Google Analytics (GA) از کوکیهایی مانند _ga و _gid برای تشخیص کاربران منحصر به فرد در یک دامنه استفاده میکند. این کوکیها به عنوان کوکیهای اکیداً ضروری طبقهبندی نمیشوند، بنابراین الزامات مقرر شده توسط مقررات عمومی حفاظت از دادهها (GDPR) و دستورالعمل حریم خصوصی الکترونیکی (ePrivacy Directive) را برای کسب رضایت صریح کاربر پیش از استفاده از آنها فعال میکنند. این موضوع با این اصل همسو است که فقط کوکیهای اکیداً ضروری از تعهدات کسب رضایت معاف هستند (پارلمان و شورای اروپا، 2016).
الزامات کسب رضایت بسته به حوزه قضایی در اتحادیه اروپا متفاوت است، همانطور که تفاسیر و اجرای متفاوت توسط مقامات حفاظت از دادهها (DPA) نشان میدهد:
- دفتر کمیسر اطلاعات بریتانیا (ICO) کوکیهای تحلیلی را به عنوان غیرضروری طبقهبندی میکند و صراحتاً رضایت کاربر را قبل از فعال کردن کوکیهای GA الزامی میداند (ICO، 2020).
- DPA آلمان تنها در صورتی رضایت صریح برای کوکیهای تحلیلی را الزامی میداند که دادهها به اشخاص ثالث منتقل شوند، که این امر نشاندهنده یک رویکرد مشروطتر است (BfDI، 2021).
- مقامات مانند DPA اتریش، CNIL فرانسه، و Garante ایتالیا احکامی صادر کردهاند که Google Analytics مقررات GDPR را نقض میکند، به ویژه به دلیل مشکلات انتقال داده و عدم وجود تدابیر حفاظتی کافی (CNIL، 2022؛ Garante، 2023).
این احکام بر موارد زیر تمرکز دارند:
- انتقال داده به کشورهای ثالث، به ویژه ایالات متحده، که فاقد تصمیمات مربوط به کفایت حفاظت داده تحت GDPR هستند.
- ناشناسسازی یا استفاده از نام مستعار ناکافی برای دادههای شخصی منتقل شده به سرورهای Google.
- نبود مبانی قانونی معتبر برای پردازش دادههای شخصی از طریق GA بدون رضایت صریح.
پیامدهای این موضوع برای اپراتورهای وبسایت قابل توجه است:
- آنها باید رضایت صریح و آگاهانه را قبل از به کارگیری کوکیهای GA کسب کنند.
- آنها باید ارزیابی کنند که آیا استفادهشان از GA با دستورالعملهای DPA مربوط به حوزه قضایی خاص مطابقت دارد یا خیر.
- برای اطمینان از انطباق، ممکن است گزینههای جایگزین یا اقدامات اضافی (مانند ردیابی سمت سرور، ناشناسسازی پیشرفته) ضروری باشد.
به طور خلاصه، استفاده از Google Analytics تحت GDPR از الزامات کسب رضایت معاف نیست، و سیگنالهای نظارتی قوی از سوی DPA های متعدد بر رضایت صریح به دلیل خطرات حریم خصوصی مرتبط با استفاده از کوکی و انتقال دادههای فرامرزی تأکید دارند. عدم انطباق ممکن است به اقدامات نظارتی از جمله جریمه منجر شود.
