צרפת: הנחיות בדבר השימוש בGoogle Analytics

פרטיות וסייבר

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

בהמשך להחלטת רשות הגנת הפרטיות הצרפתית (CNIL) בעניין השימוש בכלי Google Analytics אשר התקבלה בתחילת השנה, פרסמה ה-CNIL מסמך שאלות ותשובות לגבי הליכי האכיפה בעניין השימוש כאמור. 

במסגרת ההחלטה נקבע כי שימוש ב-Google Analytics על ידי מפעילי אתרים צרפתיים מהווה הפרה להוראות ה-GDPR בדבר העברות מידע למדינות מחוץ לאירופה, מאחר והמידע מועבר בהיעדר הגנות מספקות עבור נושאי המידע האירופאים.

במסמך השאלות והתשובות, ה-CNIL שבה והדגישה כי קיומם של החוזים הסנדרטיים (Standard Contractual Clauses) כשלעצמם עם Google LLC בארה"ב אינו מספק לצורך העברת מידע נאותה ומוגנת, וכי נדרשים אמצעים משפטיים, ארגוניים וטכניים נוספים לשם כך. עוד הובהר כי האמצעים שיושמו עד כה על ידי Google אינם מספקים.

במסגרת המסמך, ה-CNIL מציינת כי שינוי הגדרות Google Analytics אינו מהווה פתרון אפקטיבי, מאחר ולא ניתן להגדירם באופן שימנע העברת מידע אישי מחוץ לאיחוד האירופאי או באופן שרק מידע אנונימי יועבר. בנוסף, ה-CNIL הדגישה כי על אף שברמה התיאורטית, הצפנת מידע הינה אמצעי טכני מספק להגנת המידע (בפרט בפני גישת הרשויות בארה"ב), הדבר נכון רק במידה והשליטה על מפתח ההצפנה הינה בידי מייצא המידע. במקרה של Google Analytics, גוגל מצפינה את המידע האישי בעצמה ויכולה לגשת לנתונים אלה, מה שהופך את ההצפנה לכלי שאינו אפקטיבי בפני גישה של הרשויות. 

על מנת להתמודד עם סוגיית הגישה למידע האישי שמקורו באירופה על ידי רשויות של מדינות זרות, ה-CNIL מציעה שימוש בשרת מתווך (Proxy Server) שישמש לשבירת רצף הקשר בין שרת היעד, המוצב מחוץ לאיחוד, לבין המשתמש האירופאי.

על פי ה-CNIL, שרתי תיווך צריכים לעמוד במספר דרישות כדי להוות פתרון הולם. בין יתר הדרישות: החלפת מזהה המשתמש על ידי השרת המתווך, אי העברת כתובת ה-IP, מחיקת כל פרמטר הכלול בכתובות ה-URL שנאספו, היעדר אוסף של מזהים חוצי אתרים, ומחיקת כל מידע אחר שעלול להוביל לזיהוי מחדש.

בנוסף יש לוודא כי שרתי התיווך מתארחים בתנאים המבטיחים אי העברת המידע מחוץ לאיחוד, וכי בעלי השליטה במידע (Data Controllers) יבצעו ביקורת וניתוח מתמשכים על מנת לוודא שהאמצעים וההגנות מיושמים ונשמרים.

לבסוף ה-CNIL מכירה בכך שהפתרון המוצע יקר ומורכב, ומדגישה כי ניתן להתגבר על קשיים אלה על ידי שימוש בכלים אנליטיים שאינם כרוכים בהעברת מידע מחוץ לאיחוד האירופאי.

מקור: DataGuidance TechCrunch