การใช้งาน Google Analytics ทำให้ผิดกฎหมายโดยหน่วยงานคุ้มครองข้อมูลของออสเตรีย

หน่วยงานคุ้มครองข้อมูลของออสเตรีย (Datenschutzbehorde) ได้ตัดสินให้ NOYB ที่ไม่แสวงหากำไรเป็นฝ่ายสนับสนุน ในคดีสำคัญที่ต่อต้านการใช้ Google Analytics บน netdoctor.at ซึ่งเป็นผู้ดำเนินการเว็บไซต์ชาวออสเตรีย

แม้ว่าจะยังไม่มีผลผูกพัน แต่การตัดสินใจนี้อาจช่วยส่งเสริมผู้สนับสนุนด้านความเป็นส่วนตัวในยุโรปที่ต้องการให้บริษัทเทคโนโลยีที่หิวกระหายข้อมูลรับผิดชอบในการจัดการข้อมูลส่วนบุคคลของผู้คน

NOYB เป็นองค์กรไม่แสวงหาผลกำไรที่อุทิศตนเพื่อสิทธิความเป็นส่วนตัวในยุโรป นำโดย Max Schrems (ชายผู้ประสบความสำเร็จในการท้าทายการใช้การจัดการถ่ายโอนข้อมูลของ Facebook)

นี่เป็นการตัดสินใจครั้งแรกสำหรับการร้องเรียนแบบจำลอง 101 ฉบับของ NOYB ที่ส่งมาเพื่อตอบสนองต่อคำตัดสิน Schrems II ของ CJEU (ซึ่งทำให้ Privacy Shield เป็นโมฆะ) ข้อร้องเรียน 101 ข้อบ่งชี้ว่าบริษัทในยุโรปยังคงแบ่งปันข้อมูลผู้เยี่ยมชมกับบริษัทเทคโนโลยีขนาดใหญ่ต่อไป และไม่ให้การปกป้องผู้ใช้ในระดับที่เพียงพอ ดังนั้นแม้ว่าการตัดสินใจครั้งนี้จะเป็นเรื่องแรก แต่ก็ไม่น่าจะเป็นเรื่องสุดท้าย

European Data Protection Board (EDPB) ได้จัดตั้งคณะทำงานในปี 2564 เพื่อตรวจสอบสถานการณ์และรับรองการประสานงานที่แน่นแฟ้นระหว่างหน่วยงานคุ้มครองข้อมูลของยุโรปทั้งหมด

ด้วยเหตุนี้ การดำเนินการด้านกฎระเบียบที่ยื่นโดย DPA ในประเทศสมาชิกสหภาพยุโรปอื่นๆ คาดว่าจะเร่งขึ้น (เช่น Dutch Data Protection Authority (Autoriteit Persoonsgegevens)

การตัดสินใจรวมถึงอะไร?

กปปส.มีมติดังต่อไปนี้

การบังคับใช้ GDPR

ในฐานะที่เป็น leges specials ข้อกำหนดที่บังคับใช้ของ Directive 2002/58/EC (e-Privacy Directive) – เปลี่ยนชื่อเป็น Telecommunications and Telemedia Data Protection Act (TTDSG 2021) ในออสเตรีย – มีความสำคัญเหนือกว่า GDPR (General Data Protection Regulation)

ในทางกลับกัน e-Privacy Directive ไม่มีข้อกำหนดสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศอื่น ดังนั้น บทที่ V ของ GDPR จึงมีผลบังคับใช้ในกรณีนี้

ข้อมูลที่ส่งผ่าน GA เป็นข้อมูลส่วนบุคคล

หน่วยงานคุ้มครองข้อมูลของออสเตรียเชื่อว่าการรวมข้อมูลที่ส่งจำนวนมากเข้าด้วยกันในทางทฤษฎี มีความเป็นไปได้ที่จะเชื่อมโยงข้อมูลที่ถ่ายโอนกลับไปยังบุคคลธรรมดา เป็นผลให้สามารถสร้างลิงก์ไปยังบุคคลได้ (ดู GDPR Article 4(1)) และ GDPR จะมีผลบังคับใช้

