The original material is in Ukrainian

У середині січня 2022 року Австрійське управління захисту даних вирішило, що сервіс Google Analytics порушує GDPR (General Data Protection Regulation, Загальний регламент захисту даних). Якщо це рішення не скасує апеляційна інстанція, європейські компанії можуть залишитися без систем аналітики та інших хмарних сервісів американських компаній.

SPEKA розібралася, які саме правила порушує сервіс, як діяти компаніям та чи можуть Google Analytics заборонити і в Україні.

Що трапилося

У 2020 році засновник спільноти NOYB (бореться за приватність в інтернеті) Макс Шремс подав скаргу до органа захисту персональних даних Австрії. Він звинуватив медичний сервіс netdoktor.at в тому, що той передавав дані користувачів сервісу Google Analytics, який своєю чергою експортував ці дані на американські сервери Google. 

Справу розглядали приблизно два роки і зрештою дійшли висновку, що оператори сайту порушили V розділ GDPR, передаючи дані до США. В Сполучених Штатах діє закон FISA, який зобов'язує компанії розкривати дані користувачів за запитом спецслужб країни.

Наслідки можуть виявитися широкомасштабними. Хоча ця скарга стосувалася лише одного паблішера, загалом Шремс та його група подали 101 претензію. Такий масовий наступ спонукатиме органи захисту даних ЄС координувати свої рішення в аналогічних справах, тому вірогідно, що згодом ми побачимо принаймні сотню схожих рішень.

Зрештою вебсайти, що працюють в Європі, можуть змусити більше не використовувати Google Analytics та інші американські хмарні сервіси.

«Шремс розпочав боротьбу понад 10 років тому. І щоразу він ускладнював життя американським ІТ-корпораціям у Євросоюзі», — говорить партнер юридичної фірми ETERNA LAW Тимур Хасанов-Батиров.

У чому проблема з використанням інструментів, що вимагають передання особистих даних європейців у США

За словами Тимура Хасанова-Батирова, згідно зі статтею закону США «Про контроль за збором розвідувальної інформації про зарубіжні країни» американські технологічні компанії повинні за потреби передавати отримані ними особисті дані розвідслужбам США, зокрема  й дані європейців. А це суперечить нормам GDPR та рішенням Європейського суду справедливості.

У 2020 році цей суд заборонив трансфер персональних даних з ЄС до США у межах угоди, відомої як Privacy Shield («Щит конфіденційності"). Проте, на думку Макса Шремса, американські бізнеси в ЄС не вжили дієвих заходів для виправлення ситуації навіть після судового рішення.

Що далі

На думку Тимура Хасанова-Батирова, є кілька варіантів подальших дій для європейських компаній. Перший — замінити сервіс на такий, що відповідає нормам GDPR. Проте наразі не існує аналогів Google Analytics, які були б настільки ж функціональними та зручними.

Другим варіантом могло би стати внесення змін до законодавства США, насамперед до закону «Про контроль за збором розвідувальної інформації про зарубіжні країни» та розпорядження президента №12333. США могли би позбавити спецслужби права вимагати персональні дані іноземців у американських ІТ-компаній. Проте оскільки йдеться про питання національної безпеки США, такий сценарій малоймовірний.

«Пікантність ситуації полягає в тому, що 5 січня європейський регулятор EDPS виніс попередження Європарламенту за використання для запису на тестування внутрішнього вебсайту, з якого персональні дані політиків передавалися США через cookies від Google та Stripe», — додає Хасанов-Батиров.

Ще одним варіантом експерти називають сценарій, за якого американські хмарні провайдери партнерилися би з місцевими компаніями, які потім контролювали б доступ до персональних даних, що зберігаються на серверах. Нещодавно Google анонсувала таку послугу для корпоративних клієнтів у Німеччині, партнером корпорації став місцевий IT-гігант T-Systems.

На практиці: що робити компаніям уже зараз

Тимур Хасанов-Батиров пропонує наступне:

- Якщо компанія відповідає вимогам GDPR, необхідно перевірити, якими хмарними сервісами вона користується.
- Далі надіслати запит та перевірити, чи підпадають провайдери під американські нормативні вимоги щодо надання інформації розвідслужбам США (розділ 702 FISA).
- Американським компаніям можна розглянути хостинг поза межами США. Однак це може бути ризиковано з економічної та регуляторної точки зору.

Чи вплине це рішення на Україну

Натепер це рішення не остаточне і стосується лише конкретного кейса. Вебсайти по всій Європі раптово не припинять використовувати Google Analytics.  

«Хоча це рішення стосується лише одного конкретного сайту та його конкретних обставин, воно може зачіпати більш серйозні проблеми», — говорить віцепрезидент Google із глобальних зв'язків Кент Вокер. 

Тимур Хасанов-Батиров додає, що для українських ІТ-компаній це сигнал, що до GDPR потрібно ставитися серйозно.

«Як ми згадували у прогнозах на 2022 рік, очікуємо тренд на збільшення розслідувань за порушення регламенту GDPR. Січень цю тенденцію підтверджує„, — резюмує він.

Джерело: Speka.Media