استخدام Google Analytics أصبح غير قانوني من قبل هيئة حماية البيانات النمساوية

نشرت: 2022-01-22

حكمت هيئة حماية البيانات النمساوية (Datenschutzbehorde) لصالح منظمة NOYB غير الربحية ، في قضية تاريخية ضد استخدام Google Analytics على netdoctor.at ، وهو مشغل موقع نمساوي.

على الرغم من أن القرار ليس ملزمًا بعد ، إلا أنه قد يوفر دفعة لمناصري الخصوصية في أوروبا الذين يتطلعون إلى مساءلة شركات التكنولوجيا المتعطشة للبيانات عن تعاملها مع المعلومات الشخصية للأشخاص.

NOYB هي منظمة غير ربحية مكرسة لحقوق الخصوصية في أوروبا ، يقودها Max Schrems ، (الرجل الذي تحدى بنجاح استخدام Facebook لترتيبات نقل البيانات).

قرر DSB النمساوي: استخدام Google Analytics ينتهك قرار "Schrems II" بواسطة CJEUhttps: //t.co/YJptcS9ONy pic.twitter.com/ngPz6KgAvy

- noyb (NOYBeu) ١٣ يناير ٢٠٢٢

هذا هو القرار الأول لشكوى NOYB النموذجية البالغ عددها 101 والتي تم تقديمها ردًا على حكم CJEU الصادر عن Schrems II (والذي أبطل Privacy Shield). تشير الشكاوى الـ 101 إلى أن الشركات الأوروبية تواصل مشاركة بيانات الزوار مع شركات التكنولوجيا الكبيرة ولا تقدم مستوى مناسبًا من الحماية لمستخدميها. لذا في حين أن هذا القرار هو الأول من نوعه ، فمن المحتمل ألا يكون الأخير.

أنشأ مجلس حماية البيانات الأوروبي (EDPB) فريق عمل في عام 2021 للتحقيق في الوضع وضمان التنسيق الوثيق بين جميع سلطات حماية البيانات الأوروبية.

نتيجة لذلك ، من المتوقع أن تتسارع الإجراءات التنظيمية المقدمة من هيئات حماية البيانات في الدول الأخرى الأعضاء في الاتحاد الأوروبي (على سبيل المثال ، هيئة حماية البيانات الهولندية (Autoriteit Persoonsgegevens).

ماذا يشمل القرار؟

عقدت هيئة الشؤون السياسية في قرارها ما يلي:

قابلية تطبيق اللائحة العامة لحماية البيانات

كقانون متخصص ، فإن المتطلبات المعمول بها للتوجيه 2002/58 / EC (توجيه الخصوصية الإلكترونية) - الذي تمت إعادة تسميته بقانون حماية بيانات الاتصالات ووسائط الإعلام ( TTDSG 2021) في النمسا - لها الأسبقية على GDPR (اللائحة العامة لحماية البيانات).

من ناحية أخرى ، لا يحتوي توجيه الخصوصية الإلكترونية على أحكام تتعلق بنقل البيانات الشخصية إلى دول أخرى ، ومن ثم يُطبق الفصل الخامس من اللائحة العامة لحماية البيانات في هذه الحالة.

البيانات المنقولة من خلال GA هي بيانات شخصية

تعتقد هيئة حماية البيانات النمساوية أنه من خلال الجمع بين الكمية الهائلة من البيانات المنقولة ، من الممكن نظريًا ربط البيانات المنقولة بشخص طبيعي. ونتيجة لذلك ، يمكن إنشاء رابط إلى شخص ما (انظر المادة 4 (1) من اللائحة العامة لحماية البيانات) وينطبق القانون العام لحماية البيانات (GDPR).

في هذا الصدد ، تجدر الإشارة إلى أن DPA تعتقد أن وظيفة إخفاء الهوية في Google Analytics غير كافية لتغيير عنوان IP والمعرفات الأخرى خارج نطاق القانون العام لحماية البيانات (GDPR). نظرًا للكم الهائل من بيانات الاتحاد الأوروبي المرسلة ، فإن عنوان IP غير ذي صلة بتصنيف البيانات على أنها بيانات شخصية بموجب القانون العام لحماية البيانات (GDPR).

