Google Analytics в Европе: как обеспечить соответствие GDPR

Правила игры с конфиденциальностью данных резко изменились, что повлияло на способность европейских компаний точно оценивать свою эффективность и адекватно оценивать свои маркетинговые усилия. С появившимися запретами привычные способы работы уже невозможны, что приводит к потере ценных данных, которые уже никогда не заменишь.

Огромные изменения в цифровой аналитике начались с запрета на использование Google Analytics в некоторых европейских странах и закончились новой системой конфиденциальности данных между ЕС и США. В соответствии с недавними решениями европейских органов по защите данных Google Analytics стало незаконным для использования операторами веб-сайтов в нескольких странах. Поскольку внедрение Google Analytics теперь рассматривается как нарушение главы V GDPR, европейские компании столкнулись с кризисом.

Однако в марте 2022 года ситуация изменилась, поэтому давайте попробуем окончательно определить, какие проблемы возникли с конфиденциальностью данных и что может сделать европейский бизнес, чтобы обезопасить свою маркетинговую аналитику.

За последние пару лет произошло много событий в сфере конфиденциальности данных и Google Analytics. Для европейских предприятий эти изменения в сборе и применении данных означали конец золотой эры отлаженной, передовой маркетинговой аналитики. Ограничения и запреты на использование данных делают невозможным применение установленных рабочих процессов. Мы собрали и нанесли на карту всю имеющуюся у нас информацию, чтобы увидеть, как начались все эти изменения и где мы находимся сейчас.

В 2020 году некоммерческая организация NOYB подала 101 жалобу на веб-сайты Европейской экономической зоны (ЕЭЗ), использующие Google Analytics или Facebook Connect. После этого органы по защите данных ЕЭЗ начали издавать постановления, обязывающие операторов веб-сайтов ЕЭЗ прекратить использование этих услуг на том основании, что они не соблюдают Общий регламент по защите данных (GDPR).

Проблема заключалась в способе применения Google Analytics в Европе, поскольку он хранит собранные данные о жителях ЕС (данные о поведении пользователей) в облачном сервисе в США. Камнем преткновения было — и остается — то, что меры безопасности, принятые Google, недостаточны для предотвращения доступа американских спецслужб к личным данным жителей ЕС. По данным европейских органов по защите данных, такая передача данных за границу нарушает GDPR.

На данный момент рассмотрено два судебных дела. Первым было дело в Австрии (декабрь 2021 г.), за которым менее чем через два месяца (февраль 2022 г.) последовало дело во Франции. Резюме этих случаев заключается в том, что отсутствует адекватная защита персональных данных жителей ЕС, а также незаконная передача их персональных данных службам, базирующимся в США. Например, уникальные идентификационные номера пользователей, IP-адреса и параметры браузера недостаточно защищены стандартными положениями о защите, которые предлагает Google.

Подобные случаи в других европейских странах могут иметь эффект домино в подавлении использования Google Analytics (и подобных сервисов). Поскольку уже есть смоделированные ответы и реакции на эти жалобы о нарушении конфиденциальности данных, вполне возможно, что другие европейские власти вскоре последуют этому примеру, что приведет к полному запрету Google Analytics (и других инструментов) в Европе.

Затем, 25 марта 2022 года, после более чем года переговоров, США и ЕС объявили о «принципиальном соглашении» о новой правовой базе для передачи персональных данных из ЕС в США в соответствии с GDPR. Trans-Atlantic Data Privacy Framework решает проблемы, поднятые Судом Европейского союза в решении по делу Schrems II от июля 2020 года, и гарантирует самые высокие стандарты конфиденциальности и защиты данных. Google с нетерпением ждет возможности сертифицировать свои процессы в соответствии с Trans-Atlantic Data Privacy Framework при первой же возможности. Тем не менее, это остается «принципиальным соглашением», детали и сроки которого еще не подтверждены.

Никто не может предсказать будущее, и поскольку цифровой ландшафт быстро меняется, предприятия должны быть готовы защитить свой рабочий процесс обработки данных.

Из-за жалоб NOYB многие органы по защите данных Европейской экономической зоны (ЕЭЗ) хотят заставить операторов веб-сайтов ЕЭЗ полностью прекратить использование Google Analytics. От таких решений страдают европейские компании, которые хотят внедрить онлайн-технологии, чтобы увеличить доходы своего бизнеса и улучшить общую производительность.

Сейчас эти предприятия находятся в слабом положении, так как ждут, когда политически горячая тема международной передачи данных будет решена с помощью каких-то логических решений. Не будем забывать, что, несмотря на проблемы с передачей данных, во всем мире существуют другие опасные риски для конфиденциальности данных, такие как кибератаки и программы-вымогатели.

На данный момент проблемы, возникающие при использовании Google Analytics, следующие:

• Веб-сайты, которые не могут соответствовать GDPR, будут платить большие штрафы, если они продолжат передавать конфиденциальные пользовательские данные службам в США.
• Не применяя Google Analytics, маркетологи боятся, что не смогут оценить свою маркетинговую эффективность.
• Чтобы изменить свое решение для маркетинговой аналитики, компании тратят много средств на изучение и внедрение нового продукта.

Давайте посмотрим, что можно сделать для решения этих проблем и как компании могут избежать еще больших проблем в будущем.

Примечание. Проект NOYB предоставляет рекомендации для компаний. Специально для небольших компаний из ЕС, которые не уверены в законах США о слежке или чьи партнеры в США подпадают под действие этих законов, на веб-сайте noyb.eu есть бесплатные инструкции и типовые запросы .

Конечно, такое положение вещей неприятно для многих предприятий и нарушает давно выстроенные рабочие процессы. Впрочем, отчаиваться не стоит, так как это точно не конец света, и выход есть.

