Μετά από καταγγελίες από την ένωση προστασίας δεδομένων noyb με επικεφαλής τον δικηγόρο Max Schrems, οι αρχές προστασίας δεδομένων στην Αυστρία και τη Γαλλία (CNIL) κατέταξαν το Google Analytics ως μη συμμορφούμενο με την προστασία δεδομένων της ΕΕ. Εκκρεμούν δοκιμές σε άλλες χώρες.
Η Google έχει ανταποκριθεί μέχρι στιγμής αναφερόμενη στις υπάρχουσες προσπάθειές της για την προστασία δεδομένων σχετικά με τα αναλυτικά στοιχεία και ζητώντας μια διάδοχη συμφωνία της Ασπίδας Απορρήτου μεταξύ της ΕΕ και των ΗΠΑ.
Ποιο είναι το πρόβλημα?
Στην ΕΕ, ο GDPR ρυθμίζει τη συλλογή, την επεξεργασία και τη μετάδοση προσωπικών δεδομένων. Με πολύ απλά λόγια, τα προσωπικά δεδομένα είναι δεδομένα που επιτρέπουν την ταυτοποίηση ενός ατόμου μέσα σε μια ομάδα, όπως όνομα, διεύθυνση ή αριθμός τηλεφώνου.
Πρέπει επίσης να ελέγχονται οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, οι διευθύνσεις IP ή τα αναγνωριστικά χρήστη που επιτρέπουν στον χρήστη να δημιουργήσει ένα προφίλ χρησιμοποιώντας cookies ή παρόμοιες τεχνολογίες. Τα αναγνωριστικά που ενεργοποιούν έναν σύνδεσμο προς δεδομένα προφίλ από άλλες πηγές προβάλλονται με κριτικό πνεύμα. Το Google Analytics μεταδίδει τη διεύθυνση IP (προηγουμένως συντομευμένη από την Google) και τα αναγνωριστικά χρήστη (από cookies) στις ΗΠΑ.
Στο παρελθόν, το Privacy Shield ήταν μια συμφωνία μεταξύ της ΕΕ και των ΗΠΑ για την αναγνώριση των προτύπων προστασίας δεδομένων του άλλου. Πολλές διαβιβάσεις δεδομένων στο παρελθόν αναφέρονταν σε αυτή τη συμφωνία. Με την απόφαση Schrems 2 το 2020, αυτή η συμφωνία κρίθηκε ανεπαρκής.
Ως μη μέλος της ΕΕ, οι ΗΠΑ θεωρούνται τρίτη χώρα και ως εκ τούτου απαιτείται ειδική εξέταση του επιπέδου προστασίας δεδομένων. Οι αμερικανικές μυστικές υπηρεσίες έχουν πρόσβαση σε όλα τα δεδομένα που συλλέγονται από αμερικανική εταιρεία. Αυτό σημαίνει ότι δυνητικά επηρεάζονται και δεδομένα από πολίτες της ΕΕ, κάτι που δεν είναι συμβατό με τις απαιτήσεις προστασίας του GDPR.
Από την άποψη της προστασίας δεδομένων, οι ΗΠΑ θεωρούνται επί του παρόντος μη ασφαλής τρίτη χώρα. Επομένως, η μεταφορά και επεξεργασία δεδομένων προσωπικού χαρακτήρα απαιτεί ειδικά μέτρα και συμφωνίες. Από την πλευρά του ÖDSB και του CNIL, αυτά δεν δόθηκαν στις περιπτώσεις που εξετάστηκαν, πράγμα που σημαίνει ότι η επεξεργασία δεδομένων χρήστη παραβιάζει τον GDPR.
Σημείωση: Το Google Analytics ως εργαλείο δεν αντιτάχθηκε, αλλά η μετάδοση και η επεξεργασία σε μια μη ασφαλή τρίτη χώρα.
Τι μπορούμε να κάνουμε?
Το ερώτημα τώρα είναι πώς να αντιμετωπίσουμε την κατάσταση. Υπάρχουν βασικά δύο επιλογές: Είτε περιμένετε από τους πολιτικούς ή την Google να διορθώσουν το υποκείμενο πρόβλημα. Ή αλλάξτε ενεργά τη δική σας ρύθμιση παρακολούθησης, ώστε να μην πραγματοποιείται η προβληματική επεξεργασία δεδομένων.
