Все только начинается для Google Analytics

Авс­трий­ский ак­ти­вист Макс Шремс выиг­рал оче­ред­ное де­ло про­тив меж­ду­народ­но­го ИТ-ги­ган­та. На этот раз им стал Google, точ­нее, сер­вис Google Analytics. Те­перь на­цио­наль­ный ре­гуля­тор - Авс­трий­ское уп­равле­ние по за­щите дан­ных - бу­дет счи­тать все сай­ты, ис­поль­зую­щие дан­ный инс­тру­мен­та­рий на­руши­теля­ми рег­ла­мен­та GDPR. А на­руши­тели это­го рег­ла­мен­та рис­куют по­лучить обо­рот­ные штра­фы.

Казалось бы, данная новость не имеет к России никакого отношения. Однако нормы GDPR являются экстерриториальными. "Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС. Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные", – напоминает адвокат юридической фирмы The MK-Lawyer Михаил Красильников.

Прецедентов применения норм GDPR к компаниям из стран, не входящих в ЕС уже не мало. Обычно интерес национальных регуляторов европейских стран вызывают компании из США, в том числе ИТ-гиганты, в частности, Google и Facebook. Как напоминает руководитель юридического отдела хостинг-провайдера Reg.Ru Павел Патрикеев, еще с 2020 года тянется цепочка дел, связанная с применением норм GDPR к процессам трансфера европейских данных на территорию США и обеспечения американскими компаниями надлежащих условий трансграничной передачи персональных данных граждан стран ЕС. По мнению представителя Reg.Ru, в настоящий момент австрийский регулятор признал, что Google не может обеспечить исполнение условий GDPR при обработке данных с помощью Google Analytics. "Но все же говорить о запрете Google Analytics в РФ пока крайне преждевременно. Нормы GDPR применимы к российским компаниям, но не в полной мере. Да и о тотальном запрете Google Analytics на территории ЕС речи пока не идет. Решение принято только на уровне Австрии и все еще не имплементировано на практике", – отмечает Павел Патрикеев.

Однако, по мнению Павла Патрикеева, ситуация имеет все шансы на эскалацию: "Организация NOYB, заявитель по делу, в рамках которого австрийских регулятор признал использование Google Analytics нарушением GDPR, также подала сотню жалоб в регулирующие органы на всей территории ЕС, а потому такое решение в будущем может быть далеко не единственным. Истинный масштаб проблемы будет понятен лишь в будущем. Однако, уже сейчас можно сказать, что при сохранении тенденции принятия аналогичных решений и в других странах ЕС, операторам сайтов из ЕС придется переходить на использование локальных поставщиков аналогичных решений в целях соблюдения положений GDPR".

Старший менеджер группы по оказанию услуг в области кибербезопасности компании KPMG Кристина Боровикова все же считает последствия данного решения более далеко идущими. По ее мнению, согласно решению регулятора в области персональных данных Австрии, продолжительное использование Google Analytics при обработке ПДн нарушает требования GDPR в части трансграничной передачи данных. В настоящий момент возможность использования Google Analytics для обработки ПДн рассматривается и другими регуляторами стран ЕС. Также аналогичное решение в части нарушения GDPR при использовании Google Analytics было принято и EDPS (европейский супервайзер для госучреждений).

"Использование Google Analytics в рамках процессов обработки ПДн, подпадающих под GDPR, особенно если обрабатываются данные субъектов из Австрии, ставит компанию под риск несоответствия требованиям GDPR. Решение - искать других поставщиков услуг веб-аналитики, желательно чьи базы данных расположены в ЕС или в странах, обеспечивающих адекватный уровень защиты ПДн, так как далее возможно только обострение ситуации с Google Analytics, или же ждать ответных действий Google, таких как перенос серверов на территорию ЕС и изоляция обработки от процессов в США", – рекомендует Кристина Боровикова.

Яков Шпунт

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Регулирование, Web

Ключевые слова: Google