Google Analytics jest najpopularniejszym narzędziem dla właścicieli witryn internetowych dające wgląd jak ich witryna jest używana.
Ale czy jest to zgodne z RODO? Czy możesz nadal go używać i zachować zgodność z Rozporządzeniem o Ochronie Danych Osobowych i jak to zrobić?
W tym artykule przedstawimy Google Analytics, RODO i co jego wymagania znaczą dla Twojej strony i używania plików cookies, śledzenia online i narzędzi.
Dowiesz się co robi Google aby przygotować się na RODO, jakie zmiany wprowadzi do Twojego konta Google Analytics i co zrobić, aby użycie GA na Twojej stronie było zgodne z RODO.
Przewiń do listy kontrolnej 1 jeśli chcesz przeskoczyć wstęp i przejść od razu do konkretów.
Co to jest Google Analytics?
Google Analytics to potężne i szeroko używane narzędzie Google używane do analizy ruchu w internecie pozwalające właścicielom witryn uzyskanie dogłębnej analizy w czasie rzeczywistym jak ich witryna jest używana, jak bardzo i przez kogo.
Jak użytkownicy znajdują Twoją witrynę, jak się po niej poruszają, jak długo na niej pozostają, gdzie udają się dalej z Twojej witryny?
Google Analytics to właściwie narzędzie do przetwarzania danych użytkowników.
Co to jest RODO i jak wpływa na moją stronę?
Rozporządzenie o Ochronie Danych Osobowych to prawo w Unii Europejskiej które ustala ścisłe wymagania odnośnie przetwarzania danych osobowych obywateli Unii Europejskiej.
RODO zostaje wprowadzone 25 maja 2018 i wpływa na firmy, organizacje i strony internetowe i wielkie i małe, wszystkie które przetwarzają dane osobowe użytkowników z obszaru UE.
Dla właścicieli witryn internetowych, rozporządzenie oznacza tyle, że trzeba zrewidować wszystkie sposoby przetwarzania danych użytkowników i upewnić się, że spełniają one wymogi RODO.
Typowo, przetwarzanie danych na stronie internetowej należy do jednego z dwóch typów:
- z jednej strony, formularze kontaktowe, listy mailingowe i tym podobne, gdzie dane osobowe są podane i wysłane bezpośrednio przez użytkownika,
- z drugiej pliki cookies i śledzenie online.
Wraz z wprowadzeniem RODO, musisz przyjrzeć się obu typom przetwarzania danych i sprawdzić jakie dane gromadzisz, czy naprawdę potrzebujesz tych danych i do czego i w jaki sposób zapewniasz bezpieczeństwo tym danym.
Problem z plikami cookies w RODO
Przez rożnorodność zastosowań pliki cookies sprawiają trudności w zachowaniu zgodności z rozporządzeniem.
Cookies mają zastosowanie do wielu różnych celów od funkcjonalności i wydajności przez statystykę do kierunkowego marketingu.
Niektóre są niezbędne do poprawnego działania witryny, inne nie. Niektóre poprawiają doświadczenia użytkownika, inne służą monitorowaniu i profilowaniu użytkowników a jeszcze inne do wszystkich tych celów naraz.
Niektóre są ustawiane przez stronę odwiedzaną w tym momencie, jednak większość plików cookies jest zapisywanych przez usługi stron trzecich, przeważnie przez pluginy zagnieżdżone na stronie.
Poza tym pliki cookies często zmieniają się, powodując trudności w zachowaniu pełnego obrazu. Poznanie plików cookies raz nie wystarczy aby znać sytuację gdy pliki cookies zostaną zmienione.
Ogólnie pliki cookies śledzą działania użytkowników i dlatego podlegają regułom RODO.
Rozporządzenie wpływa na użycie plików cookies i śledzenia online, Twoją politykę cookies i politykę prywatności i sposób w jaki otrzymujesz zgodę na zapisywanie plików cookies od użytkowników Twojej witryny.
Pluginy, zagnieżdżone treści i narzędzia używane na Twojej witrynie, wszystkie zapisują pliki cookies.
Jako właściciel witryny jesteś odpowiedzialny za wszystkie aktywności przetwarzania danych jakie mają miejsce na Twojej stronie bezpośrednio jak i przez strony trzecie niezależnie od pochodzenia.
Co jest uważane za „dane osobowe” w RODO?
Problematyczna dla właścicieli stron internetowych, kiedy chodzi o używanie narzędzi analitycznych jest szeroka definicja danych personalnych w RODO/GDPR:
Nie tylko adresy IP, informacje kontaktowe i wrażliwe dane takie jak medyczne i finansowe są danymi osobistymi ale również dane pozwalające zidentyfikować osobę bezpośrednio lub pośrednio używając dowolnych sposobów.
Wliczając pseudo anonimowe dane, identyfikatory online i pliki cookies, które jak podaje RODO, mogą być połączone z innymi danymi tworząc „profile rzeczywistych osbób i identyfikować je”.
Jakie dane osobiste zbiera Google Analytic?
Google Analytics używa kodów śledzących które są dodane do Twojej strony internetowej. Każdy użytkownik jest rejestrowany z unikalnym ID, więc Google Analytics może dostarczyć Ci informacji ilu unikalnych odwiedzających pojawia się na stronie, oraz ilu z nich powraca.
Z Google Analytics, można przeanalizować jak często dany użytkownik odwiedzał witrynę, jakie strony odwiedzał, jak długo pozostał na danej stronie a także jakie interakcje miały miejsce.
Połączenie z ogromną bazą statystyk użytkowników internetu, Google Analytics może dostarczyć bardzo dokładnych informacji które grupy użytkowników przyciąga Twoja strona z podziałem na wiek, płeć, zawodowe i prywatne zainteresowania, położenie geograficzne itd.
Dokładny obraz tego jakie dane właściwie zbiera Google Analytics jest bardzo trudny w zrozumieniu, między innymi dlatego, że to ciągle się zmienia i ulepsza a Google nie udostępnia informacji na temat używanych metod.
Według informacji Google zawartych w Google Ads Data Protection Terms: Service Information, Google Analytics zbiera następujące typy danych osobistych:
- Identyfikatory online włączając pliki cookies
- Adresy IP oraz identyfikatory urządzeń
- Identyfikatory klientów
Żeby zyskać ogólny obraz tego jakie dane zbiera Google, możesz zajrzeć do polityki prywatności Google:
„Aby oferować wszystkim użytkownikom lepsze usługi, zbieramy różnorodne informacje – od informacji podstawowych, takich jak określenie, jakim językiem posługuje się użytkownik, aż po te bardziej złożone, np. ustalenie najbardziej przydatnych reklam, najbliższych internetowych znajomych lub ulubionych filmów na YouTube.
Gromadzimy informacje w następujący sposób:
1. Informacje podawane przez użytkownika.
przykładowo wiele naszych usług wymaga założenia konta Google. W takich przypadkach prosimy o podanie danych osobowych, takich jak imię i nazwisko, adres e-mail, numer telefonu czy numer karty kredytowej. Będziemy je przechowywać z danymi konta. Jeśli użytkownik chce w pełni wykorzystać oferowane przez nas funkcje udostępniania treści, jest również proszony o utworzenie publicznego profilu Google zawierającego m.in. jego imię i nazwisko oraz zdjęcie.
2. Informacje uzyskiwane podczas korzystania z usług Google.
zbieramy dane o usługach, z których korzysta użytkownik, oraz sposobie, w jaki to robi (np. wówczas, gdy ogląda film na YouTube, odwiedza witrynę, w której działa nasz program reklamowy lub wyświetla i klika udostępnione przez nas reklamy i materiały.”
Zgodnie z definicją danych personalnych RODO opisaną powyżej, śledzenie zachowania użytkowników i ich profilowanie jest tylko zgodne z nowymi regulacjami UE jeżeli strona internetowa uzyskała uprzednią zgodę od odwiedzającego, to znaczy, że Google Analytics powinno być zablokowane dopóki użytkownik nie wyrazi stosownej zgody.
