Używanie Google Analytics niezgodne z prawem przez austriacki organ ochrony danych

Austriacki urząd ochrony danych (Datenschutzbehorde) orzekł na korzyść organizacji non-profit NOYB w przełomowej sprawie przeciwko korzystaniu z Google Analytics w austriackim operatorze witryny netdoctor.at.

Decyzja, choć nie jest jeszcze wiążąca, może stanowić zachętę dla zwolenników ochrony prywatności w Europie, którzy chcą pociągnąć do odpowiedzialności firmy technologiczne głodne danych za przetwarzanie danych osobowych osób.

NOYB to organizacja non-profit zajmująca się prawami do prywatności w Europie, kierowana przez Maxa Schremsa (człowieka, który z powodzeniem zakwestionował stosowanie przez Facebooka ustaleń dotyczących przesyłania danych).

Jest to pierwsza decyzja ze 101 modelowych skarg NOYB złożonych w odpowiedzi na wyrok TSUE Schrems II (unieważniający Tarczę Prywatności). Ze 101 skarg wynika, że ​​europejskie firmy nadal udostępniają dane odwiedzających dużym firmom technologicznym i nie zapewniają odpowiedniego poziomu ochrony swoim użytkownikom. Więc chociaż ta decyzja jest pierwszą w swoim rodzaju, prawdopodobnie nie będzie ostatnią.

Europejska Rada Ochrony Danych (EROD) powołała w 2021 r. grupę zadaniową w celu zbadania sytuacji i zapewnienia ścisłej koordynacji między wszystkimi europejskimi organami ochrony danych.

W rezultacie oczekuje się, że działania regulacyjne złożone przez organy ochrony danych w innych państwach członkowskich UE przyspieszą (na przykład holenderski Urząd Ochrony Danych (Autoriteit Persoonsgegevens).

Co obejmuje decyzja?

Organ ochrony danych stwierdził w decyzji, co następuje:

Zastosowanie RODO

Jako leges speciales , obowiązujące wymagania dyrektywy 2002/58/WE (Dyrektywa o prywatności i łączności elektronicznej) – przemianowanej w Austrii na ustawę o ochronie danych telekomunikacyjnych i telekomunikacyjnych (TTDSG 2021) – mają pierwszeństwo przed RODO (ogólne rozporządzenie o ochronie danych).

Z kolei dyrektywa o prywatności i łączności elektronicznej nie zawiera przepisów dotyczących przekazywania danych osobowych do innych krajów, stąd zastosowanie w tym przypadku rozdziału V RODO.

Dane przesyłane przez GA są danymi osobowymi

Austriacki Urząd Ochrony Danych uważa, że ​​poprzez połączenie ogromnej ilości przesyłanych danych teoretycznie możliwe jest powiązanie przekazanych danych z powrotem z osobą fizyczną. W rezultacie można utworzyć link do osoby (patrz art. 4 ust. 1 RODO) i obowiązuje RODO.

W tym kontekście warto zauważyć, że organ ochrony danych uważa, że ​​funkcja anonimizacji Google Analytics jest niewystarczająca do przeniesienia adresu IP i innych identyfikatorów poza zakres RODO. Ze względu na ogromną ilość przesyłanych danych UE adres IP nie ma znaczenia dla kategoryzacji danych jako danych osobowych w ramach RODO.

Operatorem strony jest administrator danych

Warto zauważyć, że austriacki organ ochrony danych zajmował się tylko czynnościami związanymi z przetwarzaniem danych, dopóki nie zostały one pomyślnie przeniesione do Google. Organ nie zgłasza żadnych uwag dotyczących dalszego przetwarzania danych przez Google.

Transfer danych do USA nie jest zgodny z RODO

Tarcza Prywatności UE-USA została uznana za nielegalną przez Europejski Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r. (Schrems II).

W efekcie art. 45 RODO przestał obowiązywać jako środek przekazywania danych, a DPA nie uważał, że istnieje „odstępstwo dla konkretnych przypadków” (w szczególności dlatego, że w danym przypadku nie uzyskano zgody ).

„Odpowiednie zabezpieczenia” zgodnie z definicją zawartą w art. 46 RODO to ostateczny, zgodny z prawem mechanizm przekazywania. Standardowe klauzule umowne (SCC) mogą służyć jako odpowiednie zabezpieczenia zgodnie z art. 46 ust. 2 lit. c RODO. Właściciel serwisu podpisał „stare” SCC (wersja 2010/87/UE) z Google w przedmiotowej sprawie. (W czerwcu 2021 r. opublikowano poprawiony zestaw SCC).

