Google Analytics и GDPR: а нужно ли согласие пользователя?

    После публикации о том, как быстро проверить cookies на соблюдение GDPR, наиболее обсуждаемым оказался вопрос необходимости получения согласия пользователей при использования на сайте Google Analytics.

    В этой статье ознакомимся с позициями некоторых Европейских регуляторов (DPA) и попробуем прояснить ситуацию.



    Использование Google Analytics предполагает установку отслеживающих cookies, а это, в соответствии с общими положениями GDPR и ePrivacy, уже требует получения предварительного согласия пользователя.

    Вместе с тем, существует мнение, что при использовании анонимизации от Google, скрывающей последний октет IP-адреса пользователей, аналитику все же можно использовать без получения разрешения. Эта позиция основана на неприменимости GDPR к анонимизированным данным. Вопрос лишь в том — является ли маска /24 критерием такой анонимизации.

    Большинство надзорных органов не дают каких-либо конкретных рекомендаций по использованию Google Analytics. Но есть и некоторые исключения.

    Нидерланды


    В прошлом году голландский DPA опубликовал подробную инструкцию о том, как можно использовать аналитику от Google без необходимости получения согласия пользователя.

    Согласно документу владелец сайта должен принять соглашение (поправку) об обработке данных Google в качестве процессора, включить анонимизацию IP-адреса пользователя, отключить обмен данными с Google и сбор данных для рекламы. При этом все равно нужно информировать посетителя сайта об использовании Google Analytics. Также рекомендуется настроить возможность отказаться от использования инструмента аналитики.

    Германия


    В этом году было представлено руководство надзорных органов, где определены требования получения согласия. Позже Государственный комиссар по защите данных и свободе информации земли Баден-Вюртемберг, отвечая на частозадаваемые вопросы, отметил, что системы аналитики могут использоваться без согласия пользователя только в том случае, если это не инструменты третьих сторон — таких как Google Analytics.

    В качестве альтернативы предлагается анализировать собственные логи или установить систему аналитики локально.

    Великобритания


    У достаточно активного DPA Туманного Альбиона, именуемого ICO, каких-либо инструкций по использованию Google Analytics найти не удалось. Однако на официальном сайте в данный момент присутствует код аналитики от Google, что в некотором роде можно считать образцово-показательным способом ее применения.

    Используя Google Analytics ICO заявляет, что обрабатывает пользовательские данные анонимно. При этом соответствующие cookies устанавливаются только после того, как пользователь дает свое активное согласие, кликнув по специальному переключателю.

    Вывод


    Имеет место неоднозначный подход к требованиям по использованию Google Analytics. Большинство надзорных органов стран ЕС в последнее время придерживаются общего правила, предполагающего необходимость получения согласия. Хотя, как видим, для исключительно голландской аудитории анонимизации и простого уведомления об использовании Google Analytics очевидно будет достаточно.

    В конечном же итоге администратор сайта самостоятельно должен изучить географию своих пользователей и принять решение об использовании баннера согласия. В любой спорной ситуации без сомнения правильным будет поставить баннер. В сети для этого есть достаточно готовых решений: пример для Google Analytics.

    Что касается штрафов за отсутствие получения согласия, информации в СМИ, к счастью, не нашлось. Есть новости, связанные с репутационными рисками из-за отслеживания пользователей без разрешения и отдельный случай гражданского спора.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 1

      –1
      Спасибо за обзор! Хочу добавить пять копеек как бы со стороны простого пользователя. У меня в домашней сети стоит центральный DNS с широчайшим списком блокировок аналитических, телеметрических и рекламных сетей. На всех устройствах включая мобильные — Firefox с максимальными настройками приватности и блокировкой всех сторонних печенек. На десктопах дополнительно Ghostery и AdBlock. Сайт, который в таких условиях не работат, закрывается навсегда. Например, я уже полностью отказался от РБК из за этого. Естественно, таких как я мало и они погоды не делают. Но, судя по комментариям на Хабре таких людей все больше и больше. То есть все больше и больше людей делают осознанный выбор за отказ от любого слежения. Немного грустно оттого, что владельцы сайтов и мобильных приложений смотрят только на букву закона и принципиально отказываются учитывать подобных пользователей.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое