Google Analytics vs. GDPR
Austrijska agencija za zaštitu osobnih podataka u nedavno provedenom postupku protiv operatora internetskog portala (NetDoktor) utvrdila je kako usluga Google Analytics krši odredbeUredbe (EU) 2016/679 o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka, GDPR Uredba) činjenicom kako ne ispunjava Uredbom propisane kriterije za siguran prijenos osobnih podataka. Agencija se vodila osnovnim postulatima predmeta Schrems II (C-311/18) iz 2020. godine, u kojem je Sud Europske unije (Sud EU-a) poništio Privacy Shield sustav razmjene podataka između SAD i EU-a (novi sustav je još uvijek u fazi pregovora). Riječ je o jednoj od prvih odluka nacionalnih tijela zaduženih za zaštitu osobnih podataka u kojoj se sankcionira propuštanje usklađenja poslovanja s odlukom Suda EU-a.
Odluka je relevantna uzimajući u obzir globalnu rasprostranjenost Google Analytics usluge koja zauzima vodeći udio u tržištu alata za analizu prometa na mrežnim stranicama (ovisno o izvoru, od 70% do 85% globalnog mrežnog udjela), i omogućava napredne statističke analize te pospješuje marketinšku strategiju. Alat koristi tzv. tagove (tracking code) koji prate individualne posjetitelje (korisnike) mrežnim stranicama na kojima je alat implementiran, i prikupljene podatke o korisnicima šalju na Google servere u Sjedinjenim Američkim Državama (SAD). Također, relevantno je za napomenuti kako se posjetom navedenim stranicama na korisničkom internet pregledniku instaliraju tzv. kolačići (first-party cookies) koji portalima omogućavaju bržu reidentifikaciju korisnika i kvalitetnije profiliranje istih. Rasprostranjenost ovog alata na Internetu de facto otvara mogućnost preciznog profiliranja individualnih mrežnih korisnika u smislu njihovih mrežnih navika, najčešće posjećenih mrežnih stranica, širih interesa (proizvodi, hobiji, navike, politički spektar razmišljanja, i sl.). Podaci koje generira kolačić također se šalju na daljnju obradu u Google.
Agencija je zaključila kako identifikatori individualnih korisnika – tagovi odnosno kolačići, internet protokol (IP) adrese i postavke internet preglednika (a što uključuje informacije ne samo o pregledniku, već i operativnom sustavu, jeziku sustava i sl.) predstavljaju osobne podatke, odnosno, digitalni otisak i digitalno profiliranje koje jasno može dovesti do identifikacije individualne osobe. Drugim riječima, alat Google Analytics, suprotno navodima kompanije Google, ne podrazumijeva tehnologiju anonimizacije u onoj mjeri u kojoj prikupljene podatke više nije moguće iskoristiti i međusobno povezati kako bi se utvrdio identitet pojedine osobe odnosno korisnika. Korisno je za podsjetiti kako praksa europskih sudova, kao što je slučaj sa nedavno pokrenutim predmetom pred upravnim sudom u Wiesbadenu, prepoznaje navedenu problematiku. Njemački sud je donio nekoliko privremenih mjera i odluka, jedna od kojih se odnosi i na utvrđenje IP adrese kao osobnog podatka. Isti sud je također utvrdio kako korištenje sustava za upravljanje korisničkim pristankom također samo po sebi predstavlja prikupljanje i obradu osobnih podataka. Konačno, njemački sud je također utvrdio kako kolačići sadrže odnosno predstavljaju osobne podatke.
Kada se podaci prikupljeni na teritoriju Europske unije (EU) dijele sa trećim zemljama (prekogranična obrada podataka), potrebno je voditi računa o razini zaštite osobnih podataka relevantnog nacionalnog zakonodavstva uporedno sa pravom EU-a. Europska komisija je u 2021. godini objavila novi set tzv. standardnih ugovornih klauzula (standard contractual clauses, SCC) koji su nužni za sve treće zemlje koje Komisija nije uvrstila na listu zemalja čija se pravila o zaštiti podataka smatraju usklađenima sa GDPR Uredbom (SAD nije na navedenoj listi). Bitno je za napomenuti kako nije nužno sklapati SCC-e ako postoje alternativni mehanizmi poput relevantnih tehničkih i/ili korporativnih pravila ili dodatnih ugovornih zaštitnih mehanizama (dostatna razina tzv. technical and organizational measures, TOMs). Iako su NetDoktor i Google ugovorili SCC u vezi strožih preduvjeta za prijenos podataka (stara verzija SCC-a), Agencija je utvrdila kako kompanija Google LLC ne pruža dostatnu razinu zaštite tako prikupljenih osobnih podataka (neadekvatna razina TOMs-a) kada su u pitanju obavještajne agencije SAD-a i njihova razina pristupa tim podacima (sukladno američkom zakonu Foreign Intelligence Surveliiance Act). Preciznije, Agencija je zaključila kako osoba iz EU-a nema pravnih mogućnosti osporiti navedeni pristup podacima, odnosno usprotiviti se navedenom pristupu podacima.
