Google Analytics jest najczęściej używanym narzędziem analitycznym na świecie: ponad 28 milionów stron je integruje w 2026 roku. Jednak od głośnej decyzji europejskich organów nadzorczych uznających Google Analytics za niezgodny z RODO, kwestia legalności tego narzędzia pozostaje kluczowa dla każdego europejskiego wydawcy stron. Pojawienie się Google Analytics 4 i przyjęcie EU-US Data Privacy Framework w lipcu 2023 zmieniły sytuację, ale ryzyka nie zniknęły. Jeśli prowadzisz stronę internetową, zrozumienie tych zagadnień jest niezbędne, aby uniknąć sankcji sięgających 20 milionów euro.
Dlaczego Google Analytics jest problemem w kontekście RODO
Konflikt między Google Analytics a RODO opiera się na fundamentalnej kwestii: transferze danych osobowych do Stanów Zjednoczonych. Gdy internauta odwiedza stronę używającą Google Analytics, dane takie jak adres IP, identyfikator cookie, rozdzielczość ekranu i ścieżka nawigacji są zbierane i przesyłane na serwery Google w USA.
Wyrok Schrems II i jego konsekwencje
W lipcu 2020 roku Trybunał Sprawiedliwości UE unieważnił Privacy Shield, mechanizm pozwalający na transfer danych między UE a USA. Wyrok ten, znany jako Schrems II, stworzył lukę prawną dla wszystkich amerykańskich usług przetwarzających dane rezydentów europejskich. Google Analytics, systematycznie transferujący dane na amerykańskie serwery, znalazł się bezpośrednio w centrum problemu.
Decyzje europejskich organów nadzorczych
Kilka europejskich organów ochrony danych uznało Google Analytics w jego standardowej konfiguracji za niezgodny z RODO. Organy we Francji, Austrii, Włoszech i Danii podjęły podobne decyzje. Były one następstwem skoordynowanej skargi złożonej przez stowarzyszenie noyb w 101 krajach europejskich.
Podwójny problem z plikami cookie
Poza transferem danych, Google Analytics umieszcza śledzące pliki cookie na urządzeniu użytkownika. Zgodnie z dyrektywą ePrivacy, każde umieszczenie niezbędnego pliku cookie wymaga uprzedniej zgody internauty. Strona, która ładuje Google Analytics bez czekania na zgodę, popełnia więc podwójne naruszenie: pogwałcenie zasad dotyczących cookies i nieautoryzowany transfer danych do USA.
Data Privacy Framework: niepewna poprawa
W lipcu 2023 roku Komisja Europejska przyjęła EU-US Data Privacy Framework (DPF). Google otrzymał certyfikat w ramach DPF, co teoretycznie ponownie legalizuje transfery na jego amerykańskie serwery. Jednak ramy te opierają się na zobowiązaniach władz amerykańskich, a skargi prawne już zostały złożone. Ewentualny wyrok „Schrems III” mógłby z kolei unieważnić te ramy. W 2026 roku niepewność prawna trwa.
Google Analytics 4: czy to wystarczy?
Od lipca 2023 roku Google zastąpił Universal Analytics przez Google Analytics 4 (GA4). Ta nowa wersja przynosi znaczące ulepszenia w zakresie ochrony danych.
Postępy GA4
GA4 domyślnie anonimizuje adresy IP. Okres przechowywania danych jest skrócony (2 lub 14 miesięcy). Model danych opiera się na zdarzeniach zamiast sesji, a GA4 oferuje więcej kontroli nad zbieranymi danymi.
Utrzymujące się ograniczenia
Mimo tych ulepszeń GA4 nadal umieszcza pliki cookie na urządzeniu użytkownika, co wciąż wymaga zgodnej uprzedniej zgody. Dane są nadal przetwarzane przez Google, podmiot podlegający prawu amerykańskiemu. DPF może zostać unieważniony. A nawet za zgodą dane przekazane Google zasilają ekosystem reklamowy, nad którym użytkownik nie ma kontroli.
Alternatywy zgodne z RODO
Wobec ryzyk związanych z Google Analytics kilka alternatyw pozwala mierzyć ruch na stronie zgodnie z RODO.
Matomo (dawniej Piwik)
Matomo jest główną alternatywą open-source dla Google Analytics. Hostowany w Europie eliminuje problem transferu transatlantyckiego. Pod pewnymi warunkami konfiguracji Matomo może być używany bez zbierania uprzedniej zgody. Wersja self-hosted jest darmowa; Matomo Cloud zaczyna się od 19 euro miesięcznie.
Plausible Analytics
Plausible to lekkie narzędzie skoncentrowane na prywatności. Nie umieszcza żadnych plików cookie, nie zbiera danych osobowych i waży mniej niż 1 Ko. Baner zgody nie jest potrzebny do pomiaru ruchu. Ceny od ok. 9 euro miesięcznie.
Fathom Analytics
Fathom dzieli filozofię Plausible: brak cookies, brak danych osobowych, domyślna zgodność z RODO. Ceny od ok. 14 dolarów miesięcznie.
Rozwiązanie hybrydowe
Wiele stron w 2026 roku stosuje podejście hybrydowe: narzędzie bez cookies (Plausible lub Matomo zwolniony) do podstawowych statystyk wszystkich odwiedzających, uzupełnione o GA4 aktywowane dopiero po uzyskaniu zgody.
Wpływ na politykę cookies
Korzystanie z Google Analytics lub dowolnej alternatywy ma bezpośredni wpływ na Twoją politykę cookies. Dokument ten musi precyzyjnie wymieniać każde narzędzie do pomiaru ruchu. Aby zredagować kompletną i zgodną politykę cookies, zapoznaj się z naszym przewodnikiem po zasadach i sankcjach dotyczących cookies. I pamiętaj: polityka cookies jest jednym z 4 obowiązkowych dokumentów prawnych dla każdego sklepu internetowego.
Podsumowanie: jakie rozwiązanie wybrać w 2026?
Mała firma lub startup: Plausible Analytics lub self-hosted Matomo oferują natywną zgodność z RODO. MŚP z potrzebami marketingowymi: Matomo Cloud, uzupełniony o GA4 po uzyskaniu zgody. Duże przedsiębiorstwo: Piano Analytics oferuje europejskie rozwiązanie zwolnione przez organy nadzorcze. Niezaleznie od wyboru, Twoja polityka cookies musi byc aktualna i wiernie odzwierciedlac uzywane narzedzia. Aby szybko sprawdzic stan zgodnosci swojej strony, uzyj darmowego skanera WebLegal. WebLegal oferuje rowniez darmowy banner cookies zgodny z RODO do zarzadzania zgoda na skrypty.