Czy Google Analytics jest legalne w Europie pod RODO? Odpowiedź na 2025

Google Analytics 4 jest legalne w Europie teraz, ale słowo "teraz" niesie w tym zdaniu sporo ciężaru. Między 2022 a 2023 sześć europejskich organów ochrony danych uznało Universal Analytics za niezgodne z RODO. Google odpowiedział przenosząc przetwarzanie danych EU do EU, dodając Consent Mode V2 i korzystając z EU-US Data Privacy Framework, który zastąpił unieważnione Privacy Shield. Na koniec 2025 GA4 działa normalnie w Europie. Nic z tego nie oznacza, że sprawa jest zamknięta.

Ten artykuł wyjaśnia obecny status prawny, jak tu doszliśmy, co może się zmienić i co faktycznie zrobić jako biznes używający Google Analytics w Europie. Bez paniki, bez fearmongeringu "GA jest nielegalne, przełącz teraz" i bez udawania, że ryzyko prawne zostało w pełni wyeliminowane. Tylko stan gry w październiku 2025, na podstawie pracy nad zgodnością Consent Mode V2 i GA4, którą robiłem dla europejskich biznesów od Schrems II.

Jeśli nie wdrożyłeś jeszcze Consent Mode V2, zacznij od mojego poradnika Consent Mode V2, to połowa tego, co sprawia, że użycie GA4 jest obronne pod RODO.

Kluczowe wnioski

GA4 jest legalne w UE dziś pod Data Privacy Framework (DPF), przyjętym w lipcu 2023 jako następca Privacy Shield.

Przed DPF sześć europejskich DPA (Austria, Francja, Włochy, Dania, Norwegia, Węgry) uznało Universal Analytics za nielegalne. Te rozstrzygnięcia technicznie wciąż są na stole.

DPF może zostać obalone przez CJEU tak, jak Privacy Shield w 2020 (Schrems II). Prawnicy spodziewają się wyzwania w ciągu 2-4 lat od przyjęcia.

Zgodność to nie tylko DPF. Wciąż potrzebujesz: Consent Mode V2, anonimizacji IP, właściwej retencji danych, podpisanej umowy powierzenia z Google i udokumentowanego DPIA.

Jeśli tolerancja ryzyka prawnego jest niska, przełącz na Matomo EU (~19 EUR/mc) albo Plausible EU (~9 EUR/mc), oba w pełni zgodne z RODO i działające wyłącznie na infrastrukturze EU.

Jak tu doszliśmy: krótka oś czasu

Zrozumienie obecnego statusu prawnego wymaga znajomości sekwencji decyzji sądowych. Pomiń tę sekcję, jeśli już znasz Schrems II po nazwie.

Lipiec 2020: wyrok Schrems II. Trybunał Sprawiedliwości UE (CJEU) unieważnił EU-US Privacy Shield, mechanizm legalizujący transfery danych osobowych z EU do usługodawców z USA. Sąd powiedział, że prawo inwigilacji USA (konkretnie FISA 702) daje amerykańskim agencjom wywiadowczym szeroki dostęp do danych przechowywanych przez firmy USA, bez odpowiednich zabezpieczeń dla podmiotów danych EU.

Koniec 2020 do 2022: niepewność wokół Standard Contractual Clauses (SCC). Google i wiele amerykańskich platform SaaS oparło się na SCC plus "środkach uzupełniających" (szyfrowanie, minimalizacja danych), żeby uzasadnić dalsze operacje w EU. Prawnicy, NOYB (NGO Maxa Schremsa) i kilka DPA zaczęło to kwestionować.

Styczeń 2022: austriacka DPA uznaje Google Analytics za nielegalne. Pierwsze europejskie rozstrzygnięcie wyraźnie uznające, że GA narusza RODO. Adresy IP i identyfikatory klienta liczyły się jako dane osobowe; transfery do USA pod SCC nie były wystarczające.

Luty-wrzesień 2022: Francja, Włochy, Dania, Norwegia, Węgry dołączają. Reakcja łańcuchowa. Każda DPA albo bezpośrednio orzekła przeciwko GA, albo wydała wytyczne, że użycie GA wymaga konkretnych kontroli.

Marzec-maj 2023: Google reaguje. Dodano przetwarzanie danych w EU dla danych analitycznych, zagregowanych eksportów i trenowania modeli. Ogłoszono Consent Mode V2. Ulepszono anonimizację server-side.

Lipiec 2023: przyjęcie Trans-Atlantic Data Privacy Framework (DPF). Komisja Europejska wydała nową decyzję o adekwatności dla transferów danych do firm amerykańskich certyfikowanych pod DPF. Google jest DPF-certyfikowany. To ponownie zalegalizowało Google Analytics w EU, ze skutkiem natychmiastowym.

2024-2025: GA4 działa normalnie. DPA nie wydały nowych restrykcyjnych rozstrzygnięć. Google Ads, Meta, Microsoft i AWS są też DPF-certyfikowane. Stare rozstrzygnięcia sprzed-DPF technicznie wciąż są na stole, ale nie były aktywnie egzekwowane wobec firm DPF-certyfikowanych.

To jest sytuacja "jest ale nie wiadomo na jak długo", legalne dziś, prawnie kruche jutro.

Dlaczego DPF jest kruche

NOYB (noyb.eu) złożył wyzwanie prawne przeciwko DPF w 2023, dzień po przyjęciu. Argument: prawo inwigilacji USA nie zmieniło się materialnie od Schrems II, więc DPF cierpi na tę samą podstawową wadę, co Privacy Shield.

CJEU zwykle potrzebuje 3-5 lat na rozstrzygnięcie dużej sprawy o ochronę danych. Wyrok Schrems III może pojawić się już w 2026-2027 i może unieważnić DPF. Jeśli tak się stanie, wrócisz do niepewności sprzed-DPF: SCC plus środki uzupełniające, z tymi samymi DPA, które uznały GA za nielegalne w 2022, mającymi wolną rękę, żeby wznowić.

Praktyczna rzeczywistość: DPF daje Ci obronną podstawę prawną dziś. Nie traktuj tego jako permanentne. Zbuduj swój setup analityczny tak, żeby przyszłe unieważnienie DPF nie zmuszało Cię do pośpiesznej migracji pod presją prawną.

Zgodność to nie tylko DPF

Nawet pod DPF użycie GA4 wymaga kilku niezależnych warstw zgodności. Brak którejkolwiek z nich to naruszenie RODO, niezależnie od mechanizmu transferu US-EU.

1. Ważna zgoda przez Consent Mode V2

Cookies analityczne i reklamowe wymagają wyraźnej zgody pod RODO. Od marca 2024 Google też wymaga sygnałów Consent Mode V2 dla ruchu EOG/UK. Bez zgodnego bannera cookie i właściwego routowania sygnałów masz problem z RODO nawet jeśli DPF się trzyma.

Zobacz poradnik wdrożenia Consent Mode V2, żeby zobaczyć techniczny setup.

2. Anonimizacja IP

GA4 anonimizuje adresy IP domyślnie. Universal Analytics wymagał ręcznej konfiguracji. Zweryfikuj w Admin > Data Collection and Modification > Data Streams > Twój web stream > Configure tag settings: anonimizacja IP powinna być włączona.

3. Ustawienia retencji danych

Domyślna retencja GA4 to 2 miesiące dla danych event-level, rozszerzalna do 14 miesięcy. Dłuższa retencja nie jest dostępna. Sprawdź Admin > Data Settings > Data Retention i ustaw na to, co uzasadnia Twoje DPIA (zwykle 2 miesiące dla low-risk, 14 miesięcy dla biznesów potrzebujących analityki year-over-year).

4. Umowa powierzenia z Google

Musisz mieć podpisaną Data Processing Amendment (DPA) z Google, dostępną w Admin > Account Settings > Account Details. W większości kont to click-through acceptance, zweryfikuj, że Twoje jest zaakceptowane.

5. Udokumentowana ocena skutków (DPIA)

Pod artykułem 35 RODO, przetwarzanie wysokiego ryzyka (większość analityki tu podpada) wymaga DPIA dokumentującej: jakie dane są zbierane, dlaczego, gdzie płyną, jakie ryzyka, jakie mitigacje. Twój IOD albo zewnętrzny prawnik pisze to. Większość mid-market biznesów, z którymi pracuję, ma coś napisanego w 2022-2023, aktualizuj co roku.