مشغل موقع الويب هو المتحكم في البيانات

تجدر الإشارة إلى أن DPA النمساوي نظرت فقط في أنشطة معالجة البيانات حتى تم نقلها بنجاح إلى Google. لا تدلي السلطة بأي ملاحظة على معالجة البيانات اللاحقة من Google.

لا يتوافق نقل البيانات إلى الولايات المتحدة مع القانون العام لحماية البيانات (GDPR)

تم العثور على درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة غير قانوني من قبل محكمة العدل الأوروبية في حكم مؤرخ 16 يوليو 2020 (Schrems II).

ونتيجة لذلك ، لم تعد المادة 45 من اللائحة العامة لحماية البيانات قابلة للتطبيق كوسيلة لنقل البيانات ، ولم تكن إدارة الشؤون السياسية تعتقد بوجود "استثناء لحالات محددة" (على وجه الخصوص لأنه لم يتم الحصول على الموافقة في الحالة المعينة ).

"الحماية المناسبة" على النحو المحدد في المادة 46 من اللائحة العامة لحماية البيانات ، هي آلية النقل القانونية النهائية. يمكن أن تعمل البنود التعاقدية القياسية (SCCs) كضمانات مناسبة بموجب المادة 46 (2) (ج) من اللائحة العامة لحماية البيانات. قام مالك الموقع بالتوقيع على SCCs "القديمة" (الإصدار 2010/87 / EU) مع Google في المسألة قيد البحث. (في يونيو 2021 ، تم إصدار مجموعة منقحة من SCC).

ومع ذلك ، عند استخدام Google Analytics ، لا يمكن أن يعتمد نقل البيانات فقط على SCCs التي تم إكمالها. ويرجع ذلك إلى حقيقة أن Google تخضع لقوانين المراقبة الأمريكية (FISA 702) ، والالتزامات التعاقدية وحدها غير كافية لإلزام السلطات في "دولة ثالثة". فقط إذا تم اعتماد خطوات تكنولوجية وتنظيمية إضافية ("تدابير تكميلية") للتعويض عن نقص الحماية القانونية في الولايات المتحدة ، يعتبر نقل البيانات قانونيًا. وخلصت DPA إلى أن Google لم تقدم دليلًا كافيًا على "الإجراءات التكميلية" في استنتاجها.

إذن ما الخطأ في هذه الحالة بالتحديد؟

من التحليل أعلاه ، من الواضح أنه في هذه الحالة المحددة ، كان تكامل Google Analytics الذي حدث في ذلك الوقت (08/14/2020) معيبًا:

كان استخدام Google Analytics يعتمد فقط على SCCs القديمة.
لم يتم الحصول على موافقة معالجة البيانات.
لم يتم تنشيط إخفاء هوية عنوان IP بشكل صحيح.

كيف استجابت Google؟

دفاع Google في الإجراءات ورد فعلها الأولي بعد ذلك ليس مطمئنًا للغاية.

تؤكد Google أنه يتم بالفعل تبادل البيانات الشخصية مع الولايات المتحدة عند استخدام Google Analytics لأن هذا ضروري ببساطة لكي تعمل الخدمة بشكل صحيح. بشكل عام ، تذكر Google أيضًا أنها تبذل جهودًا كبيرة لجعل خدماتها صديقة للخصوصية.

في هذه الحالة ، على وجه التحديد ، تقول Google إنها توفر "الضمانات الإضافية" الضرورية ، المطلوبة على أساس حكم Schrems II. ومع ذلك ، فقد قضى ديوان تسوية المنازعات بأن تلك "الضمانات الإضافية" لا ترقى إلى مستوى كبير في الواقع.

رداً على ذلك ، لا تستطيع Google فعل أكثر من القول إن المستخدم يمكنه اختيار تعطيل "مشاركة بيانات الطرف الثالث" في حسابه. ومع ذلك ، فإن مشاركة بيانات الطرف الثالث ليست هي المشكلة القانونية الرئيسية هنا ، فالمشكلة هي إمكانية الوصول المحتمل إلى البيانات الحساسة من قبل حكومة الولايات المتحدة (وبالطبع ، لا يمكن إيقاف تشغيلها في أي مكان).

