A Google Analytics használatának adatvédelmi kérdései és megoldási lehetőségek

Az Európai Unió Bírósága ítéletében (C-311/18. sz.) érvénytelenítette az adatvédelmi pajzsot (Privacy Shield), amely az Európai Unió és az Egyesült Államok közötti személyes adatok továbbításának keretrendszerét biztosította, így az USA-ba történő adattovábbítások jogszerűségének kérdése komoly problémát jelent az adattovábbító szervezeteknek.

Google Analytics használatának problémája

A legnagyobb figyelmet a témában mostanában a Google Analytics használata kapja. A Google Analytics egy olyan szolgáltatás, amelyet a weboldalak használnak arra, hogy mérjék a látogatóik számát, és így vizsgálják például a különböző szolgáltatásaik iránt való érdeklődést. Ehhez minden látogatóhoz egy egyedi azonosítót rendelnek, amely személyes adatnak minősül. Ezt az azonosítót és az ahhoz kapcsolódó adatokat a Google továbbítja az Egyesült Államokba.[1]

Miután a Schrems II. ítélet meghozatalának (így a Privacy Shield érvénytelenné nyilvánításának) pont az volt egy lényeges oka, hogy az amerikai hatóságok olyan módon és mértékben férhetnek hozzá személyes adatokhoz, amely veszélyezteti a kezelt személyes adatok Európai Unióban megkövetelt szintnek megfelelő biztonságát, a Google Analytics használata, és így a Google az Amerikai Egyesült Államokba történő adattovábbítása komoly jogszerűségi kérdéseket vet fel.

Ennek megfelelően egyre több nemzeti adatvédelmi hatóság foglal állást a kérdésben, továbbá az ilyen jellegű hatósági vizsgálatok is megszaporodtak.

A Francia Adatvédelmi Hatóság (CNIL) több panaszt is kapott a Schrems II. ítélet kapcsán ismertté vált NOYB egyesülettől, amelyek megkérdőjelezték a Google Analytics használatának jogszerűségét a francia vállalatok által. Ezekben az esetekben a Hatóság úgy ítélte meg, hogy a Google Analytics használata a jelenlegi formájában nem kellően szabályozott adattovábbításhoz vezet az Egyesült Államokba. A Google Analytics GDPR-nak megfelelő használatához nem elegendő az általános adatvédelmi kikötések egyszerű alkalmazása.[2]

A témában egyébként egyre több döntés várható, ugyanis a NOYB egyesület összesen 101 panaszt nyújtott be az EU 27 tagállamában és az Európai Gazdasági Térség (EGT) három másik államában, 101 adatkezelő ellen az Egyesült Államokba történő adattovábbításaik miatt.[3]

Könnyen belátható, hogy az ilyen mennyiségű, azonos témában, különböző nemzeti hatóságokhoz benyújtott panaszok összehangolt fellépést követelnek meg nemzetközi szinten a hatóságoktól.

Az utóbbi időben mind a francia, brit, osztrák és olasz hatóság is hozott döntéseket a témában.

Hoz lényeges megoldást a GDPR megfelelésben a Google Analytics 4?

2019 novemberében a Google kiadta a Google Analytics 4 bétaverzióját, amely az Universal Analytics-et hivatott felváltani. A Google Analytics 4 olyan, a magánszféra védelmét erősítő funkciókkal bővült, mint például megfelelőbb adattörlési mechanizmus, rövidebb adatmegőrzési időszak, valamint az IP címek anonimizálása.

A Google Analytics 4 sem felel meg teljes mértékben a GDPR-nak. Annak ellenére, hogy több adatvédelmi funkcióval bővült, az uniós polgárok továbbra sem védettek a megfigyelésre vonatkozó amerikai törvényekkel szemben a Google Analytics használatakor.