Więc co robi Google Analytics aby przygotować się do zgodności z RODO?
Na ich blogu, Google in Europe, Google dzieliło się informacjami jak przygotowują się na RODO od sierpnia 2017.
Podczas wiosny 2018, regularnie aktualizowali informacje na temat postępów aby zostać zgodnymi z RODO: uaktualnili politykę zbierania zgody od użytkowników EU User Consent Policy, wprowadzili zmiany do warunków użytkowania ich produktów aby spełnić wymagania RODO.
Dowiedz się więcej
Zobacz privacy.google.com/businesses aby dowiedzieć się więcej o obecnym podejściu i polityce prywatności danych Google a także ich warunki przetwarzania danych i warunki kontrolowania danych.
Co TY powinieneś zrobić
Google wprowadziło zmiany aby zapewnić zgodność z RODO, jednak to Ty, jako właściciel witryny jesteś odpowiedzialny za to w jaki sposób dane personalne osób odwiedzających Twoją witrynę są przetwarzane.
Tutaj przydatny artykuł jak przygotować się na użycie Google Analytics zgodnie z GDPR (po angielsku).
Aby przygotować się na użycie Google Analytics zgodnie z RODO, są dwie podstawowe rzeczy które powinieneś zrobić:
- Zmienić ustawienia swojego konta Google Analytics
- Upewnij się że użycie Google Analytics oraz innych narzędzi na Twojej stronie jest użyte zgodnie z prawem.
Lista kontrolna 1: Kroki do używania Google Analytics zgodnie z RODO
1. Kontroluj jak transferujesz dane osobiste do Google
Nie wystarczy filtrować dane osobiste przy pomocy filtrów Google Analytics.
Transmisja danych musi zostać zatrzymana na poziomie kodu aby powstrzymać wysyłanie danych do Google Analytics.
Sprawdź adres swojej strony, tytuł strony i inne atrybuty. Upewnij się, że żadne dane osobiste nie są pobierane.
Przykładem zbierania danych osobowych jest gdzie adres strony zawiera parametr podobny do “email= querystring”.
W tym przypadku jest bardzo prawdopodobne, że dane osobiste są transferowane do różnych technologii marketingowych używanych na Twojej stronie!
2. Włącz anonimizację IP
Adres IP to dane osobiste zgodnie z definicją RODO. Adresy IP są domyślnie nigdy nie ujawnione w raportach ale Google używa ich do podawania danych geolokacji.
Zatem to dobry pomysł włączyć anonimizację adresów IP w Google Analytics.
Ta zmiana zmieni odrobinę dokładność raportowania danych geograficznych.
Aby włączyć anonimizację, musisz dokonać zmiany w kodzie.
Jeśli używasz Managera Tagów Google (Google Tag Manager), uaktualnij tag lub zmienną Google Analytics Settings przez kliknięcie w More Settings -> Fields to Set nowe pole z nazwą ‘anonymizeIp’ i wartością ‘true’.
Jeśli nie używasz Google Tag Manager, Twój system zarządzania tagami może mieć tą funkcję udostępnioną jako opcję lub możesz być zmuszony edytować kod bezpośrednio.
Kiedy zaimplementowane Google zacznie anonimizować adresy IP tak szybko jak to możliwe usuwając ostatni oktet adresu IP zanim jakiekolwiek zapisywanie i przetwarzanie danych będzie miało miejsce (Twoje IP będzie miało postać 123.123.123.0 —gdzie ostatnia część/oktet będzie zmieniona na '0′). Gdy ta funkcja jest włączona, pełny adres IP nie jest nigdy zapisywany według Google.