6. Obsługa praw użytkowników

RODO daje użytkownikom prawa dostępu, usunięcia i eksportu danych. GA4 User Explorer + panel Data Deletion Requests to pokrywa, ale tylko jeśli możesz zidentyfikować użytkownika. Dla prawdziwie anonimowego ruchu żądania praw zwykle nie są egzekwowalne, bo nie ma sposobu na dopasowanie żądania do przechowywanych danych.

Chcesz sprawdzić, czy Twój setup GA4 faktycznie pokrywa wszystkie sześć warstw zgodności? Uruchom darmowy audyt GTM, wyłapie problemy z consent, anonimizacją IP i konfiguracją retencji w jednym przebiegu.

Mini-historia: austriacki klient, który został przy GA

Kiedy Andreas, data lead w austriackiej firmie B2B SaaS, odezwał się w marcu 2024, jego zespół wpadał w panikę. Austriacka DPA orzekła przeciwko GA w styczniu 2022. Jego poprzedni konsultant ds. zgodności rekomendował wyrwanie GA i migrację na Matomo. Dwa lata później jego zespół wciąż używał GA4, DPF właśnie zostało przyjęte, a jego prawnik pytał, czy powinni wreszcie odciąć czy podwoić stawkę.

Zaudytowaliśmy jego setup. Consent Mode V2 był wdrożony, ale źle skonfigurowany (Basic mode, brakujący ad_user_data). Anonimizacja IP włączona. Retencja danych na domyślnych 2 miesiącach. DPA z Google podpisane. Brak DPIA.

Lista fixów: przełącz Consent Mode na Advanced, dodaj brakujące sygnały V2, napisz DPIA, ustaw retencję na 14 miesięcy (jego zespół analityczny potrzebował year-over-year), gotowe. Całkowity wysiłek: 1,5 tygodnia pracy jego zespołu plus 2 dni mojej.

Został przy GA4. Jego prawnik podpisał się pod DPF. Jego dane konwersji poprawiły się o 22% tylko z fixa Consent Mode. Koszt migracji na Matomo to byłoby 4-6 miesięcy pracy zespołu plus utrata danych historycznych.

Dla jego profilu ryzyka (B2B SaaS, brak wrażliwych danych osobowych, certyfikacja DPF akceptowalna dla jego prawnika), GA4 + właściwa zgodność były właściwym wyborem. Dla wyższych profili ryzyka odpowiedź może być inna.

Kiedy rozważyć odejście od GA4

Trzy scenariusze, w których zaleciłbym odejście od GA4 mimo DPF:

1. Branże wysoce wrażliwe. Zdrowie, usługi finansowe z ryzykiem danych osobowych, usługi prawne. Twój IOD powinien prowadzić tę decyzję, niektóre branże traktują każdy transfer do USA jako nadmierne ryzyko niezależnie od DPF.

2. Klienci, którzy wyraźnie żądają przetwarzania tylko w EU. Niektóre europejskie enterprise (szczególnie niemieckie, skandynawskie) piszą "no US processors" do kontraktów. Jeśli jesteś vendorem SaaS sprzedającym im, GA4 może być deal-breakerem niezależnie od technikaliów prawnych.

3. Risk-averse leadership z niską tolerancją na niepewność prawną. Jeśli Twój CEO albo General Counsel chce zerowej ekspozycji na transfer do USA, uszanuj tę decyzję. Matematyka prawna jest obronna dla GA4, ale "obronne" to nie "gwarantowane".

EU-based alternatywy warte oceny

Matomo Cloud EU (dawniej Piwik). Open-source analityka, hostowana w EU, ~19 EUR/miesiąc za entry plan. Parytet funkcji z GA4 dla większości dashboardów. Dostępne tooling migracyjny z Universal Analytics i GA4.

Plausible EU. Lekka, cookie-free analityka (nie trzeba banner consent dla większości use case'ów), hostowana w Niemczech, ~9 EUR/miesiąc. Trade-off: znacznie prostszy feature set niż GA4, bez budowania audiencji, bez integracji Google Ads.

