Skip to main content

Чи означає рішення Schrems II, що Google Analytics не відповідає GDPR?

Для багатьох компаній у ЄС та США 2022 рік додав ще одну кризу, з якою потрібно впоратися: подальші заходи після того, як Schrems II заявляє, що Google Analytics не відповідає GDPR.

Що таке Schrems II?

Комісар із захисту даних проти Facebook Ірландії та Максиміліана Шремса, також відомого як Шремс II, укладено 16 липня 2020 року. Коротше кажучи, рішення Європейського суду скасувало Щит конфіденційності ЄС-США, угоду, яка вказувала вимоги щодо захисту персональних даних. дані громадян ЄС, надіслані до США.

Цей випадок поставив під сумнів використання будь-яких серверів, які належать і керують США, відповідно до GDPR, через той факт, що особисті дані з ЄС надсилалися на хмарні сервери Facebook у США, а також - відповідно до Закону про ХМАРУ, нагляд зовнішньої розвідки США Закон, а також інші офіційні правила - потім могли отримати доступ до спецслужб США. Коротше кажучи, персональні дані громадян ЄС не захищені належним чином відповідно до GDPR, коли вони передаються на сервери американських компаній.

Рішення Шремса II в Австрії

Після рішення Schrems II неприбуткова організація noyb(Європейський центр цифрових прав), заснована Максом Шремсом, подала 101 скаргу на різні компанії, які передавали дані громадян ЄС американським компаніям. Одна з таких скарг була на netdocktor.at, веб-сайт охорони здоров’я, який використовував Google Analytics для відстеження відвідувачів веб-сайту. Як і багато компаній, netdoktor продовжував використовувати Google Analytics, незважаючи на рішення Європейського суду. Google, а також інші американські компанії (Amazon, Facebook, Microsoft тощо) покладалися на стандартні контрактні положення (SCC) і технічні та організаційні заходи (TOM), щоб переконати партнерів ЄС у тому, що їхні заходи фізичного та цифрового захисту ( паркани навколо центрів обробки даних, шифрування даних, псевдонімні дані тощо) було достатньо для захисту їхніх даних.

Але у випадку netdoktor Австрійський орган із захисту даних («Datenschutzbehörde» або «DSB») вирішив, що цього недостатньо. Google Analytics порушує GDPR.Вони пояснюють:

« Що стосується викладених договірних та організаційних заходів, то незрозуміло, наскільки [захід] ефективний у сенсі вищезазначених міркувань».

«Що стосується технічних заходів, то також не можна розпізнати (...), наскільки [захід] фактично перешкоджатиме або обмежує доступ розвідувальних органів США з урахуванням законодавства США».

Виходячи з цього рішення, багато експертів вважають, що це лише початок. Є ще багато скарг, які чекають свого дня в суді, і очікується, що подібні рішення приймуть інші країни-члени ЄС.

DSB також вказав у своєму рішенні, що вони будуть додатково досліджувати Google щодо правил передачі даних уряду США без явної згоди експортера даних ЄС.

Штрафів у цій справі поки що не передбачено, але якщо суд все-таки вирішить це зробити, вони можуть становити до 4% світового обороту компанії.

Вплив на користувачів Google Analytics

Ми не юристи і не можемо надавати юридичні консультації, але схоже, що будь-яка компанія, яка обробляє дані громадян ЄС за допомогою послуг, що надаються американськими компаніями, знаходиться під загрозою. З точки зору веб-аналітики, Google Analytics є номером один у світі, але є багато інших, з якими слід бути обережними. Завжди перевіряйте, де зареєстрована компанія та де розташовані її центри обробки даних.

У довгостроковій перспективі це означає, що уряду США та американським постачальникам доведеться внести значні зміни в свою поточну політикута інфраструктуру: ухвалити законодавство, яке захищає дані іноземних громадян, і розміщувати іноземні дані за межами США. Європейська комісія прагне знайти заміну Щиту конфіденційності ЄС-США, але наразі немає правового шляху вперед. Переговори тривають, але все ще потребують правових змін з боку США. І виходячи з нинішнього політичного та економічного клімату, ці речі здаються малоймовірними в осяжному майбутньому.

Майбутнє даних веб-аналітики

Оскільки суд дійшов висновку, що Google Analytics не відповідає GDPR, що Google заперечуєв нещодавній заяві, виникає питання, куди звертатися компанії за безпечними даними веб-аналітики з низьким рівнем ризику. Першим кроком було б дослідити компанії, що базуються в ЄС, які використовують анонімізацію IP-адреси, які не зберігають дані користувачів і які відповідають GDPR, TTDSG, CCPA та іншим законам про конфіденційність даних, як-от Visitor Analytics!

Повне рішення DSB німецькою мовою можна знайти тут.