Jeżeli po zapoznaniu się z tytułem tego wpisu w Twojej głowie pojawiło się pytanie “Ale o co w ogóle chodzi?!” – uspokajam, z pewnością nie jesteś jedyną taką osobą. Sam muszę przyznać, że w pewnym momencie nawet ja miałem problemy z poruszaniem się w gąszczu przepisów, ustaleń i komunikatów, które w wielu miejsca potrafiły się wykluczać czy po prostu sobie zaprzeczać. Właśnie dlatego, z myślą o osobach takich, jak Ty (a po części takich, jak ja), postanowiłem napisać artykuł, który to wszystko objaśni.

Chcesz poznać definicję, specyfikę, początki oraz przyszłość tzw. DPF? W tym artykule znajdziesz wszystko, co potrzebne, aby rozeznać się w tym temacie oraz dowiedzieć się, do czego służy zawiązane pomiędzy Unią Europejską i Stanami Zjednoczonymi – porozumienie Data Privacy Framework.

Co znajdziesz w tym artykule?
Co to jest Data Privacy Framework?
Aktualne wyzwania i linie sporu wokół EU-US Data Privacy Framework w 2025–2026
Jaka jest geneza Data Privacy Framework?
Decyzja o adekwatności – co to takiego?
Jak wyglądała przeszłość poprzednika Data Privacy Framework?
Jak kwestia DPF prezentowała się w 2022 roku?
Przyszłość Data Privacy Framework. Czego możemy spodziewać się w 2023 roku?
Założenia DPF, czyli co tak naprawdę oznacza wdrożenie tych zapisów?
EU-US Data Privacy Framework – podsumowanie
Jaki jest znaczenie DPF dla Twojego biznesu?

Co to jest Data Privacy Framework?

Data Privacy Framework (w skrócie DPF) dotyczy swego rodzaju porozumienia pomiędzy USA i UE, które ma na celu określenie zasad związanych z przekazywaniem oraz przetwarzaniem danych osobowych obywateli Unii Europejskiej. Można powiedzieć, że stanowi odpowiedź na dwa poprzednie programy – “Safe Harbour” oraz “Privacy Shield”, które decyzją TSUE, zostały uznane za nieważne.

Aktualne wyzwania i linie sporu wokół EU-US Data Privacy Framework w 2025–2026

Debata wokół EU-US Data Privacy Framework (DPF) trwa nadal – choć ramy te zostały formalnie uznane za „odpowiednie” przez Generalny Sądu UE we wrześniu 2025 r., to nadal pojawiają się poważne zastrzeżenia ze strony organizacji pozarządowych i ekspertów. Trybunał oddalił próbę unieważnienia porozumienia (Latombe v. Komisja), co na razie daje firmom pewność transferów danych, ale prawnicy wskazują, że sprawa może trafić do Trybunału Sprawiedliwości UE i nowe wyzwania nadal są możliwe.

Co oznacza orzecznictwo dla przedsiębiorstw i jak przygotować się na możliwe zmiany prawa

Jaka jest geneza Data Privacy Framework?

W dużym skrócie można powiedzieć, że stanowi on bezpośrednią kontynuację innego, pochodzącego z marca 2022 roku, porozumienia tzw. Trans – Atlantic Data Privacy Framework, które zostało zawarte na linii Stany Zjednoczone – Unia Europejska.

Jak łatwo się domyślić – jego treść dotyczyła ochrony prywatności. A mówiąc konkretniej – władze USA zobowiązały się do ustrukturyzowania pracy swoich służ wywiadowczych (dotyczącej dostępu, przetwarzania oraz wykorzystywania danych na temat obywateli UE).

Następstwem takiego porozumienia było, wydane przez prezydenta USA – Joe Bidena, specjalne polecenie (tzw. Executive Order) mające na celu wdrożenie odpowiednich zmian w amerykańskim prawie. Takie kroki prawne ze strony USA pozwoliły również na podjęcie odpowiednich kroków w UE, a dokładniej tzw. decyzji o adekwatności.