Server-side GTM + first-party data warehouse. Zostań przy GA4 client-side dla konkretnych use case'ów, ale mirroruj eventy do first-party analitycznego systemu w swojej EU-based hurtowni danych (region BigQuery EU albo Snowflake EU). To podejście hybrydowe, GA4 dla wygody, hurtownia dla raportowania obronnego prawnie.

Kontekst opcji server-side, zobacz mój poradnik GTM Server-Side.

Druga mini-historia: polski e-commerce, który został

Magda, ecommerce director w polskiej marce D2C, oceniała przełączenie na Matomo w lipcu 2025 po tym, jak jej zespół prawny wyflagował wyzwanie DPF. Dostała wyceny: Matomo Cloud EU za 49 EUR/miesiąc dla jej wolumenu ruchu, plus szacowane 80 godzin pracy migracyjnej na przebudowanie dashboardów i przeszkolenie zespołu.

Przeliczyła matematykę. Całkowity koszt migracji: z grubsza 6 000 EUR. Roczny licence Matomo: 588 EUR/rok. Utrata integracji Google Ads (jej główny kanał płatny): wymagałaby ręcznego importowania konwersji, szacowane 10 godzin/miesiąc = 3 000 EUR/rok w czasie jej analityka marketingowego.

Koszt trzyletni przełączenia na Matomo: 6 000 + (588 × 3) + (3 000 × 3) = 16 764 EUR.

Koszt trzyletni GA4 + właściwa zgodność: 0 EUR w licencjonowaniu, 1 dzień czasu IOD na aktualizację DPIA + roczny przegląd, z grubsza 600 EUR w konsultingu.

Została przy GA4, zaktualizowała swoje DPIA, udokumentowała poleganie na DPF i ustaliła kwartalny przegląd do ponownej oceny, jeśli wyzwania DPF przyspieszą. Break-even przełączenia wymagałby Matomo dostarczającego konkretne funkcje, których integracja Google Ads nie może zastąpić, albo DPF faktycznie zostałby obalone.

To jest praktyczne rachowanie, które większość biznesów powinna zrobić.

Zastanawiasz się, czy zostać, przełączyć czy zabezpieczyć? Napisz do mnie po zescope'owany przegląd zgodności, przejrzę Twój faktyczny setup, profil ryzyka i potrzeby biznesowe, i dam prostą rekomendację. Nie doom-mongering sales pitch, nie "zaufaj DPF i zapomnij". Uczciwa środek.

Co robić, jeśli DPF zostanie obalone

Wyrok Schrems III unieważniający DPF może przyjść w 2026-2027. Oto jak wygląda przygotowanie:

1. Udokumentuj plan awaryjny teraz. DPIA powinna zawierać: "Jeśli DPF zostanie unieważnione, zmigrujemy na Matomo / utrzymamy SCC + środki uzupełniające / zatrzymamy reklamy / itd." Mieć udokumentowany plan to sama w sobie postawa zgodności.

2. Trzymaj wdrożenie GA4 client-side przenośne. Nie daj custom configuration zgnić. Jeśli musisz przełączyć na Matomo w 3 miesiące, czysty setup GA4 migruje się szybciej.

3. Utrzymuj first-party data warehouse. Jeśli dane GA4 są zamknięte w chmurze Google, a nagle nie możesz przetwarzać danych EU tam, tracisz historyczną analitykę. Mirroruj kluczowe eventy do BigQuery EU albo podobnego, zobacz poradnik Adobe Analytics API i poradnik Reactor API, żeby zobaczyć, jak wzorce pipeline'u działają w praktyce; te same koncepcje dotyczą GA4 przez BigQuery Export.

4. Śledź sytuację prawną. noyb.eu publikuje aktualizacje spraw. Twój IOD powinien mieć litygację DPF na swojej watch list. Jeśli wyrok Schrems III zostanie wydany, chcesz wiedzieć w pierwszej godzinie, nie pierwszym kwartale.

Najczęściej zadawane pytania

Czy Google Analytics jest legalne pod RODO w 2025?

