История про несчастного владельца сайта и одну находчивую компанию.
Представьте ситуацию: вы управляете контентным сайтом, занимаетесь статьями и прочей текучкой… Сайт у вас не политический, не расследовательский. Все идет неплохо, пока однажды спокойствие не нарушает повестка в суд. Причина? Вы установили на сайт «Google Аналитику» – и теперь вас обвиняют в нарушении приватности пользователей.
Суд, как обычно бывает с судами, затягивается на два года. Но вот наконец решение вынесено: вы действительно виновны – будьте добры удалить «Аналитику» с сайта. Радуйтесь, что еще легко отделались – без штрафов (хотя это еще неточно).
История невероятная и даже неправдоподобная. Если бы не одно «но»: она происходит сейчас на самом деле.
«Удаляй!»
Австрия, август 2020. Макс Шрёмс подает в суд на местный сайт с медицинскими статьями за то, что он отслеживает его действия в интернете и передает собранную информацию в головной офис Google Analytics в США.
На этом медицинском сайте, поясняет в исковой жалобе Макс, он был авторизован через аккаунт Google (гугловская почта содержала его фамилию), а сайт собирал куки. Все визиты на сайт с помощью куки были привязаны к нему как к единому пользователю.
Собранные данные контентный сайт (по стандартному соглашению с «Google Аналитикой») передавал на сервера аналитического сервиса, которые находятся в США. А это, как пояснял Макс и как два года спустя, в январе 2022-го, установил суд, нарушает статьи 44 и 45 GDPR о передаче пользовательских данных в третью страну. Google, решил австрийский суд, не может гарантировать безопасность пользовательских данных, потому что при запросе от правительства США будет по закону вынужден предоставить запрошенные данные американскому правительству. А это идет вразрез с принятыми в Евросоюзе нормами закона о персональных данных.
Скриншот из решения суда по иску Макса Шрёмса. Куки содержат уникальные для пользователя идентификационные номера (выделены оранжевым и зеленым). Эти номера были переданы сайтом в Google Analytics
Первым ответчиком по делу выступал управляющий австрийским сайтом, который устанавливал «Аналитику» на сайт. Хотя на сайте была обычная бесплатная версия Analytics со всеми стандартными настройками и разрешениями на сбор данных, суд согласился с претензиями истца. Теперь «Аналитику» нужно удалить с сайта – впрочем, окончательное решение о том, как и в какие сроки это должно быть сделано, еще вынесет суд в Германии (потому что австрийский сайт был частью немецкого холдинга).
Вторым ответчиком был Google Ireland – поставщик «Аналитики», установленной на сайте. Но им повезло больше: требования GDPR по защите пользовательских данных в данном случае распространяются только на того, кто отправляет такие данные, – а Google в США их только получала.
Что сказали в Google
Во-первых, что европейская экономика во многом зависит от данных, собранных сервисами Google – от онлайн-покупок и путешествий до медиа и информационных сервисов. В следующие десять лет в бюджет Евросоюза от работы этих сервисов должны поступить сотни миллиардов евро. Тут, понятно, подтекст: «Не рубите сук, на котором удобно устроились».
Во-вторых, что за 15 лет существования аналитических сервисов Google ни разу не получал запросов на раскрытие данных от американского правительства (напомним, решение суда было вынесено на основе возможности поступления такого запроса).
Наконец, в-третьих, что это тревожный прецедент (и они правы – об этом чуть ниже) и что американскому и европейскому правительству нужно разработать стабильные и четкие правила передачи пользовательских данных – чтобы приватность пользователей сохранялась «по обе стороны Атлантики».
Сомнительный герой
Пожалуй, самая интересная фигура в этой истории – истец Макс Шрёмс. Он председатель организации noyb («none of your business» – буквально «не твое дело»). Организация профессионально занимается тем, что подает такого рода иски.
Вот что Макс говорит о дальнейших планах noyb:
Мы ожидаем, что такие же решения будут приняты в большинстве стран Евросоюза. Мы уже подали 101 жалобу на территориях почти всех стран-участников, и власти их приняли.
Доволен ли г-н Шрёмс решением австрийского суда? Не вполне. Во-первых, он намерен добиваться, чтобы Google все же привлекли к ответственности (они подали отдельную жалобу на Google как сторону, принимающую пользовательские данные). Во-вторых, неясен вопрос по штрафу: окончательное решение вынесет суд в Германии, штраф для владельца сайта может составить до 20 млн евро или 4 % годового оборота.
В долгосрочной перспективе, предполагает Макс, нужны «соответствующие меры защиты [пользовательских данных] в США – или понадобятся разные продукты для США и стран Евросоюза».
Незадолго до этого суда noyb подавал в суд против Facebook – по той же причине – передача пользовательских данных. Вроде как суд даже удалось выиграть, правда, Facebook уже два года игнорирует вынесенное решение, и данные по-прежнему передаются.
Судя по информации на сайте noyb, в их команде – 18 человек, и все они получают зарплату. Частично расходы компании покрываются из каких-то бюджетных денег, а другую часть составляют индивидуальные и спонсорские пожертвования. Непонятно, за какое время – но компания уже собрала 427 тыс. евро.
Средняя сумма пожертвований составляет 50-200 евро
Есть вероятность, что Шрёмсом движет не забота о ближнем, а по-человечески понятное желание заработать. Деятельность организации очень грамотно освещается, кто-то там хорошо работает с контентом на сайте и с обоснованием деятельности noyb. В этом плане – хвалим и восхищаемся. Но так же по-человечески жалко 101 владельца сайта (российских среди них нет), которым не повезло оказаться на пути noyb.