Казалось бы, данная новость не имеет к России никакого отношения. Однако нормы GDPR являются экстерриториальными. "Область применения постановления определена в первых статьях GDPR. Практически все отрасли и фирмы подчиняются действию правил, как только начинают взаимодействовать с приватными сведениями о людях, находящихся в ЕС. Поэтому компании, которые не входят в ЕС, должны соблюдать GDPR при условии, что они в той или иной форме действуют в ЕС и обрабатывают соответствующие данные", – напоминает адвокат юридической фирмы The MK-Lawyer Михаил Красильников.
Прецедентов применения норм GDPR к компаниям из стран, не входящих в ЕС уже не мало. Обычно интерес национальных регуляторов европейских стран вызывают компании из США, в том числе ИТ-гиганты, в частности, Google и Facebook. Как напоминает руководитель юридического отдела хостинг-провайдера Reg.Ru Павел Патрикеев, еще с 2020 года тянется цепочка дел, связанная с применением норм GDPR к процессам трансфера европейских данных на территорию США и обеспечения американскими компаниями надлежащих условий трансграничной передачи персональных данных граждан стран ЕС. По мнению представителя Reg.Ru, в настоящий момент австрийский регулятор признал, что Google не может обеспечить исполнение условий GDPR при обработке данных с помощью Google Analytics. "Но все же говорить о запрете Google Analytics в РФ пока крайне преждевременно. Нормы GDPR применимы к российским компаниям, но не в полной мере. Да и о тотальном запрете Google Analytics на территории ЕС речи пока не идет. Решение принято только на уровне Австрии и все еще не имплементировано на практике", – отмечает Павел Патрикеев.
Однако, по мнению Павла Патрикеева, ситуация имеет все шансы на эскалацию: "Организация NOYB, заявитель по делу, в рамках которого австрийских регулятор признал использование Google Analytics нарушением GDPR, также подала сотню жалоб в регулирующие органы на всей территории ЕС, а потому такое решение в будущем может быть далеко не единственным. Истинный масштаб проблемы будет понятен лишь в будущем. Однако, уже сейчас можно сказать, что при сохранении тенденции принятия аналогичных решений и в других странах ЕС, операторам сайтов из ЕС придется переходить на использование локальных поставщиков аналогичных решений в целях соблюдения положений GDPR".
Старший менеджер группы по оказанию услуг в области кибербезопасности компании KPMG Кристина Боровикова все же считает последствия данного решения более далеко идущими. По ее мнению, согласно решению регулятора в области персональных данных Австрии, продолжительное использование Google Analytics при обработке ПДн нарушает требования GDPR в части трансграничной передачи данных. В настоящий момент возможность использования Google Analytics для обработки ПДн рассматривается и другими регуляторами стран ЕС. Также аналогичное решение в части нарушения GDPR при использовании Google Analytics было принято и EDPS (европейский супервайзер для госучреждений).
"Использование Google Analytics в рамках процессов обработки ПДн, подпадающих под GDPR, особенно если обрабатываются данные субъектов из Австрии, ставит компанию под риск несоответствия требованиям GDPR. Решение - искать других поставщиков услуг веб-аналитики, желательно чьи базы данных расположены в ЕС или в странах, обеспечивающих адекватный уровень защиты ПДн, так как далее возможно только обострение ситуации с Google Analytics, или же ждать ответных действий Google, таких как перенос серверов на территорию ЕС и изоляция обработки от процессов в США", – рекомендует Кристина Боровикова.
Яков Шпунт