Penggunaan Google Analytics Menjadi Ilegal oleh Otoritas Perlindungan Data Austria

Otoritas Perlindungan Data Austria (Datenschutzbehorde) memutuskan mendukung NOYB nirlaba, dalam kasus penting yang menentang penggunaan Google Analytics di netdoctor.at, operator situs web Austria.

Meskipun belum mengikat, keputusan tersebut dapat memberikan dorongan kepada pendukung privasi di Eropa yang ingin meminta pertanggungjawaban perusahaan teknologi yang haus data atas penanganan mereka atas informasi pribadi orang.

NOYB adalah organisasi nirlaba yang didedikasikan untuk hak privasi di Eropa, dipimpin oleh Max Schrems, (orang yang berhasil menantang penggunaan pengaturan transfer data Facebook).

Ini adalah keputusan pertama untuk 101 keluhan model NOYB yang diajukan sebagai tanggapan atas penilaian Schrems II CJEU (yang telah membatalkan Privacy Shield). 101 keluhan menunjukkan bahwa perusahaan Eropa terus berbagi data pengunjung dengan perusahaan teknologi besar dan tidak menawarkan tingkat perlindungan yang memadai kepada penggunanya. Jadi, meskipun keputusan ini adalah yang pertama dari jenisnya, kemungkinan itu bukan yang terakhir.

Dewan Perlindungan Data Eropa (EDPB) membentuk satuan tugas pada tahun 2021 untuk menyelidiki situasi dan memastikan koordinasi yang ketat di antara semua Otoritas Perlindungan Data Eropa.

Akibatnya, tindakan pengaturan yang diajukan oleh DPA di negara-negara anggota UE lainnya diperkirakan akan dipercepat (misalnya, Otoritas Perlindungan Data Belanda (Autoriteit Persoonsgegevens).

Apa yang Termasuk Keputusan?

DPA memutuskan dalam keputusan sebagai berikut:

Penerapan GDPR

Sebagai leges speciales , persyaratan yang berlaku dari Directive 2002/58/EC (e-Privacy Directive) – berganti nama menjadi Telecommunications and Telemedia Data Protection Act (TTDSG 2021) di Austria – lebih diutamakan daripada GDPR (General Data Protection Regulation).

Petunjuk e-Privasi, di sisi lain, tidak memiliki ketentuan untuk transfer data pribadi ke negara lain, oleh karena itu Bab V GDPR berlaku dalam kasus ini.

Data yang Ditransmisikan melalui GA adalah Data Pribadi

Otoritas Perlindungan Data Austria percaya bahwa dengan menggabungkan sejumlah besar data yang ditransmisikan, secara teoritis dapat dibayangkan untuk menghubungkan data yang ditransfer kembali ke orang biasa. Akibatnya, tautan ke seseorang dapat dibuat (lihat Pasal 4(1) GDPR) dan GDPR berlaku.

Dalam hal ini, perlu diperhatikan bahwa DPA yakin bahwa fungsi anonimisasi Google Analytics tidak cukup untuk mengubah alamat IP dan pengenal lain di luar cakupan GDPR. Karena volume besar data UE yang dikirimkan, alamat IP tidak relevan dengan kategorisasi data sebagai data pribadi menurut GDPR.

Operator Situs Web Adalah Pengontrol Data

Perlu dicatat bahwa DPA Austria hanya melihat aktivitas pemrosesan data hingga aktivitas tersebut berhasil ditransfer ke Google. Pihak berwenang tidak berkomentar tentang pemrosesan data Google selanjutnya.

Transfer Data ke AS Tidak Sesuai GDPR

Perisai Privasi UE-AS ditemukan ilegal oleh Pengadilan Eropa dalam putusan tertanggal 16 Juli 2020 (Schrems II).

Akibatnya, Pasal 45 GDPR tidak lagi berlaku sebagai sarana transmisi data, dan DPA tidak percaya bahwa ada “pengurangan untuk kasus-kasus tertentu” (khususnya karena persetujuan tidak diperoleh dalam kasus tertentu ).

“Perlindungan yang sesuai” sebagaimana didefinisikan oleh GDPR Pasal 46, adalah mekanisme transfer hukum terakhir. Klausul kontraktual standar (SCC) dapat berfungsi sebagai perlindungan yang sesuai berdasarkan Pasal 46(2)(c) GDPR. Pemilik situs web telah menandatangani SCC “lama” (versi 2010/87/EU) dengan Google dalam masalah yang dihadapi. (Pada Juni 2021, satu set SCC yang direvisi dirilis.)