Decyzja o adekwatności – co to takiego?

Wspomniana już decyzja o adekwatności to nic innego, jak pewnego rodzaju “pozwolenie”, dzięki któremu państwo nienależące do Unii Europejskiej, może przetwarzać dane osobowe jej obywateli. Praktycznie tak, jakby samo również było jej członkiem.

Warunek stanowi przestrzeganie surowych standardów, których doskonały przykład stanowi, chociażby RODO. Oczywiście, w przypadku podmiotów z USA (Facebooka, Google’a i kilku innych) – nie muszą być one do końca identyczne. Ważne, aby w zbliżony sposób chroniły wszelkich kluczowych i wrażliwych informacji.

Taki zabieg sprawia, że wybrane amerykańskie podmioty* mogą swobodnie zbierać, przetwarzać, a nawet przesyłać dane. I to bez konieczności przeprowadzania badań czy dodatkowych procedur sprawdzających.

* Warto wspomnieć, że treść porozumienia uwzględnia wyłącznie firmy, które wchodzą w skład dedykowanego programu.

Jak wyglądała przeszłość poprzednika Data Privacy Framework?

W tym miejscu muszę zaznaczyć, że pierwsze poważne postanowienia w tej materii miały miejsce jeszcze w 2016 roku. Początkowo takim dokumentem była wspomniana wyżej tarcza “Privacy Shield”, której zapisy przyjęto dokładnie 12 lipca 2016 r. Blisko 4 lata później, bo w 16 lipca 2020 roku Trybunał Sprawiedliwości Unii Europejskiej postanowił, że uchwalone wcześniej przepisy nie zapewniają właściwego poziomu ochrony danych mieszkańców UE. Co za tym idzie – zdecydował o uchyleniu wcześniejszej decyzji, a kwestia przesyłu i przetwarzania danych pomiędzy UE i USA ponownie nie była objęta żadnym mechanizmem.

Treść tzw. Tarczy Prywatności unieważniono z dwóch zasadniczych powodów.

• Po pierwsze – w USA brakowało przepisów, które umożliwiałyby obywatelom UE realne dochodzenie swoich roszczeń z tytułu naruszenia ich prywatności.
• Po drugie – zdaniem przedstawicieli Unii Europejskiej, amerykańskie służby posiadały zbyt szerokie uprawnienia, które umożliwiały im “obchodzenie” zapisów tarczy.

Jak kwestia DPF prezentowała się w 2022 roku?

W kwestii negocjacji regulacji prawnych dotyczących Data Privacy Framework, do jakich doszło pomiędzy przedstawicielami Unii Europejskiej oraz władzami Stanów Zjednoczonych, to właśnie rok 2022 był prawdziwym “game-changerem”.

Trwające ponad rok negocjacje na linii przewodnicząca UE Ursula von der Leyen oraz prezydent USA Joe Biden, zaowocowały następnymi krokami:

• 25 marca 2022 roku – przedstawiciele obu stron wspólnie ogłosili osiągniecie zasadniczego porozumienia dotyczącego ram nowej umowy między UE i USA. Następnie dedykowane zespoły z Ameryki oraz Europy przez długie miesiące pracowały nad szczegółami wszystkich zapisów, a także adaptowały je do konkretnych przepisów oraz warunków prawnych.
• 7 października 2022 roku – prezydent Stanów Zjednoczonych Ameryki Północnej złożył swój podpis na tzw. dekrecie wykonawczym. W szerszej perspektywie miał na celu ograniczenie uprawnień służb, usprawnienie ochrony czy sposobu dochodzenia praw, a co za tym idzie – dostosowanie się do wymagań stawianych przez TSUE.
• 12 grudnia 2022 roku – Komisja Europejska przystąpiła do procesu, którego celem było potwierdzenie należytego poziomu ochrony danych osobowych, które są przetwarzane na linii UE – USA. Ten krok w dalszej perspektywie pozwolił na ponowne działanie (zbieranie, wysyłanie i agregowanie przez nich danych) amerykańskich podmiotów – biorących udział w specjalnym programie.

* Bądź jak kto woli – „delikatnego” nieporozumienia.

Przyszłość Data Privacy Framework. Czego możemy spodziewać się w 2023 roku?

Oczywiście, potwierdzenie właściwego stopnia ochrony wcale nie jest równoznaczne z podjęciem odpowiednich kroków prawnych. Kolejnymi niezbędnymi działaniami, które zostaną podjęte prawdopodobnie w 2023 roku, będą: projekt decyzji stwierdzającej odpowiedni stopień ochrony, a tuż po niej – rozpoczęcie samej procedury jej przyjęcia.

Ta ostatnia wiąże się z koniecznością przeprowadzenia dodatkowych etapów, w tym:

• Wypracowania opinii Europejskiej Rady Ochrony Danych (EROD).
• Uzyskania zgody od komitetu złożonego z przedstawicieli państw członkowskich.
• Kontroli decyzji – przeprowadzonej przez Parlament Europejski.

Po wykonaniu tych działań Komisja Europejska będzie mogła podjąć finalną decyzję.

Założenia DPF, czyli co tak naprawdę oznacza wdrożenie tych zapisów?

Kluczowe wnioski płynące z tego rodzaju porozumienia możemy podzielić na dwie zasadnicze grupy.

Nr 1 to kwestia odpowiedzialności poszczególnych stron

Możliwości przetwarzania danych dotyczą wyłącznie certyfikowanych podmiotów, które należą do specjalnego programu. Podobnie, jak w przypadku europejskich standardów – będą musiały one informować o fakcie przetwarzania tego typu danych.

Amerykańskie podmioty uprawnione do przetwarzania danych są zobowiązane do przestrzegania zasad opisywanych przez RODO. Dotyczy to zarówno administratorów, jak również jednostek działających na terenie Stanów Zjednoczonych.

Decyzja przyjęcia do programu Date Privacy Framework będzie poprzedzona procesem certyfikacji, za który odpowiada Departamentu Handlu USA. Certyfikat ma rok ważności, po którym można ubiegać się o jego przedłużenie.

Nr 2 to kwestia skarg i dochodzenia swoich praw

W myśl przepisów zmianie ulegnie również podejście do osób oraz podmiotów, których dotyczy przetwarzanie danych. DPF umożliwi im składanie skarg, które mogą kierować zarówno do jednostek przetwarzających dane, jak i instytucji związanych administracji państwa (bezpośrednio w USA). Dodatkowo tego rodzaju roszczenia bądź skargi będą mogły być kierowane również do podmiotów Unii Europejskiej.

EU-US Data Privacy Framework – podsumowanie

Mogę śmiało stwierdzić, że wdrożenie Data Privacy Framework należy rozpatrywać jako pozytywny krok w stronę usystematyzowania przepisów, a co za tym idzie – przede wszystkim wyjście z “prawnego klinczu”, w jakim do tej pory znajdowało się wiele jednostek.

DPF w jasny sposób określa granice “kto” i “co” może robić z danymi należącymi do obywateli Unii Europejskiej. Jednocześnie dbając o transparentność ich przetwarzania, jak znacząco podnoszą poziom ochrony.

Jaki jest znaczenie DPF dla Twojego biznesu?

Jeśli jeszcze nie do końca udało Ci się zrozumieć ideę oraz złożoność tych wszystkich procesów, a mimo wszystko chcesz wiedzieć “czy” oraz w jaki sposób mogą one wpływać na Twoją firmę (zwłaszcza na dane, które pozyskujesz i przetwarzasz, chociażby za pomocą narzędzi należących do Google bądź Facebooka) – mamy dla Ciebie gotowe rozwiązanie.

Skorzystaj ze wsparcia fachowców Conversion, którzy – nie bójmy się tych słów – praktycznie “zjedli zęby” na tego typu tematyce. Jeżeli chcesz uzyskać fachową pomoc – pogadajmy.

Więcej artykułów w tematyce prywatności już niebawem!

