mint az adatkezelő adatfeldolgozója továbbította.) Az adatkezelő időközben ugyan megszüntette a jogellenes adattovábbítást, azonban a NAIH vizsgálata szerint a weboldalon használt egyes (a határozatban meg nem nevezett) kódok továbbra is továbbíthatnak adatokat az USA-ba. A NAIH felszólította az adatkezelőt, hogy véglegesen szüntesse meg a személyes adatok USA-ba történő továbbításának lehetőségét, különös tekintettel a Google Analytics kódok végleges eltávolítására a weboldaláról.
Tanulságok
Az ügy alapján
most már Magyarországon is kiemelt figyelemmel kell vizsgálni az adatvédelmi megfelelőséget a Google szolgáltatásainak igénybevételénél.
Az adatkezelőknek először is pontosan meg kell vizsgálniuk, hogy a szolgáltatást biztosító Google entitás adatkezelő vagy adatfeldolgozó-e – azzal, hogy a tárgyalási pozíció miatt egy weboldalt üzemeltető társaság általában nincs abban a helyzetben, hogy a Google saját adatkezelő-adatfeldolgozó besorolását esetleg vitassa. Fontos továbbá a szolgáltatás igénybevétele során továbbított személyes adatok körének pontos felmérése is – a kapcsolódó hatósági ügyekben visszatérő elem, hogy az adatkezelő állítása szerint nem került sor személyes adatok továbbítására, az illetékes adatvédelmi hatóság azonban ennek ellenkezőjét állapította meg. Ha egy adatkezelő a vizsgálat alapján a Google szolgáltatásainak használata mellett dönt, kulcsfontosságú a kockázatelemzés dokumentálása, valamint az adatkezeléssel kapcsolatos átláthatóság – elsősorban az adatkezelést ismertető belső nyilvántartások aktualizálása és a külső adatkezelési tájékoztatók pontos megfogalmazása. Az átláthatóság keretében részletesen fel kell tüntetni például az igénybe vett Google szolgáltatás célját, a részt vevő Google entitás nevét és GDPR szerinti besorolását, és a kezelt adatok körét, továbbá fel kell hívni a figyelmet az EGT-n kívüli adattovábbítások kockázatára.
Más EU-s hatóságokhoz hasonlóan a vonatkozó ügyben a NAIH sem szabott ki első körben bírságot, „csak” felszólította az érintett weboldalt üzemeltető adatkezelőt a személyes adatok USA-ba történő továbbításának megszüntetésére és a Google Analytics HTML kódok weboldalról történő eltávolítására. Abban az esetben viszont, ha az adatkezelő nem tesz határidőben eleget a NAIH felhívásának, úgy a hatóság dönthet akár hatósági eljárás megindításáról vagy bírság kiszabásáról is.