ในแง่นี้ เป็นที่น่าสังเกตว่า DPA เชื่อว่า ฟังก์ชันการลบข้อมูลระบุตัวตนของ Google Analytics ไม่เพียงพอ สำหรับการย้ายที่อยู่ IP และตัวระบุอื่นๆ นอกขอบเขตของ GDPR เนื่องจากมีการถ่ายโอนข้อมูลของสหภาพยุโรปจำนวนมาก ที่อยู่ IP จึงไม่เกี่ยวข้องกับการจัดหมวดหมู่ข้อมูลเป็นข้อมูลส่วนบุคคลภายใต้ GDPR

ผู้ให้บริการเว็บไซต์เป็นผู้ควบคุมข้อมูล

เป็นที่น่าสังเกตว่า DPA ของออสเตรียจะพิจารณาเฉพาะกิจกรรมการประมวลผลข้อมูลเท่านั้นจนกว่าจะโอนไปยัง Google ได้สำเร็จ หน่วยงานไม่ได้ให้ข้อสังเกตเกี่ยวกับการประมวลผลข้อมูลในภายหลังของ Google

การถ่ายโอนข้อมูลไปยังสหรัฐอเมริกาไม่สอดคล้องกับ GDPR

EU-US Privacy Shield ถูกศาลยุติธรรมยุโรปตัดสินว่าผิดกฎหมายในคำตัดสินลงวันที่ 16 กรกฎาคม 2020 (Schrems II)

ด้วยเหตุนี้ GDPR มาตรา 45 จึงไม่สามารถใช้เป็นเครื่องมือในการส่งข้อมูลได้อีกต่อไป และ DPA ไม่เชื่อว่ามี

“การคุ้มครองที่เหมาะสม” ตามคำจำกัดความของ GDPR มาตรา 46 คือกลไกการโอนทางกฎหมายขั้นสุดท้าย ข้อสัญญามาตรฐาน (SCC) สามารถทำหน้าที่เป็นตัวป้องกันที่เหมาะสมภายใต้ GDPR Article 46(2)(c) เจ้าของเว็บไซต์ได้ ลงนาม SCC ที่ "เก่า" (เวอร์ชัน 2010/87/EU) กับ Google เรียบร้อยแล้ว (ในเดือนมิถุนายน พ.ศ. 2564 ได้มีการเผยแพร่ชุด SCC ที่แก้ไขแล้ว)

อย่างไรก็ตาม เมื่อใช้ Google Analytics การถ่ายโอนข้อมูลจะไม่ขึ้นอยู่กับ SCC ที่เสร็จสมบูรณ์เท่านั้น นี่เป็นเพราะความจริงที่ว่า Google อยู่ภายใต้กฎหมายการสอดส่องของสหรัฐฯ (FISA 702) และภาระผูกพันตามสัญญาเพียงอย่างเดียวไม่เพียงพอที่จะผูกมัดหน่วยงานใน "ประเทศที่สาม" เฉพาะในกรณีที่มีการใช้ขั้นตอนทางเทคโนโลยีและองค์กรเพิ่มเติม ("มาตรการเสริม") เพื่อชดเชยการขาดการคุ้มครองทางกฎหมายในสหรัฐอเมริกาเท่านั้นที่เป็นกฎหมายในการถ่ายโอนข้อมูล DPA สรุปว่า Google ไม่ได้ให้หลักฐานเพียงพอเกี่ยวกับ “มาตรการเสริม” ในบทสรุป

เกิดอะไรขึ้นในกรณีเฉพาะนี้?

จากการวิเคราะห์ข้างต้น เป็นที่ชัดเจนว่าในกรณีเฉพาะนี้ การผสานรวม Google Analytics ที่เกิดขึ้น ณ เวลานั้น (08/14/2020) มีข้อบกพร่อง:

• การใช้ Google Analytics ขึ้นอยู่กับ SCC ที่ล้าสมัยเท่านั้น
• ไม่ได้รับความยินยอมในการประมวลผลข้อมูล
• การเปิดใช้งานการลบข้อมูลระบุที่อยู่ IP ไม่ถูกต้อง

Google ตอบสนองอย่างไร

การป้องกันของ Google ในการพิจารณาคดีและปฏิกิริยาเริ่มต้นในภายหลังนั้นไม่ทำให้เกิดความมั่นใจมากนัก

