Австрийский регулятор запретил использовать Google Analytics по соображениям безопасности
Австрийский регулятор в сфере защиты данных (Austrian Data Protection Authority, DPA) запретил использовать Google Analytics по соображениям безопасности. Сайты с установленной аналитикой в обязательном порядке пропускают трафик через серверы Google в США. Как заявил регулятор, трафик плохо защищён от потенциального доступа спецслужб, которые могут использовать эту информацию для шпионажа и других целей. Таким образом, использование Google Analytics нарушает Общий регламент по защите данных Евросоюза (GDPR).
Решение принято в результате судебного разбирательства с участием не названного австрийского сайта. Владелец сайта установил Google Analytics, в связи с чем Google получила доступ к пользовательским данным. Из-за особенностей законодательства США получить эти данные могли и разведывательные службы, поскольку законом данный процесс в отношении иностранных граждан строго не регламентируется. В результате ряду европейских компаний запретили пользоваться Google Analytics, в противном случае им грозит наказание за нарушение GDPR.
Как указывает портал Wired, действующие законы США о надзоре, включая раздел 702 «Закона о надзоре за внешней разведкой» (FISA) и «Распоряжение 12333», не защищают данные, хранящиеся у людей, проживающих за пределами США. То есть в теории американские спецслужбы могут собирать огромные объёмы данных, поступающих в страну. Если бы подобный сбор касался граждан США, спецслужбы нарушили бы «Четвёртую поправку к Конституции США». Иностранных граждан она не защищает.
Летом 2020 года Европейски суд признал недействительным EU-U.S. Privacy Shield — документ, в котором детализированы и очерчены границы защиты персональных данных субьектов из ЕС. Речь шла как раз о персональных данных, которые передаются из Европы в США. Документ фактически запрещал допускать органы федеральной разведки к передаваемой информации. Как посчитал суд, документ не обеспечивал надлежащей защиты данных. Вместо него допустили использование инструмента Standard Contractual Clauses (SCCs), по которому допускается индивидуальная оценка рисков при передаче данных.
DPA посчитал, что принятые Google меры для защиты иностранного трафика недостаточны, и решил ограничить использование Google Analytics до урегулирования вопросов с безопасностью. В свою очередь 19 января юрист Google Кент Уокер опубликовал в блоге компании пост, в котором раскритиковал действия регулятора. По его словам, компания предлагает услуги, связанные с аналитикой, уже более 15 лет, и за все это время не было ни одной ситуации, из-за которой стоило бы переживать DPA.
По словам Уокера, подобное ограничение оказалось по меньшей мере неожиданным для Google. Он сослался на распоряжение суда от 2020 года, которое не устанавливало конкретные меры по обеспечению транснационального обмена трафика. По мнению юриста, Google ввела достаточное количество инструментов для гарантии безопасности данных иностранных граждан. Уокер надеется, что вскоре Евросоюз определиться с преемником Privacy Shield и представит его общественности. Это решит вопрос возникшие с DPA проблемы и предотвратит появление новых.
