Маркетингова магія Google Analytics: заборонити не можна використовувати
Як жоден з нас не уявляє свого життя без телефону та Інтернету, так жоден інтернет-маркетолог не уявляє своєї роботи без Google Analytics. Можливості сучасного маркетингу навряд чи були б так розвинені, якби не існувало сервісів вебаналітики — інструментів, що дозволяють відстежити поведінку відвідувачів сайту, зібрати та опрацювати дані статистики. Беззаперечним лідером серед них є безкоштовний сервіс Google Analytics, який надає чи не найбільш повний спектр інструментів, що дозволяють відстежити будь-які види активності на вебресурсі: визначити найбільш популярний у відвідувачів контент; отримати детальну інформацію щодо джерел трафіку: органічного, прямого, із соціальних мереж і реферального; виявити пошукові фрази, які приносять найбільший трафік і проаналізувати потенціал семантичного ядра, розглянути поведінкові чинники й виокремити сторінки сайту, які користуються найбільшою популярністю серед цільової аудиторії, і, нарешті, відстежити ефективність рекламних кампаній та багато іншого.
За 18 років існування Google Analytics та інші сервіси від компанії Google стали незамінними помічниками з обробки даних не лише для власників бізнесів, а й для різноманітних організацій – освітніх установ, закладів охорони здоров’я, а подекуди – й для органів влади. Тож потрапляння сервісів Google, в тому числі й Google Analytics, у поле зору європейських наглядових органів із захисту персональних даних було лише питанням часу, що, власне, й сталося кілька років тому.
На сьогодні ми маємо ряд судових рішень та висновків наглядових органів, які виступають проти використання сервісів Google та, зокрема, Google Analytics на території країн Європи. Чому так сталося, які наслідки та до чого готуватись бізнесу, який хоче працювати в Європейському Союзі? Спробуємо розібратись далі.
Передумови
Якось Едвард Сноуден розповів багато таємниць про діяльність американських спецслужб, зокрема й про те, як США шпигують за іноземними громадянами, збираючи їхні дані по всьому світу. Незабаром після цього тоді ще невідомий світові австрійський студент Макс Шремс (Max Schrems) подав до ірландського наглядового органу (DPC) скаргу на Facebook Ireland, обґрунтовуючи її тим, що передача його персональних даних до американської компанії є небезпечною через масштаби розвідувальної діяльності. Мовляв, пункт 702 американського закону про зовнішню розвідку (Foreign Intelligence Surveillance Act, FISA) дозволяє уряду США здійснювати цілеспрямоване стеження за іноземними особами, які перебувають за межами США, з метою отримання «інформації зовнішньої розвідки»: генеральний прокурор США і директор Національної розвідки можуть видавати директиви, які зобов’язують американських постачальників послуг електронного зв’язку (ECSP) надавати таку інформацію.
Тривалий розгляд скарги завершився рішенням Суду ЄС від 06.10.2015 р. у справі № C-362/14 (відоме як Schrems I), в якому було констатовано, що пункт 702 FISA в поєднанні з положеннями указу президента США № 12.333 (Еxecutive Оrder, E.O. № 12.333) та президентською політичною директивою № 28 (Presidential Policy Directive, PPD-28) дозволяють стеження за особами, які не є громадянами США і перебувають за межами США. І хоча PPD-28 забороняє певні масові збори інформації та обмежує термін, протягом якого спецслужби можуть зберігати інформацію про осіб, які не є громадянами США, Суд ЄС дійшов висновку, що FISA 702 та E.O. 12.333, навіть з урахуванням обмежень, встановлених PPD-28, дозволяють американським спецслужбам збирати більше інформації, ніж це суворо необхідно для виконання їхніх завдань, а також не надають громадянам ЄС достатніх засобів судового захисту у випадку порушення їхнього права на недоторканність приватного життя. Вимоги скаржника було задоволено, а угоду Safe Harbor, що регулювала передання інформації між ЄС та США з 2000 року, скасовано.
Оскільки ані на той момент, ані зараз США не віднесені Єврокомісією до переліку належних юрисдикцій, з якими може відбуватись вільний обмін даними, у 2016 році між ЄС та США було ухвалено іншу угоду – так звану Privacy Shield, яка поширювалась на комерційний сектор, і передбачала, що одержувачі даних в США мали гарантувати дотримання більшості принципів обробки даних, застосовних в ЄС.
Тим часом Макс Шремс продовжував оскаржувати незаконність передачі даних до Facebook, і в липні 2020 року рішенням Суду ЄС (відомим як Schrems II) Privacy Shield було визнано незаконним з посиланням на те, що цей механізм передачі даних не забезпечував належного рівня захисту даних європейців. Також в цій справі було поставлено під сумнів ще один із захисних механізмів для міжнародної передачі даних, передбачений ст. 46 GDPR (General Data Protection Regulation, або Загального регламенту із захисту даних) – Standard Contractual Clauses (SCC) – стандартні договірні положення, що затверджені Єврокомісією і можуть використовуватись для транскордонної передачі персональних даних в державу, що не віднесена ЄС до переліку належних юрисдикцій. І хоча Суд ЄС не визнав SCC недійсними, він наголосив на необхідності вжиття «адекватних гарантій», тобто додаткових заходів захисту даних в “небезпечних” юрисдикціях, зокрема, і в США. Тим самим суд суттєво ускладнив використання SCC, зобов’язавши компанії впроваджувати додаткові заходи для протидії ризикам при передачі даних до США.
Макс Шремс не зупинився на досягнутому, і на підставі рішення Schrems II заснована ним організація European Center for Digital Rights (NOYB) подала 101 скаргу до наглядових органів європейських країн про незаконне використання Google Analytics та Facebook Connect великими компаніями по всій Європі. Для координації розгляду цих скарг Європейський наглядовий орган (European Data Protection Board, EDPB) був змушений створити робочу групу, і на сьогодні ми вже маємо перші рішення: наглядові органи Австрії, Франції, Італії, Фінляндії, Угорщини вже визнали використання сервісів Google, зокрема Google Analytics незаконним. Але не все так однозначно.
Як Google Analytics збирає дані користувачів
Google Analytics відстежує користувачів за допомогою файлів cookie, що містять унікальні ідентифікатори кожного користувача, які відповідно до GDPR вважаються персональними даними. Коли користувач надає на вебресурсі, що використовує Google Analytics, згоду на використання маркетингових cookie, його персональні дані надсилаються до Google, і в кінцевому підсумку можуть оброблятись на території США (зауважимо, що інфраструктура Google розгалуджена по всьому світу). По суті без персональних даних Google Analytics був би марним інструментом.
В контексті наведеного варто зауважити, що Google декларував вжиття деяких заходів, спрямованих на забезпечення комплаєнсу з GDPR, зокрема, почав використовувати стандартні договірні умови (SCC) для забезпечення безпеки транскордонної передачі даних, оновив умови користування, запровадив регіональний збір даних (аби дані з пристроїв, розташованих в ЄС, збиралися на серверах в ЄС, перш ніж трафік перенаправлятиметься на аналітичні сервери для обробки), налаштування строків зберігання даних, дозволив анонімізацію IP-адреси відстежуваних користувачів вебсайтів і додатків. Але попри це, не будемо забувати, що Google Analytics 4 так само, як і попередні версії, побудована на використанні файлів cookies (хоча й first-party cookies). Тож основоположні принципи функціонування Google Analytics 4 лишились незмінним, адже сервіс продовжує збирати персональні дані.
Позиція європейських наглядових органів щодо Google Analytics
Ключовою проблемою комплаєнсу Google Analytics з GDPR є факт обробки даних користувачів, зокрема й резидентів ЄС, на серверах, розташованих, серед іншого, в США, а також власне країна резидентства компанії, через що остання знаходиться в юрисдикції американських спецслужб та законодавства.
Узагальнено висновки європейських наглядових органів про незаконне використання Google Analytics зводяться до того, що інформація про користувачів вебресурсів, яку Google обробляє на території США, є персональними даними в розумінні GDPR, а відтак – американські спецслужби потенційно можуть ідентифікувати кожну особу за допомогою даних IP-адрес та інших онлайн-ідентифікаторів (cookies, ID пристроїв, ID користувачів тощо).
Так, французький наглядовий орган (CNIL), обґрунтовуючи своє рішення, зазначив, що «онлайн-ідентифікатори, такі як IP-адреси або інформація, що зберігається в файлах cookie, можуть використовуватися для ідентифікації користувача, особливо в поєднанні з іншими подібними типами інформації. Це зазначається в преамбулі 30 GDPR, згідно з якою присвоєння онлайн-ідентифікаторів, таких як IP-адреси та ідентифікатори файлів cookie, фізичним особам або їхнім пристроям може «залишати сліди, які у поєднанні з унікальними ідентифікаторами та іншою інформацією, отриманою серверами, можуть бути використані для створення профілів фізичних осіб та їхньої ідентифікації». У конкретному випадку, коли контролер стверджує, що не має можливості ідентифікувати користувача через використання (окремо або в поєднанні з іншими точками даних) таких ідентифікаторів, він повинен розкрити конкретні засоби, застосовані для забезпечення анонімності зібраних ідентифікаторів. Без такої інформації вони не можуть вважатися анонімними.».
Австрійський наглядовий орган (DSB) також висловив позицію, що вжитих Google додаткових заходів безпеки недостатньо, щоб запобігти доступу спецслужб США до персональних даних громадян ЄС. Анонімізація IP-адреси не вирішує проблеми, адже решта видів даних (інформація в cookies та дані пристроїв), як і раніше, передаються до Google у відкритому вигляді.
В сукупності наведені обставини призводять до порушення вимог глави V GDPR. Тож вебресурси – відповідачі у справах мають припинити використання Google Analytics, або вжити додаткових, більш надійних заходів захисту. Тобто де-юре ці рішення стосуються конкретних контролерів даних, і теоретично заборона користуватись Google Analytics одному суб’єкту не означає розповсюдження такої заборони на всіх інших, хто може вжити «більш надійних додаткових заходів захисту». Але чи можливо це на практиці?