Namun, saat menggunakan Google Analytics, transfer data tidak bisa hanya bergantung pada SCC yang telah diselesaikan. Ini karena fakta bahwa Google tunduk pada undang-undang pengawasan AS (FISA 702), dan kewajiban kontraktual saja tidak cukup untuk mengikat otoritas di "negara ketiga". Hanya jika langkah-langkah teknologi dan organisasi tambahan ("langkah-langkah tambahan") diadopsi untuk mengkompensasi kurangnya perlindungan hukum di Amerika Serikat adalah transfer data yang sah. DPA menyimpulkan bahwa Google tidak menawarkan bukti yang memadai tentang "tindakan tambahan" dalam kesimpulannya.

Jadi Apa yang Salah Dalam Kasus Khusus Ini?

Dari analisis di atas, jelas bahwa dalam kasus khusus ini, integrasi Google Analytics yang terjadi pada saat itu (14/08/2020) cacat:

• Penggunaan Google Analytics hanya didasarkan pada SCC yang sudah ketinggalan zaman.
• Persetujuan pemrosesan data tidak diperoleh.
• Anonimisasi alamat IP belum diaktifkan dengan benar.

Bagaimana Tanggapan Google?

Pembelaan Google dalam persidangan dan reaksi awalnya setelah itu tidak terlalu meyakinkan.

Google mengonfirmasi bahwa data pribadi memang sedang dipertukarkan dengan AS saat menggunakan Google Analytics karena ini hanya diperlukan agar layanan berfungsi dengan baik. Secara lebih umum, Google juga menyatakan bahwa mereka berusaha keras untuk membuat layanannya ramah privasi.

Dalam hal ini, secara khusus, Google mengatakan bahwa itu memberikan "jaminan tambahan" yang diperlukan, yang diperlukan berdasarkan penilaian Schrems II. DSB, bagaimanapun, memutuskan bahwa "jaminan tambahan" itu tidak berarti banyak dalam kenyataan.

Sebagai tanggapan, Google tidak dapat melakukan lebih dari mengatakan bahwa pengguna dapat memilih untuk menonaktifkan "berbagi data pihak ketiga" di akun mereka. Namun, berbagi data pihak ketiga bukanlah masalah hukum utama di sini, masalahnya adalah potensi akses ke data sensitif oleh pemerintah AS (dan tentu saja, itu tidak dapat dimatikan di mana pun).

Dengan kata lain, Google tidak benar-benar memiliki jawaban untuk saat ini. Google benar ketika mengatakan bahwa alat analitik yang baik harus bekerja secara global, dan orang juga dapat dengan tulus mempertanyakan apakah akses potensial ke data analitik oleh pemerintah AS benar-benar menimbulkan ancaman privasi nyata bagi 99% situs web Eropa.

Apa Arti Keputusan Ini Bagi Anda?

Jika ada satu hal yang dapat diambil dari kasus ini, mengabaikan keputusan pengadilan ini dan terus menggunakan Google Analytics bukanlah suatu pilihan.

Jika Anda menjalankan situs web di Austria atau memberikan layanan kepada orang Austria, Anda harus segera menghapus Google Analytics dari situs Anda.

Juga sangat disarankan agar bisnis di Negara Anggota Uni Eropa lainnya mengambil tindakan sebelum Otoritas Perlindungan Data lokal mulai menargetkan lebih banyak bisnis.

Sebagai perusahaan Eropa, Anda tidak dapat lagi mempercayakan data pengguna yang sensitif kepada perusahaan seperti Google, yang dengan sengaja mengabaikan undang-undang privasi Eropa dan menanggung risiko denda besar bagi pelanggan bisnis Eropa mereka.

Kemungkinan Solusi untuk Tetap Menggunakan Google Analytics

Namun, situs web di seluruh Eropa tidak akan tiba-tiba berhenti menggunakan Google Analytics.

Hingga keputusan ini mengikat secara hukum, Anda masih dapat menggunakan GA dengan cara yang sesuai dengan GDPR dengan mengikuti langkah-langkah paling ketat di bawah ini:

1. Terima DPA Google: Untuk mencerminkan versi Klausul Kontrak Standar saat ini, Google telah merevisi Persyaratan Pemrosesan Data Google untuk semua Produk Google (DPA). Di setelan Google Analytics, terima Google DPA baru (versi terbaru September 2021).
2. Referensi dalam peraturan perlindungan data untuk kemungkinan transfer data ke negara ketiga.
3. Dapatkan persetujuan pengguna: “Ini berarti Anda hanya dapat mengaktifkan Google Analytics jika Anda telah menerima persetujuan untuk melakukannya dan juga dapat menyimpan serta memberikan informasi tentangnya. Platform manajemen persetujuan (CMP) membuat proses ini lebih mudah.
4. Gunakan konfigurasi Google Analytics yang benar: tidak ada data pribadi yang mengalir ke Analytics selama penyiapan, sesuai dengan praktik terbaiknya. Oleh karena itu, Anda harus menggunakan anonimisasi IP.
5. Beralih ke pelacakan sisi server: Pelacakan sisi server bukan hanya solusi yang sesuai untuk meningkatkan masa pakai cookie pihak pertama dan melewati beberapa pemblokir pelacakan, tetapi Anda juga memiliki opsi untuk menyesuaikan data sebelum dikirim ke Google Analytics. Secara konkret, ini berarti, misalnya, alamat IP pengguna dihapus sepenuhnya sebelum data dikirim ke Google Analytics.

