Wszystkie firmy które używają Google Analytics mogą łamać prawo, wysyłając dane użytkowników w ręce amerykańskich służb. Czy narzędzie będzie musiało zniknąć z rynku?
Kiedy wchodzimy na jakąkolwiek większą stronę internetową, możemy być pewni, że jej właściciele w jakiś sposób mierzą ruch sieciowy. Do tego służy szereg narzędzi, jednak najpopularniejszym branżowym standardem jest Google Analytics. Bez niego ciężko jest o najprostsze rzeczy związane z prowadzeniem biznesu opartego o stronę WWW - pozyskiwanie reklamodawców, weryfikację ruchu sieciowego i jego źródeł czy efektywne SEO. Jednocześnie jednak trzeba pamiętać, że zarówno Analytics jak i usługi chmurowe pokroju AWS pochodzą ze Stanów Zjednoczonych. Jeżeli więc obywatel Unii Europejskiej wejdzie na stronę WWW używającej Google Analytics, to jego dane muszą być przez Google traktowane zgodnie z RODO.
A nie są, bo przepisy w Stanach na to Google nie pozwalają
W dużym skrócie - rozporządzenie Unii Europejskiej w temacie ochrony danych osobowych z 2020 roku zabroniło transferu danych do firm z terenu Stanów Zjednoczonych, jeżeli te firmy nie będą w stanie zagwarantować bezpieczeństwa tych danych względem tamtejszych służb bezpieczeństwa. Z kolei poprzez zapisy w FISA (Foreign Intelligence Surveillance Act) żadna z tamtejszych firm nie może tego zagwarantować. Zapewne domyślacie się więc, że, w teorii, używanie takich narzędzi jak Google Analytics może być na terenie Unii Europejskiej niezgodne z RODO i traktowane jako wyciek danych. Takiego też zdania była grupa aktywistów z NOYB (None of Your Business) która jednocześnie złożyła ponad sto wniosków do różnych sądów zajmujących się sprawami wycieków danych osobowych w Europie odnośnie właśnie stosowania GA.
Grupa zaliczyła właśnie swoje pierwsze zwycięstwo. Austriacki sąd przyznał rację w jednej ze spraw w której dane ze strony medycznej dzięki GA znalazły się w rękach Google i uznał, że przez to właściciel strony naruszył przepisy RODO. Jako, że sprawie bacznie przyglądała się Unia Europejska, można spodziewać się, że niedługo w reszcie spraw zapadną podobne werdykty. Co to oznacza dla właścicieli stron internetowych? Google oczywiście zapewnia, że dostarcza "wiele narzędzi kontroli tego, jakie dane są zbierane i w jaki sposób są przetwarzane". Cóż, najwyraźniej jednak wśród opcji zabrakło tego, czego austriacki sąd szukał, a więc wyłączenia danych obywateli UE z maszyny zbierania danych USA. Opcji jest więc kilka. Pierwszą z nich jest oczywiście zaprzestanie korzystania z Google Analytics i podobnych usług webowych firm ze Stanów Zjednoczonych. To oznaczałoby olbrzymie przetasowanie na rynku i upadek największego gracza w Europie.
Oczywiście - w zależności od tego, jak potoczą się werdykty reszty sądów, możliwe jest dalsze używanie GA, jednak to będzie oznaczało narażanie się na grzywny w przypadku ewentualnego pozwu i przegrania sprawy. Dlatego też wiele oczy zwróconych jest w stronę USA, które ma możliwość zakutalizowania FISA w taki sposób, by wykluczał on obywateli Unii Europejskiej. Jednak natura tego rozporządzenia sprawia, że takie wykluczenie mogłoby być furtką przez którą jego skuteczność dla interesów USA bardzo by zmalała. Finalnie, jest też trzecie wyjście - amerykańskie firmy mogą zacząć korzystać z centr danych prowadzonych przez europejskie firmy, nie podlegające amerykańskiej jurysdykcji, przez co wszystkie dane z europejskiego Google Analytics byłyby przetwarzane "lokalnie". Ich stworzenie wymaga jednak czasu.
Sprawa jest więc bardzo rozwojowa. Jak już wspomniałem - Google Analytics jest dziś standardem branży i konieczność odejścia od niego oraz znalezienie zamiennika może być bardzo dużym wyzwaniem dla całego biznesu prowadzonego w sieci web.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu