Materiał ten jest głównie skierowany do prawników i administratorów stron internetowych, natomiast zwykli użytkownicy również mogą znaleźć w nim cenne informacje i wskazówki, które pomogą im lepiej zrozumieć działanie sieci oraz ich prawa.
Administratorzy stron internetowych często tworzą je w sposób, który sprawia, że przeglądarka osoby odwiedzającej stronę automatycznie korzysta z zasobów podmiotów trzecich. W wielu przypadkach wiąże się to również z wysyłaniem danych osobowych użytkownika do tych podmiotów. W publicznej dyskusji dotyczącej korzystania na stronach internetowych z usług podmiotów trzecich i tego, czy takie działanie jest powiązane z przetwarzaniem danych osobowych (zwłaszcza w związku ze stosowaniem cookies), często poruszany jest wątek Google Analytics. Nie jest to jednak jedyna usługa zewnętrzna, która powinna być przedmiotem analizy właścicieli stron internetowych przed jej zaimplementowaniem.
Weryfikacją pod kątem zgodności z prawem ochrony danych osobowych, czy szerzej — ochrony prywatności, powinna zostać objęta także usługa Google Fonts. W Polsce ta kwestia nie jest, póki co przedmiotem szerszych dyskusji i sporów. Inaczej jest np. w Niemczech, gdzie legalność korzystania z Google Fonts była przedmiotem rozstrzygnięcia sądowego, a lokalne organy nadzorcze wydały rekomendacje dotyczące ww. usługi. Z jakiego powodu korzystanie z czcionek pobieranych od dostawców zewnętrznych może naruszać prawo ochrony danych osobowych?
Na czym polega usługa Google Fonts?
Na wstępie należy wyjaśnić, czym jest usługa Google Fonts. Właściciele stron internetowych często, zamiast stosować powszechnie dostępne, standardowe fonty (potocznie, jak również w dalszej części wpisu, zwane także czcionkami), korzystają z zewnętrznych bibliotek czcionek, dających szerszy wybór fontów.
Jednym z dostawców takich rozbudowanych bibliotek jest Google, oferujący usługę Google Fonts. Czcionki internetowe mogą być zintegrowane ze stroną internetową na dwa sposoby: mogą być hostowane na własnym serwerze operatora strony (self-hosting) lub na serwerze podmiotu trzeciego (hosting strony trzeciej).
Co się dzieje, gdy czcionki internetowe są wczytywane z zewnątrz, w postaci hostingu stron trzecich? Otóż po wywołaniu danej strony internetowej nawiązywane jest połączenie z serwerem dostawcy zewnętrznego, takiego jak Google. Przeglądarka użytkownika ładuje stamtąd pliki z czcionkami, aby złożyć za ich pomocą tekst wyświetlony na stronie. By przeglądarka mogła nawiązać połączenie z serwerem dostawcy zewnętrznego, musi ujawnić mu adres IP użytkownika.
Ponadto, co do zasady, w razie braku odpowiedniej konfiguracji strony internetowej, żądanie wysyłane ze strony internetowej do Google Fonts może mieć dołączony nagłówek HTTP Referer, który daje Google informacje o odwiedzanej przez użytkownika domenie. Google twierdzi, że nie wykorzystuje żadnych informacji zebranych przez Google Fonts do innych celów niż dostarczanie czcionek i tworzenie zbiorczych statystyk użytkowania, a w szczególności nie wykorzystuje ich do tworzenia profili użytkowników końcowych ani do reklamy. Ma jednak potencjalnie możliwość, jak również motywację (interes ekonomiczny), aby to robić.
Gdy strona zaś korzysta z fontów self-hostowanych, to jej wyświetlenie nie powoduje nawiązywania wyżej wskazanych połączeń w celu pobrania czcionki. Z takiej opcji właściciele stron internetowych korzystają rzadziej, powołując się często na nieskuteczne już, pochodzące z początku lat dwutysięcznych, praktyki mające na celu przyspieszenie działania strony.
Geneza dyskusji na temat zgodności Google Fonts z RODO
Kwestia zgodności usługi Google Fonts z ogólnym rozporządzeniem o ochronie danych osobowych („RODO”) pojawiła się w dyskusji publicznej na początku 2022 roku w kontekście orzeczenia niemieckiego sądu, co ciekawe – wydanego w postępowaniu cywilnym. Zazwyczaj bowiem kwestie zgodności z RODO są rozpatrywane przez urzędy ochrony danych osobowych, a następnie przez sądy administracyjne, do których można odwołać się od decyzji organu nadzorczego. Istnieje jednak możliwość dochodzenia odszkodowania za naruszenie przepisów o ochronie danych osobowych i wówczas sprawa trafia bezpośrednio do sądu cywilnego. 20 stycznia 2022 r. sąd (Landgericht) w Monachium wydał wyrok, którym zasądził od pozwanego (właściciela strony internetowej) na rzecz powoda (osoby, która odwiedziła stronę internetową pozwanego) kwotę 100 euro tytułem odszkodowania. Z jakiego powodu zostało przyznane odszkodowanie? Otóż sąd stwierdził, że automatyczne przekazanie przez właściciela strony internetowej dynamicznego adresu IP osoby trzeciej (tutaj: powoda) do Google w momencie, gdy strona ta jest wywoływana przez tę osobę trzecią, bez jej zgody, stanowi naruszenie praw osobistych (Persönlichkeitsrechts) i prawa do informacyjnego samookreślenia (informationelle Selbstbestimmung).
Ustalenia sądu
W wydanym wyroku niemiecki sąd poczynił następujące ustalenia:
- Dynamiczny adres IP stanowi dla operatora strony internetowej dane osobowe użytkownika odwiedzającego stronę internetową. Operator strony internetowej dysponuje bowiem potencjalnymi środkami prawnymi, które mogą, racjonalnie rzecz biorąc, zostać wykorzystane do tego, aby dana osoba została zidentyfikowana za pomocą przechowywanych adresów IP przy udziale osób trzecich, a mianowicie właściwego organu i dostawcy dostępu do Internetu. Zdaniem niemieckiego sądu, wystarczy, że pozwany miał abstrakcyjną możliwość zidentyfikowania osób stojących za adresem IP. Nie miało znaczenia, czy pozwany lub Google mieli konkretną możliwość powiązania adresu IP z powodem.
- W niniejszej sprawie pozwany korzystał z usługi Google Fonts w taki sposób, że do wyświetlenia czcionek na stronie internetowej konieczne było połączenie z serwerem Google. Zdaniem sądu, nie było jednak uzasadnienia dla ujawniania danych osobowych w postaci adresu IP do Google, ponieważ z usługi Google Fonts można korzystać również bez nawiązywania połączenia z serwerem Google przy wywołaniu strony internetowej i bez przekazywania adresu IP użytkownika strony internetowej do podmiotu trzeciego.
- Skoro istniała możliwość korzystania z tych samych fontów bez konieczności nawiązywania połączenia z serwerem Google, właściciel strony internetowej powinien był pozyskać zgodę użytkownika na ujawnianie danych podmiotowi trzeciemu. W omawianej sprawie taka zgoda nie została pozyskana, wobec czego sąd uznał, iż naruszone zostały prawa powoda, w szczególności prawo do informacyjnego samostanowienia. Sąd wskazał, że prawo to obejmuje prawo jednostki do decydowania o ujawnieniu i wykorzystaniu jej danych osobowych. Zostało ono naruszone poprzez przekazanie dynamicznego adresu IP do Google, gdy powód wchodził na stronę internetową pozwanego.
Adres IP jako dane osobowe
W omawianej sprawie sąd uznał, że istnieje możliwość identyfikacji osoby fizycznej, ponieważ zgodnie z niemieckim prawem przewidziany jest tryb ustalenia tożsamości osoby fizycznej w związku z posiadaniem adresu IP. Wcześniej, w wyroku Trybunału Sprawiedliwości Unii Europejskiej („TSUE”) z dnia 19 października 2016 r., sygn. C-582/14 (Patrick Breyer przeciwko Bundesrepublik Deutschland), stwierdzono, że dynamiczny adres IP rejestrowany przez dostawcę danej usługi online w związku z przeglądaniem strony internetowej udostępnionej publicznie stanowi dane osobowe w rozumieniu przepisów o ochronie danych osobowych pod warunkiem, że dostawca ten dysponuje środkami prawnymi pozwalającymi na uzyskanie dodatkowych informacji umożliwiających identyfikację danego użytkownika. Czy wobec tego ustalenia niemieckiego sądu dotyczące statusu adresu IP jako danych osobowych mogłyby zostać automatycznie przeniesione na polskie realia? Niestety nie, ponieważ organy nadzorcze lub sądy w każdym państwie członkowskim powinny indywidualnie, w oparciu o krajowe regulacje prawne i konkretny stan faktyczny, weryfikować w danej sprawie, czy adres IP stanowi dane osobowe. Należy bowiem zbadać, czy w danym porządku prawnym istnieją racjonalnie dostępne środki pozwalające na identyfikację osoby fizycznej w związku z dysponowaniem adresem IP. Potwierdzają to także orzeczenia polskich sądów administracyjnych, np. wyrok II SA/Wa 3993/21.
Operator strony jako administrator danych
Jeśli by uznać, że adres IP stanowi dane osobowe, to w przypadku integracji czcionek internetowych poprzez hosting zewnętrzny operator strony internetowej będzie administratorem danych w rozumieniu art. 4 pkt 7 RODO. Jest tak, ponieważ (współ)decyduje on o środkach i celach przetwarzania danych. Zwrócił na to uwagę bawarski organ ochrony danych osobowych w swoich wytycznych. Decyzja o osadzeniu na stronie internetowej zasobów podmiotów trzecich (takich jak czcionki internetowe dostarczane przez Google) powoduje bowiem, że dostawca zewnętrzny otrzymuje dane osobowe użytkowników (przynajmniej w postaci adresu IP). Fakt, że operator strony internetowej nie ma żadnego wpływu na dalsze przetwarzanie danych przez podmiot trzeci, nie powoduje zdjęcia odpowiedzialności z operatora strony internetowej. Odpowiedzialność ta jest jednak ograniczona do gromadzenia i przekazywania danych użytkownika, ponieważ operator strony internetowej tylko w takim zakresie może określić środki i cele przetwarzania.
Podstawa prawna przetwarzania
Skoro dynamiczny adres IP stanowi dane osobowe użytkownika strony, to czy należy pozyskać zgodę użytkownika na korzystanie z Google Fonts przez bezpośrednią komunikację z serwerem Google?
Sąd w Monachium uznał, że właściciel strony internetowej nie mógł powołać się na prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), ponieważ czcionki dostarczane w ramach usługi Google Fonts mogą być wykorzystywane również bez nawiązania połączenia z serwerem podmiotu trzeciego w momencie wywołania strony internetowej i bez przekazania adresu IP użytkownika strony internetowej do Google. Wobec tego ewentualną podstawą prawną przetwarzania danych powoda mogła być zgoda (art. 6 ust. 1 lit. a RODO), której w przedmiotowej sprawie zabrakło.
Czy powyższe stanowisko jest słuszne? Moim zdaniem tak. Do tematu trzeba podejść szerzej, a mianowicie nie tylko z perspektywy RODO, lecz także z uwzględnieniem przepisów implementujących do porządków krajowych tzw. dyrektywę ePrivacy. W Niemczech jest to Telekommunikation-Telemedien-Datenschutz-Gesetz, a w Polsce ustawa Prawo telekomunikacyjne. Zgodnie z przepisami wskazanych ustaw, mówiąc w uproszczeniu, jeśli używanie, np. zapis lub odczyt, określonych informacji przechowywanych w telekomunikacyjnym urządzeniu końcowym użytkownika nie jest konieczne do korzystania ze strony internetowej, to właściciel strony internetowej powinien uprzednio pozyskać zgodę użytkownika na powyższe działania. Trzeba zaznaczyć, że mowa tu o przechowywaniu informacji, które nie muszą wiązać się z przetwarzaniem danych osobowych.
Jeśli chodzi o korzystanie z usługi Google Fonts można by twierdzić, że pobranie fontów z serwera zewnętrznego jest niezbędne, ponieważ trzeba pobrać pliki czcionek, aby można było odczytać treści znajdujące na stronie internetowej. Jak zauważył sąd w Monachium, można jednak dostarczać pliki fontów z własnego serwera/domeny, a nie za pośrednictwem podmiotu trzeciego. Czy wobec tego czynnikiem uzasadniającym niezbędność pobierania czcionek z serwerów zewnętrznych byłaby szybkość ładowania strony internetowej? Taki argument wydaje się chybiony. W przypadku aktualnych technologii nie ma istotnej różnicy, jeśli chodzi o czas ładowania strony. Szala korzyści może nawet przechylać się na ładowanie czcionek z własnego serwera.
W przypadku pobierania czcionek z serwerów podmiotu trzeciego operator strony internetowej jest też uzależniony od tego dostawcy, a jakakolwiek awaria u podmiotu zewnętrznego spowoduje problemy z poprawnym wyświetleniem strony internetowej. Jeśli usługa Google Fonts nie działa, to zależnie od konfiguracji strony może wystąpić jedno z następujących zdarzeń: 1) tekst wyświetli się w innym foncie, który wybierze przeglądarka; 2) tekstu nie będzie widać przez kilka sekund, a następnie wystąpi okoliczność wskazana w pkt. 1); 3) ikony na stronie nie będą się prawidłowo wyświetlać. Pobieranie czcionek z własnego serwera chroni przed taką okolicznością.
Wobec powyższego należałoby uznać, że do prawidłowego wyświetlania strony nie jest niezbędne pobieranie czcionek z serwerów zewnętrznych i ujawnianie zapisanych adresów IP podmiotom trzecim, służących do tego celu. Właściciel strony internetowej, chcąc korzystać z zewnętrznej integracji Google Fonts, powinien więc uprzednio odebrać zgodę na ujawnianie adresu IP Google w celu pobierania czcionek z zewnętrznych serwerów. Nawet więc gdyby dynamiczny adres IP nie został uznany za dane osobowe, korzystanie z Google Fonts w opcji hostingu strony trzeciej bez pozyskania zgody stanowi naruszenie prawa – a mianowicie wskazanych wyżej krajowych przepisów wdrażających dyrektywę ePrivacy. Gdyby z kolei dynamiczny adres IP został uznany za dane osobowe, brak zgody na jego ujawnianie do Google powodowałby także bezprawność przetwarzania danych osobowych, ponieważ nie byłoby również uzasadnienia dla przetwarzania danych osobowych.
Jak prawidłowo zebrać zgody na zewnętrzne Google Fonts?
Odnośnie do samego mechanizmu wyrażania zgód na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym użytkownika (w przypadku usługi Google Fonts chodziłoby, mówiąc prościej, o zgodę na ujawnianie adresu IP do Google), bawarski organ nadzorczy podkreślił, że pozyskiwana zgoda musi spełniać wymogi art. 6 ust. 1 lit. a), art. 4 pkt 11 i art. 7 RODO. Chodzi w szczególności o dobrowolność, świadomość, powiązanie z konkretnym celem i z konkretną operacją przetwarzania, a także jednoznaczność zgody. Ponadto zgoda jest skuteczna tylko do momentu jej odwołania. Jak wskazał organ, w przypadku integracji zewnętrznych czcionek powyższe wymagania oznaczają w szczególności, że żadne dane (w szczególności adres IP) nie mogą być przekazywane na serwery dostawców zewnętrznych przed wyrażeniem zgody za pomocą banerów zgody lub platform zarządzania zgodami (CMP - Consent Management Platform). Ponadto zgodnie z wytycznymi organu, należy jasno i jednoznacznie określić, jakie dane (takie jak adres IP) są przetwarzane, komu (nazwa dostawcy zewnętrznego) są one przekazywane i w jakim celu to się odbywa.
Powyższe uwagi powinny mieć także zastosowanie w polskim porządku prawnym, jednak nasze regulacje dostarczają nam w zakresie sposobu odbierania powyższych zgód dodatkowe „atrakcje”. Chodzi o pozornie sprzeczne wewnętrznie przepisy Prawa telekomunikacyjnego. Zgodnie z art. 173 ust. 2 Prawa telekomunikacyjnego, użytkownik może wyrazić zgodę na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta, lub użytkownika końcowego za pomocą ustawień przeglądarki. Wskazany przepis obowiązuje w niezmienionym brzmieniu mimo przyjęcia nowelizacji Prawa telekomunikacyjnego w związku z koniecznością dostosowania tego aktu prawnego do RODO. Jednocześnie od dnia 4 maja 2019 r. zmienione zostało brzmienie art. 174 Prawa telekomunikacyjnego. Przepis ten przewiduje, że do uzyskania zgody abonenta lub użytkownika końcowego, na czynności wskazane powyżej, stosuje się przepisy o ochronie danych osobowych. Oznacza to dokładnie tyle, że zgoda, o której mówi Prawo Telekomunikacyjne, powinna odpowiadać wymaganiom przedstawionym w wytycznych bawarskiego organu nadzorczego.
O „zgodzie” „wyrażonej” za pomocą ustawień przeglądarki aktualnie nie można powiedzieć, że spełnia ona powyższe wymagania (to jest temat na odrębny artykuł). Niestety, nie jest mi na razie znana żadna decyzja Prezesa Urzędu Komunikacji Elektronicznej (który to jest organem właściwym do stwierdzania niezgodności z prawem sposobu odbierania zgód, o których mowa w Prawie telekomunikacyjnym), która kwestionowałaby praktykę, o której mowa w art. 173 ust. 2 Prawa telekomunikacyjnego. W mojej ocenie do odbierania przedmiotowych zgód należy jednak zdecydowanie stosować art. 174 Prawa telekomunikacyjnego, jako odpowiadający celowi wprowadzonych na poziomie Unii Europejskiej regulacji prawnych.
Transfer danych
Korzystanie z czcionek hostowanych na serwerach Google, w przypadku uznania, że wiąże się ono z ujawnianiem podmiotowi trzeciemu danych osobowych, generuje jeszcze jedno ryzyko niezgodności z prawem. Zwrócił na to słusznie uwagę bawarski organ ochrony danych osobowych w swoich wytycznych. Chodzi mianowicie o to, że jeśli dostawca czcionek internetowych ma serwery w kraju spoza Unii Europejskiej, to ewentualne korzystanie z jego usług musi spełniać wymogi art. 44 i nast. RODO. W przypadku usługi Google Fonts w postaci hostingu zewnętrznego, przynajmniej adres IP zostaje przekazany na serwer Google w USA. Zgodnie z wyrokiem TSUE z dnia 16 lipca 2020 r. w sprawie o sygn. C-311/18 (sprawa Schrems II) USA nie było państwem gwarantującym odpowiedni poziom ochrony danych osobowych. Nawet więc w razie odebrania uprzedniej zgody użytkownika na podstawie krajowych przepisów wdrażających dyrektywę ePrivacy w celu pobrania czcionek z serwerów Google, nie były spełnione wymagania legalnego transferu danych osobowych. Sytuacja prawna zmieniła się jednak niedawno, w związku z rozpoczęciem stosowania decyzji Komisji Europejskiej, na mocy której dochodzi do ułatwienia transferu danych do podmiotów publicznych i prywatnych mających siedzibę w USA. Muszą jednak zostać spełnione pewne warunki.
Aby móc przekazać dane osobowe do USA na podstawie ww. decyzji Komisji Europejskiej, administrator lub podmiot przetwarzający powinien upewnić się, czy amerykański odbiorca danych posiada status certyfikowanego odbiorcy danych osobowych. Decyzja Komisji Europejskiej dotyczy bowiem konkretnych organizacji publicznych i prywatnych mających siedzibę w USA, które przystąpiły do programu EU-US Data Privacy Framework. Przystąpienie do wskazanego programu wymaga zobowiązania się przez podmioty z USA do przestrzegania zbioru zasad ochrony danych przygotowanych przez amerykański Departament Handlu. Nie wystarczy jednorazowa certyfikacja – podlega ona corocznej weryfikacji. Google znajduje się na liście podmiotów, które przystąpiły do tego programu.
Nowa decyzja Komisji Europejskiej zostanie z dużą dozą prawdopodobieństwa zaskarżona przez Maxa Schremsa (który zresztą deklaruje, że ma już gotową skargę). Uprzedził go jednak francuski parlamentarzysta Philippe Latombe, który niespełna dwa miesiące po rozpoczęciu stosowania decyzji Komisji Europejskiej poinformował o złożeniu skargi do TSUE. Tym samym kolejna decyzja dotycząca transferów danych do USA może zostać zakwestionowana przez Trybunał Sprawiedliwości UE.
Jak podejść do tematu?
Po przeanalizowaniu przedstawionych powyżej argumentów rodzi się zapewne pytanie, jak właściciele polskich stron internetowych powinni podejść do kwestii zewnętrznego pobierania czcionek w ramach usługi Google Fonts?
Wiele osób, a także sam Google, twierdzi, że ujawnianie adresu IP w komunikacji internetowej jest czymś normalnym, a nie wyjątkowym dla usług Google. Czy to usprawiedliwia korzystanie z zewnętrznego pobierania czcionek? Absolutnie nie, a to z uwagi na to, że o ile adresy IP są potrzebne do komunikacji w Internecie, o tyle osadzania fontów na stronie można dokonać bez komunikacji z usługami podmiotów trzecich. Czy usprawiedliwieniem dla korzystania z usług zewnętrznych może być wobec tego czas ładowania strony internetowej, który rzekomo w razie usług zewnętrznych jest krótszy? Również nie. Hostowanie zewnętrzne może wręcz wydłużyć czas ładowania strony.
Gdyby właściciele stron internetowych mimo wszystko chcieli pobierać czcionki z zewnętrznych serwerów, muszą pamiętać o zbieraniu zgód użytkowników na podstawie Prawa telekomunikacyjnego. Bez takich zgód istnieje podstawa prawna do zakwestionowania legalności powyższych działań, nawet w polskim porządku prawnym i nawet w przypadku braku uznania adresu IP za dane osobowe.
Wobec powyższego rozwiązaniem najprostszym i niepowodującym ryzyka prawnego z zakresu ochrony prywatności jest integracja fontów na stronie internetowej poprzez pobieranie plików czcionek z własnych serwerów operatora strony internetowej. W takim przypadku fonty ładowane są przy wykorzystaniu połączenia istniejącego już pomiędzy przeglądarką użytkownika a serwerem operatora strony internetowej, bez potrzeby komunikacji z serwerem dostawcy zewnętrznego i bez ujawniania mu adresu IP czy jakichkolwiek innych danych. Taka konfiguracja zapewnia zatem odpowiednią wydajność strony, a zarazem nie wymaga pozyskania zgody użytkowników. Należy jednak pamiętać, aby przed wdrożeniem powyższego rozwiązania zweryfikować treść licencji dotyczącej korzystania z określonych fontów. Może się bowiem zdarzyć, że na przeszkodzie self-hostingowi fontów, które nam się podobają, będą stały przepisy prawa autorskiego i postanowienia umowne.
Źródła
- Rekomendacje BayLfD dot. Google Fonts · https://www.datenschutz-bayern.de/datenschutzreform2018/aki42.html
- Nagłówek Referer · https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referer
- Stanowisko Google'a dot. prywatności Google Fonts · https://fonts.googleblog.com/2022/11/your-privacy-and-google-fonts.html
- Wyrok w sprawie Google Fonts · https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612
- Wyrok – dynamiczny adres IP może stanowić dane osobowe (C-582/14 - Breyer) · https://curia.europa.eu/juris/liste.jsf?num=C-582/14&language=PL
- Treść Dyrektywy ePrivacy · https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX%3A32002L0058
- Niemiecka implementacja ePrivacy · https://www.gesetze-im-internet.de/ttdsg/
- Ustawa Prawo Telekomunikacyjne - polska implementacja ePrivacy · https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20041711800
- Wyrok w sprawie (Schrems II) · C‑311/18 https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=1162927
- Decyzja Komisji Europejskiej ułatwiająca transfer danych do USA · https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=uriserv%3AOJ.L_.2023.231.01.0118.01.POL&toc=OJ%3AL%3A2023%3A231%3ATOC
- EU-US Data Privacy Framework · https://www.dataprivacyframework.gov/s/participant-search
- Wpis Google w EU-US DPF · https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI&status=Active
- Zapowiedź zaskarżenia decyzji Komisji o DPF · https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
- Skarga do TSUE na decyzje o DPF · https://www.politico.eu/article/french-lawmaker-challenges-transatlantic-data-deal-before-eu-court/