Bitno je za napomenuti kako Google kao "primatelj podataka" (odnosno izvršitelj obrade) nije bio predmet razmatranja činjenicom da se postupak vodio isključivo protiv "izvoznika podataka", odnosno operatera internetskog portala (napomena: Agencija razmatra zaseban postupak protiv Googlea kao izvršitelja obrade). Neovisno o novom setu SCC, za očekivati je da će uslijediti slične odluke i drugih nacionalnih tijela za slučaj kada se podaci iz EU šalju na servere za obradu koji se nalaze u SAD-u, dok god se ne usvoji novi sustav razmjene podataka.
Za kraj, korisno je za istaknuti kako Google Analytics predstavlja tek jednu od mnogobrojnih (uglavnom besplatnih) usluga koju Google i slične kompanije nude u mrežnom prostoru. Kao što je slučaj sa Google Analytics uslugom, i druge usluge često traže ili mogu tražiti izravnu vezu sa serverom kako bi izvršili cijelu ili dio usluge. Jedna takva usluga je i Google Fonts (preko 1,300 različitih tipova slova, sa preko 50 milijuna korisnika koji upravljaju mrežnim stranicama). Tu uslugu je moguće koristiti sa Google servera, a također je relevantan font moguće kompletno preuzeti i držati na lokalnom serveru. Kada se je riječ o usluzi koja se pruža sa Google servera, svaki zahtjev prema Google serveru za pružanjem usluge Google Fonts – primjerice, otvaranje mrežne stranice koja koristi navedenu uslugu – također sadrži i druge podatke, jedan od kojih je i IP adresa korisnika. Navedeni primjer pretočen je u spor pred njemačkim sudom u Münchenu, gdje je sud usvojio tužbeni zahtjev protiv operatera mrežne stranice zbog nezakonitog dijeljenja osobnih podataka sa Google kompanijom. Konkretno, mrežne stranice su koristile udaljenu uslugu Google Fonts te od posjetitelja stranice nisu tražile prethodni pristanak za slanje osobnih podataka (konkretno, IP adrese) Googleu, čiji se server nalazio u trećoj zemlji, SAD-u (sukladno Schrems II presudi). U konkretnom slučaju nije bilo moguće pozivati se na legitiman interes korištenja osobnih podataka (bez prethodnog pristanka korisnika) jer se Google Font usluga može izvoditi i sa lokalnog servera. Za očekivati je kako će ovakvih predmeta biti sve više, i to ne samo u vezi rasprostranjenih Google mrežnih usluga (kao što je to, primjerice, popularna Google Recaptcha usluga).
Prethodno odluci austrijske Agencije za zaštitu osobnih podataka (točnije, dva dana prije), Europski povjerenik za zaštitu podataka utvrdio je kako je Europski parlament povrijedio Schrems II načela odnosno pravila u vezi prijenosa podataka u treće zemlje. Parlament je, naime, na zatvorenom dijelu svog portala, gdje su europski zastupnici registrirali svoje osobne podatke, omogućio Google Analytics i Stripe usluge. Nekoliko tjedana kasnije, francuska Agencija za zaštitu podataka u zasebnom predmetu usvojila je zaključke istovjetne onima u prethodno opisanom predmetu pred austrijskom Agenciju, a Google je, kao odgovor na nove trendove implementacije Schrems II presude, počeo klijentima nuditi mogućnost pohrane podataka na europskim serverima i korisničku podršku sa sjedištem unutar EU-a. Obje odluke (odluka austrijske Agencije i odluka francuske Agencije) afirmativno su prihvaćene od strane drugih nacionalnih agencija unutar EU-a te se mogu pretpostaviti slične odluke i u drugim državama članicama.
