• Anasayfa
  • Nesne
  • SEO
  • Avusturya Veri Koruma Otoritesi Tarafından Yasa Dışı Yapılan Google Analytics Kullanımı

Avusturya Veri Koruma Otoritesi Tarafından Yasa Dışı Yapılan Google Analytics Kullanımı

Yayınlanan: 2022-01-22
Avusturya Veri Koruma Otoritesi Tarafından Yasa Dışı Yapılan Google Analytics Kullanımı

Avusturya Veri Koruma Kurumu (Datenschutzbehorde), Avusturyalı bir web sitesi operatörü olan netdoctor.at'te Google Analytics kullanımına karşı önemli bir davada kar amacı gütmeyen NOYB lehine karar verdi.

Henüz bağlayıcı olmasa da karar, Avrupa'da veriye aç teknoloji şirketlerini insanların kişisel bilgilerini ele almalarından sorumlu tutmak isteyen gizlilik savunucularına bir destek sağlayabilir.

NOYB, Max Schrems (Facebook'un veri aktarımı düzenlemelerini kullanımına başarıyla meydan okuyan adam) tarafından yönetilen, Avrupa'da gizlilik haklarına adanmış kar amacı gütmeyen bir kuruluştur.

Bu, NOYB'nin ABAD'ın Schrems II kararına (Gizlilik Kalkanını geçersiz kılan) yanıt olarak sunulan 101 model şikayetine ilişkin ilk karardır. 101 şikayet, Avrupalı ​​şirketlerin ziyaretçi verilerini büyük teknoloji şirketleriyle paylaşmaya devam ettiğini ve kullanıcılarına yeterli düzeyde koruma sağlamadığını gösteriyor. Dolayısıyla bu karar türünün ilk örneği olsa da, muhtemelen son olmayacak.

Avrupa Veri Koruma Kurulu (EDPB), durumu araştırmak ve tüm Avrupa Veri Koruma Otoriteleri arasında sıkı koordinasyonu sağlamak için 2021'de bir görev gücü oluşturdu.

Sonuç olarak, diğer AB üye ülkelerinde DPA'lar tarafından açılan düzenleyici eylemlerin hızlanması bekleniyor (örneğin, Hollanda Veri Koruma Kurumu (Autoriteit Persoonsgegevens).

Karar Neleri İçeriyor?

DPA, kararda şu ifadelere yer verdi:

GDPR'nin Uygulanabilirliği

Leges özel olarak, Avusturya'da Telekomünikasyon ve Telemedya Veri Koruma Yasası (TTDSG 2021) olarak yeniden adlandırılan 2002/58/EC Yönergesi'nin (e-Gizlilik Yönergesi) geçerli gereksinimleri GDPR'ye (Genel Veri Koruma Yönetmeliği) göre önceliklidir.

Öte yandan, e-Gizlilik Direktifi, kişisel verilerin diğer ülkelere aktarılmasına ilişkin herhangi bir hüküm içermediğinden, bu durumda GDPR'nin V. Bölümü geçerlidir.

GA aracılığıyla Aktarılan Veriler Kişisel Verilerdir

Avusturya Veri Koruma Kurumu, iletilen büyük miktarda veriyi birleştirerek, aktarılan verileri gerçek bir kişiyle ilişkilendirmenin teorik olarak mümkün olduğuna inanmaktadır. Sonuç olarak, bir kişiye bağlantı kurulabilir (bkz. GDPR Madde 4(1)) ve GDPR geçerlidir.

Bu bağlamda, DPA'nın Google Analytics'in anonimleştirme işlevinin IP adresini ve diğer tanımlayıcıları GDPR kapsamının dışına kaydırmak için yetersiz olduğuna inandığını belirtmekte fayda var. İletilen çok büyük miktarda AB verisi nedeniyle, IP adresi, verilerin GDPR kapsamında kişisel veri olarak sınıflandırılmasıyla ilgili değildir.