Tak, na koniec 2025 Google Analytics 4 jest legalne dla europejskich biznesów do użycia pod EU-US Data Privacy Framework (DPF), przyjętym w lipcu 2023. Wciąż potrzebujesz Consent Mode V2, anonimizacji IP, ważnych ustawień retencji danych, podpisanego DPA z Google i udokumentowanego DPIA.

O czym był wyrok Schrems II dotyczący Google Analytics?

Schrems II (lipiec 2020) unieważnił framework EU-US Privacy Shield. Choć nie zakazał konkretnie Google Analytics, uczynił transfery danych do USA prawnie niepewnymi, a późniejsze rozstrzygnięcia austriackiej, francuskiej, włoskiej i innych europejskich DPA w 2022 wyraźnie uznały Universal Analytics za nielegalne pod RODO bez dodatkowych zabezpieczeń.

Co to Data Privacy Framework (DPF)?

EU-US Data Privacy Framework to następca Privacy Shield. Przyjęty przez Komisję Europejską w lipcu 2023, zapewnia podstawę prawną dla transferów EU-US do firm amerykańskich certyfikowanych pod DPF. Google jest certyfikowany. DPF daje GA4 obronną podstawę prawną dla użycia w EU dziś.

Czy Data Privacy Framework może zostać obalone?

Tak. NOYB złożył wyzwanie prawne przeciwko DPF dzień po jego przyjęciu. Privacy Shield (poprzednik DPF) zostało obalone w 2020 po podobnym wyzwaniu. Prawnicy spodziewają się wyroku CJEU w sprawie DPF w ciągu 2-4 lat od przyjęcia, potencjalnie w 2026-2027.

Czy GA4 jest lepsze dla zgodności z RODO niż Universal Analytics?

Tak. GA4 ma anonimizację IP domyślnie włączoną, lepsze kontrolę retencji danych i zintegrowane wsparcie Consent Mode V2. Universal Analytics wymagał ręcznej konfiguracji dla kilku z nich. Co ważniejsze, Universal Analytics został wycofany przez Google w lipcu 2023, więc pytanie jest w dużej mierze bezprzedmiotowe, GA4 to jedyny produkt Google Analytics wciąż aktywnie wspierany.

Jakie są najlepsze alternatywy dla GA4 zgodne z RODO w Europie?

Matomo Cloud EU (bogata w funkcje, od ~19 EUR/mc) i Plausible EU (lekka, cookie-free, ~9 EUR/mc) to najczęstsze europejskie alternatywy. Oba działają wyłącznie na infrastrukturze EU, omijają pytanie o transfer do USA całkowicie i są w pełni zgodne z RODO out of the box. Trade-off: żaden nie integruje się z Google Ads tak ciasno jak GA4.

Podsumowanie

GA4 jest legalne w EU dziś. Podstawa prawna, Data Privacy Framework, jest obronna, ale krucha, a biznesy powinny budować swój setup analityczny zakładając, że DPF może nie być permanentne. Jeśli używasz GA4, potrzebujesz: Consent Mode V2 w trybie Advanced, anonimizacji IP, właściwej retencji danych, podpisanego Google DPA i udokumentowanego DPIA. Brak którejkolwiek, masz problem z RODO niezależnie od DPF.

Dla większości mid-market europejskich biznesów zostanie przy GA4 + właściwa zgodność to właściwy wybór. Dla branż wysoce wrażliwych, risk-averse leadership albo klientów z kontraktami no-US-processor, Matomo EU albo Plausible EU to wiarygodne alternatywy warte oceny.

"Czy GA4 jest legalne w Europie?" to złe pytanie. Właściwe pytanie to: "Czy mój konkretny setup GA4 jest zgodny dziś i czy mam plan, jeśli DPF zostanie unieważnione?" Odpowiedz na oba, a prawna dwuznaczność staje się zarządzalna.

Chcesz, żeby specjalista przejrzał Twoją faktyczną postawę zgodności GA4 + RODO? Napisz do mnie po zescope'owaną ocenę. Sprawdzę Twój Consent Mode, retencję, pokrycie DPIA i dam konkretną listę działań, plus plan awaryjny na wypadek obalenia DPF. Bez fearmongeringu, bez "wszystko jest w porządku", tylko obecny stan i co z tym zrobić.