Doslej sta padla že dva dogovora med EU in ZDA, ki naj bi uredila to področje in podatke, posredovane v ZDA, ustrezno zaščitila pred morebitnim dostopom ameriških obveščevalnih služb. Zato ni gotovo, da bo pred kratkim napovedani novi dogovor to področje zares uredil in zmanjšal negotovost, s katero so organizacije soočene.

O dejanskem vplivu teh (ne)dogovorov in ukrepov organov za varstvo podatkov – pritožbe so bile vložene po celotni EU, alternativah orodju Google Analytics ter pomenu hitrega ukrepanja organizacij za zmanjšanje tveganja, smo se v začetku aprila pogovarjali z Maciejem Zawadzińskim, glavnim izvršnim direktorjem podjetja Piwik PRO, strokovnjakom za oglaševalsko in trženjsko tehnologijo, zagovornikom pravice do spletne zasebnosti in ustanoviteljem več uspešnih podjetij, med njimi Clearcodea, vodilnega svetovnega programskega podjetja, specializiranega za oglaševalsko in trženjsko tehnologijo po meri. Zawadzinski, ki se trenutno posveča razvoju Piwik PRO – analitični platformi s poudarkom na zasebnosti, eni od možnih alternativ storitvi Google Analytics, bo tudi eden izmed govorcev na 27. Slovenski marketinški konferenci, ki bo 31. maja in 1. junija potekala v Portorožu.

V koliko državah EU je pristojni nacionalni regulator že odločil, da storitev Google Analytics krši GDPR?

»Organi za varstvo podatkov v Avstriji, Franciji in Lihtenštajnu so že sprejeli ukrepe proti Google Analytics. Na Nizozemskem in Norveškem sta nacionalna organa za varstvo podatkov javno nakazala, da obstaja pri rešitvi Google Analytics možnost težav s skladnostjo z GDPR-jem, in njuni odločitvi bosta morda skladni s tem, kar pravijo ostali.

Vse to je posledica tožbe nevladne organizacije Noyb, ki je znana po svojih spopadih s tehnološkimi giganti. Prejšnje poletje, takoj ko je Sodišče EU razveljavilo Zasebnostni ščit (Privacy Shield), je organizacija Noyb vložila 101 pritožbo proti podjetjem v EU, ki uporabljajo rešitvi Google Analytics in Facebook Connect. Ko je padel okvir, ki je urejal prenos podatkov med EU in ZDA, sta ti dve orodji (skupaj s številnimi drugimi) postali neskladni z GDPR-jem. Pritožbe so bile vložene po celotni EU, zato lahko pričakujemo, da bo v prihodnjih mesecih še več organov za varstvo podatkov sprejelo stališča glede orodja Google Analytics.«

Pritožbe so bile vložene po celotni EU, zato lahko pričakujemo, da bo v prihodnjih mesecih še več organov za varstvo podatkov sprejelo stališča glede orodja Google Analytics. - Maciej Zawadziński‍

Razlog za te odločitve je dejstvo, da podatki, posredovani v ZDA, niso ustrezno zaščiteni pred morebitnim dostopom ameriških obveščevalnih služb. To izhaja iz sodbe iz julija 2020, da je Zasebnostni ščit (Privacy Shield), mehanizem ki ga podjetja uporabljajo pri posredovanju podatkov iz EU v ZDA, protipraven. Edina mogoča rešitev v tej situaciji je, da EU in ZDA kmalu dosežeta nov dogovor o prenosu podatkov, kot je bilo napovedano konec letošnjega marca na skupni novinarski konferenci predsednika ZDA in predsednice Evropske komisije. Vendar sta doslej propadla že dva takšna dogovora in ne samo eden. Kaj se bo po vašem zgodilo? Je ta »pristop« ne dovolj dobrih dogovorov o prenosu podatkov vzdržen?

»GDPR določa, da se osebni podatki lahko posredujejo le v države, ki zagotavljajo ustrezno varstvo teh podatkov. ZDA nimajo zveznega zakona o varstvu podatkov in na ravni zveznih držav je zakonodaja glede zasebnosti precej manj stroga kot GDPR. Poleg tega lahko pod določenimi pogoji ameriške obveščevalne službe dostopajo do vseh podatkovnih zbirk (npr. z osebnimi podatki državljanov EU) v lasti ameriških podjetij, ne glede na to kje se nahaja strežnik. Ta možnost je bila glavni razlog, zakaj je padel zadnji okvir za prenos podatkov med EU in ZDA – Zasebnostni ščit.

Ta nov čezatlantski okvir za varstvo podatkov in zasebnosti mora urediti celotno digitalno gospodarstvo med EU in ZDA, saj je večina tega gospodarstva odvisna od prenosa podatkov v ZDA in obratno. Zelo pomembno je poiskati vzdržno rešitev, ki bo temu ogromnemu sektorju omogočala, da se v miru razvija.

