Google Analytics zakazany?
Temat, obok którego nie można przejść obojętnie. Google Analytics, najpopularniejsze narzędzie analityczne wykorzystywane zarówno przez małe firmy, korporacje, a nawet… Parlament Europejski.
Co się wydarzyło? Postaram się wytłumaczyć to jak najkrócej i jak najprościej, aby każdy, kto na co dzień nie zajmuje się tą tematyką mógł sobie to jakoś poukładać.
Google Analytics – o co chodzi z tym RODO?
Zwykle jak nie wiadomo o co chodzi, to chodzi o pieniądze, ale nie w tym przypadku. Tutaj chodzi o dostęp do danych osobowych użytkowników internetu. Google Analytics to bardzo popularne, bezpłatne narzędzie do analityki internetowej. Szacuje się, że przewarzająca większość firm obecnych w internecie i posiadających stronę www, używa tego narzędzia.
Dlaczego jest tak popularny?
1. Jest bezpłatny.
2. Daje bardzo wiele opcji.
3. Jest elementem szerokiego ekosystemu narzędzi Google, które pozwalają na sprawne pozyskiwanie klientów w sieci.
Dlaczego uznano, że Google Analytics narusza RODO?
1. Należy do firmy, która siedzibę ma w USA.
2. Dane gromadzone są na serwerach, które znajdują się w USA.
3. W narzędziach google można włączyć zbieranie danych, które powodują, że użytkownik nie jest anonimowy. Firma wprowadziła mechanizmy ich anonimizacji, ale w stopniu zdaniem austriackiego urzędu niewystarczającym.
4. Prawo USA stanowi, że służby mają możliwość zwrócić się do przedsiębiorcy, aby wydał im określone dane i przedsiębiorca ma taki obowiązek. Tu nie ma pola na dyskusje. I to jest jeden z punktów, które budzą wątpliwości. Służby mogą żądać każdego rodzaju danych, bez udowadniania, jak bardzo są istotne w danej sprawie, co narusza postanowienia RODO dotyczące proporcjonalności dostępu do informacji o osobach, czyli przyznawania dostępu tylko do tych danych, do których faktycznie jest on niezbędny.
W tle całej sprawy są prace nad porozumieniem między USA, a UE dotyczącym przepływu informacji. W tej chwili takiego porozumienia nie ma i to właśnie rodzi wiele problemów.
Kto stoi za skargami składanymi w sprawie danych osobowych na Google i nie tylko?
Decyzja z Austrii, której dotyczy cały ten tekst, jest efektem działania organizacji non profit NOYB. Jak sami o sobie piszą: Noyb wykorzystuje najlepsze praktyki grup działających na rzecz praw konsumentów, działaczy na rzecz ochrony prywatności, hakerów i prawnych inicjatyw technicznych, łączy je w stabilną europejską platformę egzekwowania prawa. Nazwa to skrót od zdania: None of your business. Więcej na temat tej organizacji, od lat walczącej o respektowanie prawa ochrony danych osobowych, znajdziecie tutaj: https://noyb.eu/
Usuwać Google Analytics ze strony… czy nie usuwać? Oto jest pytanie.
Takie pytanie pewnie przeszło Ci przez głowę. Decyzję musisz podjąć samodzielnie. Argumenty za pozostawieniem tego narzędzia (przynajmniej do czasu oficjalnego komunikatu ze strony polskich władz) mogą być takie:
- Decyzja UODO (nazwa dla odzwierciedlenia jego pozycji w Austrii, ponieważ faktycznie nazywa się: Datenschutzbehörde) nie ma wpływu na całą UE, dlatego warto poczekać, aż swoją opinie wyda nasz rodzimy urząd.
- Brak alternatyw dostępnych na rynku – jeśli są to przepraszam, za wprowadzenie w błąd, sama chętnie poznam. Wydaje mi się jednak, że nie inwestowano w rozwój płatnych narzędzi do analityki, ponieważ bezpłatny system google był potentatem na rynku takich usług.
- Z usług Google Analytics korzystają największe firmy na rynku. Nie tylko z resztą firmy, ponieważ karę za stosowanie Google Analytics otrzymał niedawno… Parlament Europejski. Też dzięki skardze złożonej przez NOYB https://noyb.eu/pl/edps-naklada-na-parlament-sankcje-w-zwiazku-z-przekazywaniem-danych-miedzy-ue-usa-do-google-i (Swoją drogą Ci aktywiści są bardzo skuteczni, nie ma co do tego wątpliwości.) Można mieć nadzieję, że kontrole zaczną sprawdzać ten aspekt rozpoczynając od tych największych graczy.
- Całkowite zaprzestanie transferu danych do firm z USA oznaczałoby nie tylko usunięcie Analytics. Musiałoby to być całkowite zaprzestanie korzystania z systemów reklamowych Google czy Facebooka. W covidowej rzeczywistości ciężko sobie wyobrazić pojedyncze firmy, które wyłączają narzędzia sprowadzające klientów i dające im szansę na przetrwanie w nowej rzeczywistości. A więc albo z tych narzędzi zrezygnują wszyscy, albo firmy będą ryzykować naruszenie przepisów aby nadal skutecznie walczyć o klientów.
- Z ostatniej chwili – dziś (26.01.2022) podczas rozmowy z konsultantem Facebook’a zapytałam, czy mają już rozwiązanie tego problemu. Pani odpowiedziała, że temat znają i pracują nad jego rozwiązaniem, nie ma w tej informacji, która mogłaby mi przekazać oficjalnie, ale jak tylko będzie można o tym mówić, niezwłocznie udostępnią odpowiedni komunikat. Więc może warto chwilę poczekać, zwłaszcza, że jeszcze nie ma decyzji polskiego UODO.
Oczywiście to są moje wnioski z obecnej sytuacji. Każdy może wyciągnąć inne. Za uchybienia w ochronie danych osobowych odpowiadamy majątkiem naszych firm, więc lepiej być ostrożnym i decyzje podejmować samodzielnie.
A co doradza prawnik, specjalizujący się RODO?
O opinię poprosiłam Urszulę Giercarz z Kancelarii Prawnej Anna Giercarz.
– Znów zacznie się narzekanie na RODO, jednak nie mam dobrych wiadomości dla przedsiębiorców, ponieważ nie ma żadnego bezpiecznego prawnie rozwiązania i korzystanie z Google Analytics jest sprzeczne z obowiązującymi przepisami. A niestety nie mamy alternatyw dla firm typu Google, Facebook czy Microsoft.
Jak większość specjalistów, zgadzam się z opinią Maxa Schremsa – założyciela NOYB, który przekonuje, że mamy dwa wyjścia w tej sytuacji: albo amerykańskie firmy pozostawią dane Europejczyków w Europie, albo Amerykański rząd zreformuje zasady dostępu służb do danych obcokrajowców.- wyjaśnia.
– Sprawa dodatkowo nie jest nam tak odległa, ponieważ NOYB, złożył skargi na korzystanie z Google Analytics na m.in. PKO BP, Interię, TVN, TVP, PKO oraz Onet, i spodziewam się, że nasz rodzimy Urząd Ochrony Danych nie będzie się różnił się stanowiskiem od urzędu z Austrii. Każdemu z Państwa na dziś polecam sprawdzenie cookies na stronie oraz dostosowanie ich do obecnych wytycznych, ponieważ skargi nie dotyczą tylko dużych przedsiębiorców – ostrzega prawnik.
Podsumowując…
Eksperci sugerują kilka możliwych rozwiązań tej sytuacji. Sam Google i inne firmy z USA muszą zmienić sposób szyfrowania danych, aby nie dało się ich wtórnie odtworzyć, co ponoć w przypadku Analytics’a dzisiaj jest możliwe (piszę „ponoć”, ponieważ nie jestem tu ekspertem, ale na takie opinie się natknęłam). Dodatkowo wskazuje się jako rozwiązanie utworzenie europejskiego data center, aby danych nie transferować na teren USA. W Europie musiałyby podlegać GDPR (RODO), więc byłyby przetwarzane poprawnie. Z pomocą przyszłaby nowa umowa o przetwarzaniu danych pomiędzy UE i USA, ponieważ ich transfer jest konieczny, jeśli ma być prowadzona jakakolwiek współpraca. A na tej wszystkim od lat zależy.
Więcej informacji m. in. tutaj:
