Има ли забрана за ползване на Google Analytics в ЕС?

Забрана за ползване в държави-членки на ЕС

Към настоящия момент четири европейски държави са забранили на институционално ниво използването на Google Analytics. Това са Франция, Италия, Австрия и Нидерландия.

Основният проблем сред европейските органи за защита на личните данни е прехвърлянето на лични данни на потребители – граждани на Европейския съюз към Съединените щати. Google Analytics събира лични данни на потребителите (IP адрес на устройството, информация за браузъра, операционна система на устройството, резолюция на екрана, избор на език) и прехвърля тези лични данни в сървъри, находящи се в Съединените щати. Американските закони за наблюдение изискват американските доставчици (напр. Google или Facebook) да предоставят лични данни на властите в САЩ (на федерално и щатско ниво). Към настоящия момент все още няма споразумение между ЕС и САЩ относно защитата на личните данни.

Съгласно решението на италианския регулатор (GPDP), използването на Google Analytics нарушава разпоредбите на чл. 5.1 (a) (принцип на законосъобразност, добросъвестност и прозрачност на обработването), чл. 5.2 (принцип на отчетността), чл. 13.1 (е) (принцип на прозрачността), чл. 24 (отговорността администратора), чл. 44 и 46 (мерки за предаване на лични данни на трети държави и принцип на трансграничност) от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

Възможно ли е използването на Google Analytics, без да бъде нарушаван Регламента за защита на личните данни?

От техническа гледна точка – да, но на практика това може да не е напълно възможно.
Френският регулатор (CNIL) дава няколко възможности, при които е възможно използването на Google Analytics от базирани в ЕС собственици на сайтове, само ако бъдат спазени следните изисквания:

Прилагане на допълнително криптиране на личните данни, когато ключовете се държат под изключителния контрол на самия износител на данни (администратора) или други субекти, установени на територия, предлагаща адекватно ниво на защита;
Използване на прокси сървър, за да се избегне директен контакт между терминала на потребителя и сървърите на Google.

Позицията на австрийския регулатор (DSB) обаче е следната:

Криптирането на данни няма да реши проблема, тъй като Google все още държат всички ключове за криптиране, следователно те все още могат да имат достъп до данните, ако решат;
Анонимизирането на данни също не е добро решение, тъй като няма начин да се докаже, че това е направено преди тези данни да се изпращат на Google в САЩ.

Следва да се отбележи, че Google Analytics не е единственото приложение, за което съществува този проблем. Въпреки това те са най-големите и може да се използват като пример/предупреждение за други компании.

Ще реши ли този проблем новата версия на Google Analytics 4 (GA4)?

GA4 обработва IP адреси за геолокация, но вече не съхранява IP адреси. GA4 позволява деактивирането на Google Signals, за да се предотврати свързването с Google акаунти. GA4 позволява конфигурирането на детайлността на събраните географски данни и данни за устройството (напр. разделителна способност на екрана, изискваща съгласие).

Новите промени ще решат част от проблемите, но все още не е ясно дали това ще е достатъчно и дали ще направи приложението съвместимо с изискванията на Регламента за защита на личните данни. Все още има редица функции, които трябва да бъдат изключени, за да стане GA4 100 % съвместим, но това може да доведе до загуба на точност и функционалност на данните, а проблемът с трансграничния пренос на лични данни е все още налице.

Заключение

С оглед решенията на регулационните органи може да е почти невъзможно използването на Google Analytics в тази конфигурация, а каквато и да е правна рамка в тази насока все още е много далеч или поне няма яснота кога ще бъде поставена.

В практиката се използват други опции, при които обменът на данни е контролиран. Съществуват програми, чиито сървъри са базирани в ЕС или данните, които се събират от приложението, се събират на сървър на собственика на сайта.
Алтернативни приложения са някои open-source приложения, в които личните данни се съхраняват в сървъра на собственика на сайта. Ние не можем да препоръчаме, кое приложение ще е по-добро от другите, но е задължително, при избор на някое от тях, да се съобрази къде се съхраняват личните данни, получени чрез тях, и напускат ли те границите на Европейския съюз.

В обобщение, към настоящия момент няма конкретни пречки за използването на Google Analytics в България, но е налице тенденцията за ограничаване на ползването му в други европейски държави.

Настоящото изложение не представлява правна консултация или правен съвет, а изразява мнението на екипа на Адвокатско дружество „Димитрова, Стайкова & Партньори”.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.