Brez osnutka, ki bi si ga lahko ogledal, je težko napovedati, kakšne so možnosti, da bo novi dokument zadostil pričakovanjem sodišč v EU. Zaenkrat je bil sprejet le načelni dogovor, kar pomeni, da sta se dva politična voditelja strinjala, da je treba področje urediti. Dejanski osnutek bo pripravljen v naslednjih mesecih, uveljavljanje dokumenta pa bo trajalo še dlje.

Po naših podatkih naj bi ta novi okvir naslovil nekatere pomisleke EU glede ameriške obveščevalne zakonodaje. Vendar pa nekateri že opozarjajo, da to ne bo dovolj. Noyb bo nov sporazum zagotovo pravno izpodbijal. Če dodatni zaščitni ukrepi ne bodo prepričali sodišč v EU, ta dogovor lahko konča tako kot Varni pristan (eng. Safe Harbour) in Zasebnostni ščit (eng. Privacy Shield).«

Po naših podatkih naj bi ta novi okvir naslovil nekatere pomisleke EU glede ameriške obveščevalne zakonodaje. Vendar pa nekateri že opozarjajo, da to ne bo dovolj. Noyb bo nov sporazum zagotovo pravno izpodbijal. - Maciej Zawadziński

Zakaj Google Analytics preprosto ne shranjuje podatke v EU?

»S hranjenjem osebnih podatkov v EU bi Google naredil korak v pravo smer, vendar to ne reši splošne težave. Ameriške obveščevalne službe lahko vsakemu podjetju s sedežem v ZDA ukažejo predajo podatkov, ne glede na to kje se nahajajo strežniki.

Google Analytics je v lasti Google LLC, ameriškega podjetja, ki po zakonu mora posredovati podatke v primeru takšne zahteve. Tudi če posluje skozi hčerinske družbe na Irskem, to ne spremeni ničesar. Ta težava bo izginila le, če Google storitev Google Analytics proda neameriškemu podjetju.«

Ameriške obveščevalne službe lahko vsakemu podjetju s sedežem v ZDA ukažejo predajo podatkov, ne glede na to kje se nahajajo strežniki. - Maciej Zawadziński

Google Analytics (GA) uporablja na milijone spletnih strani. Bi se morali lastniki teh spletnih strani odzvati – kdaj in kako?

»Sama napoved je prinesla nekaj optimizma v organizacije, ki uporabljajo Google Analytics. Vendar pa odločitve organov za varstvo podatkov ostajajo veljavne in GA ni skladen z GDPR-jem, dokler novi sporazum ne začne veljati, kar bo še trajalo. Francoski organ za varstvo podatkov CNIL na primer še vedno pošilja opozorila podjetjem, ki uporabljajo GA.

Nimamo podatkov o tem, da bi drugi organi za varstvo podatkov zaradi te napovedi spremenili svoje načrte glede preverjanja GA. Zato trenutno delo z orodjem Google Analytics predstavlja delo v nenehni negotovosti. Mislim, da ni dosti organizacij, ki bi si to lahko privoščile, sploh če se pri svojem poslovanju močno zanašajo na podatke. Priporočil bi jim, da čim prej poiščejo novo rešitev, kljub temu da se pripravlja nov okvir za prenos podatkov.

Upoštevati je treba še en dejavnik. Google je naznanil zaton svojega najpriljubljenejšega produkta Universal Analytics. Nasledil ga bo GA4, ki prinaša drugačno tehnologijo poročanja in merjenja, ki jo tržniki slabo poznajo in ni splošno sprejeta. GA4 zagotavlja nekoliko boljše varovanje zasebnosti kot GA3, vendar pa bi tudi z uveljavitvijo novega zasebnostnega okvira ostale določene težave glede skladnosti (npr. izmenjava podatkov z Ads, Signals, zbiranje podatkov brez zagotovljene lokacije shranjevanja podatkov).

Če je torej treba zamenjati stari GA, zakaj ne bi izbrali novega ponudnika analitike? Obstajajo odlične brezplačne in plačljive rešitve, ki organizacijam omogočajo ravnovesje med zbiranjem dragocenih podatkov in zasebnostjo ter skladnostjo. Z analitičnimi rešitvami, skladnimi z GDPR-jem, postane zbiranje podatkov takšno, kakršno mora biti: predvidljivo in vzdržno.«

Zato trenutno delo z orodjem Google Analytics predstavlja delo v nenehni negotovosti. Mislim, da ni dosti organizacij, ki bi si to lahko privoščile, sploh če se pri svojem poslovanju močno zanašajo na podatke. - Maciej Zawadziński

‍

Katere alternative, skladne z GDPR-jem, so na voljo spletnim stranem, ki so v fazi uvajanja analitike? Kaj ponujajo v primerjavi z GA?

