Objavljeno: 21 januarja, 2022
V teh dneh je v spletni javnosti zaokrožila burna novica o kršitvi GDPR z uporabo Google Analytics. Kršitev je bila ugotovljena v Avstriji s strani Datenschutzbehörde (avstrijska različica slovenskega instituta informacijskega pooblaščenca) in zadeva vse avstrijske ponudnike spletnih storitev (op. imetnike spletnih strani in spletnih trgovin) ter tudi tiste, ki prek svojih spletnih storitev poslujejo ali imajo stik z avstrijskimi državljani. Zakaj je avstrijska odločitev lahko pomembna tudi za nas, pa v nadaljevanju.
GDPR in ugotovljena kršitev
Zaščita osebnih podatkov evropskih državljanov je urejena s Splošno uredbo EU o varstvu podatkov, ki jo na kratko imenujemo GDPR (General Data Protection Regulation). Za lastnike spletnih strani in spletnih trgovin je najbolj pomembno poznavanje, kaj sodi v osebne podatke, kako jih lahko pridobivamo, v katerih primerih jih lahko na podlagi eksplicitnega dovoljenja hranimo in pridobivamo.
Ravno te določbe so pomembne vkolikor uporabljate katerokoli analitično orodje, ki beleži statistiko obiska. Ob tem pa se je potrebno kdaj tudi dodatno opomniti, da je že IP naslov uporabnika osebni podatek. In ravno IP naslovi so sprožili inšpekcijski nadzor avstrijskega informacijskega pooblaščenca.
Ugotovljena kršitev
Sodišče Evropske unije je 16. julija 2020 podalo sodbo, da storitve v oblaku, ki shranjujejo podatke na strežnikih v Združenih državah Amerike (specifično se sodba navezuje na podjetje Facebook), ne spoštujejo Splošne uredbe EU o varstvu podatkov. Prenos podatkov med EU in ZDA je do takrat urejal poseben dogovor, ki pa se je izkazal za nezadostnega.
Na podlagi sodbe iz leta 2020 je avstrijski informacijski pooblaščenec odkril kršitev, pri kateri so bili IP naslovi (torej osebni podatki) kot piškoti poslani na strežnike v Združene države Amerike. Kršitev je bila posledica uporabe Google Analytics. Ker gre za hudo kršitev varstva osebnih podatkov, lahko vsako podjetje, pri katerem bo ugotovljena kršitev, doleti globa.
Zakaj je pomembno?
Avstrijski informacijski pooblaščenec ima podobne pristojnosti kot slovenski. Izmed teh pristojnosti sta pomembni predvsem tisti dve, v katerih pooblaščenec po uradni dolžnosti izvaja inšpekcijski nadzor in z njim povezane dejavnosti, hkrati pa opravlja tudi funkcijo prekrškovnega organa.
Konkretno to pomeni, da če vašo spletno stran obiskujejo avstrijski uporabniki in neustrezno uporabljate Google Analytics, potem ste lahko predmet inšpekcijskega nadzora. Vkolikor pa je ugotovljena kršitev, pa vam lahko informacijski pooblaščenec izda tudi globo (kot je bilo to v aktualnem primeru).
Kaj morate storiti?
Predvsem bodite pozorni na to, katera analitična orodja uporabljate in kaj se dogaja s pridobljenimi podatki. Vkolikor pa delujete na avstrijskem trgu, pa preventivno raje prenehajte uporabljati Google Analytics, da se ne znajdete pod drobnogledom avstrijskega informacijskega pooblaščenca.
Ali bo prepoved uporabe Google Analytics doletela tudi slovenske in druge evropske spletne strani še ni znano, zato budno spremljajte dogajanje na področju spletne zakonodaje. Tudi tako, da še naprej spremljate naš blog.