Google Analytics (GA) використовує файли cookie, такі як _ga та _gid, для розрізнення окремих користувачів на домені. Ці файли cookie не класифікуються як суворо необхідні, що зумовлює вимоги, встановлені Загальним регламентом про захист даних (GDPR) та Директивою про конфіденційність та електронні комунікації, щодо отримання явної згоди користувача перед їхнім використанням. Це відповідає принципу, що лише суворо необхідні файли cookie звільняються від обов'язку отримувати згоду (Європейський Парламент і Рада, 2016).
Вимоги до згоди відрізняються залежно від юрисдикції в межах ЄС, що демонструють різні тлумачення та правозастосування з боку Органів із захисту даних (DPAs):
- Управління комісара з інформації Великобританії (ICO) класифікує аналітичні файли cookie як необов'язкові, прямо вимагаючи згоди користувача перед активацією файлів cookie GA (ICO, 2020).
- Орган із захисту даних Німеччини (DPA) вимагає явної згоди на аналітичні файли cookie лише у випадку передачі даних третім сторонам, що відображає більш умовний підхід (BfDI, 2021).
- Такі органи, як австрійський DPA, французький CNIL та італійський Garante, винесли рішення, що Google Analytics порушує GDPR, зокрема через проблеми з передачею даних та недостатні заходи захисту (CNIL, 2022; Garante, 2023).
Ці рішення зосереджені на:
- Передачі даних до третіх країн, зокрема до США, для яких відсутні рішення про адекватність згідно з GDPR.
- Недостатня анонімізація або псевдонімізація персональних даних, що передаються на сервери Google.
- Відсутність дійсних правових підстав для обробки персональних даних через GA без явної згоди.
Наслідки для операторів вебсайтів є значними:
- Вони повинні отримувати явну інформовану згоду перед розгортанням файлів cookie GA.
- Вони повинні оцінити, чи відповідає їхнє використання GA рекомендаціям DPA конкретної юрисдикції.
- Для забезпечення відповідності можуть знадобитися альтернативи або додаткові заходи (наприклад, відстеження на стороні сервера, посилена анонімізація).
Таким чином, використання Google Analytics згідно з GDPR не звільняється від вимог щодо отримання згоди, з чіткими регуляторними сигналами від численних DPA, що наголошують на необхідності явної згоди через ризики для конфіденційності, пов'язані з використанням файлів cookie та транскордонною передачею даних. Недотримання вимог може призвести до регуляторних заходів, включаючи штрафи.
