Skip to main content

Означает ли решение Schrems II, что Google Analytics не соответствует GDPR?

Для многих компаний в ЕС и США 2022 год добавил еще один кризис, с которым нужно справиться: продолжение Шремса II, объявившего, что Google Analytics не соответствует требованиям GDPR.

Что такое Шремс II?

Комиссар по защите данных против Facebook в Ирландии и Максимилиан Шремс, также известный как Шремс II, завершился 16 июля 2020 года. Короче говоря, решение Европейского суда аннулировало соглашение о защите конфиденциальности между ЕС и США, соглашение, в котором указаны требования к защите личных данных. данные граждан ЕС отправлены в США.

Это дело ставит под сомнение соответствие требованиям GDPR использования любых серверов, принадлежащих и управляемых США, в связи с тем фактом, что личные данные из ЕС отправлялись на облачные серверы Facebook в США, а также — в соответствии с Законом о облачных технологиях — Службой внешней разведки США. Закон и другая официальная политика - могли быть доступны разведывательным службам США. Короче говоря, персональные данные граждан ЕС не защищены должным образом в соответствии с GDPR, когда они передаются на серверы компаний США.

Решение Шремса II в Австрии

После решения по делу ШремсаII некоммерческий нойб (Европейский центр цифровых прав), основанный Максом Шремсом, подал 101 жалобу на различные компании, которые передавали данные граждан ЕС компаниям США. Одна из таких жалоб была направлена против netdocktor.at, медицинского веб-сайта, который использовал Google Analytics для отслеживания посетителей веб-сайта. Как и многие компании, netdoktor продолжал использовать Google Analytics, несмотря на решение Европейского суда. Google, а также другие американские компании (Amazon, Facebook, Microsoft и т. д.) полагались на стандартные договорные положения (SCC) и технические и организационные меры (TOM), чтобы убедить партнеров из ЕС в том, что их меры физической и цифровой защиты ( заборы вокруг центров обработки данных, шифрование данных, псевдонимные данные и т. д.) было достаточно, чтобы защитить свои данные.

Но в случае с netdoktor Австрийский орган по защите данных («Datenschutzbehörde» или «DSB») решил, что этого недостаточно. Google Analytics нарушает GDPR.Они объясняют:

« Что касается изложенных договорных и организационных мер, то неясно, в какой степени [эта мера] эффективна в смысле вышеизложенных соображений».

« Что касается технических мер, то также неясно (...), в какой степени [эта мера] фактически предотвратит или ограничит доступ разведывательных служб США с учетом законодательства США».

На основании этого решения многие эксперты считают, что это только начало. Есть еще много жалоб, ожидающих своего решения в суде, и ожидается, что аналогичные решения будут приняты другими странами-членами ЕС.

DSB также заявил в своем решении, что они будут продолжать расследование Google в отношении правил передачи данных правительству США без явного согласия экспортера данных из ЕС.

Штрафы в этом деле пока не предусмотрены, но если суд все-таки примет решение, то они могут составить до 4% от мирового оборота компании.

Влияние на пользователей Google Analytics

Мы не юристы и не можем давать юридические консультации, но кажется, что любая компания, которая обрабатывает данные граждан ЕС с помощью услуг, предоставляемых компаниями из США, подвергается риску. С точки зрения веб-аналитики Google Analytics является номером один в мире, но есть много других, с которыми следует быть осторожными. Всегда проверяйте, где зарегистрирована компания и где расположены ее центры обработки данных.

В долгосрочной перспективе это означает, что правительству США и американским провайдерам придется внести огромные изменения в свою текущую политикуи инфраструктуру: принять законодательство, защищающее данные иностранных граждан, и разместить иностранные данные за пределами США. Европейская комиссия стремится найти замену программе Privacy Shield между ЕС и США, но в настоящий момент нет законного пути вперед. Переговоры продолжаются, но все еще требуют правовых изменений со стороны США. И, исходя из нынешнего политического и экономического климата, в обозримом будущем это кажется маловероятным.

Будущее данных веб-аналитики

Поскольку суд пришел к выводу, что Google Analytics не соответствует GDPR, что Google отрицаетв недавнем заявлении, вопрос заключается в том, куда компании обращаются за безопасными данными веб-аналитики с низким уровнем риска. Первым шагом будет исследование компаний, базирующихся в ЕС, которые используют анонимизацию IP-адресов, не хранят пользовательские данные и соблюдают GDPR, TTDSG, CCPA и другие законы о конфиденциальности данных, такие как Visitor Analytics!

Полное решение DSB на немецком языке можно найти здесь.