3. Przejrzyj kolekcję identyfikatorów pseudo anonimizowanych w Google Analytics
Twoja implementacja Google Analytics może już używać używać pseudo animizowanych identyfikatorów. Mogą one zawierać następujące elementy:
ID Użytkownika: Sprawdź czy ID użytkownika to alfanumeryczne identyfikatory bazy danych a nie tekst zawierający nazwy użytkownika, adresy email itp
Zaszyfrowane dane takie jak adresy email: Sprawdź, jeśli czy możesz się obejść bez zaszyfrowanych danych. Google ma minimalne wymaganie szyfrowania SHA256. Jednak zbieranie danych w ten sposób nie jest zalecane.
ID Tranzakcji : ID Tranzakcji są technicznie pseudo anonimizowanymi identyfikatorami, ponieważ gdy połączone z innymi danymi, mogą prowadzić do identyfikacji osoby. Upewnij się że te ID zawiera alfanumeryczne identyfikatory bazy danych.
Lista kontrolna 2: Kroki aby użycie Google Analytics itp na Twojej witrynie było zgodne z RODO
1. Udostępnij przejrzysty opis przetwarzania danych na Twojej stronie w polityce prywatności / polityce cookies
Upewnij się, że każdy rodzaj przetwarzania danych na Twojej stronie jest jasno opisany na przykład w polityce prywatności. RODO stawia następujące wymagania co do informacji o przetwarzanych danych.
- jest szczegółowa i aktualna przez cały czas,
- jest opisana prostym, łatwym do zrozumienia językiem,
- dostarcza jasnych instrukcji jak można wyrazić lub anulować zgodę na przetwarzanie danych.
Przeczytaj więcej o wymaganiach i jak zapewnić zgodność z RODO w artykule o polityce prywatności.
Masz właściwą politykę cookies? Polityka cookies powinna być dostępna dla odwiedzających Twoją stronę opisując jakie pliki cookies są w użyciu, do jakich celów służą i jak można się na nie zgodzić bądź odmówić zgodę na ich używanie.
To nie ma znaczenia czy Twoja polityka cookies to niezależny dokument czy jest zintegrowana w Twojej polityce prywatności, tak długo jak jest łatwo dostępna dla Twoich użytkowników.
Przeczytaj więcej o wymaganiach co do polityki cookies i jak być pewnym, że jest zgodna z nowymi zasadami.
W systemie Cookiebot, comiesięczny raport ze skanu Twojej strony może być automatycznie opublikowany jako część Twojej polityki prywatności i polityki cookies.
W ten sposób, informujesz odwiedzających Twoją witrynę użytkowników zawsze szczegółowo i aktualnie, nie ważne jak narzędzia i pliki cookies których używasz się zmieniają.
Dodatkowo wygenerowana deklaracja cookies dostarcza automatycznie wymaganą przez prawo opcję zmiany albo anulowania zgody przez użytkownika.
2. Dodaj zgodną z RODO opcję zgody na cookies
Zdobycie prawidłowej zgody na użycie cookies od odwiedzających Twoją witrynę to kluczowe wymaganie RODO. Aby zapewnić zgodność zgoda musi być…
- zdobyta przed zapisaniem jakichkolwiek plików cookies w przeglądarce odwiedzającego witrynę (ściśle niezbędne cookies są wyłączone z tej zasady)
- wydana na podstawie czystych i przejrzystych informacji na co zgoda jest wyrażana
- na podstawie prawdziwego wyboru. Użytkownik musi mieć możliwość zgody i odrzucenia wszystkich plików cookies poza ściśle wymaganymi i nadal mieć możliwość używania witryny.
- odwracalna . Użytkownik musi mieć dostęp do własnych ustawień i mieć możliwość zmiany jakie pliki cookies akceptuje a jakie odrzuca.
- udokumentowana. Zgoda musi by zapisana jako dowód, że została wyrażona.
Przeczytaj więcej w naszym artykule zgoda na cookies a RODO.
Cookiebot dostępne na zgodnosczrodo.pl to jedno z niewielu rozwiązań które robi to wszystko.
Nie możesz kontrolować Google. Ale implementując Cookiebot, możesz sprawić, że Twoja witryna będzie używała plików cookies i śledzenia online w sposób 100% zgodny z RODO.