В начале текущего года специалисты по работе с персональными данными активно обсуждали новость о принятом в декабре прошлого года австрийским учреждением по надзору за данными решении, которым фактически признано, что использование Google Analytics противоречит Общему регламенту о защите данных (ОРЗД). В феврале аналогичное решение приняло и французское надзорное учреждение. В этой статье мы попробуем смоделировать, какие последствия данные решения могут иметь для пользователей услуги, в том числе в Латвии.

Для достижения каких целей используется Google Analytics?

Google Analytics – это сервис, предлагаемый Google и широко используемый предпринимателями, который предоставляет возможность получить данные о посещениях пользователей, что позволяет владельцам интернет-страниц или приложений анализировать, как люди используют их страницу или приложение, какие разделы посещают чаще всего, что свидетельствует о повышенном интересе, и т.п.

Чтобы обеспечивать такую услугу, Google использует набор cookie-файлов, который фактически присваивает каждому посетителю уникальный идентификатор. Европейские учреждения по надзору за данными считают, что такой идентификатор содержит персональные данные, поэтому с особой осторожностью смотрят на то, что Google пересылает информацию в США, поскольку принятый там уровень защиты персональных данных значительно ниже европейских стандартов.

Почему учреждения так решили?

Европейский центр цифровых прав (NOYB), одним из создателей которого является знаменитый Макс Шремс (Max Schrems), подготовил несколько жалоб на несоответствующую обработку персональных данных. Жалобы были поданы во всех странах – участницах ЕС/ЕЭЗ против 101 европейского предприятия, пересылающего данные о каждом посетителе Google или Facebook. Представители NOYB считают, что с учетом решения Суда Европейского союза по так называемому делу Schrems II пересылка персональных данных в США недопустима, поскольку не обеспечивает достаточную защиту отправленных персональных данных.

После решения по делу Schrems II широко обсуждалось, какие меры безопасности следует применить, чтобы считать отправку персональных данных за пределы ЕС/ЕЭЗ достаточно защищенной. Европейская коллегия по защите данных предоставила рекомендации о принимаемых мерах, была разработана новая редакция стандартных оговорок, приняты другие меры и предоставлены разъяснения, которые должны были помочь предприятиям, отправляющим персональные данные за пределы ЕС/ЕЭЗ, обеспечить соответствующие мероприятия. Однако NOYB считает, что Google и Facebook все еще нарушают требования ОРЗД, поэтому нельзя оправдать действия предприятий, которые, например, свободно предоставляют персональные данные Google, используя услугу Google Analytics.

И австрийское, и французское надзорные учреждения проанализировали способность Google при отправке в США персональных данных, полученных посредством Google Analytics, обеспечить им надлежащую защиту. Оба учреждения пришли к выводу, что, несмотря на внедренные Google дополнительные меры безопасности и использование стандартных оговорок, персональным данным не обеспечивается адекватная защита, поэтому отправка персональных данных в США не является оправданной. Фактически это означает, что предприятия, использующие услугу Google Analytics, нарушают требования ОРЗД.

Какие могут быть последствия?

Поскольку жалобы NOYB поданы в нескольких странах ЕС, ожидается, что аналогичные выводы вскоре подтвердятся решениями и других надзорных учреждений. Это ожидается еще и потому, что французское учреждение, прежде чем принять собственное решение, сотрудничало с остальными европейскими надзорными учреждениями.

Скорее всего, Google придется решать, можно ли обеспечить такой же объем и качество услуг, если Google Analytics будет обрабатывать анонимизированные или псевдонимизированные данные. Возможно, Google сумеет ввести в данную услугу такие защитные меры, которые позволят Google без опасений отправлять персональные данные в США.

В любом случае принятие решений или внедрение дополнительных защитных мер, несомненно, потребует времени, поэтому уже сейчас предприятиям следует оценить, стоит ли продолжать использовать услуги Google Analytics в нынешнем формате, чтобы не нарушать требования ОРЗД и не получить штраф. Дополнительно мы советуем предприятиям обратить повышенное внимание на другие процессы обработки персональных данных, в рамках которых персональные данные могут отправляться за пределы ЕЭЗ. Это происходит не только при использовании Google Analytics, но и в случае если предприятие, к примеру, оказывает услуги другим предприятиям группы, расположенным за пределами ЕЭЗ, или предприятия группы пользуются одной базой данных и т.п.