Прощайте, шрифты Google: суд Германии постановил, что шрифты Google не соответствуют GDPR

Немецкий суд [постановил] (https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/) в прошлом месяце, что шрифты Google не соответствуют GDPR.

Интеграция динамического веб-контента, такого как Google Fonts, из веб-служб США является незаконной без согласия посетителя.

Оператор веб-сайта получил штраф в размере 100 евро. Мюнхенский суд явно хотел подать пример. Они даже упомянули, что следующий штраф составит 250 000 евро для оператора веб-сайта, если он не выполнит требования.

Органы по защите данных (DPA) в других странах ЕС оказались в центре внимания. Скорее всего, мы увидим больше постановлений и мер по этому поводу от имени GDPR.

В этом посте я хочу показать, почему вас это должно волновать, даже если вы не из Германии.

Как Google Fonts собирает личные данные

Когда пользователь хочет загрузить шрифт через Google Fonts, он использует 2 типа запросов:

1. Динамический запрос: fonts.googleapis.com/css2?family={font}

1. Запрос(ы) объекта: fonts.gstatic.com/s/{font}/...

Динамический запрос является причиной решения немецкого суда: IP-адрес пользователя совместно используется Google Fonts. Это личная информация (PII).

Из Google Fonts FAQ мы получаем смутное представление о том, что происходит:

• Google Fonts регистрирует записи запросов CSS и файлов шрифтов, и доступ к этим данным защищен.*

• Регистрируют ли они IP-адреса пользователей вместе с другими идентификационными данными?

• Используют ли они эти записи, чтобы заполнить пробелы в интернет-путешествии пользователя?

Что мы знаем, так это то, что они собирают и хранят данные о конечном пользователе, чтобы иметь возможность — то, что, по их словам, необходимо для «эффективного обслуживания шрифтов».

«Я использую Google Fonts, какие у меня есть варианты?»

С точки зрения GDPR у вас есть 2 варианта:

1. Размещайте шрифты локально: их уже можно загрузить напрямую с веб-сайта Google Fonts.

1. Спросите у своих пользователей согласие: разместите баннер согласия, где шрифты Google указаны как одна из служб обработки данных (DPS). Кроме того, вам необходимо дождаться согласия вашего пользователя, прежде чем запрашивать службу Google Font. Отсрочка файлов шрифтов по своей сути не идеальна.

Почему вас это должно волновать

Когда технологические компании получают достаточно точек данных, чтобы соединить точки, они получают довольно хорошее представление о том, что вы делаете в Интернете. Эти данные обычно используются для персонализированной рекламы. Я мог бы жить с этим, если бы это был единственный недостаток пользователя в сборе персональных данных.

Google Fonts — одна из таких точек данных, которая помогает соединять воедино дополнительные части головоломки.

Помимо рекламного аспекта, это проблематично из-за:

• отсутствие контроля над вашими личными данными

• оставление профиля на серверах технологических компаний, доступ к которым может быть получен при определенных требованиях властями США

• нахождение в Интернете, где очень часто происходят утечки данных и взломы

В настоящее время мы, разработчики, должны защитить конечного пользователя. Вот почему вам следует позаботиться об этом.

Заключительные слова

Я надеюсь, что смог пролить свет на то, почему Google Fonts является проблемой конфиденциальности данных.

Также: я не юрист.