Google ยืนยันว่ามีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับสหรัฐอเมริกาจริง ๆ เมื่อใช้ Google Analytics เพราะนี่เป็นสิ่งจำเป็นสำหรับบริการเพื่อให้ทำงานได้อย่างถูกต้อง โดยทั่วไปแล้ว Google ยังระบุด้วยว่าพยายามอย่างมากที่จะให้บริการที่เป็นมิตรต่อความเป็นส่วนตัว

ในกรณีนี้ โดยเฉพาะอย่างยิ่ง Google กล่าวว่าให้ "การค้ำประกันเพิ่มเติม" ที่จำเป็น ซึ่งจำเป็นบนพื้นฐานของการตัดสินของ Schrems II อย่างไรก็ตาม DSB ได้วินิจฉัยว่า “การค้ำประกันเพิ่มเติม” เหล่านั้นไม่ได้มีจำนวนมากมายในความเป็นจริง

เพื่อเป็นการตอบโต้ Google ทำอะไรไม่ได้มากไปกว่าการบอกว่าผู้ใช้สามารถเลือกที่จะปิด "การแบ่งปันข้อมูลกับบุคคลที่สาม" ในบัญชีของตนได้ อย่างไรก็ตาม การแบ่งปันข้อมูลกับบุคคลที่สามไม่ใช่ประเด็นทางกฎหมายหลักในที่นี้ ปัญหาอยู่ที่การเข้าถึงข้อมูลที่ละเอียดอ่อนของรัฐบาลสหรัฐฯ (และแน่นอนว่าไม่สามารถปิดได้ทุกที่)

กล่าวอีกนัยหนึ่ง Google ยังไม่มีคำตอบในขณะนี้ Google พูดถูกเมื่อกล่าวว่าเครื่องมือวิเคราะห์ที่ดีควรใช้งานได้ทั่วโลก และสามารถตั้งคำถามอย่างจริงใจว่าการเข้าถึงข้อมูลการวิเคราะห์โดยรัฐบาลสหรัฐฯ อาจเป็นภัยคุกคามต่อความเป็นส่วนตัวอย่างแท้จริงสำหรับเว็บไซต์ในยุโรป 99% หรือไม่

การตัดสินใจนี้มีความหมายต่อคุณอย่างไร?

หากมีข้อโต้แย้งจากกรณีนี้ การเพิกเฉยคำตัดสินของศาลและการใช้ Google Analytics ต่อไปไม่ใช่ทางเลือก

หากคุณเปิดเว็บไซต์ในออสเตรียหรือให้บริการแก่ชาวออสเตรีย คุณควรลบ Google Analytics ออกจากเว็บไซต์ของคุณทันที

ขอแนะนำอย่างยิ่งด้วยว่าธุรกิจในประเทศสมาชิกสหภาพยุโรปอื่น ๆ จะต้องดำเนินการก่อนที่หน่วยงานคุ้มครองข้อมูลในท้องถิ่นจะเริ่มกำหนดเป้าหมายธุรกิจมากขึ้น

ในฐานะบริษัทในยุโรป คุณไม่สามารถไว้วางใจข้อมูลผู้ใช้ที่ละเอียดอ่อนให้กับบริษัทเช่น Google ได้อีกต่อไป ซึ่งจงใจเพิกเฉยกฎหมายความเป็นส่วนตัวของยุโรปและความเสี่ยงที่จะโดนปรับจำนวนมากสำหรับลูกค้าธุรกิจในยุโรป

วิธีแก้ปัญหาที่เป็นไปได้ในการใช้ Google Analytics ต่อไป

อย่างไรก็ตาม เว็บไซต์ทั่วยุโรปจะไม่หยุดใช้ Google Analytics อย่างกะทันหัน

จนกว่าการตัดสินใจนี้จะมีผลผูกพันทางกฎหมาย คุณยังคงใช้ GA ในลักษณะที่สอดคล้องกับ GDPR ได้โดยปฏิบัติตามมาตรการที่เข้มงวดที่สุดด้านล่าง:

1. ยอมรับ DPA ของ Google: เพื่อให้สอดคล้องกับข้อสัญญามาตรฐานฉบับปัจจุบัน Google ได้แก้ไขข้อกำหนดการประมวลผลข้อมูลของ Google สำหรับผลิตภัณฑ์ Google (DPA) ทั้งหมด ในการตั้งค่า Google Analytics ให้ยอมรับ Google DPA ใหม่ (เวอร์ชันล่าสุดในเดือนกันยายน 2021)
2. อ้างอิงในข้อบังคับการปกป้องข้อมูลเพื่อการถ่ายโอนข้อมูลที่เป็นไปได้ไปยังประเทศที่สาม
3. ขอรับความยินยอมจากผู้ใช้: “ซึ่งหมายความว่าคุณสามารถไล่ Google Analytics ออกได้ก็ต่อเมื่อคุณได้รับความยินยอมให้ทำเช่นนั้น และสามารถบันทึกและให้ข้อมูลเกี่ยวกับมันได้ แพลตฟอร์มการจัดการความยินยอม (CMP) ทำให้กระบวนการนี้ง่ายขึ้น
4. ใช้การกำหนดค่าที่ถูกต้องของ Google Analytics: ไม่ควรส่งข้อมูลส่วนบุคคลเข้าสู่ Analytics ระหว่างการตั้งค่าตามแนวทางปฏิบัติที่ดีที่สุด คุณจึงควรใช้ประโยชน์จากการไม่เปิดเผยชื่อ IP
5. เปลี่ยนไปใช้การติดตามฝั่งเซิร์ฟเวอร์: การติดตามฝั่งเซิร์ฟเวอร์ไม่เพียงแต่เป็นโซลูชันที่เหมาะสมสำหรับการยืดอายุการใช้งานของคุกกี้บุคคลที่หนึ่งและเลี่ยงการบล็อกการติดตามบางส่วนเท่านั้น แต่คุณยังมีตัวเลือกในการปรับข้อมูลก่อนที่จะส่งไปยัง Google Analytics ในแง่ที่เป็นรูปธรรม นี่หมายความว่าที่อยู่ IP ของผู้ใช้จะถูกลบออกอย่างสมบูรณ์ก่อนที่จะส่งข้อมูลไปยัง Google Analytics

เปลี่ยนไปใช้เครื่องมือวิเคราะห์ที่สอดคล้องกับความเป็นส่วนตัวอื่นๆ

เนื่องจากความเป็นส่วนตัวมีความสำคัญมากขึ้นสำหรับผู้บริโภคทั่วโลก จึงเป็นขั้นตอนที่สมเหตุสมผลสำหรับธุรกิจในยุโรปใดๆ ในการเลือกบริการที่ให้ความสำคัญกับการปกป้องความเป็นส่วนตัวของผู้ใช้

ด้านล่างนี้ เราขอเสนอทางเลือกที่น่าสนใจที่สุดสองทางสำหรับ GA ในกรณีที่คุณต้องการกำจัดมันให้หมด

เป็นไปได้

ลองใช้ที่เป็นไปได้จริง หากคุณกำลังมองหาทางเลือกในสหภาพยุโรปที่แท้จริงแทน Google Analytics พวกเขาเป็นโครงการที่เป็นอิสระและมีฐานรากอยู่ในเอสโตเนีย ทีมของพวกเขาถูกแบ่งระหว่างเอสโตเนียและเบลเยียม

ข้อมูลผู้เยี่ยมชมทั้งหมดที่พวกเขารวบรวมจะถูกเก็บไว้ในเซิร์ฟเวอร์ของบริษัทเยอรมันในเยอรมนี (Hetzner) สำหรับ CDN ทั่วโลก พวกเขาใช้ผู้ให้บริการที่เป็นเจ้าของสโลวีเนีย (Bunny)

ข้อมูลเพิ่มเติมเกี่ยวกับคำแถลงอย่างเป็นทางการเกี่ยวกับคดีนี้ ที่นี่

มาโตโม

Matomo เป็นอีกทางเลือกหนึ่งของ GA ที่คุ้มค่า

เป็นแพลตฟอร์มการวิเคราะห์เว็บแบบโอเพ่นซอร์สที่ออกแบบมาเพื่อมอบความสามารถในการวิเคราะห์แบบเต็มรูปแบบรวมถึงการเป็นเจ้าของข้อมูลที่สมบูรณ์

Matomo เริ่มต้นจากทางเลือกโอเพนซอร์ซแทน Google Analytics นอกจากนี้ยังมีรายงานที่สำคัญเกี่ยวกับผู้ใช้เว็บไซต์ของคุณและการโต้ตอบกับเว็บไซต์ของคุณ เช่นเดียวกับ Google Analytics ส่วนที่น่าสนใจคือมันเน้นความสนใจส่วนใหญ่ในการเป็นเจ้าของข้อมูล ดังนั้นข้อมูลของคุณสามารถเป็นของคุณได้อย่างสมบูรณ์และความเป็นส่วนตัวของผู้ใช้ของคุณได้รับการปกป้อง

ข้อมูลเพิ่มเติมเกี่ยวกับคำแถลงอย่างเป็นทางการเกี่ยวกับคดีนี้ ที่นี่

ผู้ใช้แปลงได้รับผลกระทบจากการตัดสินใจนี้หรือไม่?

ไม่มีการใช้หรือจัดเก็บข้อมูลส่วนบุคคลใน Convert Experiences ดังนั้น ประสบการณ์และผู้เยี่ยมชมของคุณจะไม่ได้รับผลกระทบจากกรณีข้างต้น นอกจากนี้ เราใช้เซิร์ฟเวอร์ที่เป็นกลางคาร์บอนของยุโรปเพื่อบันทึกประสบการณ์และข้อมูลรูปแบบต่างๆ

เพื่อความโปร่งใส ต่อไปนี้เป็นหมายเหตุเพิ่มเติมบางส่วนเกี่ยวกับการใช้ข้อมูลใน Convert Experiences:

• เปิดโดยค่าเริ่มต้น
  • ID คุกกี้ของเซสชัน (หมดเวลา 20 นาทีสำหรับคุกกี้และแคชของเซิร์ฟเวอร์) ขณะนี้อยู่ภายใต้คุกกี้ประสิทธิภาพในการตีความ GDPR / ePrivacy Directive และ ePrivacy Regulations

• ปิดโดยค่าเริ่มต้น
  • เมื่อลูกค้าเปิดการกำหนดเป้าหมายข้ามเบราว์เซอร์ เราจะใส่คุกกี้ที่ไม่ซ้ำกันใน URL เพื่อรับในโดเมนอื่น (ซึ่ง GDPR ตีความได้ว่าเป็นข้อมูลส่วนบุคคล) คุณลักษณะนี้ถูกปิดโดยค่าเริ่มต้นซึ่งเป็นส่วนหนึ่งของนโยบาย "ความเป็นส่วนตัวโดยค่าเริ่มต้น" ของเรา
  • เมื่อลูกค้าให้ ID ผู้เยี่ยมชมที่ไม่ซ้ำเพื่อแทนที่ ID เซสชัน สิ่งนี้อาจถูกตีความว่าเป็นข้อมูลส่วนบุคคล คุณลักษณะนี้ถูกปิดโดยค่าเริ่มต้นซึ่งเป็นส่วนหนึ่งของนโยบาย "ความเป็นส่วนตัวโดยค่าเริ่มต้น" ของเรา
  • เมื่อใช้การกำหนดเป้าหมายตามภูมิศาสตร์ (ไม่เปิดโดยค่าเริ่มต้น) เราสามารถจัดเก็บประเทศ ภูมิภาค และเมืองใน CDN หรือแคชของเซิร์ฟเวอร์เพื่อการกำหนดเป้าหมายที่ถูกต้อง

ความหมายของคำตัดสินนี้มีผลกว้างไกล และอาจเป็นแบบอย่างสำหรับวิธีที่บริษัทใช้ข้อมูล

สิ่งสำคัญที่ควรทราบคือการตัดสินใจนี้มีผลกับการใช้งาน Google Analytics สำหรับธุรกิจในออสเตรียหรือบริษัทอื่นๆ ที่ทำธุรกิจร่วมกันเท่านั้น แต่ประเทศอื่นๆ อาจปฏิบัติตามได้

หากคุณกำลังใช้ Google Analytics อย่าลืมติดตามกฎระเบียบที่จะเกิดขึ้นเพื่อให้แน่ใจว่าคุณปฏิบัติตามข้อกำหนด NOYB และผู้สนับสนุนความเป็นส่วนตัวในยุโรปคนอื่นๆ ได้แสดงให้เห็นว่าพวกเขายินดีที่จะต่อสู้เพื่อสิทธิของผู้ใช้ออนไลน์ ดังนั้นเราจึงสามารถคาดหวังการตัดสินใจที่คล้ายคลึงกันมากขึ้นในอนาคต