Google Analytics, rozšířená služba pro analýzu dat o návštěvnících webů, podle francouzského úřadu pro ochranu údajů CNIL porušuje evropskou legislativu o ochraně osobních údajů GDPR. Nedostatečně totiž chrání data Evropanů, když údaje přenáší do Spojených států, kde k nim mohou mít přístup tamní zpravodajské služby. Francouzský úřad tak doporučil, aby weby ve Francii začaly používat alternativní služby. K podobnému závěru došel v lednu i rakouský regulátor.

Verdikt francouzského úřadu nenařizuje nic Googlu, ale nejmenovaným francouzským webům. Ty mají měsíc na to, aby Google Analytics ve stávající podobě přestali používat. Google rozhodnutí odmítl komentovat s tím, že nebylo adresováno jemu, ale provozovatelům webů ve Francii.

Google Analytics je nejvyužívanější službu pro analýzu webů, jejich návštěvnosti a výkonnosti inzerce. Každému návštěvníkovi přiřazuje jedinečný identifikátor, který podle evropské legislativy představuje osobní údaje. Služba by proto měla dodržovat pravidla GDPR. To se ale podle francouzského a rakouského úřadu neděje. Google Analytics totiž přenáší data do Spojených států, kde neexistuje stejně vysoká ochrana soukromí uživatelů jako v Evropské unii. Google tak porušuje článek 44 nařízení GDPR, který ošetřuje přenášení dat Evropanů do třetích zemí.

Mezi USA a EU aktuálně neexistuje jasný rámec pro přenášení dat. Někdejší program nazvaný Privacy Shield předloni zrušil Soudní dvůr Evropské unie. Dohoda podle soudu nezaručovala, že americké zpravodajské služby nebudou mít přístup k datům Evropanů. USA a EU od té doby jednají o nové dohodě, žádný výsledek ale dosud není znám.

Francouzský úřad reagoval na stávající vakuum. Konkrétně prošetřoval stížnost, kterou podala nezisková organizace Evropské centrum pro digitální práva (NOYB) právě v reakci na předloňské rozhodnutí soudu. Úřad došel ke stejnému závěru jako soud. „Přestože Google přijal v souvislosti s Google Analytics další opatření upravující přenos dat, tato opatření nejsou dostatečná na to, aby vyloučila dostupnost dat pro americké zpravodajské služby. CNIL tak konstatuje, že údaje uživatelů internetu jsou předávány do Spojených států v rozporu s článkem 44 GDPR,“ stojí v tiskové zprávě úřadu.

V ní navrhuje dvě cesty: buď se Google Analytics zásadně změní a bude zpracovávat pouze „anonymní statistické údaje“, na něž se unijní legislativa nevztahuje, nebo mají weby používat alternativní služby, které nepřenáší data za unijní hranice. Úřad ve zprávě také připomíná, že vyšetřuje i další digitální služby, které data do Spojených států přenášejí.

Americké technologické společnosti i proto stále víc tlačí na to, aby Spojené státy s Evropskou unií uzavřely novou dohodu. Na její absenci nedávno ve svém výročním výčtu rizik upozorňovala i společnost Meta provozující sociální sítě Facebook či Instagram. Zmínila přitom, že by potenciálně mohla opustit Evropu, což vyvolalo vlnu reakcí. Společnost Meta tuto možnost v následném tiskové prohlášení odmítla, současně upozornila, že „nejistota v souvislosti s mezinárodními přenosy dat“ představuje „obchodní riziko“.

Naopak evropské firmy rozhodnutí úřadů vítají, píše americký web TechCrunch. „Očekáváme, že v roce 2022 bude lokální úložiště dat v EU, které eliminuje offshore přenosy dat, důležitou prodejní výhodou,“ cituje TechCrunch Macieje Zawadzińskiho, šéfa polské společnosti Piwik Pro, která nabízí podobné služby jako Google Analytics.

Evropské centrum pro digitální práva očekává, že podobná rozhodnutí jako ve Francii a Rakousku přijdou i v dalších evropských státech. V dlouhodobém horizontu existují podle jeho zástupců dvě možnosti: buď Spojené státy posílí právní ochranu zahraničních dat, nebo budou muset americké služby zpracovávat zahraniční data mimo USA. „Osobně bych dal přednost lepší ochraně v USA, ale to záleží na amerických zákonodárcích – ne na někom v Evropě,“ prohlásil předseda centra Max Schrems.