Kaj morate vedeti o GDPR in prepovedi Google analitike?
Google je igralec, ki je že dolgo časa sinonim in monopol za marsikatere spletne storitve – najprej seveda iskalnik, ne smemo pa pozabiti tudi na koledar, kontakte, e-pošto (vse skupaj vključeno v Google Workspace) in sploh ne nazadnje skupino analitičnih orodij znanih kot Google analitika
Kljub globalni prisotnosti (ali ravno zaradi nje) pa Google počasi izgublja svoj monopol. Še posebej na področju EU, kjer države zahtevajo spoštovanje zakonodaje in zasebnosti.
Iz dneva v dan nadzorni organi in sodišča po EU izdajajo nove in nove odločbe o omejitvah, kaznih ali celo prepovedih Googleove analitike. Njihove odločitve so seveda pravno točne, a so razlogi zanje tistim, ki se ne poglabljajo dnevno v GDPR dostikrat nejasni, zato je prav, da si pogledamo vsaj nekaj malega o GDPR.
Nekaj malega o GDPR
GDPR izhaja iz angleškega naziva »General Data Protection Regulation«, ki je v bistvu skrajšani naziv za »Uredbo (EU) … o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov …«. S preprostimi besedami bi rekli, da gre za neke vrste evropski zakon, ki je neposredno izvršljiv (tudi a ne samo v Sloveniji) od 25. maja 2018. Ta uredba zadeva vsako organizacijo, ki obdeluje osebne podatke državljanov EU, ne glede na to, ali obdelava poteka v Uniji ali ne.
GDPR pričakuje, da so osebni podatki točni, obdelani zakonito, pošteno in na pregleden način, za omejene namene, v najmanjšem potrebnem obsegu, ter da je poskrbljeno za njihovo varnost, integriteto in celovitost.
Dodatno pozornost GDPR posveča prenosu osebnih podatkov v države izven evropskega gospodarskega prostora (t.i. tretje države), kjer v grobem uporablja tri principe:
a)
b)
c)
V kratkem torej GDPR določa, kako naj bodo vaši osebni podatki zbrani, pogoje njihove obdelave in shranjevanja, tako v EU, kot pri posredovanju v tretje države.
Izzivi Google Analitike
Najprej moramo pojasniti, da tudi v primeru, ko je na spletni strani nameščena t.i anonimna Googleova analitika, Google še vedno obdeluje osebne podatke. Vsak poziv analitičnega modula namreč Googleu sporoči IP naslov obiskovalca, kar nekaj podatkov o operacijskem sistemu in brskalniku, če pa je uporabnik prijavljen v druge Googleove storitve, pa ga Google lahko tudi enolično identificira. O anonimosti torej sploh ne moremo govoriti.
Google (oz. Alphabet kot krovno podjetje) je mednarodno podjetje, katerega sedež je v ZDA. V preteklosti so bile v okviru t.i. Ščita zasebnosti tudi ZDA na seznamu držav z enakovrednim varstvom osebnih podatkov, julija 2020 pa je Sodišče (EU) na predlog NOYB odločilo, da ZDA zaradi svoje zakonodaje, ne morejo biti več na tem seznamu.
Po ameriški zakonodaji (FISA poglavje 702 in CLOUD Act) lahko ameriške obveščevalne službe od podjetij, ki so ponudniki storitev elektronske komunikacije (kamor sodi tudi Google), vedno zahtevajo podatke o tujih državljanih, pa čeprav so ti podatki shranjeni na strežnikih zunaj ZDA. Ker to lahko zahtevajo tudi brez ustreznih sodnih postopkov in s tem neposredno kršijo pravice iz 8. člena Evropske konvencije o človekovih pravicah, je bila odločitev sodišča nekako logična.
Google je seveda takoj pristopil k drugi možnosti, to je uveljavitvi standardnih pogodbenih klavzul. Zaradi dejstva, da Google na zahtevo obveščevalnih agencij mora izročiti podatke iz svojih strežnikov, pa se je zopet zataknilo – tokrat pri nezmožnosti zagotavljanja primernih varovalnih ukrepov.