Прежде всего, мы должны начать с упоминания о том, что Google Analytics может быть реализован двумя способами. Соответственно, способ его реализации влияет на его соответствие GDPR. Два метода:

Обычно веб-сайты применяют клиентский режим , что означает использование кода JavaScript на страницах веб-сайта, установку файлов cookie, создание идентификаторов клиентов и передачу полученных данных в Google Analytics для формирования статистики веб-сайта.

Давайте посмотрим, какие шаги следует предпринять при использовании Google Analytics в клиентском режиме. Есть как технические, так и юридические аспекты, которые необходимо проверить, чтобы обеспечить соответствие GDPR.

1. Начните с надлежащего согласия пользователя. Вы должны сообщить пользователям, что их данные (информация об устройстве, идентификаторы отслеживания, IP-адреса и т. д.) будут не только собираться, но и передаваться службам в США. Кроме того, следует указать, что пользователи могут отозвать свое согласие в любое время.
2. Внедрить анонимизацию IP. (Для свойств Google Analytics 4 анонимизация IP-адресов включена по умолчанию.)
3. Убедитесь, что опция обмена данными и опция сигналов в Google Analytics деактивированы.
4. Если вы используете проприетарные идентификаторы пользователей, убедитесь, что у вас нет разрешения на идентификацию пользователей.

Важный! Не забудьте проверить правовое положение дел. Проверьте все контракты, которые вы подписываете, так как все контракты, подписанные компаниями в регионе EMEA, должны быть заключены с Google Ireland Limited, а не с Google LLC. Затем проверьте TIA, касающееся передачи данных между Google Ireland Limited и Google LLC.

Второй вариант — реализация серверного режима . Это более незаметно, так как этот режим позволяет перемещать теги с сайта (как рекламные, так и измерительные) и переносить их в защищенный серверный контейнер. Кроме того, благодаря отслеживанию на стороне сервера IP-адреса пользователей автоматически анонимизируются до того, как информация будет передана инструментам отчетности Google. Короче говоря, это означает, что между пользователем и Google нет прямой связи. Информация собирается сервером издателя, а затем передается в Google для анализа.

Хотя у многих компаний может сложиться впечатление, что отсутствие Google Analytics означает полное отсутствие аналитики, это не так. Есть и другие способы внедрить расширенную маркетинговую аналитику, и команда OWOX BI предлагает безопасные решения как для сбора, так и для хранения данных.

Что такое OWOX BI?

OWOX BI — это решение для маркетинговой аналитики, которое автоматизирует доставку данных из разрозненных источников в пункт назначения аналитики, гарантируя, что ваши данные всегда точны и актуальны.

Среди основных преимуществ работы с данными с помощью OWOX BI можно выделить следующие:

• Все данные хранятся в Google BigQuery с полным соответствием GDPR. Отслеживание на стороне сервера OWOX BI обеспечивает безопасный сбор данных из первых рук на вашем личном домене. Процесс отслеживания соответствует требованиям Schrems II и GDPR.
• Знакомая схема данных Google Analytics. Вы получаете известную универсальную схему данных Google Analytics для обращений и преобразования сеансов. Чтобы легко настроить отслеживание, используя текущие настройки Google Analytics, потребуется всего несколько минут.
• Качественный сбор данных. Оставайтесь незатронутыми блокировщиками рекламы и получайте полные необработанные данные с объяснимым качеством. Собирайте каждое обращение в хранилище Google BigQuery EU почти в реальном времени и без выборки.
• Эффективный маркетинг и анализ данных. В 2023 году значительная часть информации об эффективности рекламных каналов перестанет быть доступной из-за прекращения использования сторонних файлов cookie и сокращения времени их жизни. Вы можете минимизировать потери с помощью отслеживания на стороне сервера OWOX BI, собирать данные из первых рук и объединять их с маркетинговыми данными в вашем хранилище.

Какие шаги вы можете предпринять с OWOX BI, чтобы сохранить свою маркетинговую аналитику?

Поскольку большинство компаний предпочитают, чтобы сбор и хранение данных происходили в регионе ЕС, OWOX BI избегает использования Google Analytics. Детально поток данных OWOX BI выглядит так:

1. Собирайте данные с сайта в классическом формате Google Analytics. Поскольку этот формат данных знаком, можно повторно использовать тысячи существующих SQL-запросов.
2. Собирайте необработанные данные в хранилище Google BigQuery в режиме реального времени. Полученные данные принадлежат вам и хранятся в выбранной вами зоне ЕС.

Подводя итог, OWOX BI позволяет каждому маркетологу и аналитику продолжать свою работу и применять аналитические решения, которые удовлетворяют юридический отдел компании:

• Обеспечьте соблюдение GDPR при работе с конфиденциальными данными.
• Не теряйте время и ресурсы на повторную обработку данных или изучение и внедрение нового стека технологий.
• Сохраняйте существующую разметку вашего веб-сайта, так как время реализации и периоды окупаемости очень короткие.

Ситуация с запретом Google Analytics и грядущей Trans-Atlantic Data Privacy Framework все еще нуждается в прояснении. Однако независимо от результатов лучше защитить свой бизнес сейчас, не дожидаясь лучших времен в будущем. Есть очевидные шаги, которые вы можете предпринять, чтобы свести к минимуму риски, начиная от юридических приготовлений и обеспечения согласия пользователей и заканчивая отказом от поставщиков услуг, принадлежащих США.

Отслеживание на стороне сервера OWOX BI обеспечивает безопасный сбор данных из первых рук, соответствующий требованиям Schrems II и GDPR. Вишенкой на торте является возможность свести к минимуму потери, связанные с прекращением использования сторонних файлов cookie и сокращением времени их жизни.