Ključne riječi: Google Analytics, GDPR, zaštita osobnih podataka, siguran prijenos osobnih podataka, odgovornost operatera internetskog portala, prekogranični prijenos osobnih podataka
TCF vs. GDPR
Nedavna odluka belgijske Agencije za zaštitu osobnih podataka također predstavlja značajan putokaz usklađenosti mrežnog poslovanja sa GDPR Uredbom. Agencija je utvrdila kako tzv. okvir za transparentnosti i pristanak (Transparency and Consent Framework, TCF), koji koristi marketinško udruženje Interactive Advertising Bureau Euope (IAB), nije, po čitavom nizu točaka, usklađen s odredbama GDPR Uredbe. Obzirom na rasprostranjenost TCF mehanizma dovodi se u pitanje i usklađenost većeg dijela online sustava oglašavanja i sustava prikupljanja prethodnog pristanka korisnika s europskim pravom. Navedeno je dodatno naglašeno činjenicom kako najveći globalni oglašivači, poput Amazona, Googlea i Microsofta koriste TCF mehanizam u svrhu GDPR usklađenosti. Posebno se ističe činjenica kako je odluka belgijske Agencije dobila prethodnu podršku svih nacionalnih kompetentnih tijela Europskog gospodarskog prostora, čime ova odluka poprima europsku dimenziju.
TCF predstavlja industrijski standard koji omogućava upravljanje korisničkim postavkama u svrhu online prilagođenog odnosno ciljanog oglašavanja. TCF okvir sadrži podatke o trgovcima (registar) koji koriste sustav online oglašavanja, listu pružatelja usluge upravljanja korisničkim izborom pristanaka na pojedine usluge, opće i posebne uvjete poslovanja te tehničke standarde obrade prikupljenih podataka. Prilikom prve posjete određenoj mrežnoj stranici koja implementira ovaj sustav, korisniku se otvara tzv. pop-up izbornik kroz koji korisnici odabiru razinu obrade i dijeljenja podataka. S obzirom na tržišnu snagu IAB-a (u području digitalnog oglašavanja i digitalnog marketinga), navedeni obrazac poznat je pod nazivom IAB Cookie Conset (IAB kolačić pristanka) Davanjem dopuštenja korisnika kreira se tzv. TC String (Transparency and Consent String), koji se bilježi i ažurira kroz kolačić na korisnikovom uređaju. Pristanak i sve daljnje informacije koje se dalje generiraju kroz TC String relevantne su za prilagođeno oglašavanje kao informacija o korisniku koja se šalje oglašivačima i/ili trgovcima prethodno činu prilagođenog odnosno ciljanog oglašavanja. Cijeli sustav je osmišljen kako bi olakšao pristup trgovaca njihovoj ciljanoj skupini – potrošačima, s kojima trgovci prethodno korištenju TCF platforme nisu ostvarivali izravan kontakt, pri čemu ulogu posrednika često preuzimaju digitalni oglašivači i digitalni izdavači.
Po pitanju osobnih podataka, Agencija je utvrdila kako TC String u kombinaciji s IP adresom korisnika daje dostatnu osnovu za neizravnu identifikaciju individualne osobe, što TC String u konačnici čini osobnim podatkom. Takav zaključak u izravnoj je suprotnosti sa dionicima TCF platforme koji smatraju kako TC String nije osobni podatak. Odluka Agencije zahtjeva korijenite promjene u samom mehanizmu prikupljanja i obrade podataka po pitanju usklađenosti s GDPR Uredbom, s obzirom na to kako je dosadašnja praksa obrade podataka počivala na pretpostavci prikupljanja i obrade podataka koji nisu osobni podaci. Također je bitno za napomenuti kako se isto odnosi i na korištenje tzv. OpenRTB protokola, industrijskog standarda za omogućavanje komunikacije i operabilnosti između stranaka u industriji digitalnog oglašavanja (real-time bidding – online automatizirana aukcija odnosno nadmetanje za oglašivački prostor na Internetu i aplikacijama u realnom vremenu), a što je u konačnici relevantno za prijenos podataka trgovcima.
Ujedno, Agencija je zaključila da IAB Europe nije jedini voditelj obrade podataka, već da u tu kategoriju (zajednički voditelji obrade) spadaju i pružatelji usluge upravljanja korisničkim izborom pristanaka na pojedine usluge, izdavači te trgovci koji djeluju u sklopu TCF mehanizma (konglomerat dionika u industriji digitalnog oglašavanja i marketinga poznat kao tzv. ad tech industry). Agencija je pritom upozorila kako pitanje uključivanja u kategoriju voditelja obrade prvenstveno ovisi o tome u kojoj je mjeri određena organizacija relevantna za obradu osobnih podataka odnosno u kojoj mjeri njezin utjecaj utječe na pravo privatnosti i pravo na zaštitu podataka subjekata obrade podataka (čak i ako nema izravan pristup osobnim podacima, u skladu sa presudom Suda EU u predmetu Jehovah’s Witnesses (C-25/17) iz 2018. godine). S obzirom na prethodnu napomenu u vezi klasifikacije TC String-a kao osobnog podatka, razvidno je kako će široki spektar ad tech industrije u svrhu usklađenosti sa GDPR Uredbom morati prilagoditi svoje svakodnevno poslovanje.