*** WAŻNE: Treść niniejszej publikacji nie stanowi porady lub informacji prawnej, lecz ma na celu wyłącznie opisanie istniejącej obecnie sytuacji oraz możliwych sposobów działania. W związku z tym publikacja nie powinna być podstawą do podejmowania jakichkolwiek decyzji związanych z obowiązującymi przepisami prawa.

Należy pamiętać, że prawo ulega ciągłym zmianom, w związku z czym treść publikacji mogła się zdezaktualizować. Ponadto artykuł nie uwzględnia indywidualnych okoliczności, które w danym przypadku mogą być bardzo istotne, lecz stanowi jedynie opis ogólnej sytuacji związanej ze stosowaniem Google Analytics. ***

The post EU-US Data Privacy Framework – czym jest? Podsumowanie 2022 i plany na 2023. first appeared on Conversion.

Przebudowa polityki prywatności, przymus zbierania i przetwarzania mnóstwa skomplikowanych zgód, a do tego konieczność tworzenia regulaminów lub w skrajnych przypadkach – powoływania oddzielnych stanowisk, chociażby ds. ochrony danych osobowych.

Jeżeli jeszcze kilka miesięcy temu miałbym omówić przepisy RODO w jednym zdaniu, to właśnie wyglądałoby to tak, jak powyżej… Niestety, rzeczywistość okazała się jeszcze bardziej wymagająca niż każdy z nas mógłby przypuszczać. A wszystko przez szczególną “troskę” o bezpieczeństwo danych osobowych – dla państw oraz ludzi z Unii Europejskiej.

Co zrobić, aby działania Analyticsa było zgodne z aktualnymi przepisami, a co za tym idzie – w ten sposób pozwoliło uniknąć widma konsekwencji prawnych oraz finansowych? Właśnie temu obszarowi poświęciłem cały artykuł. Zapraszam do lektury!

Co znajdziesz w tym artykule?
Przepisy RODO kontra funkcjonalności Google Analytics – wprowadzenie
Czy Google Analytics jest legalny? A jeśli nie, to co zrobić, aby taki się stał?
#1 Zrezygnuj z Universal Analytics i skup się na rozwoju Google Analytics 4
Jakie funkcjonalności w Google Analytics 4 pozwalają zmaksymalizować zgodność z RODO?
#2 Oceń potencjalne ryzyko braku zgodności związanej z włączeniem Google Signals
#3 Upewnij się, że Twoja organizacja ma aktualny Data Processing Amendment dla Google Analytics 4
#4 Zależy Ci na jeszcze wyższym poziomie zgodności i bezpieczeństwa?
Zgodność Google Analytics 4 z RODO – podsumowanie

Przepisy RODO kontra funkcjonalności Google Analytics – wprowadzenie

Wcale nie przesadzę, jeśli powiem, że (z perspektywy analityków internetowych oraz wielu innych specjalistów) praktycznie cały 2022 rok stał pod wielkim znakiem zapytania pt.: jak zakończą się rozmowy dwóch stron na temat Transatlantyckich Ram Ochrony Danych (“EU-US Privacy Framework”)?

Patrząc na konkretne deklaracje ze strony prezydenta USA (Joe Bidena) oraz prezydentki UE – Von Der Leien, finał wydaje się naprawdę bliski.

Mam tu na myśli przede wszystkim:

• Ogłoszenie porozumienia w sprawie nowych Transatlantyckich Ram Ochrony Danych pomiędzy UE oraz USA. – (25 Marca 2022 r.).
• Podpisanie rozporządzenia wykonawczego (Executive Order), które zawiera merytoryczne ograniczenia dostępu do danych przez amerykańskie krajowe organy bezpieczeństwa, jak i ustanowiony nowy mechanizmu odwoławczego – dotyczących zarówno merytorycznego ograniczenia dostępu amerykańskich krajowych organów bezpieczeństwa do danych, jak i ustanowienia nowego mechanizmu odwoławczego. (8 Października 2022 r.).

