» »

Avstrijski informacijski pooblaščenec: Google Analytics ni v skladu z GDPR

Avstrijski informacijski pooblaščenec: Google Analytics ni v skladu z GDPR

Slo-Tech - Avstrijski informacijski pooblaščenec (DSB) je ugotovil (odločba v izvirniku), da uporaba Google Analytics krši Splošno uredbo (GDPR). Konkretno gre za kršitev 44. člena, ki ureja splošna načela za prenose v tretje države ali mednarodne organizacije ter jih dovoljuje le, če tudi tam obdelovalec spoštuje GDPR.

Geneza primera sega v julij 2020, ko je Sodišče EU razveljavilo dogovor med Evropsko komisijo in ZDA o varnem pristanu za izvoz osebnih podatkov v ZDA ter trditve Komisije, da je stopnja zaščite osebnih podatkov v ZDA primerljiva z evropsko. Ker je sodišče ugotovilo da, splošnih odpustkov ni in bi to moral posebej dokazovati vsak upravljavec osebnih podatkov za svoj primer. Razveljavitev Privacy Shielda, podobno kot razveljavitev Safe Harborja iz leta 2015, pa ima posledice na vse, ki se ukvarjajo z osebnimi podatki izven meja ZDA. A velikani, kot je Google, so nadaljevali dotedanje prakse, saj so v svoje pogoje uporabe in pogodbe dodali le nekaj vrstic besedila in s tem želeli nadaljevati po starem (Standard Contract Clauses). A sodišče EU je tedaj jasno povedalo, da zakoni, kot sta FISA ali Cloud Act, ZDA omogočajo množično prestrezanje podatkov, kar je v nasprotju z GDPR.

Aktivist Max Schrems je po razsodbi iz leta 2020 (tako imenovana Schrems II) skupaj s skupino Noyb množično vlagal pritožbe zoper tehnološke velikane pri evropskih informacijskih pooblaščencih. Noyb se je pri DSB pritožil avgusta 2020, sprva zoper konkretnega uporabnika Google Analytics, kasneje pa je DSB primer razširil kar na Google kot ponudnika. Z uporabo Google Analytics namreč upravljavec spletne strani osebne podatke obiskovalcev prenaša na Google, ki pa ni izkazal spoštovanja GDPR, zato je tak prenos v nasprotju s 44. členom. Med osebnimi podatki so IP-naslov obiskovalca in parametri brskalnika, ki omogočajo enolično sledenje uporabniku. Da je IP-naslov osebni podatek, so sodišča in informacijski pooblaščenci po EU že konsistentno ugotavljali. Google je ugovarjal, da je sprejel tehnične in organizacijske ukrepe, ki ustrezajo pogojem za obdelavo evropskih osebnih podatkov.

Odločitev DSB je prva. Noyb je vložil 101 primerljivo pritožbo v skoraj vseh država EU. Ta teden je tudi evropski informacijski pooblaščenec opozoril Evropski parlament, da uporaba Google Analytics na njihovih straneh o koronavirusu ni v skladu z zakonodajo. DSB je odločil le o uporabi Google Analytics, tečejo pa še nadaljnji postopki glede ostalih storitev. DSB tudi ni izrekel nobene globe, temveč je z odločitvijo le opozoril upravljavce strani, da naj prilagodijo svojo analitiko. Prav tako DSB ni ugotovil kršitve 44. člena Googla LLC kot upravljavca zbranih podatkov, ker ni evropska pravna oseba. Poteka pa preiskava, ali nemara krši 5., 28. ali 29. člen GDPR.

Slovenskega Informacijskega pooblaščenca tovrstne malenkosti na srečo ne motijo. Skoraj tri leta po opisu primerov dobrih praks, sta dva izmed treh opisanih primerov še vedno natančno takšna, kot sta bila.

8 komentarjev

WhiteAngel ::

Odlično!

krempelj ::

Pravilno. Saj ne, da se me tice, ker jih tako ali tako blokiram, je pa fino, ce google izgubi se en vir pridobivanja podatkov o uporabnikih.

