Является ли Google Analytics незаконным в ЕС?

В начале 2022 года австрийские и французские органы по защите персональных данных заявили, что использование Google Analytics является незаконным для европейских компаний из-за нарушения конфиденциальности. Теперь норвежское и датское ведомства по защите данныхобъяснили, как компании могут продолжать использовать Google Analytics в соответствии с законом.

Норвежское управление по защите данных объясняет:

"После решений наших европейских коллег мы более внимательно изучили инструмент и конкретные настройки, которые можно использовать, если вы хотите использовать Google Analytics. Это было особенно актуально, поскольку после первого решения, принятого в Австрии, Google начал предоставлять дополнительные настройки в отношении того, какая информация может быть собрана с помощью этого инструмента. Тем не менее, вывод по-прежнему таков: инструмент нельзя использовать законно".

Так является ли Google Analytics незаконным в Европе?

И да, и нет. Для европейских компаний использование Google Analytics "как есть" является незаконным. Применяя технические меры, такие как псевдонимизация, все же возможно использовать Google Analytics в соответствии с GDPR.

Как использовать GA в соответствии с GDPR?

Возможной технической мерой, которую необходимо учитывать при использовании Google Analytics, является псевдонимизация. Согласно европейскому GDPR, Google не должен иметь возможности узнать, чьи данные он просматривает. Сюда входят IP-адреса людей, а также другая информация, позволяющая сделать выводы о личности человека.

Поэтому, чтобы очистить данные перед отправкой в Google, европейские компании должны отправлять их через обратный прокси-сервер.

Вот подробная инструкция французского CNIL о том, как отправить данные аналитики в Google через прокси-сервер.

Однако это легче сказать, чем сделать. Решение, описанное CNIL - Национальной комиссией по информатике и свободам - представляет собой запутанный технический беспорядок.

Идея заключается в том, что вместо того, чтобы направлять весь трафик Google Analytics непосредственно на серверы Google, компании могут передавать его через сервер, который они контролируют и который находится в ЕС.

Чтобы соответствовать требованиям GDPR о конфиденциальности, компании из ЕС также должны очищать данные от любой персональной информации.

Примечательно, что в рекомендации CNIL также указано, что необходимо очистить все параметры UTM-запросов, так называемые идентификаторы кампаний. Это требование делает использование Google Analytics бессмысленным. Зачем компании использовать Google Analytics, если они не могут использовать данные, чтобы узнать, какая рекламная кампания работает хорошо, а какая - нет?

К счастью, в Европе существует множество альтернатив Google Analytics, например, Matomo, Piwik, Plausible или Econda.

Австрийское и французское решения

После австрийского решения, принятого в феврале 2022 года, французский орган по контролю за соблюдением конфиденциальности CNIL также заявил, что Google Analytics нарушает GDPR и поэтому должен быть запрещен. CNIL опубликовала заявление:

"CNIL в сотрудничестве со своими европейскими коллегами проанализировала условия, на которых данные, собранные с помощью этого сервиса [Google Analytics], передаются в США. CNIL считает, что эти передачи незаконны, и предписывает менеджеру французского сайта соблюдать GDPR и, при необходимости, прекратить использование этого сервиса на существующих условиях".

Щит конфиденциальности признан недействительным

Когда в 2020 году законодательство " Щита конфиденциальности" было признано недействительным, это имело далеко идущие последствия для американских онлайн-сервисов, работающих в Европе: Им больше не разрешалось передавать данные европейских граждан в США, поскольку это сделало бы данные европейских граждан уязвимыми для американской массовой слежки - явное нарушение европейского GDPR.

Однако технологическая индустрия Силиконовой долины в основном проигнорировала это постановление. Теперь это привело к тому, что Google Analytics запрещен в Европе. NOYB заявляет:

"Хотя это (=неподтверждение Privacy Shield) послало шоковую волну через технологическую индустрию, американские провайдеры и экспортеры данных из ЕС в основном проигнорировали это дело. Подобно Microsoft, Facebook или Amazon, Google полагался на так называемые "Стандартные положения контракта", чтобы продолжать передачу данных и успокоить своих европейских деловых партнеров."

Теперь Австрийское управление по защите данных делает тот же аккорд, что и Европейский суд, объявляя Privacy Shield недействительным: Оно решило, что использование Google Analytics является незаконным, поскольку нарушает Общее положение о защите данных (GDPR). Google "находится под наблюдением спецслужб США и может получить приказ раскрыть им данные европейских граждан". Поэтому данные европейских граждан не могут быть переданы через Атлантику.

Оригинал решения австрийского суда.

Машинный перевод оригинального решения.

О чем было судебное дело?

14 августа 2020 года пользователь Google зашел на австрийский сайт, посвященный вопросам здоровья. Этот сайт использовал Google Analytics, и данные о пользователе были переданы в Google в США. На основании этих данных Google смог определить, кем является пользователь.

18 августа 2020 года пользователь Google подал жалобу в австрийский орган по защите данных с помощью организации по защите данных NOYB.

Теперь австрийский суд признал эту передачу данных Google Analytics незаконной в Европе.

Данные не защищены должным образом

Речь идет о том, что в соответствии с американским законом CLOUD Act власти США могут требовать личные данные от Google, Facebook и других американских провайдеров, даже если они работают за пределами США, например, в Европе.

Таким образом, Google не может обеспечить адекватный уровень защиты в соответствии со статьей 44 GDPR - это явное нарушение европейских гарантий защиты данных. Стандартные договорные положения, на которые ссылается оператор сайта, не помогают, что было признано в 2020 году Европейским судом (ЕСП) в его решении по "Щиту конфиденциальности" (Schrems II).

Доказательства злоупотребления данными не требуются

Решающим фактором для правовой оценки использования Google Analytics является не то, действительно ли американская спецслужба получила данные или Google действительно идентифицировал пользователя. Сам факт того, что это теоретически было возможно, уже является нарушением GDPR.

Пользователи Google, однако, могут сделать настройку в своих аккаунтах Google, чтобы запретить Google детально оценивать использование ими сторонних веб-сайтов. Но то, что такая функция существует, является доказательством того, что Google способен объединить данные об использовании с данными о человеке.

Крупнейший успех NOYB

Это постановление является одним из самых больших успехов организации по защите данных NOYB на сегодняшний день. Следовательно, NOYB и Макс Шремс очень рады решению австрийского суда:

"Это очень подробное и обоснованное решение. Итог таков: Компании больше не могут использовать американские облачные сервисы в Европе. Прошло уже 1,5 года с тех пор, как суд подтвердил это во второй раз, так что настало время, чтобы закон был исполнен".

Это решение - первое среди 101 иска некоммерческой организации NOYB Шремса в большинстве стран-членов Европейского Союза.

Теперь ожидается, что аналогичные решения о запрете Google Analytics будут вынесены в Германии, Нидерландах и других странах-членах ЕС.

Удалить Google Analytics?

Tutanota - как безопасный почтовый сервис, уделяющий особое внимание конфиденциальности пользователей - никогда не использовала Google Analytics.

Но теперь многие компании в Европе должны спросить себя, стоит ли им удалять Google Analytics со своих сайтов или рисковать получить штраф за нарушение GDPR.

В долгосрочной перспективе будет два варианта: Либо Соединенные Штаты изменят свои законы о слежке, чтобы укрепить свой технологический бизнес, либо американским провайдерам придется размещать данные европейских пользователей в Европе.

Голландский орган по персональным данным (AP), в котором до сих пор рассматриваются два решения по использованию Google Analytics, обновил свое руководство по "настройке Google Analytics с учетом конфиденциальности".

В этом обновлении AP выпустила предупреждение:

"Обратите внимание: использование Google Analytics вскоре может быть больше не разрешено".

Хотя датское и норвежское ведомства по защите данных теперь объясняют, как можно использовать Google Analytics в соответствии с законом в Европе, представленное решение не представляется возможным из-за его невероятной сложности.

Заключение

Хотя технологические компании Кремниевой долины найдут способ продолжать предлагать свои услуги в Европе - так или иначе, - подход, который они применили после отмены Privacy Shield, должен вызвать несколько тревожных сигналов у европейских компаний:

Как европейская компания, она больше не может доверять конфиденциальные данные пользователей таким компаниям, как Google, которые намеренно игнорируют европейское законодательство о конфиденциальности и рискуют наложить крупные штрафы на своих европейских клиентов.

Решение о штрафах в отношении австрийского веб-сайта, посвященного здравоохранению, еще не принято, но в худшем случае штраф составит 20 миллионов евро или 4% от годового объема продаж.

Поскольку конфиденциальность становится все более важной для потребителей по всему миру, логичным шагом для любого европейского бизнеса является выбор услуг, которые направлены на защиту частной жизни пользователей.

Европейскими альтернативами Google Analytics являются Matomo, Piwik, Plausible или Econda - и это лишь некоторые из них.

Если вы хотите заменить и другие сервисы Google, ознакомьтесь с нашим руководством по возвращению конфиденциальности в Интернете с помощью множества альтернатив Google.

Например, отличной альтернативой Gmail является Tutanota, безопасный немецкий почтовый провайдер, полностью соответствующий GDPR. 😉.