Google Analytics jest jednym z najpopularniejszych narzędzi umożliwiających śledzenie ruchu na stronie www. W związku z tym na osobie prowadzącej stronę www z wykorzystaniem Google Analytics ciąży szereg obowiązków związanych z przetwarzaniem danych osobowych. Niedopełnienie tych obowiązków może prowadzić do odpowiedzialności osób prowadzących stronę www, co ostatnio potwierdził wyrok sądu w Dreźnie (sygn. akt: 1a O 1582/18).
Czym jest Google Analytics?
Google Analytics jest narzędziem, które pozwala administratorom strony www dowiedzieć się m.in. ile osób korzysta ze strony www, jakie strony www oglądali użytkownicy przed wejściem na stronę www oraz jakie treści na naszej stronie www są najpopularniejsze.
Stan faktyczny – automatyczne przekazywanie adresów IP do Google
W marcu 2018 r. użytkownik z Niemiec odwiedził stronę internetową, która korzystała z Google Analytics. Użytkownik stwierdził, że w kodzie strony www nie znajduje się kod anonimizujący jego adres IP. W związku z tym użytkownik przypuszczał, że informacje które gromadzi strona www dzięki korzystaniu z Google Analytics są przekazywane do spółki Google Inc. z siedzibą w USA. Użytkownik nigdy nie wyraził na to zgody.
W związku z tym użytkownik zażądał od administratora strony www zaniechania przekazywania jego danych osobowych do Google Inc., udzielenia informacji o przetwarzanych danych osobowych oraz zwrotu kosztów zastępstwa przez pełnomocnika. Wobec braku odpowiedzi administratora www, użytkownik wystąpił do sądu w Dreźnie z roszczeniem o zaniechanie dalszego przetwarzania danych osobowych, udzielenie informacji i zwrot kosztów procesu.
Pozwany administrator www twierdził w trakcie postępowania, że adres IP nie jest przyporządkowany do użytkownika jako konkretnej osoby. Nadto, według pozwanego odwiedzający stronę użytkownik miał możliwość anonimizacji adresu IP czego jednak nie uczynił. Co więcej, przekazanie adresu IP następowało połączeniem szyfrowanym, co oznaczało, że identyfikacja użytkownika była niemożliwa.
Rozstrzygnięcie sądu w Dreźnie
Sąd w Dreźnie 11 stycznia 2019 r. wydał wyrok niekorzystny dla administratora strony www (sygn. akt: 1a O 1582/18). Sąd potwierdził, że jeżeli adresy IP są gromadzone w związku z udostępnieniem strony www, to takie adresy IP stanowią dane osobowe. Po drugie, mając na uwadze, że użytkownik nie wyraził zgody na przetwarzanie jego danych osobowych, przekazanie adresów IP do Google Inc./Google LLC było nieuprawnione. To także oznacza, iż administrator strony www musi zwrócić użytkownikowi koszty procesu, w tym koszty zastępstwa przez pełnomocnika, a za każde kolejne przekazanie adresu IP użytkownika, administrator może zostać zobowiązany do zapłaty 250.000 EUR. Wyrok jest prawomocny.
Wnioski dla osób tworzących strony www w Polsce
Wyrok sądu w Dreźnie potwierdza, że administrowanie stroną www, w szczególności w przypadku korzystania z Google Analytics, związane jest obowiązkiem ochrony danych osobowych. W takim przypadku administrator strony www powinien – między innymi – poinformować odwiedzających o tym, że zamierza przetwarzać ich dane osobowe i uzyskać zgodę na takie działanie. Ponadto, administrator powinien zawrzeć z Google umowę powierzenia danych osobowych oraz skrócić czas przetwarzania danych osobowych osób odwiedzających stronę www. Obydwie te czynności mogą zostać wykonane w opcjach Google Analytics. Administrator może także – aby wyeliminować możliwość dalszego, automatycznego przekazywania do Google adresów IP – włączyć anonimizację adresów IP w Google Analytics (https://www.adamgrabowski.guru/anonimizacja-adresow-ip-w-google-analytics-za-pomoca-google-tag-managera/).