Je li Google Analytics ilegalan? Jest, ako se pogrešno implementira!

Je li Google Analytics ilegalan? Jest, ako se pogrešno implementira!

Je li korištenje Google Analyticsa (i svih drugih digitalnih servisa koji podatke spremaju u SAD) preko noći postalo ilegalno objašnjavaju stručnjak za digitalnu analitiku Robert Petković i pravnica Ana Bačić.

Vijest tjedna: Google Analytics proglašen nezakonitim!, proširilo se nekidan brzinom munje u krugovima domaćih stručnjaka za digitalne medije, analitiku i GDPR. S obzirom na to da Google Analytics za praćenje statistika posjećenosti koristi valjda svaka web stranica, to bi bila vijest godine, a ne tjedna.

Povod i temelj zaključka da web stranice koje koriste Google Analytics za praćenje statistika posjećenosti krše Europsku uredbu o zaštiti privatnih osobnih podataka (GDPR) bila je odluka austrijskog regulatornog tijela u jednoj od 101 pritužbi koje je pokrenula udruga za zaštitu digitalnih prava NOYB (None of Your Business).

Dodano: o pitanju se vrlo brzo oglasio i Google, s obizirom na paniku koja je nastala među europskim korisnicima Google Analyticsa. Njihov glavni pravnik Kent Walker kaže da Google Analytics nije ilegalan, ali upozorava na pravnu nesigurnost te poziva EU i SAD da što prije završe pregovore i usvoje sporazum koji slijedi Štit privatnosti.

“IP adresa jest osobni podatak”

Austrijski DBS (nadzorno tijelo za zaštitu podataka) zaključilo je da web stranica netdoktor.at krši poglavlje V. GDPR-a jer koristi Google Analytics putem kojega podatke svojih posjetitelja – a sporne su IP adrese i podaci kolačića – šalje u podatkovne centre u Americi. Pravnica i stručnjakinja za zaštitu podataka Ana Bačić kaže da eksperte koji se time bave ova odluka nije nimalo iznenadila te sumira što se u odluci zapravo navodi:

  • da je vlasnik jedne web stranice koristio Google Analytics (GA) te na taj način omogućio prijenos podataka korisnika te web stranice u SAD te tako podatke korisnika koji je podnio tužbu otkrio trećoj strani na području SAD-a,
  • da je minimalno došlo do otkrivanja podataka kao što su user ID, IP adresa te parametri preglednika (moguće i drugih) – dakle otklonjene su sve tvrdnje da se navedeno ne smatra osobnim podatkom,
  • da su vlasnik i Google prijenos temeljili na standardnim ugovornim klauzulama koje u odnosu na Google ne pružaju adekvatnu zaštitu (mjere koje su dodatno implementirane u Standardne ugovorne klauzule nisu adekvatne i prava korisnika su ugrožena, njima se ne može jamčiti ista razina zaštite kao što ju ispitanici imaju na području EU),
  • da se GA ne može koristiti (osobito verzija iz kolovoza 2020.) jer nije u skladu sa poglavljem V. GDPR-a,
  • te da se odluka nadzornog tijela se ne odnosi na Google jer on nije nezakonito prijenosom otkrio podatke korisnika koji je podnio pritužbu, već ih je samo primio!

NOYB te još neki stručnjaci i aktivisti koji se bave zaštitom osobnih podataka slave jer smatraju da je ova, prva, odluka smjer u kojem će ići odluke i u ostalih 100 pritužbi koje su podnijeli u svim zemljama EU. Pravnici su poslovično oprezni u donošenju crno-bijelih zaključaka, a TechCrunch, primjerice, navodi kako je ovo loša vijest za sve američke digitalne servise koji imaju podatkovne centre na domaćem tlu.

Nije kriv Analytics, nego kako se koristi

Stručnjaci za Google Analytics pak upozoravaju na detalje koji se ne vide iz bombastičnih naslova, a to je da je kod sporne web stranice bilo propusta u implementaciji GA. Točnije, nije bila implementirana anonimizacija IP adresa. Robert Petković, direktor za digitalnu analitiku u Pro Media Grupi, upozorava kako baš “u tom grmu leži zec”:

Donekle se slažem s ovom odlukom, uz naglasak da to ne znači da je Analytics nezakonit, nego znači da neki implementatori analitike to rade na krivi način.

Već Španjolska i Njemačka imaju stroga pravila za Google Analytics, gdje se ne smije pokrenuti Analytics ako ljudi na to izričito ne pristanu. Kod nas smo još uvijek u sivoj zoni, iako se ja držim principa “no consent, no tracking” gdje se zaista ništa ne smije slati prema Googleu ako korisnik na to ne pristane.

