Google Analytics (GA) sử dụng các cookie như _ga và _gid để phân biệt người dùng cá nhân trên một tên miền. Các cookie này không được phân loại là cần thiết tuyệt đối, do đó kích hoạt các yêu cầu được quy định bởi Quy định chung về bảo vệ dữ liệu (GDPR) và Chỉ thị về quyền riêng tư điện tử (ePrivacy Directive) về việc cần có sự đồng ý rõ ràng của người dùng trước khi triển khai chúng. Điều này phù hợp với nguyên tắc rằng chỉ các cookie cần thiết tuyệt đối mới được miễn các nghĩa vụ về sự đồng ý (Nghị viện và Hội đồng châu Âu, 2016).
Yêu cầu về sự đồng ý khác nhau tùy theo khu vực pháp lý trong EU, được thể hiện qua các cách giải thích và thực thi khác nhau của các Cơ quan Bảo vệ Dữ liệu (DPA):
- Văn phòng Ủy viên Thông tin (ICO) của Vương quốc Anh phân loại cookie phân tích là không thiết yếu, yêu cầu rõ ràng sự đồng ý của người dùng trước khi kích hoạt cookie GA (ICO, 2020).
- DPA của Đức yêu cầu sự đồng ý rõ ràng đối với cookie phân tích chỉ khi dữ liệu được chuyển cho bên thứ ba, phản ánh một cách tiếp cận có điều kiện hơn (BfDI, 2021).
- Các cơ quan như DPA của Áo, CNIL của Pháp và Garante của Ý đã ban hành các phán quyết rằng Google Analytics vi phạm GDPR, đặc biệt là do các vấn đề chuyển giao dữ liệu và các biện pháp bảo vệ không đầy đủ (CNIL, 2022; Garante, 2023).
Các phán quyết này tập trung vào:
- Việc chuyển dữ liệu sang các nước thứ ba, đặc biệt là Mỹ, nơi thiếu các quyết định về tính tương xứng theo GDPR.
- Việc ẩn danh hóa hoặc bút danh hóa không đầy đủ dữ liệu cá nhân được truyền đến máy chủ của Google.
- Thiếu cơ sở pháp lý hợp lệ để xử lý dữ liệu cá nhân qua GA mà không có sự đồng ý rõ ràng.
Các hệ quả đối với nhà điều hành trang web là rất đáng kể:
- Họ phải có được sự đồng ý rõ ràng và đầy đủ thông tin trước khi triển khai cookie GA.
- Họ nên đánh giá xem việc sử dụng GA của mình có tuân thủ các hướng dẫn DPA cụ thể theo từng khu vực pháp lý hay không.
- Các giải pháp thay thế hoặc biện pháp bổ sung (ví dụ: theo dõi phía máy chủ, ẩn danh hóa nâng cao) có thể cần thiết để đảm bảo tuân thủ.
Tóm lại, việc sử dụng Google Analytics theo GDPR không được miễn trừ khỏi các yêu cầu về sự đồng ý, với các tín hiệu pháp lý mạnh mẽ từ nhiều DPA nhấn mạnh sự đồng ý rõ ràng do các rủi ro về quyền riêng tư liên quan đến việc sử dụng cookie và chuyển dữ liệu xuyên biên giới. Việc không tuân thủ có thể dẫn đến các hành động pháp lý bao gồm cả tiền phạt.