Jednak w przypadku korzystania z Google Analytics transfer danych nie może zależeć tylko od ukończonych SCC. Wynika to z faktu, że Google podlega amerykańskim przepisom nadzoru (FISA 702), a same zobowiązania umowne nie są wystarczające, aby wiązać władze w „kraju trzecim”. Tylko w przypadku podjęcia dodatkowych kroków technologicznych i organizacyjnych („środki uzupełniające”) w celu zrekompensowania braku ochrony prawnej w Stanach Zjednoczonych przekazywanie danych jest legalne. Organ ochrony danych stwierdził, że w swoim wniosku Google nie przedstawił wystarczających dowodów na stosowanie „dodatkowych środków”.

Więc co było nie tak w tym konkretnym przypadku?

Z powyższej analizy jasno wynika, że ​​w tym konkretnym przypadku integracja z Google Analytics, która miała miejsce w tym czasie (14.08.2020) była wadliwa:

• Korzystanie z Google Analytics opierało się wyłącznie na nieaktualnych SCC.
• Nie uzyskano zgody na przetwarzanie danych.
• Anonimizacja adresu IP nie została poprawnie aktywowana.

Jak odpowiedział Google?

Obrona Google w postępowaniu i jego początkowa reakcja nie są zbyt uspokajające.

Google potwierdza, że ​​dane osobowe są rzeczywiście wymieniane z USA podczas korzystania z Google Analytics, ponieważ jest to po prostu niezbędne do prawidłowego działania usługi. Mówiąc bardziej ogólnie, Google stwierdza również, że dokłada wszelkich starań, aby jego usługi były przyjazne dla prywatności.

W tym przypadku w szczególności Google twierdzi, że zapewnia niezbędne „dodatkowe gwarancje”, które są wymagane na podstawie wyroku Schrems II. DSB orzekł jednak, że te „dodatkowe gwarancje” w rzeczywistości niewiele znaczą.

W odpowiedzi Google nie może zrobić nic więcej niż powiedzieć, że użytkownik może wyłączyć „udostępnianie danych stronom trzecim” na swoim koncie. Jednak udostępnianie danych stronom trzecim nie jest tutaj głównym problemem prawnym, problemem jest potencjalny dostęp do danych wrażliwych przez rząd USA (i oczywiście nie można tego nigdzie wyłączyć).

Innymi słowy, Google tak naprawdę nie ma na razie odpowiedzi. Google ma rację, mówiąc, że dobre narzędzie analityczne powinno działać globalnie i można szczerze zakwestionować, czy potencjalny dostęp rządu USA do danych analitycznych rzeczywiście stanowi realne zagrożenie dla prywatności 99% europejskich witryn.

Co ta decyzja oznacza dla Ciebie?

Jeśli z tej sprawy można wyciągnąć wniosek, to zlekceważenie tych orzeczeń sądowych i dalsze korzystanie z Google Analytics nie wchodzi w grę.

Jeśli prowadzisz witrynę w Austrii lub świadczysz usługi dla Austriaków, natychmiast usuń Google Analytics ze swojej witryny.

Zdecydowanie zaleca się również, aby firmy w innych państwach członkowskich Unii Europejskiej podjęły działania, zanim lokalne organy ochrony danych zaczną docierać do większej liczby firm.

Jako firma europejska nie możesz już powierzać poufnych danych użytkowników firmom takim jak Google, które celowo lekceważą europejskie przepisy dotyczące prywatności i grożą wysokimi grzywnami dla swoich europejskich klientów biznesowych.

Możliwe obejścia, aby nadal korzystać z Google Analytics

Jednak witryny internetowe w całej Europie nie przestaną nagle korzystać z Google Analytics.

Dopóki ta decyzja nie stanie się prawnie wiążąca, nadal możesz korzystać z GA w sposób zgodny z RODO, przestrzegając najsurowszych poniższych środków:

1. Zaakceptuj postanowienia Google DPA: w celu odzwierciedlenia aktualnych wersji standardowych klauzul umownych firma Google zaktualizowała Warunki przetwarzania danych Google dla wszystkich usług Google (DPA). W ustawieniach Google Analytics zaakceptuj nowe DPA Google (najnowsza wersja z września 2021 r.).
2. Odniesienie w przepisach o ochronie danych do ewentualnego przekazania danych do państw trzecich.
3. Uzyskaj zgodę użytkownika: „Oznacza to, że możesz uruchomić Google Analytics tylko wtedy, gdy uzyskałeś na to zgodę, a także możesz zapisywać i udostępniać informacje na ten temat. Platforma zarządzania zgodami (CMP) ułatwia ten proces.
4. Użyj prawidłowej konfiguracji Google Analytics: żadne dane osobowe nie powinny przepływać do Analytics podczas konfiguracji, zgodnie z ich najlepszymi praktykami. Dlatego powinieneś skorzystać z anonimizacji IP.
5. Przełącz na śledzenie po stronie serwera: śledzenie po stronie serwera to nie tylko odpowiednie rozwiązanie do wydłużenia żywotności własnych plików cookie i ominięcia niektórych programów blokujących śledzenie, ale masz również możliwość dostosowania danych przed ich wysłaniem do Google Analytics. Konkretnie oznacza to na przykład, że adresy IP użytkowników są całkowicie usuwane przed przesłaniem danych do Google Analytics.

