Google analytics a RODO bez wymaganych dokumentów - ryzyka

W dobie powszechnej cyfryzacji i dominacji marketingu opartego na danych, narzędzie Google Analytics stało się standardowym wyposażeniem niemal każdej strony internetowej. Pozwala ono właścicielom witryn na szczegółowe śledzenie zachowań użytkowników, optymalizację kampanii reklamowych oraz stałe ulepszanie oferty. Jednak z punktu widzenia europejskiego prawa ochrony danych osobowych, a w szczególności Ogólnego Rozporządzenia o Ochronie Danych (RODO), korzystanie z tego popularnego systemu wiąże się z szeregiem rygorystycznych wymogów. Uruchomienie Google Analytics bez posiadania i wdrożenia wymaganej dokumentacji prawnej generuje gigantyczne ryzyka prawne, finansowe i wizerunkowe.

Teza publikacji: Dlaczego Google Analytics budzi kontrowersje w świetle RODO?

Główna teza niniejszego opracowania sprowadza się do twierdzenia, że samo techniczne wdrożenie kodu śledzącego Google Analytics (nawet w najnowszej wersji GA4) bez uprzedniego przeprowadzenia formalnej analizy prawnej i sporządzenia wymaganej dokumentacji stanowi bezpośrednie naruszenie przepisów RODO. Administrator danych osobowych, który nie dopełni tych obowiązków, nie jest w stanie wykazać zgodności z zasadą rozliczalności (art. 5 ust. 2 RODO), co w przypadku kontroli przez organ nadzorczy, jakim w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), niemal automatycznie skutkuje nałożeniem sankcji.

Na czym polega problem prawny z Google Analytics?

Aby zrozumieć skalę ryzyka, należy najpierw zidentyfikować, dlaczego Google Analytics w ogóle podlega pod przepisy RODO. Narzędzie to gromadzi informacje o użytkownikach odwiedzających stronę internetową. Wśród zbieranych danych znajdują się m.in. unikalne identyfikatory klientów, adresy IP, dane o lokalizacji, informacje o urządzeniu, systemie operacyjnym oraz szczegółowa historia interakcji z witryną. Zgodnie z dominującym orzecznictwem europejskich organów nadzorczych oraz Trybunału Sprawiedliwości Unii Europejskiej (TSUE), dane te, zwłaszcza w połączeniu z innymi informacjami, pozwalają na jednoznaczną identyfikację użytkownika. Stanowią one zatem dane osobowe w rozumieniu RODO.

Transfer danych poza Europejski Obszar Gospodarczy (EOG)

Kluczowym problemem związanym z Google Analytics jest fakt, że dane te są przesyłane do infrastruktury serwerowej firmy Google LLC, która znajduje się głównie w Stanach Zjednoczonych. RODO wprowadza bardzo surowe warunki dotyczące przekazywania danych osobowych do państw trzecich (czyli poza EOG). Choć obecnie obowiązuje decyzja Komisji Europejskiej stwierdzająca odpowiedni stopień ochrony danych w USA (EU-US Data Privacy Framework), to każdy administrator korzystający z narzędzi amerykańskich dostawców ma obowiązek zweryfikować, czy dany transfer jest bezpieczny i udokumentować ten proces.

Status adresów IP i identyfikatorów online

Wielu przedsiębiorców błędnie zakłada, że skoro w nowej wersji Google Analytics 4 (GA4) adresy IP nie są przechowywane, to problem RODO znika. To mit. GA4 wciąż wykorzystuje zaawansowane identyfikatory użytkowników (takie jak pliki cookies _ga, identyfikatory użytkowników zalogowanych czy dane o konfiguracji przeglądarki), które pozwalają na profilowanie. Profilowanie to bezpośrednio podlega pod rygorystyczne przepisy RODO.

Kogo dotyczy ten problem?

Problem dotyczy każdego podmiotu – od jednoosobowej działalności gospodarczej prowadzącej prosty blog, przez sklepy internetowe (e-commerce), aż po wielkie korporacje i instytucje publiczne – który ma zainstalowany kod śledzący Google Analytics i nie posiada kompletu wymaganych dokumentów. RODO nie przewiduje taryfy ulgowej dla mniejszych podmiotów w zakresie podstawowych zasad przetwarzania danych i obowiązku rozliczalności.

Podstawa prawna i wymogi formalne

Prawidłowe korzystanie z Google Analytics wymaga oparcia procesów przetwarzania na konkretnych podstawach prawnych oraz spełnienia obowiązków informacyjnych. Najważniejsze z nich to:

  • Zgoda użytkownika (art. 6 ust. 1 lit. a RODO): Zbieranie danych analitycznych i marketingowych za pomocą plików cookies nie może odbywać się na podstawie tzw. prawnie uzasadnionego interesu administratora. Wymagana jest uprzednia, dobrowolna, konkretna i świadoma zgoda użytkownika, wyrażona przed uruchomieniem skryptu śledzącego.
  • Obowiązek informacyjny (art. 13 RODO): Administrator musi w sposób jasny i przejrzysty poinformować użytkownika o tym, kto, w jakim celu, na jakiej podstawie i jak długo będzie przetwarzał jego dane, a także o fakcie transferu danych do USA.
  • Umowa powierzenia przetwarzania danych (art. 28 RODO): Google działa tutaj jako podmiot przetwarzający (procesor). Konieczne jest zaakceptowanie i posiadanie aktualnych warunków przetwarzania danych (Data Processing Terms/Amendment) oferowanych przez Google.

