למה אסור להשתמש בגוגל אנליטיקס?

פורסם ע"יtheregulatorפורסם באירועים - ניתוח מקרהתגים: ,

היום יותר ויותר פעולות מתבצעות באופן דיגיטלי. כל קליק ואינטראקציה באינטרנט משאירים עקבות, וחברות מתאמצות להבין מה אנחנו מחפשים. חברה שמבינה מה הצרכנים רוצים או מחפשים – תצליח, חברה שתפספס – תיכשל.

הכלי ששינה את חוקי המשחק הוא גוגל אנליטיקס (Google Analytics) – שירות שחולל מהפכה באופן שבו עסקים, משווקים ובעלי אתרים מבינים את הלקוחות שלהם. הכלי מאפשר לנתח את ההתנהגות של הגולשים והמשתמשים ובזכותו עסקים יכולים לקבל החלטות מבוססות נתונים. למשל, הוא מאפשר לזהות הזדמנויות שלא מנוצלות ולשפר את את החוויה הדיגיטלית. בין אם אתה עסק קטן או תאגיד רב לאומי, Google Analytics יכול להיות מגדלור של ידע שאי אפשר להתעלם ממנו.

לאחרונה הכלי כל כך הצליח, עד שההצלחה יצרה בעיות לא צפויות.

שוודיה נגד השימוש ב-Google Analytics

הרשות השוודית להגנת הפרטיות (IMY) חקרה איך ארבע חברות השתמשו ב-Google Analytics לסטטיסטיקות אינטרנט והחליטה להטיל קנסות מנהליים נגד שתיים מהחברות. IMY גם הורתה לשלוש חברות להפסיק להשתמש בו (חברה אחת הפסיקה להשתמש בכלי מיוזמתה במהלך החקירה).
זה נשמע חריג ומוזר. למה שהרגולטור השוודי יאסור על חברות לנתח נתונים סטטיסטיים?

IMY מצאה שארבע חברות מעבירות נתונים אישיים לארה"ב באמצעות Google Analytics. החברות שנבדקו הן CDON, Coop, Dagens Industri ו-Tele2.

הביקורות מבוססות על תלונות של ארגון NOYB לאור פסיקת Schrems II של בית הדין האירופי לצדק (CJEU). פסק הדין פירש את רגולציית הפרטיות האירופית, ה-GDPR, וקבע חובות ומגבלות להעברת מידע מאירופה לשירותי ענן שיושבים בארצות-הברית.
בתלונות נטען שהחברות מעבירות מידע פרטי מאירופה לארצות הברית, בניגוד ל-GDPR ולפסיקת Schrems II.

על פי ה-GDPR מותר להעביר מידע אישי ופרטי למדינות שמחוץ לאיחוד האירופי רק אם הנציבות האירופית החליטה שלמדינה המדוברת יש רמת הגנה נאותה על נתונים אישיים. עם זאת, פסק הדין בפרשת Schrems II קבע שארצות הברית לא מספקת רמת הגנה נאותה, לפי הסטנדרטים של האיחוד האירופי. מאחר שנקבע שארצות הברית לא מספקת רמה גבוהה מספיק – אסור להעביר אליה מידע אישי רגיש.

כך החברות הפרו את החוק

רגולציה היא מערכת מורכבת. גם בלי להיכנס לאופן השימוש של החברות ב-Google Analytics, ההיגיון שהוביל את ה-IMY קצת מורכב, אז ננסה להסביר.

הרציונל של החקירה היה כזה:
1. באירופה חל ה-GDPR, שאוסר הוצאת מידע אישי פרטי אל מחוץ לאיחוד האירופי.
2. לאיסור הזה נקבעה אפשרות לפטור – אם יוחלט שהמדינה שאליה המידע מועבר מבטיחה רמת הגנה מספיק גבוהה.
3. פסק הדין ב-Schrems II קבע שארצות הברית לא עומדת בסטנדרט הזה ולכן אסור להעביר אליה מידע.
4. לכן האפשרות היחידה שיהיה מותר להעביר מידע אישי לארצות הברית היא אם הגורמים הפרטיים (החברות שמעבירות ומקבלות את המידע) דואגים בעצמם ומתחייבים משפטית לסטנדרט הגנה שמקובל באיחוד האירופי.