Які додаткові заходи вважатимуться ефективними?
В рішенні Schrems II Суд ЄС дійшов висновку, що додаткові заходи безпеки передачі даних повинні обиратися й оцінюватися в кожному конкретному випадку. В подальшому наглядові органи Франції (CNIL) та Данії (Datatilsynet), а також європейський наглядовий орган (EDPB) випустили свої роз’яснення щодо умов правомірного використання Google Analytics та навели приклади можливих технічних заходів захисту, які, щоправда, не дали однозначних відповідей.
В розумінні зазначених наглядових органів, застосування додаткових заходів захисту має бути спрямоване, передусім, на переривання прямого контакту через HTTPS-з’єднання між користувачем і серверами, керованими Google, адже в структурі заходів безпеки Google потенційно використовує брандмауери, які реєструють вхідний трафік і їх журнали реєстрації можуть містити перехресні посилання на відомості, зібрані Google Analytics. Таким чином, можна отримати інформацію, наприклад, про IP-адресу, навіть якщо ці дані не збираються Google Analytics.
Перелік потенційно застосовних заходів безпеки зводиться до таких.
- Псевдонімізація. Інколи може бути ефективним способом захисту персональних даних. У випадку з Google Analytics, на думку данського наглядового органу (Datatilsynet), псевдонімізація може бути реалізована шляхом встановлення зворотного проксі-сервера, який діє як хаб інтернет-трафіку відвідувачів вебсайту. Таким чином, організація може отримати контроль над тим, які дані збираються і які згодом будуть надіслані на сервери Google. При цьому, слід оцінювати ризики повторної ідентифікації суб’єкта даних в країні-імпортері.
- Проксі-сервери широко використовуються з метою анонімізації в Інтернеті й, на думку французького наглядового органу (CNIL), можуть слугувати способом захисту при використанні Google Analytics за умови їх розгортання з дотриманням рекомендацій наглядового органу.
- Шифрування. Не всі наглядові органи розглядають шифрування в якості ефективного способу захисту при передачі даних. Данський наглядовий орган (Datatilsynet) наголошує, що шифрування можна вважати ефективним додатковим технічним заходом, лише якщо ключі шифрування контролюються виключно експортером даних або третьою стороною в ЄС/ЄЕЗ або в безпечній третій країні.
В цілому ж, дієвість та практичну користь від вжиття наведених технічних заходів слід оцінювати скептично, адже переважна, якщо не абсолютна більшість вебресурсів у світі використовують хмарні рішення, а також Cloudflare (сервіс захисту вебресурсів від атак), які вирішують велику кількість проблем при розгортанні проєктів, а також пропонують безліч рішень із захисту даних.
Крім того, європейський наглядовий орган (EDPB) у своїх рекомендаціях щодо додаткових заходів захисту при передачі даних зауважував, що у низці випадків, зокрема, при передачі даних постачальникам хмарних послуг або іншим процесорам, які потребують доступу до даних у відкритому вигляді, вжиття додаткових заходів не забезпечує належного рівня захисту даних, що передаються до третьої країни.
Що можна зробити, аби продовжити безпечно користуватись Google Analytics?
Слід пам’ятати, що перед початком користування сервісом всі контролери даних погоджуються на стандартизовані умови користування від Google, тобто фактично – з однаковими положеннями про захист даних. Відтак, у жодного користувача (контролера даних) немає можливості домовитися з Google про інші умови.
Теоретично компанії, які працюють на європейському ринку, можуть застосувати зі свого боку рекомендовані наглядовими органами способи захисту даних і продовжити користуватись Google Analytics, беручи на себе всі ризики. Але на практиці впровадження додаткових заходів захисту є складним і високовартісним процесом.
З практичної точки зору, єдиним раціональним та безпечним рішенням на сьогодні є використання альтернативних сервісів вебаналітики. Досі Google не зробив жодної заяви про наміри перенести обробку даних користувачів з Європи безпосередньо на територію ЄС, на відміну від Microsoft, який з січня 2023 року почав реалізацію EU Data Boundary, що дозволить клієнтам сервісів Microsoft 365, Azure, Power Platform та Dynamics 365 зберігати та обробляти свої дані в межах ЄС.
Замість висновків
В ситуації з Google Analytics потрібно пам’ятати, що правова природа повноважень наглядових органів із захисту даних не пов’язана із забороною використання сервісів на певній адміністративній території – рішення, ухвалені ними, є персоналізованими відносно учасників справи, а їх повноваження зводяться до надання правової оцінки законності обробки персональних даних певними способами, в тому числі за допомогою конкретних технологій.
Незмінним залишається одне: у випадку з будь-якою обробкою персональних даних, контролер даних зобов’язаний продемонструвати, що його діяльність здійснюється відповідно до законодавства про захист даних. Тож навіть у разі прийняття рішення продовжувати користуватись Google Analytics, з метою дотримання принципу підзвітності, передбаченого GDPR, контролер повинен задокументувати його і бути в змозі продемонструвати вжиття всіх належних заходів захисту.
2023-03-06