Je li Google Analytics ilegalan? Jest, ako se pogrešno implementira!

Infobip ❤️ Netokracijašto akvizicija znači za vas - i nas?

Je li Google Analytics ilegalan? Jest, ako se pogrešno implementira!

Je li korištenje Google Analyticsa (i svih drugih digitalnih servisa koji podatke spremaju u SAD) preko noći postalo ilegalno objašnjavaju stručnjak za digitalnu analitiku Robert Petković i pravnica Ana Bačić.

Vijest tjedna: Google Analytics proglašen nezakonitim!, proširilo se nekidan brzinom munje u krugovima domaćih stručnjaka za digitalne medije, analitiku i GDPR. S obzirom na to da Google Analytics za praćenje statistika posjećenosti koristi valjda svaka web stranica, to bi bila vijest godine, a ne tjedna.

Povod i temelj zaključka da web stranice koje koriste Google Analytics za praćenje statistika posjećenosti krše Europsku uredbu o zaštiti privatnih osobnih podataka (GDPR) bila je odluka austrijskog regulatornog tijela u jednoj od 101 pritužbi koje je pokrenula udruga za zaštitu digitalnih prava NOYB (None of Your Business).

Dodano: o pitanju se vrlo brzo oglasio i Google, s obizirom na paniku koja je nastala među europskim korisnicima Google Analyticsa. Njihov glavni pravnik Kent Walker kaže da Google Analytics nije ilegalan, ali upozorava na pravnu nesigurnost te poziva EU i SAD da što prije završe pregovore i usvoje sporazum koji slijedi Štit privatnosti.

“IP adresa jest osobni podatak”

Austrijski DBS (nadzorno tijelo za zaštitu podataka) zaključilo je da web stranica netdoktor.at krši poglavlje V. GDPR-a jer koristi Google Analytics putem kojega podatke svojih posjetitelja – a sporne su IP adrese i podaci kolačića – šalje u podatkovne centre u Americi. Pravnica i stručnjakinja za zaštitu podataka Ana Bačić kaže da eksperte koji se time bave ova odluka nije nimalo iznenadila te sumira što se u odluci zapravo navodi:

  • da je vlasnik jedne web stranice koristio Google Analytics (GA) te na taj način omogućio prijenos podataka korisnika te web stranice u SAD te tako podatke korisnika koji je podnio tužbu otkrio trećoj strani na području SAD-a,
  • da je minimalno došlo do otkrivanja podataka kao što su user ID, IP adresa te parametri preglednika (moguće i drugih) – dakle otklonjene su sve tvrdnje da se navedeno ne smatra osobnim podatkom,
  • da su vlasnik i Google prijenos temeljili na standardnim ugovornim klauzulama koje u odnosu na Google ne pružaju adekvatnu zaštitu (mjere koje su dodatno implementirane u Standardne ugovorne klauzule nisu adekvatne i prava korisnika su ugrožena, njima se ne može jamčiti ista razina zaštite kao što ju ispitanici imaju na području EU),
  • da se GA ne može koristiti (osobito verzija iz kolovoza 2020.) jer nije u skladu sa poglavljem V. GDPR-a,
  • te da se odluka nadzornog tijela se ne odnosi na Google jer on nije nezakonito prijenosom otkrio podatke korisnika koji je podnio pritužbu, već ih je samo primio!

NOYB te još neki stručnjaci i aktivisti koji se bave zaštitom osobnih podataka slave jer smatraju da je ova, prva, odluka smjer u kojem će ići odluke i u ostalih 100 pritužbi koje su podnijeli u svim zemljama EU. Pravnici su poslovično oprezni u donošenju crno-bijelih zaključaka, a TechCrunch, primjerice, navodi kako je ovo loša vijest za sve američke digitalne servise koji imaju podatkovne centre na domaćem tlu.

Nije kriv Analytics, nego kako se koristi

Stručnjaci za Google Analytics pak upozoravaju na detalje koji se ne vide iz bombastičnih naslova, a to je da je kod sporne web stranice bilo propusta u implementaciji GA. Točnije, nije bila implementirana anonimizacija IP adresa. Robert Petković, direktor za digitalnu analitiku u Pro Media Grupi, upozorava kako baš “u tom grmu leži zec”:

Donekle se slažem s ovom odlukom, uz naglasak da to ne znači da je Analytics nezakonit, nego znači da neki implementatori analitike to rade na krivi način.

Već Španjolska i Njemačka imaju stroga pravila za Google Analytics, gdje se ne smije pokrenuti Analytics ako ljudi na to izričito ne pristanu. Kod nas smo još uvijek u sivoj zoni, iako se ja držim principa “no consent, no tracking” gdje se zaista ništa ne smije slati prema Googleu ako korisnik na to ne pristane.