Bár a Google kétségkívül tett előre lépéseket, továbbra sem felel meg megfelelő mértékben a GDPR követelményeinek, leginkább azért, mert nem oldja fel az Egyesült Államokba történő adattovábbítással járó jogszerűségi problémákat.[4]

A piaci szereplők megoldási próbálkozásai

A Francia Adatvédelmi Hatóság (CNIL) szerint a piaci szereplők az utóbbi időben próbáltak olyan technikai beállításokat eszközölni, amelyek továbbra is lehetővé teszik a Google Analytics használatát a felhasználók magánszférájának tiszteletben tartása mellett. Azonban sem az IP címek kezelési beállításainak megváltoztatása, sem a Google Analytics által generált azonosító „titkosítása” nem bizonyult elegendőnek az Európai Bíróság követelményeinek teljesítéséhez, hiszen az adatok továbbra is az Egyesült Államokba kerülnek továbbításra, valamint az érintettek esetleges újra azonosítása sem kizárható.

Az alapvető probléma, amely megakadályozza, hogy ezek az intézkedések megakadályozzák a nem európai hatóságok személyes adatokhoz való hozzáférését, az a HTTPS-kapcsolaton keresztül történő közvetlen kapcsolat az egyén eszköze és a Google által kezelt szerverek között. Ez ugyanis lehetővé teszi, hogy ezek a szerverek megszerezzék az internethasználó IP-címét, valamint számos információt az eszközéről. Ezek az információk lehetővé tehetik a felhasználó újbóli azonosítását, és így a Google Analytics-et használó valamennyi webhelyen történő böngészési információhoz való hozzáférést.[5]

Ezt a problémát csak olyan megoldásokkal lehet kezelni, amelyek lehetővé teszik az eszköz és a szerver közötti kapcsolat megszakítását. Az ilyen típusú megoldások lehetővé tennék más elemzőeszközök használatának összeegyeztetését is a GDPR adattovábbításra vonatkozó követelményeivel.[6]

De mit tehetünk akkor, hogy a Google Analytics-et jogszerűen tudjuk használni?

A CNIL javaslata szerint az egyik lehetséges megoldás egy proxy kiszolgáló használata, hogy elkerüljük a közvetlen kapcsolatot az internetfelhasználó eszköze és az analitikai eszköz (jelen esetben a Google) szerverei között. Biztosítani kell azonban, hogy ez a szerver megfeleljen egy sor kritériumnak ahhoz, hogy úgy lehessen tekinteni, hogy ez a kiegészítő intézkedés összhangban van a GDPR követelményeivel. Ez a megoldás gyakorlatilag a személyes adatok adattovábbítás előtti álnevesítését jelentené. Ez akkor lehetséges, ha az adatkezelő alapos vizsgálattal megállapította, hogy az álnevesített személyes adatok nem rendelhetők azonosított vagy azonosítható személyhez, még más kiegészítő információkkal összevetve sem, tehát a továbbított információk nem teszik lehetővé a személy újbóli azonosítását többé.

A CNIL szerint a következő intézkedéseket szükséges a proxy szervernek végrehajtania ahhoz, hogy az adatvédelmi követelményeknek megfeleljen az adatkezelés:

• Az IP-címek ne kerüljenek továbbításra az analitikai eszköz szervereihez;
• A felhasználói azonosító helyettesítése a proxy kiszolgáló által;
• A külső hivatkozási adatok eltávolítása a webhelyről;
• Az összegyűjtött URL-ekben található paraméterek eltávolítása
• Minden olyan információ újra generálása, amely egyedi azonosítók létrehozásához vezethet
• A helyközi vagy tartós azonosítók (CRM ID, egyedi azonosító) gyűjtésének hiánya;
• Minden olyan adat törlése, amely újra azonosításhoz vezethet.

A fentieken felül a szervert olyan körülmények között kell elhelyezni, amelyek biztosítják, hogy az általa kezelt adatok nem kerülnek az Európai Unión kívülre, vagy olyan országba, amely nem nyújt az Európai Gazdasági Térségen belül biztosított védelemmel lényegében egyenértékű védelmi szintet.

