Google reCAPTCHA to jedno z najczęściej stosowanych narzędzi do ochrony formularzy przed spamem i botami. Instalowane szybko, często „domyślnie”, bez głębszej refleksji prawnej.

Przez długi czas darmowa wersja reCAPTCHA budziła istotne wątpliwości z perspektywy RODO: brak umowy powierzenia, niejasny zakres danych, szerokie przetwarzanie behawioralne.

Od 2 kwietnia model prawny ulega zmianie.

Czy to oznacza, że problem zniknął?
Nie do końca.

1. Jak było wcześniej – usługa w zamian za dane

W modelu Free administrator nie płacił pieniędzmi.
„Płatnością” były dane użytkowników.

reCAPTCHA przetwarza m.in.:

• adres IP,

• identyfikatory przeglądarki i urządzenia,

• dane o zachowaniu użytkownika,

• informacje zbierane przy użyciu cookies i mechanizmów trackingowych.

Darmowa wersja nie była objęta Google Cloud Data Processing Addendum (DPA). Google działał jako niezależny administrator danych, a nie jako procesor w rozumieniu art. 28 RODO.

Oznaczało to:

• brak umowy powierzenia przetwarzania danych,

• przetwarzanie danych również do własnych celów Google,

• ograniczoną możliwość realnej kontroli zakresu przetwarzania przez właściciela strony.

Ten model określaliśmy wprost: usługa w zamian za dane użytkowników.

2. Od 2 kwietnia – Google jako procesor

Google zapowiedział, że od 2 kwietnia darmowa wersja reCAPTCHA zostanie objęta Cloud Data Processing Addendum.

To istotna zmiana.

Oznacza ona, że Google ma działać jako procesor w imieniu klienta, analogicznie jak w przypadku reCAPTCHA Enterprise. DPA — na poziomie ogólnym — zawiera elementy wymagane przez art. 28 RODO.

Z perspektywy formalnej to wyraźny krok w dobrym kierunku:

• relacja administrator–procesor zostaje uporządkowana,

• pojawia się umowa powierzenia,

• model kontraktowy jest bardziej przewidywalny.

Podmiotem przetwarzającym dla klientów europejskich ma być Google Cloud EMEA Limited (Irlandia), czyli unijny podmiot z grupy Google.

Czy to oznacza pełną zgodność?
Nie automatycznie.

3. Transparentność i minimalizacja – nadal otwarte pytania

DPA definiuje zakres danych bardzo szeroko jako:

„Data relating to individuals provided to Google via the Services, by (or at the direction of) Customer or by its End Users.”

Nie wskazuje natomiast konkretnych kategorii danych osobowych.

Na podstawie publicznie dostępnych informacji można przyjąć, że chodzi głównie o dane techniczne i behawioralne służące odróżnieniu człowieka od bota, przetwarzane w dużej mierze tymczasowo.

Jednak:

• brak precyzyjnego wskazania kategorii danych utrudnia ocenę proporcjonalności,

• DPA przewiduje okres retencji do 180 dni,

• administrator musi samodzielnie zweryfikować, jakie dane są faktycznie przetwarzane w jego konkretnej implementacji.

Kluczowy problem nie polega na tym, że dane na pewno są nadmierne.
Problem polega na tym, że administrator musi być w stanie wykazać, że są proporcjonalne i ograniczone do niezbędnego minimum.

To wymaga realnej analizy technicznej, a nie wyłącznie akceptacji warunków Google.

4. Podstawa prawna – uzasadniony interes czy zgoda?

Zabezpieczenie strony przed spamem może stanowić uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Po objęciu reCAPTCHA Free DPA sytuacja jest bezpieczniejsza niż wcześniej. Nadal jednak należy:

• przeprowadzić i udokumentować test równowagi,

• ocenić proporcjonalność przetwarzania,

• zweryfikować zakres danych w praktyce.

Dodatkowo pozostaje kwestia przepisów ePrivacy.

Jeżeli narzędzie wykorzystuje cookies lub technologie podobne i nie jest ściśle niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika, może wymagać uprzedniej zgody.

Czy reCAPTCHA jest „ściśle niezbędne”?

Użytkownik chce wysłać formularz.
Nie żąda przekazania swoich danych podmiotowi trzeciemu w celu analizy ryzyka.

W modelu Free zgoda pozostaje najbezpieczniejszą podstawą prawną — szczególnie przy ostrożnym podejściu do ePrivacy.

Ale tu pojawia się praktyczny paradoks.

Jeżeli reCAPTCHA ładujemy dopiero po wyrażeniu zgody:

• brak zgody oznacza brak ochrony,

• formularz pozostaje narażony na spam,

• a bot… nie kliknie „Akceptuję”.

To pokazuje, że decyzja o podstawie prawnej nie jest wyłącznie teoretyczna. Ma realny wpływ na funkcjonowanie strony.

5. Nowe DPA. Stare pytania o zgodność.

Od 2 kwietnia sytuacja prawna darmowej wersji reCAPTCHA wygląć bedzie wyraźnie bezpieczniej od strony formalnej.

Z perspektywy kontraktowej to istotna zmiana. Relacja administrator-procesor zostanie najprawdopodobniej formalnie uporządkowana, a model współpracy zbliży się do standardów wynikających z art. 28 RODO.

Nie oznacza to jednak, że temat zgodności można uznać za zamknięty.

Nadal kluczowe pozostaje:

• ustalenie faktycznego zakresu danych przetwarzanych w konkretnej implementacji,

• prawidłowe określenie i udokumentowanie podstawy prawnej,

• zapewnienie spójności pomiędzy polityką prywatności a rzeczywistymi przepływami danych,

• aktualizacja rejestru czynności przetwarzania,

• analiza ewentualnych transferów międzynarodowych i stosowanych zabezpieczeń.

Można powiedzieć, że Google wyraźnie zbliża się do europejskich standardów ochrony danych.

Odpowiedzialność za wykazanie zgodności z RODO nadal jednak spoczywa po stronie administratora.

A Twoja strona?

To, co publikujesz na swojej stronie – w tym politykę prywatności – widzą nie tylko użytkownicy.

Widzą to także:

• konkurencja,

• niezadowolony klient,

• partner biznesowy,

• a w razie potrzeby również organ nadzorczy.

Polityka prywatności nie powinna być dokumentem „z szablonu”. Powinna odzwierciedlać faktyczne procesy przetwarzania danych zachodzące na Twojej stronie.

Czy masz pewność, że:

• wszystkie używane narzędzia są prawidłowo opisane?

• wskazano właściwe role podmiotów?

• podstawa prawna jest realnie przeanalizowana, a nie przyjęta domyślnie?

• Twoja dokumentacja obroni się w przypadku kontroli?

Pomagamy naszym klientom tak projektować i weryfikować ich dokumentację, aby to, co deklarują na zewnątrz, rzeczywiście odpowiadało temu, co dzieje się „pod maską” strony internetowej.

Jeżeli chcesz sprawdzić, czy Twoja reCAPTCHA to tylko ochrona – czy także potencjalne ryzyko – porozmawiajmy.