Značajno je za upozoriti kako je Agencija procijenila da legitiman interes organizacija koje sudjeluju u TCF okviru na pristup podacima (bez prethodnog pristanka korisnika) ne smije onemogućiti korisnicima da odbiju dati pristanak na prikupljanje i obradu podataka. Riječ je o trećem elementu procjene legitimnog interesa voditelja obrade (ili treće strane) koji je Sud EU-a uspostavio kroz tzv. three-limb test u predmetu Rigas (C-13/16) iz 2017. godine. Za uspješnu potvrdu legitimnog interesa, sukladno Rigas testu potrebno je demonstrirati kako interes voditelja obrade podataka nadilazi interes subjekata obrade podataka. Agencija je procijenila kako u slučaju TCF obrasca valjani pristanak korisnika, odnosno pravo korisnika da jasno odbije obradu svojih podataka, čini okosnicu legitimnog interesa za pristup podacima svake pojedine organizacije koja djeluje u sklopu TCF mehanizma. Trenutačno, TCF mehanizam ne omogućava navedenu mogućnost korisnika, čime isti gubi legitiman interes za prikupljanje i obradu podataka.
Nadalje, Agencija je dovela u pitanje trenutačan modus davanja pristanka, pri čemu se od korisnika očekuje da jednim činom davanja pristanka odobri čitavom, nepreglednom nizu različitih organizacija različitu razinu pristupa osobnim podacima korisnika. Agencija je zaključila kako nije realno da takav pristup omogućava transparentan i informiran uvid u razinu pristupa koju korisnik na taj način daje. Općenito, Agencija je primijetila kako obrazac za davanje pristanka ne daje dovoljno informacija u vezi obrade podataka (kako općenito, tako i na razini individualnih voditelja obrade), ne daje jasne informacije o kategorijama podataka koje se prikupljaju, ne daje dovoljno informacija o voditeljima obrade podataka (odnosno broj voditelja podataka zahtjeva previše vremena da bi se isti smisleno iščitali), odnosno, daje premalo ili nikakve informacije u vezi već prikupljenih korisničkih podataka odnosno obrade već prikupljenih korisničkih podataka.
Konačno, Agencija je utvrdila kako TCF mehanizam trenutačno ne omogućava pravo korisnika na odustanak od davanja pristanka na prikupljanje i obradu podataka, a što bi se odnosilo na sve individualne dionike TCF mehanizma (grupno odustajanje od davanja pristanka i individualno odustajanje od davanja pristanka odabranim organizacijama).
Korisno je po pitanju prava na odustanak upozoriti na nedavnu odluku norveške Agencije za zaštitu podataka koja je izrekla kaznu od 6.5€ miliona društvenoj mreži Grindr koja je za besplatnu verziju svoje aplikacije zahtijevala bespredmetni pristanak (bez mogućnosti naknadnog odustanka) na svoje uvjete u kojima nije jasno iskazano na koji način se prikupljeni osobni podaci obrađuju i dijele. Izostanak pristanka onemogućava daljnju registraciju novog korisnika. Norveška Agencija je utvrdila kako nije riječ o valjanom pristanku jer ne omogućava odvojeno davanje pristanaka za različite vrste obrade i dijeljenja podataka s trećim kompanijama. Kompanija Grindr je, naime, uredno prikupljene podatke iskorištavala u komercijalne svrhe kroz vrlo specifično ciljano oglašavanje unutar svoje aplikacije temeljeno na profiliranju kroz (seksualne) obrasce ponašanja i navika (tzv. behavioural profiling i behavioural advertisement).
