Ζήτημα νομιμότητας, όσον αφορά τη χρήση των Google Analytics στην Ευρωπαϊκή Ένωση, έχει προκύψει το τελευταίο χρονικό διάστημα.

Η Ομοσπονδιακή Αρχή Προστασίας Δεδομένων της Αυστρίας (DSB) αποφάνθηκε κατά της χρήσης των Google Analytics, έπειτα από καταγγελία της noyb. Η καταγγελία υποστηρίζει πως τα Google Analytics έχουν παραβιάσει τους κανονισμούς προστασίας δεδομένων του GDPR.

Ποια είναι η noyb.

H noyb (none of your business), πρόκειται για μια Μ.Κ.Ο, με ηγέτη τον ακτιβιστή Max Schrems και έδρα τη Βιέννη της Αυστρίας. Ως στόχο έχει το ξεκίνημα στρατηγικών δικαστικών υποθέσεων και πρωτοβουλιών στα Μ.Μ.Ε. για την υποστήριξη του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).

Η noyb εστιάζει σε ζητήματα απορρήτου και παραβιάσεις της ιδιωτικής ζωής από τον ιδιωτικό τομέα. Έχει αναγνωριστεί επίσης ως «νομικός φορέας που πληροί τις προϋποθέσεις» για την άσκηση συλλογικών δικαστικών αγωγών από καταναλωτές του Βελγίου.

GDPR και η νομιμότητα των Google Analytics: Η αφορμή για την απαγορευτική αυτή απόφαση.

Όλα ξεκίνησαν με την καταγγελία της noyb στην DSB κατά της ιστοσελίδας ιατρικού περιεχομένου της netdoktor.at. Η ιστοσελίδα εκείνη όπως και εκατομμύρια άλλες, χρησιμοποιεί τη δημοφιλής πλατφόρμα συλλογής δεδομένων των Google Analytics (GA).

Ο λόγος που γίνεται αυτή η συλλογή, έχει να κάνει με την αποκόμιση συμπερασμάτων, για τη συμπεριφορά των επισκεπτών της. Με αυτό τον τρόπο οι ιστοσελίδες που χρησιμοποιούν τα GA μπορούν να αποκτήσουν μια αφετηρία σκέψης για το πως θα μπορούσαν να βελτιώσουν τη λειτουργία και την κατάσταση τους.

Χρησιμοποιώντας την πλατφόρμα των GA, τα δεδομένα που μαζεύει η netdoktor.at, μεταφέρονται μέσω των διακομιστών της Google από την Ευρώπη προς την Αμερική. Αυτή η ενέργεια της μεταφοράς δεδομένων εκτός της Ευρωπαϊκής Ένωσης, είναι που δημιουργεί εξ αρχής το «πρόβλημα».

GDPR και η νομιμότητα των Google Analytics: Τι προβλέπει ο κανονισμός του GDPR

To άρθρο 44 του GDPR καθιστά σαφές στο τι προβλέπεται σε τέτοιες περιπτώσεις. Σύμφωνα με αυτό:

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό.

Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Κάθε διαβίβαση δεδομένων προσωπικού χαρακτήρα τα οποία υποβάλλονται σε επεξεργασία ή προορίζονται να υποβληθούν σε επεξεργασία μετά από τη διαβίβασή τους σε τρίτη χώρα ή διεθνή οργανισμό πραγματοποιείται μόνο εάν, με την επιφύλαξη των λοιπών διατάξεων του παρόντος κανονισμού, οι προϋποθέσεις που θεσπίζονται στο παρόν κεφάλαιο τηρούνται από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, μεταξύ άλλων για περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα από την τρίτη χώρα ή τον διεθνή οργανισμό σε άλλη τρίτη χώρα ή άλλο διεθνή οργανισμό.

Όλες οι διατάξεις του παρόντος κεφαλαίου εφαρμόζονται με σκοπό να διασφαλίζεται ότι το επίπεδο προστασίας των φυσικών προσώπων που εγγυάται ο παρών κανονισμός δεν υπονομεύεται.

Μέχρι τον Ιούλιο του 2020 ήταν σε εφαρμογή ο κανονισμός του Privacy Shield.

Σύμφωνα με εκείνον, επιτρεπόταν η μεταφορά των ευρωπαϊκών δεδομένων σε διακομιστές των ΗΠΑ. Με την κατάργηση του Privacy Shield από το Ευρωπαϊκό Δικαστήριο, οι ιστότοποι και οι πλατφόρμες που εδρεύουν στις ΗΠΑ δεν έχουν τη δυνατότητα συλλογής προσωπικών δεδομένων Ευρωπαίων πολιτών. Ειδικότερα αυτών των δεδομένων που εμπίπτουν στον GDPR. Οι πάροχοι που εξακολούθησαν να στέλνουν προσωπικά δεδομένα στις ΗΠΑ, συμπεριλαμβανομένου του Google Analytics, ήταν και είναι πολλοί.

Σύμφωνα με όσα υποστηρίζει ο Max Schrems, οι αμερικάνικες εταιρείες αντί να προσαρμόσουν τις υπηρεσίες τους ώστε να συμμορφώνονται με τον GDPR, προσπάθησαν απλώς να προσθέσουν ένα κείμενο στις πολιτικές απορρήτου τους, αγνοώντας το Δικαστήριο της Ευρωπαϊκής Ένωσης. Επίσης πολλές ήταν και οι Ευρωπαϊκές εταιρείες που ακολούθησαν το ίδιο παράδειγμα αντί να στραφούν σε νομικές επιλογές.

Το αποτέλεσμα της απόφασης.

Όλα τα παραπάνω, είχαν ως αποτέλεσμα την απαγόρευση της χρήσης των Google Analytics, τουλάχιστον στην χώρα της Αυστρίας. Όλες οι ιστοσελίδες της χώρας είναι αναγκασμένες να δράσουν γρήγορα καθώς κινδυνεύουν με τσουχτερά πρόστιμα για την παραβίαση του νόμου.

GDPR και η νομιμότητα των Google Analytics: Ο Ασκός του Αιόλου στα εργαλεία συλλογής προσωπικών δεδομένων μόλις άνοιξε.

Το ζήτημα που δημιουργήθηκε με την πλατφόρμα των Google Analytics, όπως είναι αναμενόμενο δεν θα περιοριστεί εκεί. Υπάρχουν και άλλοι, ιδιαίτερα δημοφιλείς μηχανισμοί συλλογής προσωπικών δεδομένων που χρησιμοποιούνται από πολλές ιστοσελίδες σε παγκόσμιο επίπεδο. Τα δεδομένα που μαζεύουν, μεταφέρονται σε διακομιστές εκτός Ε.Ε. και συγκεκριμένα στις ΗΠΑ.

Για παράδειγμα, εργαλεία ιχνηλάτησης προσωπικών δεδομένων έχει και η Meta με το facebook pixel, αλλά και το LinkedIn με το LinkedIn Insight Tag. Αμφότερα χρησιμοποιούνται από πληθώρα ιστοσελίδων στον κόσμο, για την ανίχνευση χρηστών εκείνων των μέσων κοινωνικής δικτύωσης.

Επίσης, άλλα δημοφιλή εργαλεία της Google όπως για παράδειγμα το Google Ads (GAds), κινδυνεύουν και αυτά από εκείνη την απόφαση. Η χρήση του GAds βασίζεται και αυτή στην ιχνηλάτηση (tracking) της συμπεριφοράς των χρηστών. Αυτή η ιχνηλάτηση βοηθά τις εταιρείες να προβάλουν τις διαφημίσεις τους στο πιο κατάλληλο και στοχευμένο κοινό, την κατάλληλη στιγμή.

Ενδεχόμενη απαγόρευση της χρήσης εκείνης της πλατφόρμας, θα δυσκολέψει ιδιαίτερα πολλές εταιρείες και digital agencies στην επίτευξη των στόχων τους.

Οι αντιδράσεις των μεγάλων εταιρειών.

Ο Mark Zuckerberg φάνηκε να εξετάζει το ενδεχόμενο να αποσύρει τα προϊόντα της Meta από την Ευρώπη, σύμφωνα με δημοσιεύματα. To Facebook και το Instagram, αποτελούν δύο από τα πιο δημοφιλή μέσα κοινωνική δικτύωσης στον κόσμο. Η Meta αυτή την στιγμή δεν έχει την επιλογή να μεταφέρει, να αποθηκεύει και να επεξεργάζεται τα δεδομένα των Ευρωπαίων χρηστών σε αμερικάνικους διακομιστές. Εφόσον αυτό συνεχιστεί, το Facebook και το Instagram ενδέχεται να σταματήσουν τη λειτουργεία τους σε κάθε κράτος που βρίσκεται υπό το καθεστώς του GDPR. Λίγο αργότερα ένας εκπρόσωπος της Meta διέψευσε τα παραπάνω. Ωστόσο οι εικασίες για τα επόμενα βήματα των μεγάλων εταιρειών έχουν ήδη ξεκινήσει.

Η δραστηριότητα της noyb θα έχει και συνέχεια.

Όπως γνωστοποίησε η οργάνωση της noyb, υπάρχουν άλλες 100 εκκρεμείς υποθέσεις με διάφορες άλλες ΑΠΔΠΧ, σε όλη την Ευρώπη.

Σύμφωνα με όσα υποστήριξε ο Max Schrems:

«Αυτές οι υποθέσεις, δεν έχουν να κάνουν μόνο με τη χρήση των Google Analytics, αλλά με τη γενική εξαγωγή των ευρωπαϊκών προσωπικών δεδομένων στις ΗΠΑ».

Τι θα χρειαστεί να γίνει στην υπόλοιπη Ευρώπη από τη χρήση των Google Analytics και άλλων πλατφόρμων συλλογής δεδομένων.

Η υπόθεση της Αυστρίας, όσο υπάρχει ακόμη καιρός, μπορεί να προκαλέσει τις εταιρείες που βρίσκονται στην Ε.Ε. να λάβουν τα κατάλληλα μέτρα για να προφυλαχθούν. Η αγνόηση των δικαστικών αποφάσεων, δεν μπορεί να αποτελεί επιλογή. Ακόμη και αν η απόφαση της DSB δεν φαίνεται να είναι αμετάκλητη.

Είναι πλέον κρίσιμο για την εταιρείες της Ε.Ε. να λάβουν μέτρα άμεσα και να δημιουργήσουν μια αμοιβαία ασφάλεια. Με αυτό τον τρόπο θα αποφύγουν την στοχοποίηση τους από οργανώσεις για τη διασφάλιση των προσωπικών δεδομένων όπως είναι η noyb.

Υπάρχουν εναλλακτικές λύσεις συμβατές με τον κανονισμό του GDPR;

Σε περίπτωση που επιβληθεί μια γενική απαγόρευση στη χρήση των Google Analytics, υπάρχουν και εναλλακτικές λύσεις. Μια από αυτές είναι η χρήση του Matomo. Πρόκειται για μια ισχυρή πλατφόρμα ανάλυσης ιστοτόπων, ανοιχτού κώδικα. Στα χαρακτηριστικά της, διακρίνουμε πως επιτρέπει την 100% ιδιοκτησία των δεδομένων. Επίσης είναι πλήρως συμμορφωμένη με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR).

GDPR και η νομιμότητα των Google Analytics: Ποια είναι η εκτίμηση μας.

Η έλευση του κανονισμού του GDPR στην καθημερινότητα μας ήταν και είναι αναγκαία χωρίς καμία αμφιβολία. Η προστασία των Προσωπικών Δεδομένων των πολιτών που βρίσκονται εντός Ε.Ε., προβλέπει κατά κύριο λόγο την αποτροπή κάθε είδους αυθαιρεσίας της ιδιωτικότητας τους. Καμία εταιρεία δεν πρέπει να προσπαθεί να επιβάλει τα σχέδια της, εφόσον αυτά αντιτίθενται στον κανονισμό.

Παρόλα αυτά, κρίνεται αναγκαία μια χρήσιμη συνεργασία μεταξύ των αρχών της Ε.Ε. με τις εταιρείες που διαθέτουν τις δημοφιλείς πλατφόρμες. Με αυτό τον τρόπο οι εταιρείες θα διασφαλίσουν την ομαλή λειτουργία τους στα κράτη μέλη της Ε.Ε και κάτω από το κατάλληλο νομικό πλαίσιο όπως επιβάλει ο GDPR.

Η Google έχει ήδη γνωστοποιήσει πως αυτή την περίοδο εργάζεται σε αλλαγές που βαίνουν προς εκείνη την κατεύθυνση. Άλλωστε, όλες οι μεγάλες εταιρείες γνωρίζουν πως μόνο υπέρ τους θα καταλήξει η πλήρης συμμόρφωση τους με τον κανονισμό. Η αγορά της Ευρώπης είναι πολύ σημαντική για να την παραβλέψουν και τυχόν οικονομικές απώλειες δεν τις συμφέρουν.

Οι εξελίξεις όσο αφορά την έκβαση αυτού του κρίσιμου ζητήματος, εξακολουθούν να τρέχουν. Θα έχουν ιδιαίτερο ενδιαφέρον, ως προς την συνέχειά τους.