Εν αναμονή νομοθεσίας
Η ΕΕ και οι ΗΠΑ εργάζονται για έναν διάδοχο της Ασπίδας Απορρήτου για μεγάλο χρονικό διάστημα. Ωστόσο, είναι αμφίβολο εάν μια τέτοια συμφωνία είναι ακόμη δυνατή υπό τις τρέχουσες συνθήκες πλαισίου. Γιατί μια τέτοια νέα έκδοση δεν πρέπει να εξαργυρωθεί ξανά αμέσως μετά την έναρξη μέσω ανανεωμένων αγωγών. Η Google ελπίζει ότι οι συνομιλίες θα τελειώσουν σύντομα. Η ανταλλαγή μεταξύ ΕΕ και ΗΠΑ βρίσκεται σε εξέλιξη, αλλά δεν είναι σαφές εάν αυτό θα φέρει μια λύση.
Αναμονή για το Google
Μια άλλη προσέγγιση είναι ότι η Google συλλέγει, επεξεργάζεται και αποθηκεύει ρητά δεδομένα για αναλυτικά στοιχεία στην Ευρώπη. Έτσι δεν θα υπήρχε μεταφορά δεδομένων σε τρίτη χώρα. Ωστόσο, υπάρχει η πιθανότητα η Google, ως αμερικανική εταιρεία, να εξακολουθήσει να είναι υποχρεωμένη να παρέχει πρόσβαση σε μυστικές υπηρεσίες. Σύμφωνα με τις μέχρι στιγμής δηλώσεις, προς το παρόν είναι απίθανο η Google να δημιουργήσει τη δική της υπηρεσία ΕΕ.
Αλλαγή εργαλείων ανάλυσης
Εάν χρησιμοποιείτε ένα εργαλείο ανάλυσης όπου ο χειριστής και η τεχνολογία βρίσκονται εντός της ΕΕ, δεν υπάρχει πρόβλημα με τη μετάδοση δεδομένων. Ένας πάροχος που εδρεύει στην Ευρώπη είναι ο Piwik Pro. Η υπηρεσία έχει αναπτύξει περαιτέρω το λογισμικό ανοιχτού κώδικα Piwik και προσφέρει μια πλήρη λύση SAAS. Με αυτόν τον τρόπο, βασίζεται σε μεγάλο βαθμό στα προϊόντα της Google, τόσο τεχνικά όσο και όσον αφορά τη διεπαφή χρήστη.
Το Matomo είναι μια λύση ανοιχτού κώδικα που μπορεί να φιλοξενηθεί στους δικούς σας διακομιστές. Λόγω της κατάστασης ανοιχτού κώδικα, δεν υπάρχει κόστος άδειας χρήσης για το λογισμικό, αλλά η λειτουργία απαιτεί συστήματα διακομιστή υψηλής απόδοσης και πόρους για τη διαχείριση και τη συντήρηση των ενημερώσεων. Το εύρος των λειτουργιών και οι επιλογές σύνδεσης με άλλα εργαλεία είναι περιορισμένα ή απαιτούν προσαρμογές στη βάση του κώδικα.
Άλλοι πάροχοι, όπως το etracker ή η econda διαφημίζουν φιλοξενία συμβατή με το GDPR εντός της ΕΕ. Και εδώ πρέπει να ελέγχονται τα χαρακτηριστικά, η απόδοση και τελικά το κόστος. Ένα μεγάλο πλεονέκτημα των συστημάτων Google είναι η απλή ανταλλαγή δεδομένων μεταξύ τους, ειδικά με τις υπηρεσίες μάρκετινγκ, ο σύνδεσμος είναι απλός και εκτενής. Εάν το GA χρησιμοποιείται επίσης ως βάση για διαφημίσεις αναζήτησης και προβολής, θα είναι απαραίτητοι σύνδεσμοι και προσαρμογές σε άλλα συστήματα. Για τις καμπάνιες και το μάρκετινγκ ειδικότερα, ορισμένα εργαλεία δεν μπορούν να παρέχουν το ίδιο εύρος λειτουργιών με το Google Analytics.