Posledice in prihodnost
Posledično so v zadnjem času nadzorni organi več držav uvedli ukrepe, ki omejujejo ali prepovedujejo uporabo Google analitike. Prvi je bil začetek tega leta avstrijski DSB, sledili so jim Francozi (CNIL), pred mesecem pa je Google analitiko prepovedal tudi italijanski Garante. IP po informacijah, ki so mi znane ta trenutek, še ni med nadzornimi organi, ki bi se izrekli o Google analitiki.
CNIL je v zadnjem času sicer izdal tudi navodila, kako lahko s tehničnimi prijemi legaliziramo uporabo Google analitike, vendar pa tudi po mojem skromnem mnenju taka analitika ne doseže več svojega namena, tudi če ob tem pozabim, da izvedba tehnično sploh ni preprosta.
Kmalu po odločitvi CNIL so ZDA in Komisija EU najavili pogovore o prenosu osebnih podatkov med obema celinama (t.i. Ščit zasebnosti 2.0), vendar je hitro postalo jasno, da je resničen dogovor bolj politične, kot pravne narave in zato še precej oddaljen.
Da bi tak dogovor obveljal, bi morali pravniki najprej pripraviti osnutek in analizo dogovora. Nato bi moral biti pregledan s strani Evropskega odbora za varstvo podatkov (EDPB), evropska komisija pa bi morala sprejeti odločitev o ustreznosti. Na drugi strani oceana bi moral predsednik ZDA podpisati izvršni ukaz, kar pa lahko stori šele, ko je na voljo in analiziran ustrezen pravni dokument.
Ko je vse podpisano, mora biti sporazum še formalno sprejet, da velja za vse organizacije.
Ob napovedi je kazalo, da je novi dogovor o prenosu podatkov čez Atlantik zelo blizu, vendar smo še daleč od njegove veljavnosti. Medtem pa je nadaljnja uporaba storitve Google analitike vsaj sporna, če ne že v nasprotju z zakonodajo EU.
Alternative Google analitiki
Prvo alternativo je najavil že kar Google sam in jo poimenoval Google analitika 4 (GA4). Google navaja, da bo analitika bolje upoštevala zasebnost in omogočala anonimizacijo IP naslovov. Kljub temu se moramo zavedati, da bo Google še vedno lahko povezal anonimizirani IP z drugimi podatki, ki jih zbira, s tem pa tudi določil posameznega obiskovalca.
Dodatno je potrebno vedeti, da implementacija GA4 ne bo samo preprosta zamenjava trenutne analitike, ampak bo potrebna sprememba v kodi spletišč, pa tudi rezultati ne bodo enaki trenutni analitiki.
Ko smo enkrat pri spremembah, pa lahko razmišljamo tudi o alternativnih analitikah, ki se bolje vključujejo v GDPR. Obširnejši pregled alternativ na portalu GDPR GURU še pripravljamo, za predokus pa vseeno nekaj možnosti:
1.
2.
3.
Za konec
Bistvo uspeha GA je bilo tudi v tem, da za osnovno namestitev analitike spletni mojster ni potreboval posebnega mojstrstva, saj je Google vse pripravil na pladnju in je bilo spletno analitiko preprosto namestiti tudi na najmanjša spletišča – enostavnost bodo manj vešči izdelovalci gotovo pogrešali. Tisti, ki so bili resnično mojstri svojega posla, pa bodo pri alternativnih analitikah verjetno pogrešali kak sladkorček, ki ga je Google lahko ponudil zaradi sledenja navadam posameznikov čez več spletišč.
Ravno pri spletnih mojstrih in agencijah sicer pričakujem največ težav pri menjavi analitičnih orodij. Potrebno se bo naučiti novih orodij in sprejeti določene omejitve ali spremembe rezultatov. Ker bo na voljo več različnih analitičnih orodij, bo verjetno tudi nekoliko težje dobiti vnaprej pripravljene in brezplačne analitične vtičnike za posamezne platforme. Ker rezultati med različnimi analitikami ne bodo neposredno primerljivi, bo nekoliko več izzivov tudi pri ocenjevanju marketinških akcij na različnih spletiščih.
Ne glede na vse izzive pa vam predlagam, da vsaj do 1. julija 2023 razmislite, kako boste nadomestili trenutno univerzalno Google analitiko – če drugega ne, jo bo namreč Google do tedaj ukinil sam.
Naslovna fotografija: RawPixel