Robert naglašava kako on već neko vrijeme upozorava da je implementacija Google Analyticsa (i drugih servisa koji prikupljaju podatke o korisnicima) puno složeniji posao od “kopiranja koda za GA gdje treba”, već pitanje kojim se zajednički trebaju baviti stručnjaci za analitiku, developeri i stručnjaci za zaštitu osobnih podataka. Jer i ova odluka je, zapravo, samo još jedna u nizu epizoda u sapunici zvanoj natezanje između EU i SAD-a oko toga smiju li američki digitalni servisi spremati podatke građana EU u svoje tamošnje podatkovne centre.

Mogu li tvrtke u EU legalno koristiti američke servise?

Sapunica traje već godinama, s nekoliko ključnih događaja i obrata:

  • što se Europske unije i GDPR-a tiče SAD se smatra zemljom “trećeg svijeta” jer ima osjetno opuštenije propise oko toga tko smije prikupljati, dijeliti i pristupati osobnim podacima. Dio opreza odnosi se i na činjenicu da pristup podacima, pojednostavljeno, mogu imati i obavještajne službe;
  • američki digitalni servisi tu su prepreku svojedobno premostili takozvanim Štitom privatnosti, sporazumom s EU u kojem su naveli koje dodatne korake poduzimaju kako bi osigurali adekvatnu zaštitu podataka građana EU;
  • presudom u tužbi Schrems II, kojom je aktivist i počasni predsjednik NOYB Max Schrems tužio europsko sjedište Facebooka za slanje njegovih privatnih podataka u podatkovne centre u Americi, taj je Štit privatnosti srušen i proglašen nedostatnim;
  • uslijedila je mini-panika slična ovoj da će europske tvrtke morati prestati koristiti američke servise poput Mailchimpa, međutim spas je pronađen u tzv. Standardnim ugovornim klauzulama kojima su američke tvrtke trebale definirati što čine kako bi prijenos podataka bio legalan;
  • i te su klauzule proglašene nedostatnima, posebno u slučaju Facebooka i Googlea, što je bio povod za daljne pritužbe NOYB-a i ovu odluku.

Vlasnici i voditelji web stranica trebali su se pobrinuti da urede odnose i ugovore s američkim servisima prema propisima te da o svakom prijenosu podataka obavijeste korisnike i dobiju njihovu dozvolu za to. Petković ističe kako se u praksi to rijetko događalo, a on i Bačić se slažu da su prošla vremena kad su odgovorne osobe mogle samo kopirati “šprance” ugovora i pravila privatnosti ili kod implementacije novih servisa bez razmišljanja klikati da pristaju.

“Nadzorna tijela neće nikome gledati kroz prste”

Ana Bačić kaže da, ako išta, ova odluka poručuje da nadzorna tijela neće nikome gledati kroz prste i da im ekonomska strana posljedica nije važna. Međutim, ne očekuje da će se američki servisi prestati koristiti u EU jer, kako kaže, tako radikalne odluke u poslovnom svijetu ne dolaze u obzir. Umjesto paničnog traženja alternativih servisa, kao sljedeći korak odgovornim osobama web stranica savjetuje:

Zadatak svih kompanija i organizacija, odnosno njihovih službenika za zaštitu podataka, bio bi mapirati prijenose podataka:

  • identificirati koje pružatelje usluga koriste i kakve ugovore s njima imaju sklopljene,
  • koji su pravni osnovi prijenosa/obrade podataka (standardne klauzule, privola itd.),
  • revidirati izvršitelje obrade koji u ime i za račun organizacija obrađuju podatke pružajući im određene usluge,
  • provesti reviziju gdje su u ulozi zajedničkih voditelja obrade,
  • revidirati ugovore (osobito nakon donošenja novih SCC klauzula),
  • revidirati procjene učinka zaštite podataka (DPIA),
  • te provesti procjene rizika prijenosa podataka tzv. Transfer impact assessment- TIA.

Američke kompanije zasigurno ne žele izgubiti europske klijente te možemo očekivati da će uz Microsoft, koji je otvorio podatkovni centar u EU,  i ostale kompanije naći načina da osiguraju da prijenos podataka bude legalan. Najlakše je to učiniti kroz pravilnu implementaciju standardnih ugovornih klauzula. Ključan dio klauzula su tehničke, sigurnosne i organizacijske mjere koje su kod svake kompanije različite. Nikako se ne smije zaboraviti ni famozni članak 49. Opće uredbe o zaštiti podataka koji navodi iznimke u kojima je prijenos podataka dozvoljen.

Korištenje Analyticsa nije bilo, niti odjednom postalo ilegalno, ali bitno je odraditi implementaciju u skladu s propisima.

“Nije dovoljno uzeti GA kod i pljusnuti ga na web”

Robert Petković još jednom koristi priliku naglasiti koliko je važna ispravna implementacija Google Analyticsa:

Većina vlasnika web stranica samo uzme “onaj kod od Google Analyticsa” i pljusne ga na web, što je vrlo pogrešno. Vlasnici webova ne znaju da analitiku trebaju definirati i postavljati analitičari (a nas je nažalost jako malo u HR i šire), a ne developeri.