Jeżeli chcesz dowiedzieć się, jakie kolejne kroki będą podejmowane w obszarze bezpieczeństwa danych w UE – zapraszam Cię do lektury tego wpisu. Zawarłem w nim wiele informacji o tym, co wydarzyło się w 2022 rok, a także, co czeka nas w roku 2023. Naturalnie, z perspektywy EU-US Privacy Framework.

Czy Google Analytics jest legalny? A jeśli nie, to co zrobić, aby taki się stał?

Zdania w tej materii są i będą podzielone – przynajmniej do czasu oficjalnego wejścia w życie, wspomnianego już – EU-US Privacy Framework. Jednak tym, czego możemy być pewni na 100 procent, jest fakt, że każda organizacja, która korzysta z GA – powinna jak najszybciej zadbać o bezpieczeństwo danych osobowych swoich klientów. Oczywiście, mając również na szczególnej uwadze postanowienia zawarte w RODO. Jak to zrobić? Dokładne informacje na ten temat czekają na Ciebie w kolejnych akapitach.

#1 Zrezygnuj z Universal Analytics i skup się na rozwoju Google Analytics 4

Na początku warto podkreślić, że wszystkie dotychczasowe wyroki w UE przeciwko Google Analytics odnosiły się do starszej wersji tego narzędzia. Głównym powodem takiego stanu rzeczy był fakt, iż Universal Analytics (UA), według decyzji uprawnionych organów, po prostu nie spełnia już wymagań zawartych w Schrems II.

Mówiąc wprost – Universal Analytics nie posiada wystarczających ustawień, które pozwalałyby w pełni wykluczyć dane personalnie identyfikowalne (tzw. PII). Dodatkowo umożliwia przetwarzanie danych osobowych przez Google LLC w Stanach Zjednoczonych, co jest jednym z filarów obecnego sporu w zakresie wspomnianych Transatlantyckich Ram Ochrony Danych.

W czasie, gdy to UA stanowi główne ryzyko dalszych niezgodności w otoczeniu prawnym, Google postanowiło skupić się w pełni na rozwoju nowej wersji – GA4, która posiada zabezpieczenia oraz ustawienia stworzone z myślą o prywatności użytkowników.

Nowa odsłona najpopularniejszego narzędzia do analityki internetowej ma zapewnić maksymalną możliwą zgodność z RODO – do momentu wejścia w życie Transatlantyckich Ram Ochrony Danych.

Jakie funkcjonalności w Google Analytics 4 pozwalają zmaksymalizować zgodność z RODO?

Jak widzisz – w 2022 roku w obszarze danych i zmiany standardu ich mierzenia działo się naprawdę sporo. Firma Google także nie próżnowała, co zaowocowało wprowadzeniem funkcjonalności pozwalających na znaczne podniesienie zgodności z RODO. Możemy do nich zaliczyć m.in.:

Dane z UE zbierane i przetwarzane na serwerach zlokalizowanych na terenie Unii Europejskiej

Jedną z kluczowych kości niezgody stało się miejsce przechowywania danych użytkowników z Europy, które dotychczas znajdowało się w Stanach Zjednoczonych. Przeniesienie tych procesów na teren europejski może oznaczać finalne rozwiązanie przynajmniej części problemu transferów danych pomiędzy USA i UE, na których skupiały się wszystkie dotychczasowe decyzje organów ochrony danych o niezgodności z prawem.

Aktualnym pozostaje jednak pytanie, czy tak pozostanie. W końcu do tej pory nie ogłoszono ani tym bardziej nie rozpatrywano żadnych spraw po wprowadzeniu tej funkcjonalności. Dlatego z wysuwaniem dalszych wniosków radzę poczekać, aż do ostatecznego wejścia w życie “EU-US Privacy Framework”.

Google Analytics 4 nie rejestruje adresów IP

Na początku Google ograniczył tę aktywność do zwykłej anonimizacji adresów IP (tzw. IP Anonymization). Sytuacja zmieniła się, gdy Garante (włoskie UODO), uznało tę funkcjonalność za niewystarczającą. Gigantowi z USA nie pomógł skrócony adres IP, który wg. decyzji organów, dalej pozwalał gromadzić dane osobowe o urządzeniu oraz przeglądarce. Z tego powodu podjęto decyzję o całkowitym zaniechaniu rejestrowania adresów IP przez GA4.