بعبارة أخرى ، ليس لدى Google إجابة في الوقت الحالي. Google على حق عندما تقول أن أداة التحليلات الجيدة يجب أن تعمل على مستوى العالم ، ويمكن للمرء أيضًا أن يتساءل بصدق عما إذا كان الوصول المحتمل إلى بيانات التحليلات من قبل حكومة الولايات المتحدة يشكل تهديدًا حقيقيًا للخصوصية بالنسبة لـ 99٪ من مواقع الويب الأوروبية.

ماذا يعني هذا القرار بالنسبة لك؟

إذا كان هناك استنتاج واحد من هذه القضية ، فهو أن تجاهل هذه الأحكام القضائية والاستمرار في استخدام Google Analytics ليس خيارًا.

إذا كنت تدير موقعًا إلكترونيًا في النمسا أو تقدم خدمات للنمساويين ، فيجب عليك إزالة Google Analytics من موقعك على الفور.

يُنصح بشدة أيضًا أن تتخذ الشركات في الدول الأعضاء الأخرى في الاتحاد الأوروبي إجراءات قبل أن تبدأ سلطات حماية البيانات المحلية في استهداف المزيد من الشركات.

بصفتك شركة أوروبية ، لم يعد بإمكانك إسناد بيانات المستخدم الحساسة إلى شركات مثل Google ، التي تتجاهل عمدًا تشريعات الخصوصية الأوروبية وتخاطر بفرض غرامات باهظة على عملائها من الشركات الأوروبية.

الحلول الممكنة للاستمرار في استخدام Google Analytics

ومع ذلك ، لن تتوقف مواقع الويب في جميع أنحاء أوروبا فجأة عن استخدام Google Analytics.

حتى يصبح هذا القرار ملزمًا قانونًا ، لا يزال بإمكانك استخدام GA بطريقة متوافقة مع اللائحة العامة لحماية البيانات باتباع الإجراءات الأكثر صرامة أدناه:

قبول DPAs لـ Google: لتعكس الإصدارات الحالية من البنود التعاقدية القياسية ، قامت Google بمراجعة شروط معالجة بيانات Google لجميع منتجات Google (DPAs). في إعدادات Google Analytics ، اقبل Google DPAs الجديد (أحدث إصدار في سبتمبر 2021).
الإشارة في لوائح حماية البيانات إلى إمكانية نقل البيانات إلى دول ثالثة.
الحصول على موافقة المستخدم: "هذا يعني أنه لا يمكنك فصل Google Analytics إلا إذا كنت قد تلقيت الموافقة على القيام بذلك ، ويمكنك أيضًا حفظ وتقديم معلومات عنها. منصة إدارة الموافقة (CMP) تجعل هذه العملية أسهل.
استخدم التكوين الصحيح لبرنامج Google Analytics: يجب ألا تتدفق أي بيانات شخصية إلى Analytics أثناء الإعداد ، وفقًا لأفضل الممارسات. لذلك يجب عليك الاستفادة من إخفاء هوية IP.
التبديل إلى التتبع من جانب الخادم: التتبع من جانب الخادم ليس فقط حلاً مناسبًا لزيادة عمر ملفات تعريف ارتباط الطرف الأول وتجاوز بعض أدوات منع التتبع ، ولكن لديك أيضًا خيار تكييف البيانات قبل إرسالها إلى Google Analytics. بعبارات ملموسة ، هذا يعني ، على سبيل المثال ، أن عناوين IP الخاصة بالمستخدمين تمت إزالتها بالكامل قبل إرسال البيانات إلى Google Analytics.

قم بالتبديل إلى أدوات تحليلات أخرى متوافقة مع الخصوصية

نظرًا لأن الخصوصية أصبحت ذات أهمية متزايدة للمستهلكين في جميع أنحاء العالم ، فمن المنطقي لأي شركة أوروبية أن تختار الخدمات التي تعطي الأولوية لحماية خصوصية مستخدميها.

نقدم أدناه اثنين من أكثر البدائل إثارة للاهتمام لـ GA في حال كنت ترغب في التخلص منه تمامًا.

معقول

جرِّب معقولاً إذا كنت تبحث عن بديل أصيل من الاتحاد الأوروبي لبرنامج Google Analytics. إنها مشروع مستقل ومتمهد ومقره في إستونيا. فريقهم منقسم بين إستونيا وبلجيكا.

يتم تخزين جميع بيانات الزوار التي يجمعونها على خوادم مملوكة لشركة ألمانية في ألمانيا (Hetzner). بالنسبة لشبكة CDN العالمية الخاصة بهم ، يستخدمون مزودًا مملوكًا لسلوفينيا (Bunny).

المزيد عن بيانهم الرسمي حول هذه القضية هنا.

ماتومو

ماتومو هو بديل آخر جدير بالاهتمام GA.

إنها منصة تحليلات ويب مفتوحة المصدر مصممة لتزويدك بقدرات تحليلية كاملة بالإضافة إلى ملكية البيانات الكاملة.

بدأ Matomo كبديل مفتوح المصدر لبرنامج Google Analytics. كما أنه يوفر تقارير مهمة حول مستخدمي موقع الويب الخاص بك وتفاعلاتهم مع موقع الويب الخاص بك ، على غرار Google Analytics. الجزء المثير للاهتمام هو أنه يركز غالبية اهتمامه على ملكية البيانات ، لذلك يمكن أن تكون بياناتك ملكًا لك تمامًا وتكون خصوصية المستخدمين محمية.

المزيد عن بيانهم الرسمي حول هذه القضية هنا.

هل يتأثر المستخدمون المحولون بهذا القرار؟

لا يتم استخدام أي بيانات شخصية أو تخزينها في "تحويل التجارب". لذلك ، لا تتأثر تجاربك وزوارك بالحالة المذكورة أعلاه . بالإضافة إلى ذلك ، نستخدم خوادم أوروبية محايدة الكربون لحفظ بيانات الخبرة والاختلاف.

للشفافية ، فيما يلي بعض الملاحظات الإضافية حول استخدام البيانات في تحويل التجارب:

قيد التشغيل افتراضيًا
- معرف ملف تعريف ارتباط الجلسة (مهلة 20 دقيقة على ملف تعريف الارتباط وذاكرة التخزين المؤقت للخادم). يندرج هذا حاليًا ضمن ملفات تعريف الارتباط الخاصة بالأداء في تفسيرنا لتوجيهات اللائحة العامة لحماية البيانات / الخصوصية الإلكترونية ولوائح الخصوصية الإلكترونية.

معطلة بشكل افتراضي
- عندما يتم تشغيل الاستهداف عبر المتصفحات بواسطة العملاء ، نقوم بإدخال ملف تعريف ارتباط فريد في عنوان URL لالتقاط النطاق الآخر (والذي يمكن تفسيره بواسطة القانون العام لحماية البيانات على أنه بيانات شخصية). يتم إيقاف تشغيل هذه الميزة افتراضيًا كجزء من سياسة "الخصوصية افتراضيًا" الخاصة بنا.
- عندما يقدم العميل معرّفات فريدة للزائر لاستبدال معرّفات الجلسات ، يمكن تفسير ذلك على أنه بيانات شخصية. يتم إيقاف تشغيل هذه الميزة افتراضيًا كجزء من سياسة "الخصوصية افتراضيًا" الخاصة بنا.
- عند استخدام الاستهداف الجغرافي (ليس قيد التشغيل افتراضيًا) ، يمكننا تخزين البلد والمنطقة والمدينة في CDN أو ذاكرة التخزين المؤقت للخادم للاستهداف الصحيح.

الآثار المترتبة على هذا الحكم بعيدة المدى ويمكن أن تشكل سابقة لكيفية استخدام البيانات من قبل الشركات.

من المهم ملاحظة أن هذا القرار لا يؤثر إلا على استخدام Google Analytics للشركات النمساوية أو الشركات الأخرى التي تتعامل مع أحدها ، ولكن من الممكن أن تحذو دول أخرى حذوها.

إذا كنت تستخدم Google Analytics ، فتأكد من مراقبة اللوائح القادمة للتأكد من بقائك ملتزمًا بها. أظهر NOYB وغيره من دعاة الخصوصية الأوروبيين أنهم على استعداد للنضال من أجل حقوق المستخدمين عبر الإنترنت ، لذلك يمكننا أن نتوقع المزيد من القرارات المماثلة في المستقبل.