Європейці дуже трепетно ставляться до питань конфіденційності, зокрема щодо персональних даних громадян країн ЄС. Звідси – і давно прийняті в країнах ЄС норми GDPR, що регламентують поводження з персональними даними користувачів Мережі та спрямовані на недопущення свавілля в цій сфері.
У цьому контексті нова знакова подія – активіст з Австрії виграв чергову справу проти транснаціонального гіганта. Цього разу – проти Google, в частині сервісу Google Analytics. Відтепер австрійський регулятор – управління з захисту даних – буде розцінювати всі сайти, що користуються інструментами сервісу, як порушників норм GDPR. Відповідно, порушники цього регламенту ризикують бути оштрафованими.
Нібито це новина з розряду «там, у них». Але справа в тому, що норми GDPR екстериторіальні. Звідси – будь-які фірми та галузі підпадають під ці правила, якщо взаємодіють з персональними даними людей, які перебувають на території ЄС. Отже, компанії з будь-яких інших країн повинні дотримуватися норм GDPR, якщо вони в будь-якій формі діють в ЄС і обробляють відповідні дані.
Читайте також: Кращі тарифні плани хостингу для WordPress-сайтів.
На сьогодні вже є чимало прецедентів застосування норм GDPR до компаній з-поза меж ЄС. Більше за інших національні регулятори цікавляться американськими компаніями, зокрема гігантами Google і Facebook. З 2020 року триває низка справ, що стосуються застосування норм GDPR до трансферу даних з Європи до США та забезпечення американськими компаніями належних умов транскордонної передачі персональних даних громадян країн ЄС. Є підстави розцінювати ситуацію так, що австрійський регулятор визнав нездатність Google забезпечити виконання умов GDPR при обробці даних за допомогою Google Analytics. Російські ж фахівці вважають, що про заборону Google Analytics в РФ поки говорити ще передчасно. Норми GDPR, зрозуміло, застосовні до російських компаній, але не в повній мірі. Та й про заборону Google Analytics на всій території ЄС поки що говорити зарано. Рішення прийнято тільки на рівні Австрії і все ще не імплементовано практично.
Водночас можна говорити і про перспективи розвитку ситуації в уже визначеному напрямку. «Організація NOYB, заявник у справі, в рамках якої австрійський регулятор визнав використання Google Analytics порушенням GDPR, також подала сотню скарг до регулюючих органів на всій території ЄС, а тому таке рішення в майбутньому може бути далеко не єдиним. Справжній масштаб проблеми буде зрозумілий лише в майбутньому. Однак, вже зараз можна сказати, що при збереженні тенденції прийняття аналогічних рішень і в інших країнах ЄС, операторам сайтів з ЄС доведеться переходити на використання локальних постачальників аналогічних рішень з метою дотримання положень GDPR”, – говорить керівник юридичного відділу хостинг-провайдера Reg.Ru Павло Патрікеєв.
Є й ті, хто вважає наслідки прийнятого в Австрії рішення більш далекосяжними. Зокрема, висловлюється думка, що згідно з рішенням регулятора в області персональних даних Австрії, тривале використання Google Analytics при обробці ПДн порушує вимоги GDPR в частині транскордонної передачі даних. Зараз можливість використання Google Analytics для обробки ПДн розглядається і регуляторами з інших країн ЄС. Подібне рішення щодо порушення GDPR при використанні Google Analytics було прийнято і EDPS (європейський супервайзер для держустанов).
Багато компаній тепер певною мірою ризикують, використовуючи Google Analytics в рамках процесів обробки ПДн, що підпадають під GDPR, особливо якщо обробляються дані суб’єктів з Австрії, оскільки це ставить компанію під ризик невідповідності вимогам GDPR. Відповідно, тепер потрібно або шукати інших постачальників послуг веб-аналітики, кращих за тих, чиї бази даних розташовані в ЄС або в країнах, що забезпечують адекватний рівень захисту ПДн, оскільки в майбутньому можливе лише загострення ситуації з Google Analytics, або ж чекати зустрічних дій Google, наприклад – перенесення серверів на територію ЄС і ізоляції обробки даних від аналогічних процесів у США.