»V dobi po sodbi Schrems II sta med številnimi zahtevami ključna kazalnika skladnosti z GDPR-jem postala država izvora ponudnika in možnosti gostovanja. Da bi zaščitile podatke o strankah pred ameriškimi obveščevalnimi agencijami, bi morale organizacije razmisliti o analitični rešitvi, ki jo lahko gostujejo same ali pa jo ponujajo ponudniki iz EU, ki zagotavljajo gostovanje in njegovo upravljanje v EU. V tej skupini se nahajajo rešitve kot sta Piwik PRO in Countly ali manj napredni Plausible in Simple Analytics.

Zmožnosti sledenja in poročanja alternativnih orodij je precej težko primerjati. Google si spletno analitiko predstavlja po svoje in isto velja za vse alternativne rešitve. Nekatere uporabljajo koncepte, podobne Googlovim (npr. Piwik PRO), medtem ko so druge zgrajene okrog popolnoma drugačne filozofije. Ko iščete alternativo, je dobro pripraviti seznam funkcij, ki jih organizacija pričakuje od rešitve, in preveriti, kaj je na voljo pri ponudnikih.«

Ko iščete alternativo, je dobro pripraviti seznam funkcij, ki jih organizacija pričakuje od rešitve, in preveriti, kaj je na voljo pri ponudnikih.«

Težava je širša od Google Analytics. Na koga/kaj še vpliva?

»Širše posledice razsodbe glede Google Analytics lahko vplivajo na celotno digitalno gospodarstvo med EU in ZDA. Vsi vodilni ponudniki oblačnih storitev (Amazon, Google in Microsoft) so ameriška podjetja in zanje posledično velja ameriška obveščevalna zakonodaja. Organizacije bi morale za skladnost z GDPR-jem izbrati druge ponudnike, po možnosti s sedežem in lastništvom v EU, vendar pa izbira ni velika, če primerjamo zmogljivosti.

Poleg tega Amazon, Google in Microsoft zagotavljajo gostovanje vodilnim tehnologijam in poslovnim rešitvam, ki se uporabljajo v EU, od trženja in prodaje do intranetov in človeških virov. V tem primeru težava ostaja, čeprav ponudnik same rešitve nima sedeža v ZDA, saj je podatke lahko prisiljen posredovati tudi ponudnik oblačnih storitev s sedežem v ZDA.«

Širše posledice razsodbe glede Google Analytics lahko vplivajo na celotno digitalno gospodarstvo med EU in ZDA. Vsi vodilni ponudniki oblačnih storitev (Amazon, Google in Microsoft) so ameriška podjetja in zanje posledično velja ameriška obveščevalna zakonodaja.

Kakšna je verjetnost, da kar naenkrat ne bodo več na voljo ključna trženjska orodja? Kako naj se tržniki na to pripravijo in kako nujno je to po vašem mnenju?

»Bruselj si zelo prizadeva za regulacijo tehnoloških gigantov in njihovega delovanja v EU. To lahko vpliva na to, kako uporabna bodo ključna trženjska orodja za uporabnike v EU v prihodnje, saj tehnološki giganti zagotavljajo številne vodilne tehnologije in rešitve. Ni popolnoma nemogoče, da bo tudi kakšen drugi ameriški ponudnik na neki točki kršil zakonodajo EU.

Organizacije ne bi smele čakati, ampak morajo ukrepati, da bi zmanjšale tveganja. Najprej je treba opraviti oceno skladnosti tehnološke opreme. Posebno pozornost je treba nameniti tehnologiji množičnega prenosa podatkov o državljanih EU, ki jo bodo organi za varstvo podatkov zelo verjetno preverjali, npr. pri oglaševalski tehnologiji, tehnologiji podatkovnih cevi in trženjski tehnologiji.

Preden začnejo iskati alternativne rešitve, lahko organizacije poskušajo uskladiti obstoječe rešitve (npr. z ustreznimi nastavitvami upravitelja soglasij, prehodom na gostovanje s sedežem v EU, uvedbo dodatnega šifriranja podatkov).

Za nepogrešljive poslovne tehnologije priporočam razmislek o menjavi. Tako kot pri GA uporaba rešitev, ki morda niso skladne z GDPR-jem, prinaša negotovost in to ni ustrezna podlaga za uspeh podjetja.«

Organizacije ne bi smele čakati, ampak morajo ukrepati, da bi zmanjšale tveganja. Najprej je treba opraviti oceno skladnosti tehnološke opreme.

‍

Intervju je v originalu objavljen na portalu Akademija Finance.