Google Analytics: пользуемся или нет?
13 января 2022 г. было опубликовано решение австрийского надзорного органа о том, что использование сервиса Google Analytics не соответствует решению Суда Европейского союза (“Schrems II”). При этом компания Google не пострадала. Как так получилось и можно ли использовать сервис Google Analytics при обработке персональных данных субъектов из ЕС?
Содержание
Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
Макс Шремс наносит очередной удар
Решение австрийского надзорного органа против сайта, название которого не указывается, стало одной из первых ласточек инициативы активиста в области приватности Макса Шремса и основанной им некоммерческой организации NOYB (“None of your business” – “Не ваше дело”). После того, как в 2020 году было вынесено решение Суда Европейского союза об отмене Privacy Shield (“Щит приватности” – соглашение между Евросоюзом и США о правилах передачи пользовательских данных компаниями), NOYB отправила в общей сложности 101 жалобу в надзорные органы почти всех стран, входящих в ЕС. Цель этих жалоб – сформировать практику, запрещающую передачу данных в США, поскольку законодательство США о слежке позволяет органам госбезопасности, разведки и т.д. собирать терабайты информации о любом человеке, находящемся в любой точке планеты, что не соответствует стандартам ЕС в области защиты персональных данных.
Согласно Разделу 702 Закона о негласном наблюдении в целях внешней разведки (Foreign Intelligence Surveillance Act, FISA) компания Google, предоставляя электронные коммуникационные услуги, может быть объектом наблюдения со стороны разведывательных органов США. Эти органы могут наблюдать не только за компанией, но и за ее клиентами – то есть, за всеми пользователями сервисов Google независимо от их гражданства и места нахождения. Для такой слежки не требуется ни причины, ни ордера.
Идеальной развязкой станет вынужденное изменение Штатами собственного законодательства о слежке, поскольку для американских техногигантов (таких, как Google, Facebook, Apple) доступ к персональным данным европейцев имеет большое значение. Идеальной – но реальной ли?
Кто пострадал?
Хотя компания Google заявила о применении многочисленных технических и организационных мер защиты персональных данных (шифрование, ограничение доступа персонала и посторонних лиц, защита данных при передаче и т.д.), австрийский надзорный орган счел эти меры недостаточными для того, чтобы эффективно воспрепятствовать доступу разведывательных органов США к персональным данным.
Однако следует отметить, что первым “пострадавшим” стал вовсе не Google, а тот сайт, принадлежащий австрийскому издательству, на котором была установлена система Google Analytics. Почему так? Потому что, как считает надзорный орган, требования Главы V GDPR о трансграничной передаче данных распространяются именно на экспортера персональных данных – то есть, на австрийскую компанию. Согласно п. 1 ст. 46 GDPR, при отсутствии решения об адекватности контролер или процессор может передавать персональные данные в третью страну или международную организацию, только если контролер или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты. Соответственно, обеспечить безопасность в “стране назначения” – задача экспортера данных, который, например, предусматривает применение соответствующих мер в стандартных условиях о защите (Standard Contractual Clauses, SCC) – соглашении, подписываемом с импортером. Оно должно включать обязанности импортера по защите персональных данных, причем конкретный перечень мер определяется для каждой страны и отрасли (а иногда – и для конкретного импортера) отдельно, чтобы максимально предотвратить обнаруженные риски.
Австрийский надзорный орган, ознакомившись в том числе с SCC, заключенным с компанией Google, посчитал изложенные там меры не соответствующими рискам, в связи с чем пришел к выводу, что австрийская компания – пользователь Google Analytics – не исполнила свои обязанности, предусмотренные Главой V GDPR.
Таким образом, формально компания Google, как импортер данных, не пострадала. Однако на деле такое решение станет, вероятно, первым в цепочке аналогичных решений, вынесенных надзорными органами других стран ЕС, и приведет к тому, что европейские компании будут выбирать другие сервисы сбора аналитики. Это естественно, ударит по Google Analytics.
Что делать?
Решение австрийского надзорного органа против использования сервиса Google Analytics оказалось хоть и громким, но не единственным. Также в январе 2022 г. Европейский инспектор по защите персональных данных (European Data Protection Supervisor, EDPS) вынес решение против Европарламента за использование Google Analytics и платежного сервиса Stripe. И хотя чтобы говорить о сложившейся практике, нам нужно больше решений, европейцы, скорее всего, откажутся от Google Analytics и Stripe. По крайней мере, до тех пор, пока эти сервисы не докажут соблюдение ими стандартов GDPR.
Поэтому если вы используете Google Analytics или Stripe, мы рекомендуем обратить внимание на другие платежные и аналитические сервисы. Иметь запасной вариант – всегда хорошее решение.