Μια αλλαγή συστήματος απαιτεί προσπάθεια για το κόστος μετατροπής, εκπαίδευσης και άδειας χρήσης. Με έναν ευρωπαϊκό πάροχο, η συζήτηση για τρίτες χώρες δεν είναι πλέον απαραίτητη.
Αποφύγετε ενεργά τα προσωπικά δεδομένα στο Google Analytics
Ο GDPR δεν θα ίσχυε καν εάν η διαβίβαση και η επακόλουθη επεξεργασία προσωπικών δεδομένων μπορούσε να αποφευχθεί εξαρχής. Εδώ έρχεται ως λύση η παρακολούθηση από την πλευρά του διακομιστή: Τα δεδομένα που συλλέγονται για τους χρήστες αποστέλλονται πρώτα σε ξεχωριστό διακομιστή. Αυτό μπορεί να αλλάξει, να κρυπτογραφήσει ή να διαγράψει πλήρως δεδομένα, όπως τη διεύθυνση IP, προτού σταλούν στο πραγματικό εργαλείο ανάλυσης. Εάν αυτή η επεξεργασία πραγματοποιείται στην ΕΕ, μόνο „καθαρισμένα δεδομένα“ θα διαβιβάζονται σε τρίτη χώρα.
Η υλοποίηση μιας τέτοιας διαγραφής IP μπορεί να πραγματοποιηθεί για το Google Analytics (αλλά όχι απαραίτητα για όλα τα εργαλεία μάρκετινγκ – αυτό πρέπει να ελέγχεται μεμονωμένα). Απαιτείται επέκταση της προηγούμενης προσθήκης ετικετών Google ή εναλλακτικά αλλαγή σε αντίστοιχο σύστημα προσθήκης ετικετών. Και στις δύο περιπτώσεις υπάρχουν έξοδα για εξυπηρέτηση ή φιλοξενία. Πολλοί υποστηρικτές του απορρήτου δεν έχουν εξετάσει ακόμη την προσθήκη ετικετών από την πλευρά του διακομιστή σε βάθος, επομένως δεν υπάρχουν γενικές δηλώσεις σχετικά με αυτό και είναι απαραίτητη μια ατομική συζήτηση. Κατ ‚αρχήν, ωστόσο, η λειτουργία είναι εύκολο να εξηγηθεί και να κατανοηθεί.
Webinar για την Google και προστασία δεδομένων
Μπορείτε να μάθετε περισσότερα σχετικά με τις τεχνικές λύσεις από την Google στην εγγραφή μας Webinars Google και προστασία δεδομένων
συμπέρασμα
Μπορεί να εξεταστεί η χρήση ενός διαφορετικού συστήματος επισήμανσης ή ανάλυσης, αλλά απαιτεί τόση προσπάθεια που θα πρέπει να εξεταστεί προσεκτικά και να υπολογιστεί μια αλλαγή.
Εάν είναι απαραίτητη μια άμεση αντίδραση στις αποφάσεις των υπευθύνων προστασίας δεδομένων, η χρήση της παρακολούθησης από την πλευρά του διακομιστή είναι μια επιλογή. Σε ένα πρώτο βήμα, μπορεί να εφαρμοστεί μια διαγραφή IP. Από προοπτική, η χρήση για άλλα θέματα όπως η παρακολούθηση χωρίς cookie ή η βελτιστοποίηση απόδοσης είναι ενδιαφέρουσα. Το GTM από την Google από την πλευρά του διακομιστή προσφέρει γρήγορη εφαρμογή στην υπάρχουσα ρύθμιση με διαχειρίσιμο κόπο και κόστος. Με λίγη χειρωνακτική εργασία, ένα κοντέινερ μπορεί να φιλοξενηθεί στην ΕΕ – με την Google ή άλλες υπηρεσίες όπως το Azure ή το AWS.
Οι αναλύσεις δεν είναι λόγος να πετάξετε τα αναλυτικά στοιχεία σας στα σκουπίδια. Η χρήση της παρακολούθησης από την πλευρά του διακομιστή δεν επιλύει όλα τα προβλήματα, αλλά προσφέρει ένα άλλο εργαλείο για τη διατήρηση της κυριαρχίας επί της συλλογής δεδομένων του ατόμου.