Developeri su tu da implementiraju sve ono što im analitičari definiraju i postave. Davanje developerima da definiraju i postave Google Analytics je dobar put prema kršenju GDPR-a.

Svi bi htjeli jednostavna rješenja iz rukava u pet minuta, a ne znaju da je za to potrebna suradnja i analitičara, i pravne službe, i marketinga i developmenta.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Mirkec

    Mirkec

    20. 01. 2022. u 1:20 am Odgovori

    IP adresa sporna?
    Pa njom te prvo vlasti zele da identifikuju. To je kao da nemas dom, licno ime i tome slicno.
    Ili jos ludje, vozas ulicom auto bez registracija. Vi skidate registarske tablice kada ste u voznji, da vas ne poznaju?

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi i poslovanje

Startup 101 program BIRD inkubatora obvezna je početnica za sve koji žele ideju pretvoriti u djelo

U organizaciji BIRD inkubatora uskoro kreće edukacijski program Startup 101 koji je osmišljen kako bi prenio osnove svima koji razmišljaju o pokretanju startupa, a nisu sigurni što bi to sve od njih zahtijevalo.

Intervju

Kako je nastao prvi kolektivni ugovor u gaming industriji u Hrvatskoj?

Potpisivanjem prvog kolektivnog ugovora hrvatske gaming industrije, Gamechuck tim je ostvario mirniji san, a prema nekima i "vrli novi svijet".

Tehnologija

Što o praksi agencije FIVE ima reći njezin mentor, a što student?

Zašto se studenti odluče svoje ljeto provesti baš na Boot Campu agencije FIVE, kako se pripremiti za njihovu praksu, što na njoj možete naučiti… saznali smo u razgovoru s developerom i mentorom Ivanom Vargom i bivšim polaznikom Boot Campa odnosno trenutnim zaposlenikom agencije - Branimirom Balogovićem.

Što ste propustili

Tehnologija

Što o praksi agencije FIVE ima reći njezin mentor, a što student?

Zašto se studenti odluče svoje ljeto provesti baš na Boot Campu agencije FIVE, kako se pripremiti za njihovu praksu, što na njoj možete naučiti… saznali smo u razgovoru s developerom i mentorom Ivanom Vargom i bivšim polaznikom Boot Campa odnosno trenutnim zaposlenikom agencije - Branimirom Balogovićem.

Startupi i poslovanje

Nova sezona Grunteka: Prodali su 250 vrtova za obradu “na udaljeno”, planiraju i širenje preko granice

"Isusek, Isusek, kaj mi bu ve Regica rekla!", poznata je izjava Dudeka iz klasika poznatog kao Gruntovčani, a Regica bi definitivno bila iznenađena što više ne bi morala obrađivati svoj grunt, već bi ga prepustila aplikaciji koja je spojila poljoprivredu i IT.

Startupi i poslovanje

CONET Grupa: U Hrvatskoj ne tražimo radnu snagu, nego ravnopravne partnere

Hrvatska podružnica njemačke IT grupacije u 15 mjeseci od osnivanja narasla je na 55 zaposlenika. Tajna uspjeha je u prepoznavanju potencijala svakog od njih, izgradnji dugoročnih odnosa, inovaciji i visokoj razini odgovornosti.

Vodič

Digitalni HR alati: Rastuće globalno tržište osvajaju i hrvatski Jenz, Mealpass, Moontop, Improv3, Appraisly…

Digitalni alati olakšavaju posao HR-ovcima koji u suvremenim organizacijama zaposlenike trebaju privući, izmjeriti i održavati njihovo zadovoljstvo, pohvaliti i usmjeriti te nagraditi.

Startupi i poslovanje

Reorganizirali su ured po aktivnostima zaposlenika i uštedjeli stotine tisuće eura

Novi načini rada utjecali su na to kako koristimo postojeće uredske prostore, a sad je vrijeme da mi utječemo na prostor kako bismo ga prilagodili našim novim navikama i aktivnostima. Vođena tom idejom, IT tvrtka Amplexor iskoristila je priliku napraviti reorganizaciju ureda. Donosimo detaljan uvid kako su ga "iskrojili" po aktivnostima svih timova.

Startupi i poslovanje

“Bez open-sourcea digitalno društvo ne bi moglo funkcionirati, startupi nastajati, developeri razvijati…”

Ususret konferenciji "Dani otvorenih računarskih sustava" razgovaramo s organizatorima, ali i predavačima - dvojicom stručnjaka iz Italije i Nizozemske. Uz njih saznajemo više o tome koliko je otvoreni kod utkan u strukturu današnjih IT rješenja, kako je pomagao nekada te kako pomaže danas mnogim tvrtkama, institucijama i pojedincima.