בחקירה של ה-IMY נקבע שנתונים שהחברות העבירו באמצעות כלי הסטטיסטיקה של Google Analytics הם נתונים אישיים מכיוון שניתן לקשר את הנתונים האלו עם מידע אישי ייחודי אחר (וכך לזהות את האדם שעליו נאסף המידע).

ה-IMY גם מצאה שאמצעי האבטחה הטכניים שהחברות עצמן נקטו (והכניסו בחוזים שלהן) לא מספיקים כדי להבטיח רמת הגנה שתואמת במהותה לזו שנקבעה באיחוד האירופי.

ארבע החברות ביססו את ההחלטות שלהן להעביר נתונים אישיים באמצעות Google Analytics על סעיפים חוזיים סטנדרטיים. מהחקירה של ה-IMY עולה שאף אחד מאמצעי האבטחה של החברות לא מספיק כדי לעמוד בסטנדרט הנדרש ולכן הן הפרו את החוק.

IMY הטילה על Tele2 קנס מנהלי של 12 מיליון קרונות שוודיות (בערך מיליון יורו) והטילה על CDON קנס של 300,000 קרונות שוודיות (בערך 25 אלף יורו). זה בנוסף לצו שאוסר על החברות להשתמש ב-Google Analytics.

ההשלכה של ההחלטות הייתה יכולה להיות הרבה יותר רחבה מארבעת החברות האלו. אולי יש כאן מסר לגופים אחרים – להיזהר באילו כלים הם עושים שימוש ואיזה מידע הם מעבירים ולאן. ואולי לא.

האם זו רק ההתחלה של חקירות וקנסות כאלו?

תזמון זה הכל בחיים. עבור ארבע החברות, הקנסות והצו ניתנו שבועיים מוקדם מידי. ב-10.7.2023 נציבות האיחוד האירופה אימצה את החלטת ההלימה בין האיחוד האירופי לארצות הברית, והסכימה על מסגרת פרטיות שתאפשר להעביר מידע אישי לארצות הברית.

המסגרת החדשה, שנקראת EU-U.S Data Privacy Framework היא בדיוק הפתרון למצבים כמו אלו. התחלנו את הניתוח בפסק הדין Schrems II, שקבע שארצות הברית לא מספקת הגנה בסטנדרט הנדרש ולכן אסור להעביר אליה מידע אישי. המסגרת החדשה משנה את המצב ומאפשרת העברת מידע למי שעומד בכללים. כך ארצות הברית תהנה מהפטור, ואפשר יהיה להעביר לשם מידע.

הקנסות שהשוודים הטילו מדגימים כמה החלטת התאימות חשובה (וכמה חשוב לוודא שהכללים ישימים).

לא בטוח שאם החקירה הייתה מתארכת זה היה משנה מהותית את התוצאה. משתי סיבות עיקריות: ההחלטה מתייחסת לפעולות שנעשו לפני אימוץ המסגרת החדשה, ובכלל לא בטוח שהחברות שהעבירו וקיבלו את המידע בכלל עומדות בתנאי המסגרת החדשה (שגם לא הייתה מאושרת בחודש יוני 2023, כשהקנסות הוטלו).
אז כנראה שההחלטות האלו ישארו בתוקף.

אבל מצד שני, מעכשיו יש דרך מסודרת להכשיר העברת מידע מאירופה לארצות הברית, לכולם ברור מה דרך המלך לעבוד לפי הכללים.

המסגרת החדשה בין האיחוד האירופי לארצות הברית אמורה למנוע מצבים כאלו בעתיד ולכן ההערכות הן שלא נראה הרבה מקרים כמו שקרה בשבדיה.

כתיבת תגובה