Skip to main content

האם החלטת Schrems II אומרת ש-Google Analytics אינו תואם GDPR?

עבור חברות רבות באיחוד האירופי ובארה"ב, שנת 2022 הוסיפה עוד משבר לניהול: ההמשך ל-Schrems II שהכריז ש-Google Analytics אינו תואם GDPR.

מה זה Schrems II?

Data Protection Commissioner v Facebook Ireland ומקסימיליאן Schrems, הידוע גם בשם Schrems II, הסתיימו ב-16 ביולי 2020. בקצרה, החלטת בית המשפט האירופי לצדק ביטלה את מגן הפרטיות של האיחוד האירופי-ארה"ב, ההסכם שקבע דרישות הגנה לפרטיות האישית. נתונים של אזרחי האיחוד האירופי שנשלחו לארה"ב.

מקרה זה העמיד בסימן שאלה את השימוש התואם GDPR בכל שרת בבעלות ובהפעלה של ארה"ב, הנובע מהעובדה שנתונים אישיים מהאיחוד האירופי נשלחו לשרתי ענן של פייסבוק בארה"ב, וכן - על פי חוק CLOUD, מעקב מודיעין זר של ארה"ב לאחר מכן, סוכנויות הביון האמריקאיות יוכלו לגשת לחוק ומדיניות רשמית אחרת. בקצרה, הנתונים האישיים של אזרחי האיחוד האירופי אינם מוגנים כראוי בהתאם ל-GDPR כאשר הם מועברים לשרתים של חברות אמריקאיות.

החלטת שרמס השנייה באוסטריה

לאחר החלטת Schrems II, עמותת noyb(המרכז האירופי לזכויות דיגיטליות), שהוקמה על ידי מקס שרמס, הגישה 101 תלונות נגד חברות שונות שהעבירו את הנתונים של אזרחי האיחוד האירופי לחברות אמריקאיות. תלונה אחת כזו הייתה נגד netdocktor.at, אתר בריאות שהשתמש ב-Google Analytics כדי לעקוב אחר מבקרים באתר. כמו חברות רבות, netdoktor המשיכה להשתמש בגוגל אנליטיקס למרות החלטת בית הדין האירופי לצדק. גוגל, כמו גם חברות אחרות בארה"ב (אמזון, פייסבוק, מיקרוסופט וכו') הסתמכו על סעיפי חוזה סטנדרטיים (SCCs) ואמצעים טכניים וארגוניים (TOMs) כדי לעזור לשכנע את שותפי האיחוד האירופי שאמצעי ההגנה הפיזיים והדיגיטליים שלהם ( גדרות סביב מרכזי נתונים, הצפנת נתונים, נתונים בדויים וכו') הספיקו כדי להגן על הנתונים שלהם.

אבל במקרה netdoktor, הרשות האוסטרית להגנת המידע ("Datenschutzbehörde" או "DSB"), החליטה שזה לא מספיק. Google Analytics מפר את ה-GDPR.הם מסבירים:

" באשר לאמצעים החוזיים והארגוניים שפורטו, לא ברור באיזו מידה [האמצעי] יעילים במובן של השיקולים לעיל."

"בכל הנוגע לאמצעים הטכניים, גם לא ניתן לזהות (...) באיזו מידה [הצעד] אכן ימנע או יגביל גישה של סוכנויות ביון אמריקאיות המתחשבות בחוק האמריקני".

בהתבסס על החלטה זו, מומחים רבים מאמינים שזו רק ההתחלה. עדיין ישנן תלונות רבות הממתינות לקבל את יומן בבית המשפט, וצפוי שהחלטות דומות יתקבלו על ידי מדינות אחרות החברות באיחוד האירופי.

ה-DSB גם הצהירו בהחלטתם שהם יחקרו את גוגל באשר לכללי העברת הנתונים לממשלת ארה"ב ללא הסכמה מפורשת של יצואן הנתונים של האיחוד האירופי.

עדיין לא ניתנו עונשים במקרה זה, אך אם בית המשפט יחליט לעשות זאת, הם עשויים להגיע ל-4% מהמחזור העולמי של חברה.

השפעה על משתמשי Google Analytics

אנחנו לא עורכי דין ואיננו יכולים להציע ייעוץ משפטי, אבל נראה שכל חברה שמעבדת את הנתונים של אזרחי האיחוד האירופי באמצעות שירותים הניתנים על ידי חברות בארה"ב נמצאת בסיכון. במונחים של ניתוח אינטרנט, גוגל אנליטיקס הוא מספר אחד בעולם, אבל יש הרבה אחרים שצריך להיזהר מהם. בדוק תמיד היכן החברה מאוגדת והיכן ממוקמים מרכזי הנתונים שלה.

לטווח ארוך, המשמעות היא שממשלת ארה"ב וספקים בארה"ב יצטרכו לבצע שינויים עצומים במדיניותובתשתית הנוכחית שלהם: העברת חקיקה המגנה על הנתונים של אזרחים זרים ואירוח נתונים זרים מחוץ לארה"ב. הנציבות האירופית להוטה למצוא תחליף למגן הפרטיות של האיחוד האירופי-ארה"ב, אבל כרגע אין דרך חוקית קדימה. המשא ומתן נמשך, אך עדיין דורש שינויים משפטיים בצד האמריקאי. ובהתבסס על האקלים הפוליטי והכלכלי הנוכחי, הדברים האלה נראים לא סבירים בעתיד הנראה לעין.

העתיד של נתוני ניתוח אינטרנט

מאחר שבית המשפט הגיע למסקנה שגוגל אנליטיקס אינו תואם את ה-GDPR, מה שגוגל הכחישהבהצהרה לאחרונה, השאלה היא לאן חברות פונות כדי לקבל נתוני ניתוח אינטרנט בטוחים בסיכון נמוך. הצעד הראשון יהיה לחקור חברות המבוססות באיחוד האירופי, המשתמשות באנונימיזציה של IP, שאינן מאחסנות נתוני משתמשים ושתואמות ל-GDPR, TTDSG, CCPA וחוקי פרטיות נתונים אחרים - כמו Visitor Analytics!

את החלטת DSB המלאה, בגרמנית, ניתן למצוא כאן.