Prije nekoliko dana objavili smo među prvima vijest da je austrijski sud presudio da je korištenje Google Analytics kolačića nezakonito, temeljem tužbe koju je otvorio NOYB (None of Your Business), kao udruga aktivista vrsnih u području zaštite osobnih podataka i globalno najpriznatijih u tom području:

https://www.biconsult.hr/gdprcroatia/1735-vijest-tjedna-google-analytics-proglaseni-nezakonitima

 

No, da bismo osigurali potpunu transparentnost, želimo prikazati ključne rečenice iz presude austrijskog suda, koje se itekako mogu primijeniti i na hrvatsko podneblje i koje itekako mogu pomoći svakom od nas da procijenimo jesmo li usklađeni s GDPR-om i ePrivacy Direktivom.

Izvatke ćemo prikazati u nastavku, temeljem strojnog prijevoda presude s njemačkog na engleski:

https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_EN_bk.pdf

a hrvatski prijevod je izveden putem alata koji koriste predsjedavajuće zemlje u Vijeću EU:

 

"

…Standardne ugovorne klauzule o zaštiti podataka koje je prva strana sklopila s drugom stranom ne pružaju odgovarajuću razinu zaštite u skladu s člankom 44. GDPR-a

…komunikacijske usluge (Google) podliježu nadzoru američkih obavještajnih agencija u skladu s FISA 702 zakonom

…mjere koje su poduzete uz Standardne ugovorne klauzule nisu učinkovite jer ne uklanjaju mogućnosti praćenja i pristupa američkih obavještajnih službi

…U ovom slučaju, nijedan drugi instrument u skladu s poglavljem V. GDPR-a ne može se koristiti za prijenos podataka te tuženik (Google) stoga ne jamči odgovarajuću razinu zaštite za prijenos podataka putem Google Analytics u skladu s člankom 44. GDPR-a.

…U skladu s presudom Europskog suda od 16. srpnja 2020. u predmetu C-11/18 („Schrems II”) ispitanici se više nisu mogli osloniti na odluku o primjerenosti („sustav zaštite privatnosti”) u skladu s člankom 45. GDPR-a za prijenos podataka u SAD-a. Naručitelj ne bi trebao temeljiti prijenos podataka ni na Standardnim ugovornim klauzulama ako odredišna treća zemlja ne jamči odgovarajuću zaštitu osobnih podataka koji se prenose na temelju standardnih klauzula o zaštiti podataka u skladu s pravom Unije.

…Zbog toga ispitanici nisu u mogućnosti osigurati odgovarajuću zaštitu osobnih podataka podnositelja pritužbe kada se njegovi podaci prenose trećoj strani. Prijenos podataka podnositelja pritužbe u SAD je nezakonit

… podnositelj pritužbe nije se oslanjao samo na obradu svoje IP adrese, već i na druge osobne podatke, kao što su podaci o kolačićima. U trenutku posjeta web stranicama prijavljen je na svoj privatni Google račun. Kolačići „Google Analytics” su postavljeni. Kako bi se spriječilo kršenje članka 44. GDPR-a, potrebno je potpuno uklanjanje alata i preporučuje se prebacivanje na drugi alat bez prijenosa podataka u SAD.

…Barem neki od kolačića postavljenih prilikom posjeta web stranici sadrže jedinstvene identifikacijske brojeve korisnika. U transakciji web preglednika podnositelja pritužbe postavljeni su identifikacijski brojevi korisnika „_ Gads”, _ „ga” i „_ GID”. Ti su brojevi naknadno preneseni na https://www.google analytics.com/.. Brojevi su „mrežni identifikatori” koji služe za identifikaciju fizičkih osoba i koji su posebno dodijeljeni korisniku. Treba napomenuti da u poglavlju V. GDPR-a nisu predviđene nikakve iznimke od „naknadno anonimiziranih podataka”. Trebalo bi pretpostaviti da IP adresa podnositelja pritužbe nije čak ni anonimizirana u svim transakcijama.

…U kontekstu pritužbe, relevantnije je da nadležna tijela SAD koriste podatke koje mogu lako identificirati tajne službe, kao što je IP adresa, kao polazište za praćenje pojedinaca. Standardni je postupak tajnih službi „krenuti dalje” od jednog do drugog datuma. Kada se računalo podnositelja pritužbe nastavi vraćati na IP adresu pojavljivanja na internetu, to bi se moglo iskoristiti za poboljšanje rada, špijuniranje i usmjeravanje na podnositelja pritužbe. U drugom koraku pretraživali bi se drugi identifikatori u podacima, kao što su spomenuti identifikacijsko podaci, što pak omogućuje identifikaciju pojedinca radi praćenja na drugim lokacijama.

…Drugi ispitanik (Google) razvio je Google Analytics alat. Google Analytics je mjerna usluga koja korisnicima drugog ispitanika omogućuje mjerenje prometnih svojstava. To uključuje i mjerenje prometa posjetitelja koji posjećuju određenu web stranicu. To omogućuje razumijevanje ponašanja posjetitelja web stranica i mjerenje njihove interakcije s određenom web lokacijom. Točnije, operator web stranice može stvoriti Google Analytics račun i pregledati izvješća o web lokaciji pomoću nadzorne ploče. Google Analytics može se koristiti i za mjerenje i optimizaciju učinkovitosti reklamnih kampanja koje vlasnici web stranica provode na Googleovim uslugama oglašavanja.

…Što se tiče mrežnih identifikatora, valja podsjetiti da kolačići „_ ga” ili „CID” (ID klijenta) i „_ GID” (ID korisnika) sadrže jedinstvene identifikacijske brojeve Google Analytics alata i pohranjuju se na uređaj ili web preglednik podnositelja pritužbe. Kao što je napomenuto, moguće je da određene strane koriste ove identifikacijske brojeve za razlikovanje web adrese i dobivanje informacije o tome radi li se o novim posjetiteljima ili se vraćaju dosadašnji posjetitelji web stranica

…Uvodna izjava 26. GDPR-a govori u prilog takvom tumačenju, prema kojem, na pitanje može li se fizička osoba identificirati ", se uzimaju u obzir sva sredstva koja će vjerojatno koristiti voditelj obrade ili druga strana prema općem nahođenju da izravno ili neizravno utvrdi identitet pojedinca, kao što je izdvajanje pojedinca iz gomile.

…U literaturi se takav identitet izričito navodi kao „digital footprint” ili "digitalni otisak", koji omogućuje uređajima da identificiraju konkretnog pojedinca

…Kombinacijom sa svim drugim elementima - tj. jedinstvenim identifikacijskim brojevima i drugim prethodno navedenim informacijama o posjetitelju web stranice, kao što su podaci o web pregledniku ili IP adresa - može se utvrditi identitet pojedinca, odnosno, njegov „Digitalni otisak” još je jedinstveniji.

…američke obavještajne službe preuzimaju putem interneta određene online identifikatore (kao što su IP adresa ili jedinstveni identifikacijski brojevi) kao polazište za praćenje pojedinaca. Posebno se ne može isključiti da su takvi obavještajni sustavi već prikupili podatke pomoću kojih se može povratno doći do podnositelja tužbe.

 

 

Photo by Arthur Osipyan on Unsplash