Przebudowa polityki prywatności, przymus zbierania i przetwarzania mnóstwa skomplikowanych zgód, a do tego konieczność tworzenia regulaminów lub w skrajnych przypadkach – powoływania oddzielnych stanowisk, chociażby ds. ochrony danych osobowych.
Jeżeli jeszcze kilka miesięcy temu miałbym omówić przepisy RODO w jednym zdaniu, to właśnie wyglądałoby to tak, jak powyżej… Niestety, rzeczywistość okazała się jeszcze bardziej wymagająca niż każdy z nas mógłby przypuszczać. A wszystko przez szczególną “troskę” o bezpieczeństwo danych osobowych – dla państw oraz ludzi z Unii Europejskiej.
Co zrobić, aby działania Analyticsa było zgodne z aktualnymi przepisami, a co za tym idzie – w ten sposób pozwoliło uniknąć widma konsekwencji prawnych oraz finansowych? Właśnie temu obszarowi poświęciłem cały artykuł. Zapraszam do lektury!
Co znajdziesz w tym artykule?
Przepisy RODO kontra funkcjonalności Google Analytics – wprowadzenie
Czy Google Analytics jest legalny? A jeśli nie, to co zrobić, aby taki się stał?
#1 Zrezygnuj z Universal Analytics i skup się na rozwoju Google Analytics 4
Jakie funkcjonalności w Google Analytics 4 pozwalają zmaksymalizować zgodność z RODO?
#2 Oceń potencjalne ryzyko braku zgodności związanej z włączeniem Google Signals
#3 Upewnij się, że Twoja organizacja ma aktualny Data Processing Amendment dla Google Analytics 4
#4 Zależy Ci na jeszcze wyższym poziomie zgodności i bezpieczeństwa?
Zgodność Google Analytics 4 z RODO – podsumowanie
Wcale nie przesadzę, jeśli powiem, że (z perspektywy analityków internetowych oraz wielu innych specjalistów) praktycznie cały 2022 rok stał pod wielkim znakiem zapytania pt.: jak zakończą się rozmowy dwóch stron na temat Transatlantyckich Ram Ochrony Danych (“EU-US Privacy Framework”)?
Patrząc na konkretne deklaracje ze strony prezydenta USA (Joe Bidena) oraz prezydentki UE – Von Der Leien, finał wydaje się naprawdę bliski.
Mam tu na myśli przede wszystkim:
Jeżeli chcesz dowiedzieć się, jakie kolejne kroki będą podejmowane w obszarze bezpieczeństwa danych w UE – zapraszam Cię do lektury tego wpisu. Zawarłem w nim wiele informacji o tym, co wydarzyło się w 2022 rok, a także, co czeka nas w roku 2023. Naturalnie, z perspektywy EU-US Privacy Framework. 😊
Zdania w tej materii są i będą podzielone – przynajmniej do czasu oficjalnego wejścia w życie, wspomnianego już – EU-US Privacy Framework. Jednak tym, czego możemy być pewni na 100 procent, jest fakt, że każda organizacja, która korzysta z GA – powinna jak najszybciej zadbać o bezpieczeństwo danych osobowych swoich klientów. Oczywiście, mając również na szczególnej uwadze postanowienia zawarte w RODO. Jak to zrobić? Dokładne informacje na ten temat czekają na Ciebie w kolejnych akapitach.
Na początku warto podkreślić, że wszystkie dotychczasowe wyroki w UE przeciwko Google Analytics odnosiły się do starszej wersji tego narzędzia. Głównym powodem takiego stanu rzeczy był fakt, iż Universal Analytics (UA), według decyzji uprawnionych organów, po prostu nie spełnia już wymagań zawartych w Schrems II.
Mówiąc wprost – Universal Analytics nie posiada wystarczających ustawień, które pozwalałyby w pełni wykluczyć dane personalnie identyfikowalne (tzw. PII). Dodatkowo umożliwia przetwarzanie danych osobowych przez Google LLC w Stanach Zjednoczonych, co jest jednym z filarów obecnego sporu w zakresie wspomnianych Transatlantyckich Ram Ochrony Danych.
W czasie, gdy to UA stanowi główne ryzyko dalszych niezgodności w otoczeniu prawnym, Google postanowiło skupić się w pełni na rozwoju nowej wersji – GA4, która posiada zabezpieczenia oraz ustawienia stworzone z myślą o prywatności użytkowników.
Nowa odsłona najpopularniejszego narzędzia do analityki internetowej ma zapewnić maksymalną możliwą zgodność z RODO – do momentu wejścia w życie Transatlantyckich Ram Ochrony Danych.
Jak widzisz – w 2022 roku w obszarze danych i zmiany standardu ich mierzenia działo się naprawdę sporo. Firma Google także nie próżnowała, co zaowocowało wprowadzeniem funkcjonalności pozwalających na znaczne podniesienie zgodności z RODO. Możemy do nich zaliczyć m.in.:
Jedną z kluczowych kości niezgody stało się miejsce przechowywania danych użytkowników z Europy, które dotychczas znajdowało się w Stanach Zjednoczonych. Przeniesienie tych procesów na teren europejski może oznaczać finalne rozwiązanie przynajmniej części problemu transferów danych pomiędzy USA i UE, na których skupiały się wszystkie dotychczasowe decyzje organów ochrony danych o niezgodności z prawem.
Aktualnym pozostaje jednak pytanie, czy tak pozostanie. W końcu do tej pory nie ogłoszono ani tym bardziej nie rozpatrywano żadnych spraw po wprowadzeniu tej funkcjonalności. Dlatego z wysuwaniem dalszych wniosków radzę poczekać, aż do ostatecznego wejścia w życie “EU-US Privacy Framework”.
Na początku Google ograniczył tę aktywność do zwykłej anonimizacji adresów IP (tzw. IP Anonymization). Sytuacja zmieniła się, gdy Garante (włoskie UODO), uznało tę funkcjonalność za niewystarczającą. Gigantowi z USA nie pomógł skrócony adres IP, który wg. decyzji organów, dalej pozwalał gromadzić dane osobowe o urządzeniu oraz przeglądarce. Z tego powodu podjęto decyzję o całkowitym zaniechaniu rejestrowania adresów IP przez GA4.
Pełna treść tej decyzji znajduje się tutaj: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874
Nadal chcesz korzystać z takiej opcji? Pamiętaj, że adres IP w GA4 powinien być używany wyłącznie do standardowej komunikacji oraz do wysokopoziomowej informacji o lokalizacji, a następnie – odrzucany.
Funkcjonalność Google Signals stwarza ryzyko pojawienia się niezgodności z RODO w niektórych krajach, takich jak: Austria, Francja czy Włochy.
Warto pamiętać, że Google Analytics daje możliwość włączenia lub wyłączenia Google Signals dla określonych regionów. A to z kolei umożliwia dopasowanie konkretnych opcji do równie konkretnych obszarów: włączając na rynkach o niższym ryzyku zgodności lub wyłączając w regionach, w których może stanowić istotny problem.
Dotychczas (czyli w poprzednich wersjach GA), dane o urządzeniach i lokalizacjach były gromadzone w sposób automatyczny. GA4 daje możliwość zaprzestania zbierania tych granularnych danych – już na poziomie danego kraju.
Rezygnując z agregowania takich informacji, łatwo wyeliminujesz wiele punktów styku, które przez regulacje prawne tj. RODO, zostały określone jako personalnie identyfikowalne tzw. PII.
Musisz jednak mieć na uwadze, że wyłączenie takich funkcjonalności będzie miało znaczący wpływ na ilość oraz jakość gromadzonych danych. A to, jak pewnie się domyślasz, będzie wiązało się z poważnymi konsekwencjami z zakresu raportowania – usuwając możliwość wykonywania jakichkolwiek analiz lokalizacji czy urządzeń.
Na wstępie musisz mieć pewność, że użytkownicy Twojej strony internetowej mają wgląd do aktualnej polityki prywatności, która jest zgodna z zaleceniami zespołu ds. ochrony prywatności. Zapisy polityki Twojej firmy muszą informować o tym, jakie dane osobowe są gromadzone, w jaki sposób są wykorzystywane, a także, czy dochodzi do ich przetwarzania poza Unią Europejską (i/lub przez organizacje międzynarodowe).
Ten poziom przejrzystości oraz gromadzenia danych musi stać się częścią procesu wyrażania zgody przez każdego użytkownika, który odwiedza Twoją stronę.
