Uporaba Google Analytics

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel dopis, v katerem navajate, da ste zasledili odločitev avstrijskega nadzornega organa, da je storitev Google Analytics nedovoljena. Ker storitev Google Analytics uporablja večina slovenskih spletnih strani, prosite za stališče IP o uporabi te storitve.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati. V nadaljevanju vam zato podajamo splošna pojasnila.

Splošna uredba o varstvu podatkov pojem »osebni podatek« v členu 4(1) opredeljuje kot katerokoli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Spletni identifikatorji, kot so IP naslovi in informacije shranjene v piškotkih, so lahko uporabljeni za identifikacijo posameznikov, zlasti kadar se kombinirajo z drugimi informacijami. To izhaja tudi iz recitala 30 Splošne uredbe o varstvu podatkov, v katerem je navedeno, da lahko spletni identifikatorji, ki jih zagotovijo posameznikove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, pustijo sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

Raba spletnih piškotkov je v Sloveniji sicer urejana z Zakonom o elektronskih komunikacijah (Uradni list RS, št. 109/12 in naslednji; v nadaljevanju ZEKom-1). ZEKom-1 v 1. odstavku 157. člena določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov v skladu z zakonom, ki ureja varstvo osebnih podatkov. Ne glede na to pa ZEKom-1 v 2. odstavku 157. člena določa izjeme, in sicer privolitev ni potrebna le za tiste piškotke, ki se uporabljajo izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali, ki so nujno potrebni za zagotovitev storitve, ki jo naročnik izrecno zahteva. To pomeni, da boste morali za piškotke, ki ne sodijo pod izjeme, predhodno pridobiti veljavno privolitev obiskovalca spletne strani.

V skladu s členom 4(11) Splošne uredbe o varstvu podatkov privolitev posameznika, na katerega se nanašajo osebni podatki,pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj. Molk, vnaprej označena okenca ali nedejavnost tako ne pomenijo veljavne privolitve.

Več o privolitvi si lahko preberete na naši spletni strani https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/privolitev.

Dodatna pojasnila glede uporabe privolitve v kontekstu uporabe piškotkov in t.i. piškotnih zidov so na voljo tudi v smernicah Evropskega odbora za varstvo podatkov na: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_sl_0.pdf.

V primeru prenosa osebnih podatkov v tretje države ali mednarodne organizacije (na primer zaradi uporabe določene storitve) je potrebno, poleg predhodno navedenega, zagotoviti tudi skladnost z določbami Splošne uredbe o varstvu podatkov iz Poglavja V. O prenosu osebnih podatkov v tretje države govorimo takrat, ko upravljavec ali obdelovalec iz države članice Evropske unije osebne podatke posreduje v države izven Evropske unije (EU) ali Evropskega gospodarskega prostora (EGP; sem sodijo poleg držav EU še Islandija, Norveška in Lihtenštajn) ali mednarodni organizaciji. O prenosu govorimo tudi takrat, ko je dostop do osebnih podatkov omogočen organizacijam, podjetjem, posameznikom ali drugim subjektom iz tretjih držav izven EGP, pa čeprav so podatki hranjeni znotraj EGP (na primer oddaljen dostop podjetja iz tretje države, ki nudi tehnično podporo).

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se v skladu s členom 44 Splošne uredbe o varstvu podatkov izvede ob upoštevanju drugih določb te uredbe le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz Poglavja V, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Glede uporabe storitev ameriških podjetij (na primer Google Analytics) je potrebno posebej opozoriti, da je Sodišče Evropske unije razveljavilo Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (t.i. Privacy Shield). Prenos osebnih podatkov v ZDA na tej podlagi torej ni več veljaven. Več v zvezi s tem si lahko preberete na spletni strani https://www.ip-rs.si/novice/6051f21930241.

Več o prenosu osebnih podatkov v tretje države ali mednarodne organizacije si lahko preberete na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-države-in-mednarodne-organizacije/.

Upravljavec osebnih podatkov, ki torej želi uporabljati storitve, pri katerih prihaja do prenosa osebnih podatkov v tretje države, npr. ZDA, mora torej zagotoviti, da je ta prenos skladen s pravili v EU.

Lep pozdrav,

                                                                                    Mojca Prelesnik,

                                                                                    informacijska pooblaščenka

Žiga Veber,

državni nadzornik

za varstvo osebnih podatkov