18. 03. 2022
Soumrak Google Analytics?
Google Analytics je nástroj společnosti Google, který umožňuje vlastníkům webových stránek získávat statistické údaje o uživatelích dané webové stránky. Díky němu je možné sledovat návštěvnost webové stránky či chování a vlastnosti uživatelů na ní. Google Analytics je tedy hojně užívaný nástroj digitálního marketingu, na základě něhož lze mj. provozovatelům webů doporučit opatření pro optimalizaci efektivity webové prezentace.
Google Analytics však nezpracovává pouze anonymní statistické údaje. Naopak všechny „statistické údaje o uživatelích dané webové stránky“ mají základ ve sledování a zaznamenávání zcela konkrétního individuálního chování každého z nás na internetu. Z tohoto pohledu je zřejmě zcela v pořádku, že někdo posuzuje způsob a rozsah takovéhoto zpracovávání osobních údajů.
Soumrak Google Analytics?
V poslední době se na evropském poli působnosti v oblasti ochrany osobních údajů objevují právní názory, že používání Google Analytics porušuje nařízení GDPR jako základního předpisu EU k ochraně nejen digitálních osobních údajů, neboť odesílá osobní údaje uživatelů webové stránky do USA, kde tato data nepožívají stejné úrovně ochrany jako v rámci právního řádu EU, a že americké společnosti (nebo přinejmenším některé z nich) s osobními údaji evropských uživatelů nakládají v rozporu s evropskými právními předpisy, a tím je vystavují riziku.
Jak to všechno začalo?
Diskuse o legálnosti Google Analytics začala již v roce 2020, kdy si nejmenovaný uživatel, jenž navštívil rakouskou stránku věnující se zdravotnictví, stěžoval, že data o jeho návštěvě byla skrze analytický nástroj odeslána Googlu, který tak o něm získal informace, které si mu tento uživatel prostě nepřál předat. Tento uživatel proto podal oficiální námitku skrze nahlašovací systém rakouského úřadu na ochranu osobních údajů.
Rakouský úřad na základě této námitky nedávno rozhodl, že použití Google Analytics je nelegální, neboť Google používá data v rozporu s GDPR, nezajišťuje jejich dostatečnou ochranu a nepřijal žádná opatření, aby ochranu dat uvedl do souladu s evropským právem.
Francie, Německo, Nizozemí a Norsko se přidávají
V poslední době však tyto tendence vyústily v rozhodnutí několika dalších evropských úřadů na ochranu osobních dat, kterými bylo rozhodnuto, že Google Analytics porušuje evropské právo. Posledním takovýmto je rozhodnutí Francouzské komise pro informatiku a svobodu (CNIL), ve kterém je uvedeno, že předávání osobních údajů internetových uživatelů prostřednictvím Google Analytics do USA je v rozporu s Článkem 44 („K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce a zpracovatel v závislosti na dalších ustanoveních tohoto nařízení podmínky stanovené v této kapitole, včetně podmínek pro další předávání osobních údajů z dané třetí země nebo mezinárodní organizace do jiné třetí země nebo jiné mezinárodní organizaci. Veškerá ustanovení této kapitoly se použijí s cílem zajistit, aby úroveň ochrany fyzických osob zaručená tímto nařízením nebyla znehodnocena.“) a následujícími GDPR, které upravují předávání osobních údajů do třetích zemí nebo mezinárodním subjektům, a nařídila správci webové stránky, aby zpracování osobních údajů uvedl do souladu s GDPR tím, že buď přestane za nynějších podmínek Google Analytics používat nebo bude používat alternativní nástroj pro sledování návštěvnosti webových stránek, který nepředává osobní údaje mimo EU, neboť transatlantický pohyb osobních údajů přes Google Analytics do USA není dostatečně regulován. Stručně řečeno, francouzský CNIL zakázal několika společnostem používat Google Analytics.
CNIL, jako francouzský regulační orgán, zdůraznil zejména nedostatek rovnocenné ochrany soukromí a riziko, že „americké zpravodajské služby budou mít přístup k osobním údajům francouzských uživatelů webových stránek předávaným do Spojených států, pokud předávání nebude řádně regulováno“. Kromě toho CNIL zdůraznil, že služby měření a analýzy návštěvnosti webových stránek, jako je právě Google Analytics, by měly být používány pouze k vytváření anonymních statistických údajů, pokud správce osobních údajů zajistí, že nedochází k nezákonnému předávání dotčených osobních údajů.