Przejdź do innych narzędzi analitycznych zgodnych z prywatnością

Ponieważ prywatność staje się coraz ważniejsza dla konsumentów na całym świecie, logicznym krokiem dla każdego europejskiego biznesu jest wybór usług, które priorytetowo traktuje ochronę prywatności swoich użytkowników.

Poniżej przedstawiamy dwie najbardziej intrygujące alternatywy dla GA na wypadek, gdybyś chciał się go całkowicie pozbyć.

Wiarygodny

Wypróbuj Plausible, jeśli szukasz prawdziwej unijnej alternatywy dla Google Analytics. Są niezależnym, bootstrapowym projektem z siedzibą w Estonii. Ich zespół jest podzielony między Estonię i Belgię.

Wszystkie gromadzone przez nich dane odwiedzających są przechowywane na serwerach należących do niemieckiej firmy w Niemczech (Hetzner). W przypadku globalnego CDN korzystają ze słoweńskiego dostawcy (Bunny).

Więcej o ich oficjalnym oświadczeniu w tej sprawie tutaj.

Matomo

Matomo to kolejna wartościowa alternatywa GA.

Jest to platforma do analityki internetowej typu open source, zaprojektowana w celu zapewnienia pełnych możliwości analitycznych, a także pełnej własności danych.

Matomo zaczynał jako alternatywa typu open source dla Google Analytics. Zapewnia również ważne raporty dotyczące użytkowników Twojej witryny i ich interakcji z Twoją witryną, podobnie jak Google Analytics. Interesujące jest to, że skupia większość swojej uwagi na własności danych, więc Twoje dane mogą być całkowicie Twoje, a prywatność Twoich użytkowników jest chroniona.

Więcej o ich oficjalnym oświadczeniu w tej sprawie tutaj.

Czy ta decyzja dotyczy użytkowników Convert?

Żadne dane osobowe nie są nigdy wykorzystywane ani przechowywane w Convert Experiences. Powyższy przypadek nie ma więc wpływu na Twoje wrażenia i odwiedzających . Ponadto korzystamy z europejskich serwerów neutralnych pod względem emisji dwutlenku węgla, aby zachować doświadczenie i dane dotyczące zmienności.

Aby zapewnić przejrzystość, oto kilka dodatkowych uwag dotyczących wykorzystania danych w programie Convert Experiences:

• Domyślnie włączone
  • Identyfikator pliku cookie sesji (limit czasu 20 minut w pamięci podręcznej plików cookie i serwera). W naszej interpretacji RODO / ePrivacy Directive i ePrivacy Regulations jest to obecnie objęte wydajnościowymi plikami cookie.

• Domyślnie wyłączone
  • Gdy klienci włączają kierowanie w różnych przeglądarkach, umieszczamy unikalny plik cookie w adresie URL, aby pobrać go w innej domenie (co może być interpretowane przez RODO jako dane osobowe). Ta funkcja jest domyślnie wyłączona w ramach naszej polityki „domyślnej prywatności”.
  • Gdy unikalne identyfikatory odwiedzających zostaną podane przez klienta w celu zastąpienia identyfikatorów sesji, może to zostać zinterpretowane jako dane osobowe. Ta funkcja jest domyślnie wyłączona w ramach naszej polityki „domyślnej prywatności”.
  • Gdy używane jest kierowanie geograficzne (domyślnie wyłączone), możemy przechowywać kraj, region i miasto w pamięci podręcznej CDN lub serwera, aby zapewnić prawidłowe kierowanie.

Konsekwencje tego orzeczenia są dalekosiężne i mogą stanowić precedens w zakresie wykorzystywania danych przez firmy.

Należy pamiętać, że ta decyzja ma wpływ tylko na korzystanie z Google Analytics przez firmy austriackie lub inne firmy, które prowadzą z nimi interesy, ale możliwe, że inne kraje pójdą w jej ślady.

Jeśli korzystasz z Google Analytics, pamiętaj o nadchodzących przepisach, aby zachować zgodność. NOYB i inni europejscy obrońcy prywatności pokazali, że są gotowi walczyć o prawa użytkowników online, więc możemy spodziewać się więcej podobnych decyzji w przyszłości.