Bez wątpienia funkcja Google Signals niesie za sobą wiele biznesowych korzyści. Łatwo dostrzec je zwłaszcza w działaniach remarketingowych, które dają Ci możliwość tworzenia sprofilowanych list odbiorców, czy zaawansowanej analizy użytkowników. Jest jednak jedno małe “ale” – pod warunkiem, że masz pewność, że w ogóle możesz z niej korzystać.
Kluczowe dla problemu zgodności Google Signals z RODO jest zbieranie dodatkowego identyfikatora użytkownika, gdy jest on zalogowany do usługi Google (np. poczty Gmail, przeglądarki Chrome, itp.) – w tej samej przeglądarce, z której wchodzi na stronę internetową.
Głównym powodem zagrożenia jest wspomniany identyfikator (tzw. Google ID) oraz powiązanie go z identyfikatorem pierwszej strony (tzw. Client ID). Nadal nie jest bowiem do końca jasne czy dodatkowa czynność przetwarzania, którą podejmuje Google, jest objęta nowszymi zmianami architektonicznymi w celu zapewnienia większej ochrony prywatności z GA4.
Aby mieć pewność, że ten obszar działalności Twojej organizacji jest zgodny z aktualnymi przepisami – zalecam skonsultowanie się z zespołem ds. danych osobowych.
Nawet jeśli wydaje Ci się, że wykonano wszystkie niezbędne czynności, to musisz wziąć pod uwagę, że zawsze coś może pójść nie do końca zgodnie z założeniami. Właśnie dlatego tak istotne jest, aby wykorzystanie GA4 (a co za tym idzie – jego zgodność z RODO), zostało dokładnie zweryfikowane przez zespoły ds. ochrony prywatności.
Proces ten musi obejmować ocenę środków technicznych i operacyjnych stosowanych w celu ochrony danych, zarówno przez organizację, jak i Google. W przypadku złożenia skargi przeciwko Twojej organizacji, posiadanie dokumentacji z tych ocen będzie miało kluczowe znaczenie dla wykazania zgodności. Dokumentacja ta powinna zawierać szczegółowe informacje na temat gromadzonych i przetwarzanych danych, rodzajów danych osobowych, sposobu wykorzystania danych, oceny wszelkich zagrożeń dla użytkowników oraz zabezpieczeń wdrożonych w celu zmniejszenia zagrożeń.
W takim razie koniecznie rozważ zastosowanie tzw. Server-Side GTM. Jest to rozwiązanie, które pozwala łączyć dane pochodzące z wielu narzędzi (m.in. Analytics, Google Ads, czy Meta), a następnie – przetwarzać je bezpośrednio po stronie serwera należącego do Twojej organizacji. Ponadto, tzw. ssGTM daje opcję strumieniowego przesyłania danych First Party do własnych hurtowni, które mają ten sam format oraz strukturę, co sam Google Analytics 4. Poza lepszą ochroną danych, pozwala również na automatyzację procesów raportowania. Wspiera, chociażby analizę zachowań użytkowników, a także jest pomocnym narzędziem zarówno przy wyznaczaniu, jak i mierzeniu wybranych KPI.
Oczywiście tematyka Server-Side GTM jest bardziej złożona. Jeżeli chcesz się w nią zagłębić – więcej wartościowych informacji czeka na Ciebie w tym artykule: Server side tagging – czym jest i jak działa?
Jak widzisz – wiele niejasności, wysoki poziom skomplikowania samych przepisów, jak i różne podejście do ich interpretacji (np. w zależności od regionu) sprawiają, że zgodność GA4 z RODO nie zawsze da się określić za pomocą kilku prostych zabiegów.
Jeżeli zależy Ci na tym, aby działania Twojej firmy były w pełni legalne – pamiętaj, aby podejść do tego procesu z dużą ostrożnością, a co najważniejsze – zaangażować specjalistów reprezentujących różne dziedziny (od analityków, programistów, aż po ekspertów z zakresu ochrony danych).
A jeśli uważasz, że Twojej firmie przyda się wsparcie profesjonalnych konsultantów “z zewnątrz” – skorzystaj z pomocy Conversion. Z przyjemnością podzielimy się swoją wiedzą i doświadczeniami, aby ułatwić Ci dostosowania się do nowych przepisów.
Tagi:
Historie sukcesów
Ostatnie wpisy na blogu