Zdaj pa veselo prijavljati vse domace strani, ki uporabljajo Google Analytics informacijski pooblascenki - manj kot boste zavzemali pozo "kaj me briga" ali celi "nimam nic za skrivat", slabse bo.

Mislim, da je skrajni cas, da se informacijski pooblascenci lotijo mobilnih aplikacij: vcasih smo se t.i. spywara na windowsih na veliko znebljali, zdaj je pa kar vsakomur normalno, da mu aplikacija pokrade vse kontakte, lokacijo,...
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()

Mikrohard ::

Ponudniki aplikacij in spletnih storitev se analitiki ne bodo odpovedali... če se bo google analytics prepovedal, se bo migriralo na drugo analitiko. Po možnosti tako, ki je ne boš mogel več blokirat.

krempelj ::

Mikrohard je izjavil:

Ponudniki aplikacij in spletnih storitev se analitiki ne bodo odpovedali... če se bo google analytics prepovedal, se bo migriralo na drugo analitiko. Po možnosti tako, ki je ne boš mogel več blokirat.


Lol. Ne razumes problema, ki ni v analitiki na nivoju neke internetne strani.

Google analytics je samo "trojanski konj" (ne v smislu malwara), s katerim so lastnikom spletnih strani dali moznost, da dobijo analitiko zastonj in brez truda, v zameno pa je google dobil moznost, da sledi uporabnikom po internetu, saj so jo uporabljale prakticno vse strani.

In enako velja tudi za ostale "zastonj storitve" kot recimo prikazovanje oglasov, CDNji,... zame osebno oglasi, ki so self hostani niso nikakrsna tezava. Pac naj jih imajo. To, da uporablja pa istega ponudnika oglasov 3/4 interneta je pa problem, na popolnoma drugem nivoju, saj pomeni, da ti ta ponudnik oglasov lahko sledi preko 3/4 interneta, analizira vsebino strani, ki jih obiskujes in manipulira s tabo preko oglasov, rezultatov v searchu, cenami storitev, informacijami, ki jih dobis / ne dobis...

Das zraven se vse kar dobi iz svojega spywara na androidu, od tvojih lokacijskih podatkov, do surfanja, kontaktov ipd. in kar naenkrat ve o tebi vec, kot ves o sebi sam.
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()

krempelj ::

Sem se razpisal, pa pozabil zakljucit :). V glavnem, self-hosted analitika nikogar ne moti. 3rd party hosted karkoli je problem. In cname se blokira by default ;)
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()

Pithlit ::

Važno da imamo IP za lepo.
Life is as complicated as we make it...

tevtoni ::

krempelj je izjavil:

Mikrohard je izjavil:

Ponudniki aplikacij in spletnih storitev se analitiki ne bodo odpovedali... če se bo google analytics prepovedal, se bo migriralo na drugo analitiko. Po možnosti tako, ki je ne boš mogel več blokirat.


Lol. Ne razumes problema, ki ni v analitiki na nivoju neke internetne strani.

Google analytics je samo "trojanski konj" (ne v smislu malwara), s katerim so lastnikom spletnih strani dali moznost, da dobijo analitiko zastonj in brez truda, v zameno pa je google dobil moznost, da sledi uporabnikom po internetu, saj so jo uporabljale prakticno vse strani.

In enako velja tudi za ostale "zastonj storitve" kot recimo prikazovanje oglasov, CDNji,... zame osebno oglasi, ki so self hostani niso nikakrsna tezava. Pac naj jih imajo. To, da uporablja pa istega ponudnika oglasov 3/4 interneta je pa problem, na popolnoma drugem nivoju, saj pomeni, da ti ta ponudnik oglasov lahko sledi preko 3/4 interneta, analizira vsebino strani, ki jih obiskujes in manipulira s tabo preko oglasov, rezultatov v searchu, cenami storitev, informacijami, ki jih dobis / ne dobis...

Das zraven se vse kar dobi iz svojega spywara na androidu, od tvojih lokacijskih podatkov, do surfanja, kontaktov ipd. in kar naenkrat ve o tebi vec, kot ves o sebi sam.

dobr si to pogruntal, priznam, da sploh nisem razmisljal o tem.

