Korzystanie z formularzy (i innych usług) Google, a ochrona danych osobowych

W związku ze zmianami dotyczącymi zasad transferu danych poza obszar gospodarczy UE, pojawiło się ostatnio trochę pytań o korzystanie z usług Google w kontekście ochrony danych osobowych. Jedno z pytań, które dostałam dotyczyło formularzy Google:

Proszę o zaopiniowanie możliwości wykorzystania formularza Google, jako narzędzia gromadzenia i przechowywania danych osobowych przez instytucje kultury. Formularze Google są bezpłatnym narzędziem umożliwiającym tworzenie niestandardowych kwestionariuszy, współpracę w czasie rzeczywistym oraz zbieranie i przechowywanie danych na dysku internetowym. Więcej informacji o polityce bezpieczeństwa Google znajduje się na stronie: https://www.google.com/intl/pl_pl/policies/privacy/

Sondujemy możliwość jego wykorzystania w celu rekrutacji uczestników na wydarzenia organizowane przez instytucje kultury. Proszę o informację czy korzystanie z wyżej wspomnianego narzędzia będzie, zgodne z przepisami obowiązującego prawa w przypadku, gdy osoby fizyczne przesyłające swoje dane osobowe będą akceptowały poniższe zapisy:

Oświadczam, że wyrażam zgodę na przesyłanie wprowadzonych przeze mnie danych osobowych za pośrednictwem formularza Google. Jednocześnie oświadczam, że zostałem poinformowany o tym, że:

1. Administratorem danych osobowych jest: [tu właściwa nazwa i adres instytucji kultury]
2. Podanie danych jest dobrowolne. Nie przewiduje się przekazywania danych osobowych.
3. Przysługuje mi prawo do wglądu do moich danych osobowych i żądania ich poprawienia.

Osoby, które preferują inny sposób rekrutacji, będą miały możliwość wydrukowania zgłoszenia i złożenia go osobiście. Zebrane dane osobowe będą przetwarzane zgodnie z przepisami obowiązującego prawa oraz w oparciu o wewnętrzną Politykę Bezpieczeństwa Informacji oraz Instrukcję Zarządzania Systemem Informatycznym instytucji kultury.

Czy to wystarczy, aby dane były zbierane legalnie poprzez formularze Google?

Przede wszystkim zalecane jest, aby taki formularz był wspomagającą formą zapisania się na usługę, a nie podstawową. Co do zasady powinny być spełnione warunki określone w ustawie o świadczeniu usług drogą elektroniczną, czyli osoba, korzystająca z usługi formularza, powinna być zobligowana do zaakceptowania regulaminu świadczenia usługi zapisu przez instytucję kultury.

Odnośnie transferu danych do państwa trzeciego w związku z korzystaniem z usługi formularzy Google, najłatwiej byłoby, gdyby z formularza mogła skorzystać tylko osoba, która ma już założone konto Google – wówczas akceptuje ona warunki świadczenia wszystkich usług przez Google oraz zgadza się na transfer jej danych poza obszar gospodarczy UE.

W przypadku, gdy ta osoba nie jest użytkownikiem, to na instytucji kultury ciąży odpowiedzialność za transfer danych (zgodnie z zasadami świadczenia usługi to instytucja kultury, a nie Google jest administratorem danych).

Zgodnie z aktualnymi przepisami o ochronie danych osobowych, tranfer danych do państwa trzeciego jest zakazany, chybaże zostanie spełniony jeden z warunków wskazanych w rodziale V RODO. W szczególności państwo trzecie będzie dawać odpowiedni stopień ochrony (decyzję podejmuje w tym zakresie Komisja Europejska). W takim wypadku transfer jest wykonywany tak, jakby był realizowany w ramach EOG (przykładem może być Wielka Brytania, dla której KE wydała odpowiednią decyzję w związku z Brexit). Jednkaże Google transferuje dane do różnych państw, także tych które nie dają wystarczających gwarancji ochrony.

W związku z tym taki transfer jest realizowany przez Google w oparciu o standardowe klauzule umowne, zgodnie z art. 46 RODO. Jest to mechanizm, który umożliwia legale przekazywanie danych poza EOG.

W niniejszym wpisie nie rozważam kontrowersji dotyczących sposobu przetwarzania przez Google danych osobowych, a także orzerznictwa TSUE i decyzji europejskich organów nadzorczych, które poddają w wątpliwość, czy zastosowane przez Google rozwiązanie jest faktycznie skuteczne. Warto jest, o ile to możliwe, unikać rozwiązań, które wymagają transferu danych osobowych do państwa trzeciego, bo taki transfer zawsze wiążę się z podwyższonym ryzykiem naruszenia ochrony danych. Chociażby ze względu na zmianę prawodawstawa w państwie trzecim, które może wpłynąć na skuteczność standardowych klauzul umownych.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie