Je li Google Analytics ilegalan? Jest, ako se pogrešno implementira!

Vijest tjedna: Google Analytics proglašen nezakonitim!, proširilo se nekidan brzinom munje u krugovima domaćih stručnjaka za digitalne medije, analitiku i GDPR. S obzirom na to da Google Analytics za praćenje statistika posjećenosti koristi valjda svaka web stranica, to bi bila vijest godine, a ne tjedna.

Povod i temelj zaključka da web stranice koje koriste Google Analytics za praćenje statistika posjećenosti krše Europsku uredbu o zaštiti privatnih osobnih podataka (GDPR) bila je odluka austrijskog regulatornog tijela u jednoj od 101 pritužbi koje je pokrenula udruga za zaštitu digitalnih prava NOYB (None of Your Business).

Dodano: o pitanju se vrlo brzo oglasio i Google, s obizirom na paniku koja je nastala među europskim korisnicima Google Analyticsa. Njihov glavni pravnik Kent Walker kaže da Google Analytics nije ilegalan, ali upozorava na pravnu nesigurnost te poziva EU i SAD da što prije završe pregovore i usvoje sporazum koji slijedi Štit privatnosti.

“IP adresa jest osobni podatak”

Austrijski DBS (nadzorno tijelo za zaštitu podataka) zaključilo je da web stranica netdoktor.at krši poglavlje V. GDPR-a jer koristi Google Analytics putem kojega podatke svojih posjetitelja – a sporne su IP adrese i podaci kolačića – šalje u podatkovne centre u Americi. Pravnica i stručnjakinja za zaštitu podataka Ana Bačić kaže da eksperte koji se time bave ova odluka nije nimalo iznenadila te sumira što se u odluci zapravo navodi:

• da je vlasnik jedne web stranice koristio Google Analytics (GA) te na taj način omogućio prijenos podataka korisnika te web stranice u SAD te tako podatke korisnika koji je podnio tužbu otkrio trećoj strani na području SAD-a,
• da je minimalno došlo do otkrivanja podataka kao što su user ID, IP adresa te parametri preglednika (moguće i drugih) – dakle otklonjene su sve tvrdnje da se navedeno ne smatra osobnim podatkom,
• da su vlasnik i Google prijenos temeljili na standardnim ugovornim klauzulama koje u odnosu na Google ne pružaju adekvatnu zaštitu (mjere koje su dodatno implementirane u Standardne ugovorne klauzule nisu adekvatne i prava korisnika su ugrožena, njima se ne može jamčiti ista razina zaštite kao što ju ispitanici imaju na području EU),
• da se GA ne može koristiti (osobito verzija iz kolovoza 2020.) jer nije u skladu sa poglavljem V. GDPR-a,
• te da se odluka nadzornog tijela se ne odnosi na Google jer on nije nezakonito prijenosom otkrio podatke korisnika koji je podnio pritužbu, već ih je samo primio!

NOYB te još neki stručnjaci i aktivisti koji se bave zaštitom osobnih podataka slave jer smatraju da je ova, prva, odluka smjer u kojem će ići odluke i u ostalih 100 pritužbi koje su podnijeli u svim zemljama EU. Pravnici su poslovično oprezni u donošenju crno-bijelih zaključaka, a TechCrunch, primjerice, navodi kako je ovo loša vijest za sve američke digitalne servise koji imaju podatkovne centre na domaćem tlu.

Nije kriv Analytics, nego kako se koristi

Stručnjaci za Google Analytics pak upozoravaju na detalje koji se ne vide iz bombastičnih naslova, a to je da je kod sporne web stranice bilo propusta u implementaciji GA. Točnije, nije bila implementirana anonimizacija IP adresa. Robert Petković, direktor za digitalnu analitiku u Pro Media Grupi, upozorava kako baš “u tom grmu leži zec”:

Donekle se slažem s ovom odlukom, uz naglasak da to ne znači da je Analytics nezakonit, nego znači da neki implementatori analitike to rade na krivi način.

Već Španjolska i Njemačka imaju stroga pravila za Google Analytics, gdje se ne smije pokrenuti Analytics ako ljudi na to izričito ne pristanu. Kod nas smo još uvijek u sivoj zoni, iako se ja držim principa “no consent, no tracking” gdje se zaista ništa ne smije slati prema Googleu ako korisnik na to ne pristane.

Robert naglašava kako on već neko vrijeme upozorava da je implementacija Google Analyticsa (i drugih servisa koji prikupljaju podatke o korisnicima) puno složeniji posao od “kopiranja koda za GA gdje treba”, već pitanje kojim se zajednički trebaju baviti stručnjaci za analitiku, developeri i stručnjaci za zaštitu osobnih podataka. Jer i ova odluka je, zapravo, samo još jedna u nizu epizoda u sapunici zvanoj natezanje između EU i SAD-a oko toga smiju li američki digitalni servisi spremati podatke građana EU u svoje tamošnje podatkovne centre.

Mogu li tvrtke u EU legalno koristiti američke servise?

Sapunica traje već godinama, s nekoliko ključnih događaja i obrata:

• što se Europske unije i GDPR-a tiče SAD se smatra zemljom “trećeg svijeta” jer ima osjetno opuštenije propise oko toga tko smije prikupljati, dijeliti i pristupati osobnim podacima. Dio opreza odnosi se i na činjenicu da pristup podacima, pojednostavljeno, mogu imati i obavještajne službe;
• američki digitalni servisi tu su prepreku svojedobno premostili takozvanim Štitom privatnosti, sporazumom s EU u kojem su naveli koje dodatne korake poduzimaju kako bi osigurali adekvatnu zaštitu podataka građana EU;
• presudom u tužbi Schrems II, kojom je aktivist i počasni predsjednik NOYB Max Schrems tužio europsko sjedište Facebooka za slanje njegovih privatnih podataka u podatkovne centre u Americi, taj je Štit privatnosti srušen i proglašen nedostatnim;
• uslijedila je mini-panika slična ovoj da će europske tvrtke morati prestati koristiti američke servise poput Mailchimpa, međutim spas je pronađen u tzv. Standardnim ugovornim klauzulama kojima su američke tvrtke trebale definirati što čine kako bi prijenos podataka bio legalan;
• i te su klauzule proglašene nedostatnima, posebno u slučaju Facebooka i Googlea, što je bio povod za daljne pritužbe NOYB-a i ovu odluku.

Vlasnici i voditelji web stranica trebali su se pobrinuti da urede odnose i ugovore s američkim servisima prema propisima te da o svakom prijenosu podataka obavijeste korisnike i dobiju njihovu dozvolu za to. Petković ističe kako se u praksi to rijetko događalo, a on i Bačić se slažu da su prošla vremena kad su odgovorne osobe mogle samo kopirati “šprance” ugovora i pravila privatnosti ili kod implementacije novih servisa bez razmišljanja klikati da pristaju.

“Nadzorna tijela neće nikome gledati kroz prste”

Ana Bačić kaže da, ako išta, ova odluka poručuje da nadzorna tijela neće nikome gledati kroz prste i da im ekonomska strana posljedica nije važna. Međutim, ne očekuje da će se američki servisi prestati koristiti u EU jer, kako kaže, tako radikalne odluke u poslovnom svijetu ne dolaze u obzir. Umjesto paničnog traženja alternativih servisa, kao sljedeći korak odgovornim osobama web stranica savjetuje:

Zadatak svih kompanija i organizacija, odnosno njihovih službenika za zaštitu podataka, bio bi mapirati prijenose podataka:

• identificirati koje pružatelje usluga koriste i kakve ugovore s njima imaju sklopljene,
• koji su pravni osnovi prijenosa/obrade podataka (standardne klauzule, privola itd.),
• revidirati izvršitelje obrade koji u ime i za račun organizacija obrađuju podatke pružajući im određene usluge,
• provesti reviziju gdje su u ulozi zajedničkih voditelja obrade,
• revidirati ugovore (osobito nakon donošenja novih SCC klauzula),
• revidirati procjene učinka zaštite podataka (DPIA),
• te provesti procjene rizika prijenosa podataka tzv. Transfer impact assessment- TIA.

Američke kompanije zasigurno ne žele izgubiti europske klijente te možemo očekivati da će uz Microsoft, koji je otvorio podatkovni centar u EU,  i ostale kompanije naći načina da osiguraju da prijenos podataka bude legalan. Najlakše je to učiniti kroz pravilnu implementaciju standardnih ugovornih klauzula. Ključan dio klauzula su tehničke, sigurnosne i organizacijske mjere koje su kod svake kompanije različite. Nikako se ne smije zaboraviti ni famozni članak 49. Opće uredbe o zaštiti podataka koji navodi iznimke u kojima je prijenos podataka dozvoljen.

“Nije dovoljno uzeti GA kod i pljusnuti ga na web”

Robert Petković još jednom koristi priliku naglasiti koliko je važna ispravna implementacija Google Analyticsa:

Većina vlasnika web stranica samo uzme “onaj kod od Google Analyticsa” i pljusne ga na web, što je vrlo pogrešno. Vlasnici webova ne znaju da analitiku trebaju definirati i postavljati analitičari (a nas je nažalost jako malo u HR i šire), a ne developeri.

Developeri su tu da implementiraju sve ono što im analitičari definiraju i postave. Davanje developerima da definiraju i postave Google Analytics je dobar put prema kršenju GDPR-a.

Svi bi htjeli jednostavna rješenja iz rukava u pet minuta, a ne znaju da je za to potrebna suradnja i analitičara, i pravne službe, i marketinga i developmenta.