Odgovore na ta pitanja dalo je jedno od najrelevantnijih nadzornih tijela za zaštitu osobnih podataka u EU - francuski CNIL, izdvajamo ključna stajališta:
Google automatski nudi korisnicima standardne ugovorne klauzule koje same po sebi ne mogu osigurati dostatnu razinu zaštite u slučaju zahtjeva stranih tijela za pristup, osobito ako je takav pristup predviđen lokalnim pravom.
Nije moguće postaviti alat Google Analytics kako se osobni podaci ne bi prenosili izvan EU.
Google je potvrdio da su svi podaci prikupljeni putem Google Analyticsa smješteni u SAD.
Google je u naveo da primjenjuje mjere pseudonimizacije, ali ne i anonimizaciju. Google nudi funkciju anonimizacije za IP adrese, ali to se ne primjenjuje na sve prijenose osobnih podataka. Osim toga, na temelju izjava Googlea ne može se utvrditi je li do takve anonimizacije došlo prije prijenosa osobnih podataka u SAD.
Nadalje, samom upotrebom jedinstvenih identifikatora za razlikovanje pojedinaca može se utvrditi identitet podataka, posebno u kombinaciji s drugim informacijama kao što su metapodaci preglednika i operativnog sustava. Ti podaci omogućuju točno praćenje korisnika, u nekim slučajevima na nekoliko zasebnih uređaja.
Naposljetku, zajednička uporaba Google Analyticsa s drugim Googleovim uslugama, uključujući marketing, može omogućiti unakrsnu provjeru IP adrese i tako pratiti povijest pretraživanja većine internetskih korisnika na velikom broju internetskih stranica.
---------------------------------------------
Važno je razumjeti razliku između pseudonimizacije i anonimizacije osobnih podataka
Pseudonimizacija je obrada osobnih podataka koja se provodi na način da se podaci koji se odnose na fizičku osobu više ne mogu pripisati bez dodatnih informacija. U praksi se pseudonimizacija sastoji od zamjene izravno identifikacijskih podataka (prezime, ime itd.) drugačijim podacima (alias, redni broj itd.).
Anonimizacija se sastoji od upotrebe skupa tehnika na način da je u praksi nemoguće identificirati osobu bilo kojim sredstvom i nepovratno. Anonimizirani podaci više ne podliježu GDPR-u.
---------------------------------------------
Može li enkripcija biti dostatno dodatno jamstvo?
Da, ali pod određenim uvjetima.
Googleovo uvođenje enkripcije podataka pokazalo se nedovoljnom tehnološkom mjerom jer sam Google LLC kriptira podatke ali ima obvezu sigurnosno-obavještajnim agencijama SAD odobriti pristup osobnim podacima koje posjeduje, uključujući ključeve za enkripciju koji su potrebni kako bi podaci bili čitljivi. Takve se tehničke mjere u ovom slučaju ne mogu smatrati djelotvornima (vidjeti Preporuke EDPB-a o dodatnim mjerama transfera, točka 85.). Enkripcija je stoga nedovoljno dodatno jamstvo ako strana koja podliježe zahtjevima nadležnih tijela SAD-a može pristupiti osobnim podacima.
Da bi se enkripcija smatrala dostatnom dodatnom zaštitnom mjerom, ključeve za enkripciju trebalo bi posebno držati pod isključivom kontrolom EU izvoznika podataka (vidjeti preporuke EDPB-a 01/2020, točku 84.).
Nijedno od dodatnih jamstava koja je Google predstavio CNIL-u ne onemogućuje pristup američkih obavještajnih službi osobnim podacima europskih korisnika prikupljenih putem Google Analytics.
Je li moguće nastaviti s prijenosom podataka iz EU u SAD uz izričitu privolu pojedinaca?
Izričita privola ispitanika jedno je od mogućih odstupanja iz članka 49. GDPR-a za posebne slučajeve. Međutim, kako je navedeno u smjernicama EDPB-a o tim odstupanjima, ona se mogu upotrebljavati samo za nesustavne prijenose i ne mogu biti održivo i dugoročno rješenje jer primjena odstupanja ne može postati opće pravilo.
CNIL stajalište je ovdje:
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics
Image by Pexels from Pixabay