Wymagane dokumenty przy korzystaniu z Google Analytics

Jeżeli na Twojej stronie działa Google Analytics, a w Twojej szufladzie (lub na dysku) brakuje poniższych dokumentów, działasz w strefie wysokiego ryzyka prawnego. Oto lista dokumentów, które musisz posiadać, aby wykazać zgodność przed organem nadzorczym:

1. Analiza transferu danych (Transfer Impact Assessment - TIA)

Mimo istnienia ram ochrony danych EU-US Data Privacy Framework, administrator ma obowiązek przeprowadzić i spisać krótką analizę potwierdzającą, że Google LLC jest certyfikowanym uczestnikiem tego programu oraz że transfer danych nie zagraża prawom i wolnościom osób fizycznych. Dokument ten musi być przedstawiony na żądanie kontrolerów.

2. Ocena Skutków dla Ochrony Danych (DPIA) lub Test Równowagi

W przypadku zaawansowanego profilowania użytkowników w celach reklamowych (np. poprzez łączenie danych z Google Analytics z systemem Google Ads), przetwarzanie to może nieść wysokie ryzyko dla praw i wolności osób. W takim wypadku niezbędne jest przeprowadzenie formalnej oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO.

3. Aktualna i precyzyjna Polityka Prywatności

Polityka prywatności na stronie internetowej nie może być ogólnym szablonem pobranym z sieci. Musi dokładnie opisywać korzystanie z Google Analytics, wskazywać na odbiorcę danych (Google LLC), opisywać cele przetwarzania (analityka, marketing), informować o transferze danych poza EOG oraz wskazywać prawa użytkownika, w tym prawo do cofnięcia zgody w dowolnym momencie.

4. Polityka Plików Cookies (Polityka Cookies)

Dokument ten powinien zawierać szczegółową tabelę z wykazem wszystkich plików cookies instalowanych przez Google Analytics, ich nazwą, celami, dostawcą oraz okresem przechowywania (np. plik _ga wygasający po 2 latach).

5. Rejestr Czynności Przetwarzania (RCP)

W rejestrze czynności przetwarzania, który jest obowiązkowym dokumentem dla większości przedsiębiorców, należy wyraźnie wyodrębnić czynność polegającą na analityce internetowej i marketingu, wskazując Google Analytics jako jedno z wykorzystywanych narzędzi.

Procedura wdrożenia zgodnego z RODO krok po kroku

Aby zminimalizować ryzyko prawne, należy wdrożyć procedurę naprawczą. Poniżej przedstawiamy kroki, które należy podjąć:

  1. Krok 1: Blokada skryptów przed wyrażeniem zgody. Skonfiguruj swój baner cookies (Consent Management Platform - CMP) w taki sposób, aby kod Google Analytics nie ładował się i nie zbierał żadnych danych, dopóki użytkownik nie kliknie przycisku "Akceptuję" lub "Zgadzam się".
  2. Krok 2: Akceptacja warunków Google (DPA). Zaloguj się do panelu administracyjnego Google Analytics, przejdź do ustawień konta i upewnij się, że zaakceptowałeś najnowszy Aneks o przetwarzaniu danych (Data Processing Amendment).
  3. Krok 3: Sporządzenie dokumentu TIA. Przygotuj pisemną ocenę transferu danych do USA, potwierdzającą status certyfikacji Google.
  4. Krok 4: Aktualizacja dokumentacji wewnętrznej. Wprowadź odpowiednie zapisy do Rejestru Czynności Przetwarzania oraz zaktualizuj Politykę Prywatności i Cookies na stronie.
  5. Krok 5: Wdrożenie mechanizmu wycofania zgody. Umożliw użytkownikom łatwe wycofanie zgody na cookies analityczne w każdym momencie (np. poprzez stałą ikonkę w rogu ekranu).

Najczęstsze błędy i ryzyka prawne

W praktyce audytorskiej najczęściej spotyka się następujące uchybienia, które stanowią łatwy cel dla organów kontrolnych:

  • Brak realnej blokady cookies: Baner cookies wyświetla się na stronie, ale kod Google Analytics i tak uruchamia się w tle i zbiera dane zanim użytkownik podejmie jakąkolwiek decyzję.
  • Domyślnie zaznaczone zgody: Okienka wyboru (checkboxy) dotyczące cookies analitycznych są domyślnie zaznaczone, co jest rażącym naruszeniem wytycznych Europejskiej Rady Ochrony Danych (EROD).
  • Brak możliwości łatwego odrzucenia cookies: Przycisk "Akceptuję" jest wielki i zielony, a opcja "Odrzuć" jest ukryta głęboko w ustawieniach lub napisana małą, niewidoczną czcionką.
  • Brak dokumentacji wewnętrznej: Posiadanie ładnego baneru na stronie, ale brak jakichkolwiek dokumentów (analiz, rejestrów) wewnątrz firmy. W razie kontroli administrator nie ma jak udowodnić swojej rzetelności.