A proxy szerver használata az adatvédelmi nyereségeken túl nagyon is praktikus szempontokat szolgál: a legtöbb hirdetésblokkoló (AdBlocker, uBlock Origin, stb.) alapbeállításként már blokkolja a Google Analyticset, így ezek a felhasználók egyébként is „láthatatlanok” az elemzőoldal számára. A hirdetésblokkolókat használók aránya pontosan nem ismert, de becslések szerint az internethasználók 20-40%-a is érintett lehet[7]. A proxy szerverek esetén ez a jelenség nem áll fenn, mivel az ismeretlen domaint nem tiltják a hirdetésblokkolók, tehát a korábban láthatatlan felhasználók újra láthatóvá válnak. Egy fajta oximoronként az adatvédelmileg tudatosabb működésmód egyúttal azzal is jár, hogy a vállalkozás jelentősen több és jobb minőségű elemzési adatból gazdálkodhat, miközben tiszteli honlapfelhasználói magánszféráját.

A CNIL javaslata ugyanakkor nem mentes a negatívumoktól, ugyanis végső soron a tudatos – hirdetés és követésblokkolókat használó - felhasználók egy részének akaratát játssza ki. Ezek a felhasználók abbéli akaratukat nyilvánították ki, hogy ne kövesse őket az interneten semmilyen szervezet: valószínűleg nem teljes vigasz számukra, hogy a Google Analytics proxy szervert használó szervezetek jogszerűen és anonimizálva teszik ezt. Függetlenül azonban a proxy szerver használat árnyoldalától a CNIL által javasolt megoldás nagyon jelentősen csökkeni az érintettekre leselkedő kockázatot és ezért – a Google Analytics megtartásának esetén – erősen javallott is.

Milyen egyéb lehetőségeket javaslunk mi?

A Google Analytics ugyan nagyon elterjedt a piacon, és kétségkívül egyszerű megoldás a használata, azonban vannak más analitika alternatívák, amiket adatvédelmi szempontból is biztonságosabban használhatunk, és nyújtják is azokat a funkciókat, amikre szükségünk van. Az alábbiakban néhány lehetőséget mutatunk be, amely kutatásaink szerint jó és biztonságosabb alternatívája lehet a Google Analytics-nek.

Megjegyezzük, hogy a felsorolt lehetőségek megfelelőségét kizárólag az interneten elérhető információk alapján vizsgáltuk, így javasoljuk, hogy amennyiben az adott megoldásban gondolkozik, vegye fel a kapcsolatot a szolgáltatóval annak érdekében, hogy a GDPR megfelelőségről megbizonyosodjon. Ez azért is fontos, mert annak vizsgálata, hogy az igénybe vett szolgáltató teljesíti-e a GDPR szerint megkövetelt védelmi szintet, az adatkezelő felelőssége.

Splitbee

A Splitbee többek között képes összehasonlítani az aloldalak közötti forgalmat, mérni, hogy honnan érkeznek a látogatók, információkat gyűjt a honlap felhasználóiról, valamit képes mérni, hogy a látogatók hol vesztették el az érdeklődésüket a tartalmak nézegetésekor. Előnye a Google Analytics-hez képest, hogy az adatokat EU-n belül tárolja, nem továbbít adatot harmadik feleknek, illetve a Google Analytics alap verziójához képest egyéb funkciókkal is rendelkezik.

Matomo

A Matomo nagyon sok funkcióval rendelkezik, a felhasználók tevékenysége részletesen követhető. Komoly előnye, hogy beimportálhatóak a korábbi Universal Analytics-adatok, így megőrizhetőek az összegyűjtött értékes régi információk. Az adatok tárolása az EU-n belül történik, a személyes adatok pedig anonimizáltan kerülnek felhasználásra.

Simple Analytics

A Simple Analytics használata nagyon egyszerű, a legfontosabb analitika funkciókra képes, figyeli hány látogató, honnan érkezik és mit csinál az adott oldalon. Előnye a Google Analytics-szel szemben többek között, hogy nem kezelnek személyes adatot (az IP cím anonimizálása a begyűjtés előtt megtörténik), nem adnak át adatokat harmadik feleknek, illetve, hogy az EU-n belül tárolják az adatokat.

_{[1] https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply}

_{[2] https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr}

_{[3] https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply}

_{[4] https://matomo.org/blog/2022/05/google-analytics-4-gdpr/}

_{[5] https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr}

_{[6] https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr}

_{[7] https://backlinko.com/ad-blockers-users}