Ujedno, norveška Agencija je posebno istaknula kako pristanak novog registriranog korisnika na davanje osobnih podataka u sklopu aplikacije ne znači istovremenu suglasnost na javnu objavu tih podataka odnosno korištenje podataka u druge svrhe. Odluka norveške Agencije ukazuje na trendove korištenja osobnih podataka u svrhe koje u cijelosti zaobilaze osnovnu namjeru korisnika prilikom dijeljenja osobnih podataka na strogo određenoj platformi pred strogo određenim auditorijem. Tim su se pitanjem djelomično bavile belgijska i francuska Agencija za zaštitu podataka u nedavno odlučenom predmetu u vezi obrade podataka s Twittera u istraživačke svrhe te objavi neobrađenih podataka s Twittera u publicističke svrhe. Belgijska Agencija koja je vodila predmet zaključila je kako podaci objavljeni na otvorenim društvenim mrežama uživaju punu GDPR zaštitu te kako njihovo korištenje u posebne svrhe mora odgovarati osnovnoj svrsi njihove objave. Ako tome nije slučaj, potrebno je zatražiti poseban pristanak korisnika ili dokazati legitiman interes voditelja obrade podataka. Dok je obrada podataka u istraživačke svrhe procijenjena kao legitiman interes, puka objava neobrađenih podataka nije prošla prethodno navedeni Rigas test (interes voditelja obrade ne nadilazi interes subjekata obrade podataka (istovjetno zaključku u prethodno analiziranom predmetu protiv IAB Europe), te su istraživači, na prijedlog francuske Agencije, novčano kažnjeni.
Ključne riječi: okvir za transparentnost i pristanak, TCF, ciljano oglašavanje, pristanak na prikupljanje i obradu podataka, legitiman interes za obradu osobnih podataka
Clearview AI vs. GDPR
Kompanija Clearview AI, prema vlastitim navodima, održava bazu podataka s preko 10 milijardi zapisa prikaza lica. Prema pojašnjenju same kompanije, baza se puni prikupljanjem podataka (tzv. data scraping) isključivo iz javnih izvora (društvene mreže, medijske mrežne stranice i sl.). Zapise prikaza lica je moguće pretraživati budući da baza podataka putem naprednih algoritama stvara profile osoba temeljem biometrijskih podataka koji se iščitavaju iz prikaza lica, ali i ostalih meta podataka koji se daju iščitati iz izvornog zapisa (primjerice, geolokacija fotografije, tagovi uz fotografiju, i sl.).
U nedavno provedenom postupku talijanska Agencija za zaštitu osobnih podataka ustanovila je kako Clearview AI baza podataka sadrži i podatke (biometrijski podaci, geolokacija, i sl.) o talijanskim građanima odnosno osobama koje se nalaze na talijanskom teritoriju. Agencija je utvrdila kako se navedeni podaci ilegalno obrađuju činjenicom kako kompanija sa sjedištem u SAD-u nema valjanog razloga za obradu navedenih podataka. Agencija je također ukazala na niz propusta u smislu usklađenja poslovanja sa GDPR Uredbom. Prije svega, utvrđeno je kako je poslovni model kompanije Clearview AI netransparentan činjenicom da osobe čiji se podaci prikupljaju nisu sa istim upoznate. Također, obrada prikupljenih podataka protivi se principu ograničenja uporabe osobnih podataka činjenicom kako puka objava slike na mrežnoj stranici ne znači da se tako javno objavljeni podaci smiju obrađivati u bilo koju svrhu (kao što je prethodno analizirano u predmetima pred norveškim, belgijskim i francuskim kompetentnim tijelom). Konačno, Agencija je utvrdila kako Clearview AI nije utvrdila nikakve jasne kriterije u vezi vremenskog korištenja i brisanja podataka.
Temeljem ustanovljenog kršenja osnovnih sloboda subjekata obrade podataka, poput nediskriminacije i povrede prava na privatnost, Agencija je kaznila Clearview AI sa 20€ milijuna, naredila brisanje svih podataka o osobama koje se nalaze u Italiji, te zabranila bilo kakvo daljnje prikupljanje i obradu podataka kroz sustav prepoznavanja prikaza lica.
Interesantno je za istaknuti kako su ista kompanija i ista tema nedavno bile predmet rasprave pred američkim saveznim sudom u državi Illinois. Sud je, sukladno Zakonu o privatnosti biometrijskih informacija (Biometric Information Privacy Act) države Illinois, istaknuo kako rad kompanije Clearview AI nadilazi puko prikupljanje fotografija sa Interneta. Utvrđeno je, konkretno, kako Clearview AI provodi sustavno prikupljanje i obradu privatnih biometrijskih podataka (geometrija ljudskog lica). Postupak je u tijeku.
Ključne riječi: biometrijski podaci, sustav prepoznavanja prikaza lica, Clearview AI, osnovne slobode subjekata obrade podataka