Rola organu nadzorczego (UODO) i terminy

Prezes Urzędu Ochrony Danych Osobowych (PUODO) coraz częściej przygląda się kwestii analityki internetowej. Kontrola może zostać wszczęta z urzędu lub na wniosek osoby fizycznej (np. niezadowolonego użytkownika, konkurencji lub organizacji społecznej zajmującej się ochroną prywatności). Gdy organ nadzorczy poweźmie wątpliwości, kieruje do administratora oficjalne pismo z żądaniem wyjaśnień.

W takim piśmie organ wyznacza termin – najczęściej jest to 14 dni – na udzielenie szczegółowych odpowiedzi i przedstawienie pełnej dokumentacji potwierdzającej zgodność wdrożenia Google Analytics z RODO. Brak posiadania gotowych dokumentów w momencie otrzymania takiego pisma stawia przedsiębiorcę w niezwykle trudnej sytuacji, gdyż rzetelne przygotowanie analizy transferu, oceny skutków oraz audytu technicznego w tak krótkim czasie graniczy z cudem.

Praktyczny przykład (Case Study)

Wyobraźmy sobie średniej wielkości sklep internetowy z branży odzieżowej. Właściciel sklepu zlecił agencji marketingowej wdrożenie Google Analytics 4 w celu śledzenia konwersji i uruchomienia kampanii remarketingowych. Agencja wdrożyła kod, jednak nie poinformowała właściciela o kwestiach prawnych. Na stronie nie było baneru cookies zgodnego z RODO (był jedynie stary pasek informacyjny: "Ta strona używa cookies. Korzystając ze strony wyrażasz na to zgodę"). Firma nie posiadała analizy transferu danych (TIA), umowy powierzenia w wersji papierowej/elektronicznej, ani zaktualizowanej polityki prywatności.

Świadomy użytkownik witryny, zirytowany faktem, że jest śledzony bez jego zgody, złożył formalny skarga (wniosek) do PUODO. Organ nadzorczy wszczął postępowanie wyjaśniające i wezwał właściciela sklepu do przedstawienia dokumentacji potwierdzającej legalność przetwarzania danych za pomocą GA4 w terminie 14 dni. Ponieważ właściciel nie posiadał żadnych dokumentów, nie był w stanie wykazać zgodności. Finałem sprawy było nałożenie administracyjnej kary pieniężnej za przetwarzanie danych bez podstawy prawnej (brak ważnej zgody) oraz nakaz natychmiastowego usunięcia kodu Google Analytics do czasu dostosowania witryny do przepisów prawa.

Skutki prawne i finansowe braku dokumentacji

Konsekwencje zlekceważenia obowiązków dokumentacyjnych związanych z Google Analytics mogą być bardzo dotkliwe. Zgodnie z art. 83 RODO, kary finansowe mogą wynosić do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (za mniejsze naruszenia proceduralne) lub nawet do 20 000 000 EUR lub do 4% obrotu za naruszenie podstawowych zasad przetwarzania, w tym zasad transferu danych i braku ważnych zgód.

Oprócz kar finansowych, administratorowi grozi:

  • Nakaz zaprzestania korzystania z Google Analytics (co paraliżuje działania marketingowe i analityczne firmy).
  • Nakaz usunięcia dotychczas zebranych danych (utrata cennych historycznych danych analitycznych).
  • Utrata reputacji i zaufania klientów, co w dobie rosnącej świadomości prawnej konsumentów może przełożyć się na realne straty finansowe.
  • Ryzyko pozwów cywilnych ze strony użytkowników o zadośćuczynienie za bezprawne przetwarzanie ich danych osobowych.

Podsumowanie i rekomendacje

Korzystanie z Google Analytics bez wymaganych dokumentów RODO to stąpanie po cienkim lodzie. Współczesne standardy ochrony danych wymagają od każdego właściciela strony internetowej pełnej transparentności i rzetelności. Aby spać spokojnie, należy jak najszybciej przeprowadzić audyt swojej strony pod kątem plików cookies, wdrożyć profesjonalny system zarządzania zgodami (CMP), podpisać i zweryfikować umowy z Google oraz przygotować wewnętrzną dokumentację, taką jak TIA czy ocena skutków. Koszt przygotowania takich dokumentów jest niewspółmiernie niski w porównaniu do kar finansowych i strat wizerunkowych, jakie niesie za sobą kontrola ze strony UODO.