Zgodovina sprememb…

  • spremenilo: tevtoni ()

krempelj ::

tevtoni je izjavil:

krempelj je izjavil:

Mikrohard je izjavil:

Ponudniki aplikacij in spletnih storitev se analitiki ne bodo odpovedali... če se bo google analytics prepovedal, se bo migriralo na drugo analitiko. Po možnosti tako, ki je ne boš mogel več blokirat.


Lol. Ne razumes problema, ki ni v analitiki na nivoju neke internetne strani.

Google analytics je samo "trojanski konj" (ne v smislu malwara), s katerim so lastnikom spletnih strani dali moznost, da dobijo analitiko zastonj in brez truda, v zameno pa je google dobil moznost, da sledi uporabnikom po internetu, saj so jo uporabljale prakticno vse strani.

In enako velja tudi za ostale "zastonj storitve" kot recimo prikazovanje oglasov, CDNji,... zame osebno oglasi, ki so self hostani niso nikakrsna tezava. Pac naj jih imajo. To, da uporablja pa istega ponudnika oglasov 3/4 interneta je pa problem, na popolnoma drugem nivoju, saj pomeni, da ti ta ponudnik oglasov lahko sledi preko 3/4 interneta, analizira vsebino strani, ki jih obiskujes in manipulira s tabo preko oglasov, rezultatov v searchu, cenami storitev, informacijami, ki jih dobis / ne dobis...

Das zraven se vse kar dobi iz svojega spywara na androidu, od tvojih lokacijskih podatkov, do surfanja, kontaktov ipd. in kar naenkrat ve o tebi vec, kot ves o sebi sam.

dobr si to pogruntal, priznam, da sploh nisem razmisljal o tem.


Probajte sami.

Pojdi v svoj gmail account in se dokoplji do downloada podatkov (je zakopan tam nekje pod settingi), ki jih imajo o tebi.

Po mojem vam lahko predlagajo optimalno velikost gat.

In seveda se bo nasel kdo, ki se bo kurcil, da je pa to super in krasno (in itak nima nic za skrivat), ker lahko dobi idealno velikost gat, meni se pa zdi pretiran in absolutno nepotreben poseg v mojo zasebnost, kar GDPR resuje, ceprav vecina fachidiotov vidi samo popupe, ki pa niso krivda GDPRja ampak lastnika strani, ki se noce odpovedati nemarnih praks. Sicer mu pop-upa ne bi bilo potrebno postavljati.

Samo, da bo jasno, kaksni prasci so pri Googlu: vsi verjetno poznate Niantic Labs in Pokemon Go? To je googlov startup, kjer so hoteli preveriti kako zmanipulirat mase ljudi, da obiscejo lokacijo katere lastnik googlu (oz. pardon Niantic Labs, isto sranje drugo ime) najvec placa. Recimo se v X lokalu pojavi redek pokemon, ampak samo enkrat na uro, vmes vam bo pa dolgcas in boste narocili kaj za piti, lastnik bo pa lahko dvignil ceno pijace, ker bo imel zunaj kolono cepcev, ki lovijo virtualne ljubljencke. Ce ste se kdaj vprasali, zakaj se tako zelo trudijo prepreciti spoofanje GPS lokacije - ZATO.
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ECJ razveljavil odločitev Komisije o primernosti varovanja osebnih podatkov v ZDA

Oddelek: Novice / Zasebnost
214308 (3386) winterriver
»

GDPR je tu, kaj pa zdaj (strani: 1 2 )

Oddelek: Novice / Zasebnost
6419424 (9917) AndrejO
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
12122113 (12973) spegli
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (2)

Oddelek: Novice / Omrežja / internet
449731 (6371) MrStein
»

V ZDA neopazno potrdili nov zakon o čezmejnem dostopu do podatkov o uporabnikih (strani: 1 2 )

Oddelek: Novice / Zasebnost
6316984 (11697) PaX_MaN

Več podobnih tem