Beralih ke Alat Analisis Kepatuhan Privasi Lainnya

Karena privasi menjadi semakin penting bagi konsumen di seluruh dunia, merupakan langkah logis bagi setiap bisnis Eropa untuk memilih layanan yang memprioritaskan perlindungan privasi penggunanya.

Di bawah ini kami menyajikan dua alternatif paling menarik untuk GA jika Anda ingin benar-benar menyingkirkannya.

Masuk akal

Cobalah Plausible jika Anda mencari alternatif UE asli untuk Google Analytics. Mereka adalah proyek bootstrap independen yang berbasis di Estonia. Tim mereka terbagi antara Estonia dan Belgia.

Semua data pengunjung yang mereka kumpulkan disimpan di server milik perusahaan Jerman di Jerman (Hetzner). Untuk CDN global mereka, mereka menggunakan penyedia milik Slovenia (Bunny).

Lebih lanjut tentang pernyataan resmi mereka tentang kasus ini di sini.

Matomo

Matomo adalah alternatif GA berharga lainnya.

Ini adalah platform analitik web sumber terbuka yang dirancang untuk memberi Anda kemampuan analitik penuh serta kepemilikan data yang lengkap.

Matomo dimulai sebagai alternatif sumber terbuka untuk Google Analytics. Ini juga memberikan laporan penting tentang pengguna situs web Anda dan interaksi mereka dengan situs web Anda, mirip dengan Google Analytics. Bagian yang menarik adalah ia memfokuskan sebagian besar perhatiannya pada kepemilikan data, sehingga data Anda dapat sepenuhnya menjadi milik Anda dan privasi pengguna Anda terlindungi.

Lebih lanjut tentang pernyataan resmi mereka tentang kasus ini di sini.

Apakah Pengguna Konversi Dipengaruhi oleh Keputusan Ini?

Tidak ada data pribadi yang pernah digunakan atau disimpan di Pengalaman Konversi. Jadi, pengalaman Anda dan pengunjung tidak terpengaruh oleh kasus di atas . Selain itu, kami menggunakan server netral karbon Eropa untuk menyimpan pengalaman dan data variasi.

Untuk transparansi, berikut adalah beberapa catatan tambahan tentang penggunaan data di Pengalaman Konversi:

• Aktif secara default
  • ID cookie sesi (batas waktu 20 menit pada cookie dan cache server). Ini saat ini berada di bawah cookie kinerja dalam interpretasi kami tentang GDPR / ePrivacy Directive dan Peraturan ePrivacy.

• Mati secara default
  • Saat penargetan lintas-browser diaktifkan oleh pelanggan, kami memasukkan cookie unik di URL untuk diambil di domain lain (yang dapat ditafsirkan oleh GDPR sebagai data pribadi). Fitur ini dinonaktifkan secara default sebagai bagian dari kebijakan "privasi secara default" kami.
  • Ketika ID pengunjung unik diberikan oleh pelanggan untuk menggantikan ID sesi, ini dapat diartikan sebagai data pribadi. Fitur ini dinonaktifkan secara default sebagai bagian dari kebijakan "privasi secara default" kami.
  • Saat penargetan geografis digunakan (tidak aktif secara default), kami dapat menyimpan negara, wilayah, dan kota di CDN atau cache server untuk penargetan yang benar.

Implikasi dari keputusan ini sangat luas dan dapat menjadi preseden tentang bagaimana data digunakan oleh perusahaan.

Penting untuk diperhatikan bahwa keputusan ini hanya memengaruhi penggunaan Google Analytics untuk bisnis Austria atau perusahaan lain yang berbisnis dengan salah satunya, namun ada kemungkinan negara lain akan mengikutinya.

Jika Anda menggunakan Google Analytics, pastikan untuk mengawasi peraturan yang akan datang untuk memastikan Anda tetap patuh. NOYB dan pendukung privasi Eropa lainnya telah menunjukkan bahwa mereka bersedia untuk memperjuangkan hak-hak pengguna online, sehingga kami dapat mengharapkan lebih banyak keputusan serupa di masa mendatang.