Robert naglašava kako on već neko vrijeme upozorava da je implementacija Google Analyticsa (i drugih servisa koji prikupljaju podatke o korisnicima) puno složeniji posao od “kopiranja koda za GA gdje treba”, već pitanje kojim se zajednički trebaju baviti stručnjaci za analitiku, developeri i stručnjaci za zaštitu osobnih podataka. Jer i ova odluka je, zapravo, samo još jedna u nizu epizoda u sapunici zvanoj natezanje između EU i SAD-a oko toga smiju li američki digitalni servisi spremati podatke građana EU u svoje tamošnje podatkovne centre.

Mogu li tvrtke u EU legalno koristiti američke servise?

Sapunica traje već godinama, s nekoliko ključnih događaja i obrata:

  • što se Europske unije i GDPR-a tiče SAD se smatra zemljom “trećeg svijeta” jer ima osjetno opuštenije propise oko toga tko smije prikupljati, dijeliti i pristupati osobnim podacima. Dio opreza odnosi se i na činjenicu da pristup podacima, pojednostavljeno, mogu imati i obavještajne službe;
  • američki digitalni servisi tu su prepreku svojedobno premostili takozvanim Štitom privatnosti, sporazumom s EU u kojem su naveli koje dodatne korake poduzimaju kako bi osigurali adekvatnu zaštitu podataka građana EU;
  • presudom u tužbi Schrems II, kojom je aktivist i počasni predsjednik NOYB Max Schrems tužio europsko sjedište Facebooka za slanje njegovih privatnih podataka u podatkovne centre u Americi, taj je Štit privatnosti srušen i proglašen nedostatnim;
  • uslijedila je mini-panika slična ovoj da će europske tvrtke morati prestati koristiti američke servise poput Mailchimpa, međutim spas je pronađen u tzv. Standardnim ugovornim klauzulama kojima su američke tvrtke trebale definirati što čine kako bi prijenos podataka bio legalan;
  • i te su klauzule proglašene nedostatnima, posebno u slučaju Facebooka i Googlea, što je bio povod za daljne pritužbe NOYB-a i ovu odluku.

Vlasnici i voditelji web stranica trebali su se pobrinuti da urede odnose i ugovore s američkim servisima prema propisima te da o svakom prijenosu podataka obavijeste korisnike i dobiju njihovu dozvolu za to. Petković ističe kako se u praksi to rijetko događalo, a on i Bačić se slažu da su prošla vremena kad su odgovorne osobe mogle samo kopirati “šprance” ugovora i pravila privatnosti ili kod implementacije novih servisa bez razmišljanja klikati da pristaju.

“Nadzorna tijela neće nikome gledati kroz prste”

Ana Bačić kaže da, ako išta, ova odluka poručuje da nadzorna tijela neće nikome gledati kroz prste i da im ekonomska strana posljedica nije važna. Međutim, ne očekuje da će se američki servisi prestati koristiti u EU jer, kako kaže, tako radikalne odluke u poslovnom svijetu ne dolaze u obzir. Umjesto paničnog traženja alternativih servisa, kao sljedeći korak odgovornim osobama web stranica savjetuje:

Zadatak svih kompanija i organizacija, odnosno njihovih službenika za zaštitu podataka, bio bi mapirati prijenose podataka:

  • identificirati koje pružatelje usluga koriste i kakve ugovore s njima imaju sklopljene,
  • koji su pravni osnovi prijenosa/obrade podataka (standardne klauzule, privola itd.),
  • revidirati izvršitelje obrade koji u ime i za račun organizacija obrađuju podatke pružajući im određene usluge,
  • provesti reviziju gdje su u ulozi zajedničkih voditelja obrade,
  • revidirati ugovore (osobito nakon donošenja novih SCC klauzula),
  • revidirati procjene učinka zaštite podataka (DPIA),
  • te provesti procjene rizika prijenosa podataka tzv. Transfer impact assessment- TIA.

Američke kompanije zasigurno ne žele izgubiti europske klijente te možemo očekivati da će uz Microsoft, koji je otvorio podatkovni centar u EU,  i ostale kompanije naći načina da osiguraju da prijenos podataka bude legalan. Najlakše je to učiniti kroz pravilnu implementaciju standardnih ugovornih klauzula. Ključan dio klauzula su tehničke, sigurnosne i organizacijske mjere koje su kod svake kompanije različite. Nikako se ne smije zaboraviti ni famozni članak 49. Opće uredbe o zaštiti podataka koji navodi iznimke u kojima je prijenos podataka dozvoljen.

Korištenje Analyticsa nije bilo, niti odjednom postalo ilegalno, ali bitno je odraditi implementaciju u skladu s propisima.

“Nije dovoljno uzeti GA kod i pljusnuti ga na web”

Robert Petković još jednom koristi priliku naglasiti koliko je važna ispravna implementacija Google Analyticsa:

Većina vlasnika web stranica samo uzme “onaj kod od Google Analyticsa” i pljusne ga na web, što je vrlo pogrešno. Vlasnici webova ne znaju da analitiku trebaju definirati i postavljati analitičari (a nas je nažalost jako malo u HR i šire), a ne developeri.

Developeri su tu da implementiraju sve ono što im analitičari definiraju i postave. Davanje developerima da definiraju i postave Google Analytics je dobar put prema kršenju GDPR-a.

Svi bi htjeli jednostavna rješenja iz rukava u pet minuta, a ne znaju da je za to potrebna suradnja i analitičara, i pravne službe, i marketinga i developmenta.

Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na Netokraciji dopušteno je samo korisnicima koji ostave svoje ime i prezime te mail adresu i prihvate pravila ponašanja.

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja, kao i Zakon, držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome). Također, upoznajte se sa stavkom 2. članka 94. Zakona o elektroničkim medijima prije no što ostavite komentar.
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime te pravu email adresu.

Kako koristimo podatke koje ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Komentari

  1. Mirkec

    Mirkec

    20. 01. 2022. u 1:20 am Odgovori

    IP adresa sporna?
    Pa njom te prvo vlasti zele da identifikuju. To je kao da nemas dom, licno ime i tome slicno.
    Ili jos ludje, vozas ulicom auto bez registracija. Vi skidate registarske tablice kada ste u voznji, da vas ne poznaju?

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Programiranje

Gdje je mobile development danas? “Skoro sve se promijenilo…”

Da je itekako moguće profesionalno rasti radeći samo u jednoj tvrtki, ako imaš dobre uvjete, pokazuje karijera Dine Sulića, koji je prije 9 godina kao student došao u Endavu (nekadašnji Five). S Dinom smo popričali o njegovu profesionalnom putu, dinamičnom svijetu mobile developmenta te kako kroz NowInMobile meetupe planiraju dijeliti znanje u široj mobile zajednici.

Tehnologija

Oni su stručnjaci za kvalitetu robota, a ovako se njihov posao razlikuje od “klasičnog” QA

Kontrolu i održavanje kvalitete u tehnološkoj industriji mnogi od vas su upoznali isključivo kroz prizmu razvoja softvera. Uz Gideonove stručnjake imamo priliku uvesti vas u svijet QA-a u robotici, koji iako s "klasičnim" dijeli iste principe, ima svoje zanimljive specifičnosti.

Tvrtke i poslovanje

Kupujmo hrvatsko: Domaći developerski alati

Zašto domaći osnivači razvijaju sve više proizvoda iz niše developerskih alata - toliko da se predviđa da bi jedan od njih mogao biti sljedeći hrvatski jednorog, i kakve veze s tim imaju - lopate?

Što ste propustili

Tvrtke i poslovanje

Sportening je imao skoro milijun korisnika. Unatoč tomu, nisam prikupio investiciju i morali smo pivotirati

Znanje i iskustvo koje je Ivan Klarić stekao građenjem Score Alarma (koji je akvizicijom postao Superology i dio Superbet grupe), a posebno njegovih društvenih funkcionalnosti, planirao je iskoristiti da stvori globalnu društvenu mrežu koja okuplja obožavatelje sporta. Za Netokraciju je ekskluzivno i iskreno opisao što je na tom putu napravio dobro, u čemu misli da je pogriješio, što je naučio u godinu dana koliko je živio u San Francisku gdje je razgovarao s više od 200 investitora te što slijedi za Sportening kao tvrtku i tim.

Tvrtke i poslovanje

Mediatoolkit napravio potpuni rebrending. Od danas su Determ!

Hrvatska globalno etablirana tvrtka napravila je potpuni rebrending u želji da njezina "vanjština" reflektira napredak i razvoj samog alata i njihovog poslovanja. Više o ovoj promjeni saznali smo od njihovih ključnih ljudi.

Netokracija Podcast

Zašto nam je teško prestati “hraniti” društvenomrežne trolove?

Zašto neki ljudi objavljuju provokativan sadržaj na društvenim mrežama, a zašto je nekima tako teško suzdržati se od toga da ove prve - ne komentiraju?

Programiranje

CONET u Varaždinu otvorio centar za developere, traže seniore – mentore!

Otvaranje ureda u Varaždinu najnoviji je pothvat u poslovanju grupacije CONET i dio je dugoročne strategije širenja Hrvatskom. Uz vrhunskog .NET stručnjaka kao voditelja varaždinskog ureda nadaju se privući još izvrsnih kolega u području srodnih tehnologija.

Tvrtke i poslovanje

Infinum otvorio sedmi ured i to u Amsterdamu

Infinum je poduzeo novi korak u širenju na europsko tržište.

Tvrtke i poslovanje

Kako je nastala agencija čiji developeri vole snimati TikTokove?

Luka, Lara i Tomislav pobijedili su na hackathonu, zatim zajedno napravili digitalni proizvod, a na kraju sve to iskustvo odlučili iskoristiti za pokretanje agencije.