Web Sitesi Operatörü Veri Denetleyicisidir

Avusturya DPA'sının, yalnızca Google'a başarıyla aktarılana kadar veri işleme faaliyetlerine baktığını belirtmekte fayda var. Yetkili, Google'ın sonraki veri işlemesi hakkında herhangi bir açıklama yapmaz.

ABD'ye Veri Aktarımı GDPR Uyumlu Değil

AB-ABD Gizlilik Kalkanı, Avrupa Adalet Divanı tarafından 16 Temmuz 2020 tarihli bir kararla yasadışı bulundu (Şemalar II).

Sonuç olarak, GDPR Madde 45, veri iletimi aracı olarak artık geçerli değildi ve DPA, “belirli durumlar için istisna”nın var olduğuna inanmıyordu (özellikle verilen durumda rıza alınmadığı için ).

GDPR Madde 46'da tanımlanan "uygun korumalar", nihai yasal aktarım mekanizmasıdır. Standart sözleşme maddeleri (SCC'ler), GDPR Madde 46(2)(c) kapsamında uygun güvenceler olarak hizmet edebilir. Web sitesi sahibi, konuyla ilgili olarak Google ile "eski" SCC'leri (sürüm 2010/87/EU) imzalamıştı . (Haziran 2021'de gözden geçirilmiş bir SCC seti yayınlandı.)

Ancak, Google Analytics kullanılırken veri aktarımı yalnızca tamamlanan SCC'lere bağlı olamaz. Bunun nedeni, Google'ın ABD gözetim yasalarına (FISA 702) tabi olması ve sözleşmeden doğan yükümlülüklerin tek başına "üçüncü bir ülkedeki" yetkilileri bağlamak için yetersiz olmasıdır. Yalnızca Amerika Birleşik Devletleri'ndeki yasal koruma eksikliğini telafi etmek için ek teknolojik ve organizasyonel adımlar (“tamamlayıcı önlemler”) kabul edilirse bir veri aktarımı yasaldır. DPA, Google'ın vardığı sonuç bölümünde "tamamlayıcı önlemler" konusunda yeterli kanıt sunmadığı sonucuna varmıştır.

Peki Bu Özel Durumda Yanlış Olan Neydi?

Yukarıdaki analizden, bu özel durumda, o sırada (08/14/2020) gerçekleşen Google Analytics entegrasyonunun hatalı olduğu açıktır:

  • Google Analytics'in kullanımı yalnızca eski SCC'lere dayanıyordu.
  • Veri işleme izni alınmadı.
  • IP adresi anonimleştirmesi doğru şekilde etkinleştirilmemiştir.

Google Nasıl Yanıt Verdi?

Google'ın davadaki savunması ve sonrasındaki ilk tepkisi pek güven verici değil.

Google, Google Analytics kullanılırken kişisel verilerin gerçekten ABD ile değiş tokuş edildiğini onaylar çünkü bu, hizmetin düzgün çalışması için gereklidir. Daha genel olarak Google, hizmetlerini gizlilik dostu hale getirmek için büyük çaba sarf ettiğini de belirtir.

Bu durumda, özellikle Google, Schrems II kararı temelinde gerekli olan gerekli "ek garantileri" sağladığını söylüyor. Ancak DSB, bu “ek garantilerin” gerçekte çok fazla bir anlamı olmadığına karar verdi.

Yanıt olarak Google, kullanıcının hesabında "üçüncü taraf veri paylaşımını" devre dışı bırakmayı seçebileceğini söylemekten fazlasını yapamaz. Bununla birlikte, üçüncü taraf veri paylaşımı buradaki ana yasal sorun değildir, sorun ABD hükümetinin hassas verilere potansiyel erişimidir (ve elbette, bu hiçbir yerde kapatılamaz).

Başka bir deyişle, Google'ın şu an için gerçekten bir cevabı yok. Google, iyi bir analiz aracının küresel olarak çalışması gerektiğini söylerken haklıdır ve ABD hükümeti tarafından analitik verilere potansiyel erişimin gerçekten Avrupa web sitelerinin %99'u için gerçek bir gizlilik tehdidi oluşturup oluşturmadığı da içtenlikle sorgulanabilir.

Bu Karar Sizin İçin Ne İfade Ediyor?

Bu davadan bir çıkarım varsa o da bu mahkeme kararlarını dikkate almamanın ve Google Analytics'i kullanmaya devam etmenin bir seçenek olmadığıdır.

Avusturya'da bir web sitesi işletiyorsanız veya Avusturyalılara hizmet veriyorsanız, Google Analytics'i hemen sitenizden kaldırmalısınız.

Ayrıca, diğer Avrupa Birliği Üye Devletlerindeki işletmelerin, yerel Veri Koruma Otoriteleri daha fazla işletmeyi hedeflemeye başlamadan önce harekete geçmeleri şiddetle tavsiye edilir.

Bir Avrupa şirketi olarak, hassas kullanıcı verilerini artık, Avrupa gizlilik mevzuatını kasten göz ardı eden ve Avrupalı ​​ticari müşterileri için ağır para cezaları riskiyle karşı karşıya olan Google gibi şirketlere emanet edemezsiniz.

Google Analytics'i Kullanmaya Devam Edecek Olası Çözümler

Ancak Avrupa'daki web siteleri birdenbire Google Analytics'i kullanmayı bırakmayacak.

Bu karar yasal olarak bağlayıcı hale gelene kadar, aşağıdaki en katı önlemleri uygulayarak GA'yı GDPR uyumlu bir şekilde kullanmaya devam edebilirsiniz:

  1. Google'ın DPA'larını kabul edin: Google, Standart Sözleşme Maddelerinin mevcut sürümlerini yansıtmak amacıyla tüm Google Ürünleri (DPA) için Google Veri İşleme Şartlarını revize etmiştir. Google Analytics ayarlarında yeni Google DPA'larını kabul edin (en son sürüm Eylül 2021).
  2. Veri koruma düzenlemelerinde üçüncü ülkelere olası bir veri aktarımına atıfta bulunulur.
  3. Kullanıcı onayı alın: "Bu, yalnızca onay aldıysanız Google Analytics'i ateşleyebileceğiniz ve bununla ilgili bilgileri kaydedip sağlayabileceğiniz anlamına gelir. Bir izin yönetim platformu (CMP) bu süreci kolaylaştırır.
  4. Google Analytics'in doğru yapılandırmasını kullanın: En iyi uygulamalarına göre kurulum sırasında Analytics'e hiçbir kişisel veri akmamalıdır. Bu nedenle IP anonimleştirmeyi kullanmalısınız.
  5. Sunucu tarafı izlemeye geçiş yapın: Sunucu tarafı izleme, yalnızca 1. taraf çerezlerinin ömrünü uzatmak ve bazı izleme engelleyicileri atlamak için uygun bir çözüm olmakla kalmaz, aynı zamanda verileri Google Analytics'e gönderilmeden önce uyarlama seçeneğiniz de vardır. Somut bir ifadeyle, bu, örneğin, veriler Google Analytics'e gönderilmeden önce kullanıcıların IP adreslerinin tamamen kaldırıldığı anlamına gelir.

Diğer Gizlilik Uyumlu Analiz Araçlarına Geçin

Gizlilik dünya çapında tüketiciler için giderek daha önemli hale geldiğinden, herhangi bir Avrupa işletmesinin kullanıcılarının gizliliğini korumaya öncelik veren hizmetleri seçmesi mantıklı bir adımdır.

Aşağıda, tamamen kurtulmak istemeniz durumunda GA'nın en ilgi çekici alternatiflerinden ikisini sunuyoruz.

Mantıklı

Google Analytics'e gerçek bir AB alternatifi arıyorsanız, Makul olanı deneyin. Estonya merkezli bağımsız, önyüklemeli bir projedir. Takımları Estonya ve Belçika arasında bölünmüş durumda.

Topladıkları tüm ziyaretçi verileri, Almanya'daki bir Alman şirketine (Hetzner) ait sunucularda saklanır. Küresel CDN'leri için Slovenya'ya ait bir sağlayıcı (Bunny) kullanıyorlar.

Bu davayla ilgili resmi açıklamaları hakkında daha fazla bilgiyi burada bulabilirsiniz.

matomo

Matomo, başka bir değerli GA alternatifidir.

Size tam analitik yeteneklerin yanı sıra eksiksiz veri sahipliği sağlamak için tasarlanmış açık kaynaklı bir web analitik platformudur.

Matomo, Google Analytics'e açık kaynaklı bir alternatif olarak başladı. Ayrıca, Google Analytics'e benzer şekilde, web sitenizin kullanıcıları ve web sitenizle etkileşimleri hakkında önemli raporlar sağlar. İşin ilginç yanı, dikkatinin çoğunu veri sahipliğine odaklamasıdır, böylece verileriniz tamamen size ait olabilir ve kullanıcılarınızın gizliliği korunur.

Bu davayla ilgili resmi açıklamaları hakkında daha fazla bilgiyi burada bulabilirsiniz.

Dönüştürme Kullanıcıları Bu Karardan Etkileniyor mu?

Deneyimleri Dönüştürme'de hiçbir kişisel veri kullanılmaz veya saklanmaz. Bu nedenle, deneyimleriniz ve ziyaretçileriniz yukarıdaki durumdan etkilenmez . Ayrıca, deneyim ve varyasyon verilerini kaydetmek için Avrupa karbon nötr sunucularını kullanıyoruz.

Şeffaflık için, Deneyimleri Dönüştürme'de veri kullanımıyla ilgili bazı ek notlar aşağıda verilmiştir:

  • Varsayılan olarak açık
    • Oturum tanımlama bilgisi kimliği (çerez ve sunucu önbelleğinde 20 dakika zaman aşımı). Bu, şu anda GDPR / eGizlilik Yönergesi ve eGizlilik Düzenlemeleri yorumumuza göre performans çerezleri kapsamına girmektedir.
  • Varsayılan olarak kapalı
    • Müşteriler tarafından tarayıcılar arası hedefleme etkinleştirildiğinde, diğer etki alanından almak için URL'ye benzersiz bir çerez ekleriz (GDPR tarafından kişisel veri olarak yorumlanabilir). Bu özellik, "varsayılan olarak gizlilik" politikamızın bir parçası olarak varsayılan olarak kapalıdır.
    • Müşteri tarafından oturum kimliklerinin yerine benzersiz ziyaretçi kimlikleri verildiğinde, bu kişisel veri olarak yorumlanabilir. Bu özellik, "varsayılan olarak gizlilik" politikamızın bir parçası olarak varsayılan olarak kapalıdır.
    • Coğrafi hedefleme kullanıldığında (varsayılan olarak açık değildir), doğru hedefleme için ülke, bölge ve şehri CDN'de veya sunucu önbelleğinde saklayabiliriz.

Bu kararın sonuçları geniş kapsamlıdır ve verilerin şirketler tarafından nasıl kullanıldığı konusunda emsal teşkil edebilir.

Bu kararın yalnızca Avusturyalı işletmeler veya bir şirketle iş yapan diğer şirketler için Google Analytics kullanımını etkilediğini belirtmek önemlidir, ancak diğer ülkelerin de aynı şeyi yapması olasıdır.

Google Analytics kullanıyorsanız, uyumluluğunuzu sürdürmek için gelecek düzenlemeleri takip ettiğinizden emin olun. NOYB ve diğer Avrupalı ​​gizlilik savunucuları, çevrimiçi kullanıcıların hakları için savaşmaya istekli olduklarını gösterdiler, bu nedenle gelecekte daha benzer kararlar bekleyebiliriz.