Австрийский орган по защите данных признал использование Google Analytics незаконным

Австрийский орган по защите данных (Datenschutzbehorde) вынес решение в пользу некоммерческой организации NOYB в знаменательном деле против использования Google Analytics на netdoctor.at, австрийском операторе веб-сайта.

Хотя это решение еще не имеет обязательной силы, оно может дать толчок защитникам конфиденциальности в Европе, которые хотят привлечь к ответственности технологические компании, требующие больших данных, за то, как они обращаются с личной информацией людей.

NOYB — некоммерческая организация, занимающаяся правами на неприкосновенность частной жизни в Европе, возглавляемая Максом Шремсом (человеком, который успешно оспорил использование Facebook механизмов передачи данных).

Это первое решение по 101 типовой жалобе NOYB, поданной в ответ на решение CJEU Schrems II (которое аннулировало Privacy Shield). 101 жалоба предполагает, что европейские компании продолжают делиться данными о посетителях с крупными технологическими компаниями и не предлагают адекватный уровень защиты своим пользователям. Так что, хотя это решение является первым в своем роде, оно, вероятно, не будет последним.

В 2021 году Европейский совет по защите данных (EDPB) создал целевую группу для расследования ситуации и обеспечения тесной координации между всеми европейскими органами по защите данных.

В результате ожидается ускорение регулятивных действий, поданных DPA в других странах-членах ЕС (например, Управлением по защите данных Нидерландов (Autoriteit Persoonsgegevens).

Что включает в себя решение?

В своем решении DPA указал следующее:

Применимость GDPR

Как правило , применимые требования Директивы 2002/58/EC (Директива об электронной конфиденциальности), переименованной в Закон о защите телекоммуникационных и телекоммуникационных данных (TTDSG 2021) в Австрии, имеют приоритет над GDPR (Общее положение о защите данных).

С другой стороны, Директива об электронной конфиденциальности не содержит положений о передаче персональных данных в другие страны, поэтому в этом случае применяется глава V GDPR.

Данные, передаваемые через GA, являются персональными данными

Австрийский орган по защите данных считает, что, объединив огромное количество передаваемых данных, теоретически можно связать переданные данные с физическим лицом. В результате может быть установлена ​​связь с человеком (см. статью 4(1) GDPR), и применяется GDPR.

В связи с этим стоит отметить, что DPA считает функцию анонимизации Google Analytics недостаточной для вывода IP-адреса и других идентификаторов за рамки GDPR. Из-за большого объема передаваемых данных из ЕС IP-адрес не имеет отношения к классификации данных как персональных данных в соответствии с GDPR.

Оператор веб-сайта является контроллером данных

Стоит отметить, что австрийский DPA рассматривал действия по обработке данных только до тех пор, пока они не были успешно переданы в Google. Власти не комментируют последующую обработку данных Google.

Передача данных в США не соответствует GDPR

Щит конфиденциальности ЕС-США был признан Европейским судом незаконным в приговоре от 16 июля 2020 г. (Schrems II).

В результате статья 45 GDPR больше не применялась как средство передачи данных, а DPA не полагало, что существует «отступление для конкретных случаев» (в частности, потому, что в данном случае согласие не было получено ).

«Надлежащая защита», как она определена в статье 46 GDPR, является окончательным законным механизмом передачи. Стандартные договорные положения (SCC) могут служить надлежащей защитой в соответствии со статьей 46(2)(c) GDPR. Владелец веб-сайта подписал «старые» SCC (версия 2010/87/EU) с Google по рассматриваемому вопросу. (В июне 2021 г. был выпущен пересмотренный набор SCC.)

Однако при использовании Google Analytics передача данных не может зависеть только от выполненных SCC. Это связано с тем, что Google подчиняется законам США о надзоре (FISA 702), и одних только договорных обязательств недостаточно, чтобы связать власти «третьей страны». Только в случае принятия дополнительных технологических и организационных шагов («дополнительных мер») для компенсации отсутствия правовой защиты в США передача данных является законной. DPA пришел к выводу, что Google не предоставил адекватных доказательств «дополнительных мер» в своем заключении.

Так что же было не так в этом конкретном случае?

Из приведенного выше анализа видно, что в данном конкретном случае интеграция с Google Analytics, имевшая место в то время (14.08.2020), была ошибочной:

• Использование Google Analytics основывалось только на устаревших SCC.
• Согласие на обработку данных не получено.
• Анонимизация IP-адреса была активирована неправильно.

Как отреагировал Google?

Защита Google в ходе судебного разбирательства и ее первоначальная реакция после этого не очень обнадеживают.

Google подтверждает, что личные данные действительно обмениваются с США при использовании Google Analytics, потому что это просто необходимо для правильной работы сервиса. В более общем плане Google также заявляет, что прилагает большие усилия, чтобы сделать свои услуги безопасными для конфиденциальности.

В данном случае, в частности, Google говорит, что предоставляет необходимые «дополнительные гарантии», которые требуются на основании судебного решения по делу Шремса II. Однако DSB постановил, что эти «дополнительные гарантии» на самом деле не имеют большого значения.

В ответ Google не может сделать больше, чем сказать, что пользователь может отключить «обмен данными со сторонними организациями» в своей учетной записи. Тем не менее, передача данных третьим лицам здесь не является основным юридическим вопросом, проблема заключается в потенциальном доступе к конфиденциальным данным со стороны правительства США (и, конечно, это нигде нельзя отключить).

Другими словами, у Google пока нет ответа. Google прав, когда говорит, что хороший аналитический инструмент должен работать глобально, и можно также искренне задаться вопросом, действительно ли потенциальный доступ к аналитическим данным правительства США представляет реальную угрозу конфиденциальности для 99% европейских веб-сайтов.

Что это решение означает для вас?

Если и есть один вывод из этого дела, так это то, что игнорировать эти судебные решения и продолжать использовать Google Analytics нельзя.

Если вы управляете веб-сайтом в Австрии или предоставляете услуги австрийцам, вам следует немедленно удалить Google Analytics со своего сайта.

Также настоятельно рекомендуется, чтобы предприятия в других государствах-членах Европейского Союза приняли меры до того, как местные органы по защите данных начнут преследовать больше предприятий.

Как европейская компания, вы больше не можете доверять конфиденциальные пользовательские данные таким компаниям, как Google, которые намеренно игнорируют европейское законодательство о конфиденциальности и рискуют наложить огромные штрафы на своих европейских бизнес-клиентов.

Возможные обходные пути для продолжения использования Google Analytics

Однако веб-сайты по всей Европе не перестанут внезапно использовать Google Analytics.

Пока это решение не станет юридически обязывающим, вы все равно можете использовать GA в соответствии с GDPR, соблюдая самые строгие меры, указанные ниже:

1. Принять DPA от Google: чтобы отразить текущие версии Стандартных договорных условий, Google изменил Условия обработки данных Google для всех продуктов Google (DPA). В настройках Google Analytics примите новые DPA Google (последняя версия от сентября 2021 г.).
2. Ссылка в положениях о защите данных на возможную передачу данных в третьи страны.
3. Получите согласие пользователя: «Это означает, что вы можете запускать Google Analytics только в том случае, если вы получили на это согласие, а также можете сохранять и предоставлять информацию об этом. Платформа управления согласием (CMP) упрощает этот процесс.
4. Используйте правильную конфигурацию Google Analytics: в соответствии с передовой практикой никакие личные данные не должны поступать в Analytics во время настройки. Поэтому вам следует использовать анонимизацию IP.
5. Переключитесь на отслеживание на стороне сервера. Отслеживание на стороне сервера — это не только подходящее решение для увеличения срока службы сторонних файлов cookie и обхода некоторых блокировщиков отслеживания, но также у вас есть возможность адаптировать данные перед их отправкой в ​​Google Analytics. Конкретно это означает, например, что IP-адреса пользователей полностью удаляются перед отправкой данных в Google Analytics.

Переключиться на другие инструменты аналитики, совместимые с конфиденциальностью

Поскольку конфиденциальность становится все более важной для потребителей во всем мире, логичным шагом для любого европейского бизнеса является выбор услуг, приоритетом которых является защита конфиденциальности своих пользователей.

Ниже мы представляем две наиболее интригующие альтернативы GA на случай, если вы хотите полностью избавиться от него.

Правдоподобный

Попробуйте Plausible, если вы ищете настоящую европейскую альтернативу Google Analytics. Это независимый саморазвивающийся проект, базирующийся в Эстонии. Их команда разделена между Эстонией и Бельгией.

Все данные посетителей, которые они собирают, хранятся на серверах, принадлежащих немецкой компании в Германии (Hetzner). Для своего глобального CDN они используют словенского провайдера (Bunny).

Подробнее об их официальном заявлении по этому делу здесь.

Матомо

Matomo — еще одна достойная альтернатива GA.

Это платформа веб-аналитики с открытым исходным кодом, предназначенная для предоставления вам полных аналитических возможностей, а также полного владения данными.

Matomo начинался как альтернатива Google Analytics с открытым исходным кодом. Он также предоставляет важные отчеты о пользователях вашего веб-сайта и их взаимодействии с вашим веб-сайтом, подобно Google Analytics. Самое интересное заключается в том, что он фокусирует большую часть своего внимания на владении данными, поэтому ваши данные могут быть полностью вашими, а конфиденциальность ваших пользователей защищена.

Подробнее об их официальном заявлении по этому делу здесь.

Повлияло ли это решение на конвертированных пользователей?

Никакие личные данные никогда не используются и не хранятся в Convert Experiences. Таким образом, описанный выше случай не повлияет на ваш опыт и посетителей . Кроме того, мы используем европейские углеродно-нейтральные серверы для хранения данных об опыте и вариациях.

Для большей ясности приведем дополнительные примечания об использовании данных в Convert Experience:

• Включено по умолчанию
  • Идентификатор файла cookie сеанса (время ожидания 20 минут для файлов cookie и кэша сервера). В настоящее время это относится к производительным файлам cookie в нашей интерпретации GDPR / Директивы о конфиденциальности ePrivacy и Правил ePrivacy.

• Выключено по умолчанию
  • Когда клиенты включают кросс-браузерный таргетинг, мы вставляем уникальный файл cookie в URL-адрес, чтобы выбрать другой домен (который может быть интерпретирован GDPR как личные данные). Эта функция отключена по умолчанию в соответствии с нашей политикой «конфиденциальность по умолчанию».
  • Когда клиент предоставляет уникальные идентификаторы посетителей вместо идентификаторов сеансов, это может интерпретироваться как личные данные. Эта функция отключена по умолчанию в соответствии с нашей политикой «конфиденциальность по умолчанию».
  • При использовании геотаргетинга (не включенного по умолчанию) мы можем хранить страну, регион и город в CDN или кеше сервера для корректного таргетинга.

Последствия этого постановления имеют далеко идущие последствия и могут создать прецедент в отношении того, как компании используют данные.

Важно отметить, что это решение влияет только на использование Google Analytics для австрийских компаний или других компаний, которые ведут бизнес с одним из них, но возможно, что другие страны могут последовать этому примеру.

Если вы используете Google Analytics, обязательно следите за будущими нормативными актами, чтобы не нарушать их. NOYB и другие европейские защитники конфиденциальности продемонстрировали, что они готовы бороться за права онлайн-пользователей, поэтому мы можем ожидать больше подобных решений в будущем.