Zemský soud v německém Mnichově začátkem tohoto roku zase konstatoval, že vložení Google Fonts (knihovna čítající více než tisícovku bezplatných, licencovaných počítačových písmen v podobě interaktivního webového adresáře) na webové stránky a přenos IP adresy do společnosti Google prostřednictvím této knihovny bez souhlasu dotčeného uživatele webové stránky je v rozporu s GDPR a nařídil provozovateli dané webové stránky zaplatit náhradu škody ve výši 100 EUR.
Norský úřad na ochranu dat taktéž označil Google Analytics za nelegální a pokud Google nepřistoupí na změny, jeho používání v Norsku zakáže. Norsko požaduje, aby Google aktualizoval podmínky užívání služby, přestal sdílet data (osobní údaje) získaná z Google Analytics s dalšími svými službami a anonymizoval získaná data a IP adresy. V tomto rozhodnutí se norský regulační úřad opírá o postoj EU, který považuje IP adresu (stejně ta jako cookies či reklamní identifikátory) za osobní údaj. Pro zajímavost, český Úřad pro ochranu osobních údajů IP adresu za osobní údaj nepovažuje.
Holandský regulační úřad se k výše uvedeným názorům připojil a explicitně doporučil, aby provozovatelé webových stránek Google Analytics nepoužívali, neboť tento nástroj bude zřejmě brzy zakázán.
Co na to USA?
To vše nyní rezonuje i v souvislosti s prohlášením společnosti Meta Platforms (nástupce Facebooku), že možná bude muset evropským uživatelům zakázat používání Facebooku, Instagramu či WhatsAppu s ohledem na způsob předávání osobních údajů uživatelů EU do USA. Je však jisté, že pan Zuckerberg nechce žádnou ze svých aplikací pro evropské uživatele zrušit, neboť z Evropy plynou nezanedbatelné příjmy (konkrétně až čtvrtina příjmů) „jeho“ společnosti Meta Platforms.
Největší problém spočívá v tom, že americké digitální platformy se k GDPR sice formálně hlásí, ale ve skutečnosti zásady a principy v něm obsažené příliš nedodržují. Evropský přístup k ochraně osobních údajů je totiž velmi ochranitelský, citlivý na soukromí a co je v této souvislosti důležité, nedůvěřivý ke státní moci. Pro Ameriku se jedná o až příliš citlivý přístup, neboť americký postoj je na jednu stranu více zaměřený na byznys bez státních zásahů, ale také na vojenskou bezpečnost a mocenskou nadvládu USA, jako hodnotám, jež mají často vyšší váhu nežli ochrana osobních údajů uživatelů webových stránek. Mezi oběma stranami nyní musí dojít k přijetí nového transatlantického rámce pro předávání osobních údajů a k přijetí politické dohody, která bude zaručovat spolehlivost a transparentnost používání osobních údajů uživatelů webových stránek.
Jak se obejít bez Google Analytics?
Tato situace však otevírá příležitost pro evropské konkurenty amerických digitálních platforem. Jedním z nich je rozhodně Plausible, který sleduje návštěvnost webu, aniž by k tomu byla potřeba udělovat souhlasy, neboť tento nástroj nepoužívá cookies (tedy nepoužívá identifikovatelné osobní údaje o chování uživatelů webových stránek). Plausible je tedy kompatibilní s nařízením GDPR, jeho implementace je velmi jednoduchá, osobní data zůstávají v Evropě a jeho provozovatel je také z EU.
Dalším takovýmto nástrojem je Fathom, který je Plausible podobný, také nepoužívá cookies a data zůstávají na německém serveru, či Umami.is, což je jednoduché měřidlo s důrazem na ochranu soukromí.
Pokud se zaměříme na ČR, tak AnalytikaWebu.cz je projekt českého vývojáře, který měří data bez cookies, anonymizovaně, splňuje podmínky GDPR, a navíc je pro malé weby zdarma. Nástroj nabízející základní statistiku a žebříčky webů v různých kategoriích je také TOPlist, který od letošního roku rovněž nepoužívá cookies.
Závěrem
Závěrem je nutno říci, že je jen otázkou času, než se Google Analytics stane terčem také českého Úřadu pro ochranu osobních údajů a bude zajímavé sledovat, jak se tento k dané problematice postaví, a jestli se zařadí po boku jiných evropských regulačních úřadů, anebo půjde svou cestou. Nicméně je jisté, že s ohledem na to, že nařízení GDPR je pro celou Evropskou unii jednotné, rozhodnutí jednoho úřadu do jisté míry vytváří precedent pro celou sedmadvacítku, a tedy i český Úřad pro ochranu osobních údajů by měl tato předcházející rozhodnutí ve svém budoucím rozhodovacím procesu reflektovat.