Google Analytics (GA) wykorzystuje pliki cookie, takie jak _ga i _gid, do rozróżniania poszczególnych użytkowników w domenie. Te pliki cookie nie są klasyfikowane jako absolutnie niezbędne, co uruchamia wymogi określone w ogólnym rozporządzeniu o ochronie danych (GDPR) i dyrektywie o e-prywatności dotyczące uzyskania wyraźnej zgody użytkownika przed ich wdrożeniem. Jest to zgodne z zasadą, że jedynie absolutnie niezbędne pliki cookie są zwolnione z obowiązku uzyskania zgody (Parlament Europejski i Rada, 2016).
Wymogi dotyczące zgody różnią się w zależności od jurysdykcji w UE, co pokazują różne interpretacje i egzekwowanie przepisów przez organy ochrony danych (DPA):
- Brytyjskie Biuro Komisarza ds. Informacji (ICO) klasyfikuje analityczne pliki cookie jako nieistotne, wyraźnie wymagając zgody użytkownika przed aktywacją plików cookie GA (ICO, 2020).
- Niemiecki organ ochrony danych (DPA) wymaga wyraźnej zgody na analityczne pliki cookie tylko wtedy, gdy dane są przekazywane stronom trzecim, co odzwierciedla bardziej warunkowe podejście (BfDI, 2021).
- Organy takie jak austriacki DPA, francuski CNIL i włoski Garante wydały orzeczenia, że Google Analytics narusza GDPR, w szczególności z powodu problemów z transferem danych i niewystarczających zabezpieczeń (CNIL, 2022; Garante, 2023).
Orzeczenia te koncentrują się na:
- Transferach danych do krajów trzecich, w szczególności do USA, które nie posiadają decyzji stwierdzających odpowiedni stopień ochrony danych zgodnie z GDPR.
- Niewystarczającej anonimizacji lub pseudonimizacji danych osobowych przesyłanych na serwery Google.
- Braku ważnych podstaw prawnych do przetwarzania danych osobowych za pośrednictwem GA bez wyraźnej zgody.
Implikacje dla operatorów stron internetowych są znaczące:
- Muszą oni uzyskać wyraźną, świadomą zgodę przed wdrożeniem plików cookie GA.
- Powinni ocenić, czy ich korzystanie z GA jest zgodne z wytycznymi DPA obowiązującymi w danej jurysdykcji.
- Alternatywne lub dodatkowe środki (np. śledzenie po stronie serwera, wzmocniona anonimizacja) mogą być konieczne do zapewnienia zgodności.
Podsumowując, korzystanie z Google Analytics w ramach GDPR nie jest zwolnione z wymogów dotyczących zgody, przy czym silne sygnały regulacyjne od wielu organów DPA podkreślają konieczność uzyskania wyraźnej zgody ze względu na ryzyka dla prywatności związane z użyciem plików cookie i transgranicznym transferem danych. Niezgodność może prowadzić do działań regulacyjnych, w tym grzywien.
