זרקור בנושא איסור השימוש ב-Google Analytics בהתאם להחלטת ה- EDPS

לפני כארבע שנים ב-18.05.2018, נכנסו לתוקפן תקנות ה- GDPR (General Data Protection Regulation) של האיחוד האירופי (EU) וחברות האזור הכלכלי האירופאי (EEA), העוסקות בהגנה על פרטיותם של נושאי מידע מן האיחוד האירופי והאזור הכלכלי האירופאי. הממונה האירופי להגנת הפרטיות - EDPS (European Data Protection Supervisor) מהווה גוף עצמאי האחראי ליישום ה GDPR. ביום ה-29.10.2020 בחן ה-EDPS תלונה הנוגעת להפרות בכמה מאתרי הפרלמנט האירופי, שנעשו תוך שימוש ב- Google Analytics, כלי לאיסוף תנועות גולשים (להלן: "השירות").

בעקבות התלונה ה-EDPS אסר את השימוש ב-Google Analytics וקבע כי הוא אינו תואם להוראות ה- GDPR

מה הוא Google Analytics?

1. שירות המוצע על ידי חברת גוגל באמצעות כלי לאיסוף ויצירת נתונים סטטיסטיים מפורטים בנוגע לתנועות גולשים באתרי אינטרנט, כולל פירוט על מקורות התנועות ואמצעי המכירות שהביאו לתנועות אלו.
2. Google Analytics  יכול לעקוב אחר מבקרים מכל המקורות, כולל מנועי חיפוש ורשתות חברתיות, ביקורים ישירים ואתרים מפנים. הוא גם מודד את יעילותן של הפרסומות באתר, כמו פרסומות בתשלום ללחיצה, ואף מודד כניסות מתוך קישורים ממסמכים דיגיטליים כגון מסמכי PDF.
3. השירות מיועד למשווקים ובייחוד למנהלי אתרים ואנשי טכנולוגיה הקשורים לענף ניתוחי אינטרנט. זהו השירות הנפוץ ביותר כמנתח סטטיסטיקות.

מאיפה Google Analytics אוסף את הנתונים?

1. Cookies (עוגיות) – מחרוזת של מספרים ואותיות המשמשות לאימות, למעקב ואגירת מידע אודות המשתמש באינטרנט. עוגיות זו הדרך בה השרת מתקשר ומזהה גולשים ברשת האינטרנט. העוגייה מייצגת מצב מסוים של גלישה באתר או שימוש באפליקציה. לעיתים, גם אתרים שאינם האתר שיצר את העוגייה יכולים להשתמש בה (צד שלישי).
2.  HTTP Request – קריאה או בקשה לביצוע פעולה ברשת האינטרנט.

לפי ה-GDPR, אין להטמיע עוגיות בדפדפן ללא קבלת הסכמת נושא המידע. מהי הסכמה תקפה?

1. הסכמה הניתנת בחופשיות - לנושא המידע ישנה אין אפשרות לסרב לקבלת שירות ו/או לחזור בו מהסכמתו.
2. הסכמה למטרה ספציפית - במידה שיש מספר מטרות לאיסוף המידע, יש לאפשר לנושא המידע לבחון ולבחור האם להסכים לכל מטרה בנפרד.
3. יידוע נושא המידע בדבר מתן הסכמתו - מסירת המידע לנושא מידע טרם קבלת הסכמתו. (זהות בקר המידע, מטרות, סוג המידע, האם ישנו שימוש בקבלת החלטות אוטומטית)
4. הסכמה חד משמעית - נדרשת הסכמה מפורשת מנושא המידע. השימוש בתיבות הצטרפות מסומנות מראש אינו חוקי.
5. הסכמה מפורשת - תקנות ה-GDPR קובעות שנדרשת הסכמה מפורשת עבור עיבוד מידע אישי מקטגוריות מיוחדות כגון: מוצא אתני, מין, מידע ביומטרי ועוד.

מדוע Google Analytics נאסר לשימוש?

1. פס"ד שרמס II מחודש יולי 2020, יצר תשתית איתנה לתלונות ותביעות ברחבי אירופה והציב סטנדרט מחמיר בנוגע להעברת מידע. בין מסקנות הפסיקה קמה החובה להגן באופן שווה על המידע בעת מעבר מידע – כך שהחובות החלות באיחוד האירופי חייבות להיות מיושמות על ידי מי שלידיו אמור להגיע המידע אודות תושבי האיחוד, גם כאשר הוא מחוץ לגבולות האיחוד.
2. ה- EDPSבחן תלונה שעסקה, בין היתר, בשימוש שנעשה בשירות באתר האינטרנט הרשמי של הפרלמנט האירופי. החלטת הממונה הייתה כי בעת השימוש בשירות מתבצעת העברת מידע אישי, וכי העברת המידע לארה"ב (שרתי חברת גוגל) באמצעות השירות אינה מתבצעת בהתאם לפסק הדין בעניין שרמס. הממונה מצא הפרות נוספות, בהן הפרת חובת השקיפות כלפי נושאי מידע והחובה לאפשר לנושא המידע לעיין במידע שנאסף עליו.
3. רשות הגנת המידע באוסטריה פרסמה ביום ה-12 לינואר 2022 את החלטתה, בה קבעה כי ניתן לקשר את המידע שנאסף באמצעות Google Analytics לנושא המידע. בנוסף, חוזה העברת הנתונים (SCCs) שהוצגו על ידי גוגל לא יכולים להגן על הנתונים של תושבי האיחוד האירופי ממעקב אמריקאי. בהתאם, השימוש בשירות מנוגד להוראות ה-GDPR משום שהכלי מעביר מידע אישי לארה"ב בניגוד לכללים שנקבעו בפסק הדין שרמס II.
4. הרשות הצרפתית להגנה על המידע (CNIL) קבעה ב-10 בפברואר 2022 כי המידע של משתמשי אינטרנט מועבר לארצות הברית תוך הפרה של תקנות ה -GDPR. לפיכך, על מנהלי האתרים הצרפתיים ליישם תוך חודש את ההוראה ולציית להוראות התקנות על ידי הפסקת השימוש ב- Google Analytics ולעבד מידע באמצעות כלי שאינו כרוך בהעברתו מחוץ לאיחוד האירופי.

• לאור האמור לעיל, אנו ממליצים ליישם את העקרונות הבאים:
  • זיהוי קהל היעד וכלי איסוף נתונים בארגונך.
  • שימוש בכלי איסוף וניתוח הניתנים להתאמה ע"י המשתמש. למשל, אם משתמש בוחר שהמידע אודותיו לא ייאסף - כך יהיה, אף לא כתובת IP או כל מטמון רנדומלי.
  • שימוש בכלי העומד בדרישות עיבוד המידע לפי ה-GDPR ולהימנע משימוש בכלי ניתוח המעבדים מידע בשרתים שבסיסם בארה"ב או במקומות עליהם חלים חוקי המעקב האמריקאיים.
  • ככל שהארגון מבקש בכל זאת להשתמש בכלים של Google Analytics, מומלץ שההתקשרות תהיה דרך Google Ireland Limited ולא דרך Google LLC, המאפשרת שימוש בכלי אנונימיזציה והתאמה לרגולציות פרטיות מחמירות. להרחבה והסבר אודות יישום בפועל, ראו כתבה שכותרתה How to legally use Google Analytics in Europe.