Pełna treść tej decyzji znajduje się tutaj: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Nadal chcesz korzystać z takiej opcji? Pamiętaj, że adres IP w GA4 powinien być używany wyłącznie do standardowej komunikacji oraz do wysokopoziomowej informacji o lokalizacji, a następnie – odrzucany.

Regionalne kontrole dla Google Signals

Funkcjonalność Google Signals stwarza ryzyko pojawienia się niezgodności z RODO w niektórych krajach, takich jak: Austria, Francja czy Włochy.

Warto pamiętać, że Google Analytics daje możliwość włączenia lub wyłączenia Google Signals dla określonych regionów. A to z kolei umożliwia dopasowanie konkretnych opcji do równie konkretnych obszarów: włączając na rynkach o niższym ryzyku zgodności lub wyłączając w regionach, w których może stanowić istotny problem.

Dodatkowa kontrola gromadzenia granularnych danych dotyczących lokalizacji i urządzeń

Dotychczas (czyli w poprzednich wersjach GA), dane o urządzeniach i lokalizacjach były gromadzone w sposób automatyczny. GA4 daje możliwość zaprzestania zbierania tych granularnych danych – już na poziomie danego kraju.

Rezygnując z agregowania takich informacji, łatwo wyeliminujesz wiele punktów styku, które przez regulacje prawne tj. RODO, zostały określone jako personalnie identyfikowalne tzw. PII.

Musisz jednak mieć na uwadze, że wyłączenie takich funkcjonalności będzie miało znaczący wpływ na ilość oraz jakość gromadzonych danych. A to, jak pewnie się domyślasz, będzie wiązało się z poważnymi konsekwencjami z zakresu raportowania – usuwając możliwość wykonywania jakichkolwiek analiz lokalizacji czy urządzeń.

Wdrożenie polityki zarządzania zgodami z wykorzystaniem Consent Mode

Na wstępie musisz mieć pewność, że użytkownicy Twojej strony internetowej mają wgląd do aktualnej polityki prywatności, która jest zgodna z zaleceniami zespołu ds. ochrony prywatności. Zapisy polityki Twojej firmy muszą informować o tym, jakie dane osobowe są gromadzone, w jaki sposób są wykorzystywane, a także, czy dochodzi do ich przetwarzania poza Unią Europejską (i/lub przez organizacje międzynarodowe).

Ten poziom przejrzystości oraz gromadzenia danych musi stać się częścią procesu wyrażania zgody przez każdego użytkownika, który odwiedza Twoją stronę.

#2 Oceń potencjalne ryzyko braku zgodności związanej z włączeniem Google Signals

Bez wątpienia funkcja Google Signals niesie za sobą wiele biznesowych korzyści. Łatwo dostrzec je zwłaszcza w działaniach remarketingowych, które dają Ci możliwość tworzenia sprofilowanych list odbiorców, czy zaawansowanej analizy użytkowników. Jest jednak jedno małe “ale” – pod warunkiem, że masz pewność, że w ogóle możesz z niej korzystać.

Kluczowe dla problemu zgodności Google Signals z RODO jest zbieranie dodatkowego identyfikatora użytkownika, gdy jest on zalogowany do usługi Google (np. poczty Gmail, przeglądarki Chrome, itp.) – w tej samej przeglądarce, z której wchodzi na stronę internetową.

Głównym powodem zagrożenia jest wspomniany identyfikator (tzw. Google ID) oraz powiązanie go z identyfikatorem pierwszej strony (tzw. Client ID). Nadal nie jest bowiem do końca jasne czy dodatkowa czynność przetwarzania, którą podejmuje Google, jest objęta nowszymi zmianami architektonicznymi w celu zapewnienia większej ochrony prywatności z GA4.

Aby mieć pewność, że ten obszar działalności Twojej organizacji jest zgodny z aktualnymi przepisami – zalecam skonsultowanie się z zespołem ds. danych osobowych.

#3 Upewnij się, że Twoja organizacja ma aktualny Data Processing Amendment dla Google Analytics 4

Nawet jeśli wydaje Ci się, że wykonano wszystkie niezbędne czynności, to musisz wziąć pod uwagę, że zawsze coś może pójść nie do końca zgodnie z założeniami. Właśnie dlatego tak istotne jest, aby wykorzystanie GA4 (a co za tym idzie – jego zgodność z RODO), zostało dokładnie zweryfikowane przez zespoły ds. ochrony prywatności.

Proces ten musi obejmować ocenę środków technicznych i operacyjnych stosowanych w celu ochrony danych, zarówno przez organizację, jak i Google. W przypadku złożenia skargi przeciwko Twojej organizacji, posiadanie dokumentacji z tych ocen będzie miało kluczowe znaczenie dla wykazania zgodności. Dokumentacja ta powinna zawierać szczegółowe informacje na temat gromadzonych i przetwarzanych danych, rodzajów danych osobowych, sposobu wykorzystania danych, oceny wszelkich zagrożeń dla użytkowników oraz zabezpieczeń wdrożonych w celu zmniejszenia zagrożeń.

#4 Zależy Ci na jeszcze wyższym poziomie zgodności i bezpieczeństwa?

W takim razie koniecznie rozważ zastosowanie tzw. Server-Side GTM. Jest to rozwiązanie, które pozwala łączyć dane pochodzące z wielu narzędzi (m.in. Analytics, Google Ads, czy Meta), a następnie – przetwarzać je bezpośrednio po stronie serwera należącego do Twojej organizacji. Ponadto, tzw. ssGTM daje opcję strumieniowego przesyłania danych First Party do własnych hurtowni, które mają ten sam format oraz strukturę, co sam Google Analytics 4. Poza lepszą ochroną danych, pozwala również na automatyzację procesów raportowania. Wspiera, chociażby analizę zachowań użytkowników, a także jest pomocnym narzędziem zarówno przy wyznaczaniu, jak i mierzeniu wybranych KPI.

Oczywiście tematyka Server-Side GTM jest bardziej złożona. Jeżeli chcesz się w nią zagłębić – więcej wartościowych informacji czeka na Ciebie w tym artykule: Server side tagging – czym jest i jak działa?

Zgodność Google Analytics 4 z RODO – podsumowanie

Jak widzisz – wiele niejasności, wysoki poziom skomplikowania samych przepisów, jak i różne podejście do ich interpretacji (np. w zależności od regionu) sprawiają, że zgodność GA4 z RODO nie zawsze da się określić za pomocą kilku prostych zabiegów.
Jeżeli zależy Ci na tym, aby działania Twojej firmy były w pełni legalne – pamiętaj, aby podejść do tego procesu z dużą ostrożnością, a co najważniejsze – zaangażować specjalistów reprezentujących różne dziedziny (od analityków, programistów, aż po ekspertów z zakresu ochrony danych).

A jeśli uważasz, że Twojej firmie przyda się wsparcie profesjonalnych konsultantów “z zewnątrz” – skorzystaj z pomocy Conversion. Z przyjemnością podzielimy się swoją wiedzą i doświadczeniami, aby ułatwić Ci dostosowania się do nowych przepisów.

*** WAŻNE: Treść niniejszej publikacji nie stanowi porady lub informacji prawnej, lecz ma na celu wyłącznie opisanie istniejącej obecnie sytuacji oraz możliwych sposobów działania. W związku z tym publikacja nie powinna być podstawą do podejmowania jakichkolwiek decyzji związanych z obowiązującymi przepisami prawa.

Należy pamiętać, że prawo ulega ciągłym zmianom, w związku z czym treść publikacji mogła się zdezaktualizować. Ponadto artykuł nie uwzględnia indywidualnych okoliczności, które w danym przypadku mogą być bardzo istotne, lecz stanowi jedynie opis ogólnej sytuacji związanej ze stosowaniem Google Analytics. ***

The post Google Analytics, a RODO. Jak uzyskać maksymalną zgodność? first appeared on Conversion.

Google Analytics to narzędzie stworzone głównie po to, aby pomagać właścicielom lub osobom odpowiedzialnym za funkcjonowanie serwisów internetowych. Jego działanie pozwala na pozyskiwanie oraz dokonywanie analizy danych dotyczących użytkowników. W tym tego: w jaki sposób znaleźli się na danej stronie, co na niej robili, jakie zakładki odwiedzali, ile czasu na niej spędzili, z jakiego urządzenia korzystali oraz wiele, wiele więcej.

Dostęp do takich informacji sprawia, że osoby zarządzające serwisami online mogą nie tylko zrozumieć działania i potrzeby swoich odbiorców, ale także z powodzeniem podejmować konkretne działania pozwalające na dokonywanie modyfikacji stron. W celu poprawy ich jakości, doświadczeń użytkowników (UX), jak i oczywiście optymalizacji konwersji.
Niewątpliwie Google Analytics można zaliczyć do narzędzi, których używanie przynosi wiele korzyści dla biznesu. Ale czy to samo można powiedzieć o “drugiej stronie”, czyli użytkownikach, których dane są agregowane, analizowane, a następnie wykorzystywane? Sprawdźmy!

W tym artykule opowiem Ci nieco więcej na temat prywatności użytkowników oraz tego, w jaki sposób Google Analytics chroni informacje dotyczące osób, które odwiedzają Twoją stronę internetową lub sklep online.

Co znajdziesz w tym artykule?
Co musisz wiedzieć na tematy danych i prywatności osób, które korzystają z Twojej witryny?
Jakie są rodzaje plików cookies?
W jaki sposób Google Analytics zbiera dane na temat użytkowników witryny?
Jak w praktyce działają ciasteczka od Google Analytics?
Dokąd są wysyłane dane trafiające do Google Analytics?
Co z danymi osobowymi? Czy informacje o Tobie są bezpieczne?
Jakie informacje nie mogą być wysyłane do Google Analytics?
Szukasz więcej porad na temat prywatności, ochrony danych, jak i innych funkcjonalności Google Analytics i nie tylko?

Co musisz wiedzieć na tematy danych i prywatności osób, które korzystają z Twojej witryny?

Zaczniemy od spraw technicznych, czyli tego, jak w ogóle dochodzi do zbierania danych. Jak pewnie wiesz, aby serwisy internetowe były w pełni funkcjonalne, wykorzystują tzw. ciasteczka (z ang. cookies). W przyszłości z pewnością napiszę o nich osobny artykuł. Jednak na ten moment wystarczy, że zdasz sobie sprawę z tego, iż są to specjalne pliki, które służą do przechowywania danych na temat użytkowników witryny, a w szczególności – na temat ich poruszania się po serwisie. Warto także dodać, że najczęściej są to różnego rodzaju identyfikatory użytkownika.

Źródło: Google

Jakie są rodzaje plików cookies?

Wspomniane cookies możemy podzielić na 2 grupy:

• Cookies sesyjne, czyli obowiązkowe, których akceptacja jest konieczna, aby serwis mógł sprawnie funkcjonować. Okres ich ważności jest krótki, ponieważ znajdują się w pamięci przeglądarki do czasu, aż konkretna sesja zostanie zakończona.
• Cookies stałe, czyli śledzące, które gromadzą w sobie zdecydowanie więcej danych. Przechowują informacje, które pozwalają na szybsze załadowanie się strony, ułatwiają nawigowanie itp. Po zamknięciu przeglądarki będą one dalej obecne – dopóty, dopóki użytkownik ich sam nie usunie.

Inny podział tzw. ciasteczek dotyczy sposobu wykorzystywania pozyskanych danych. W tej materii wyróżniamy cookies pierwszej kategorii, które używają informacji tylko na własne potrzeby oraz cookies trzeciej kategorii, które sprawiają, że domeny mogą przekazywać pozyskane informacje między sobą. Ta druga grupa jest zaliczana do zdecydowanie mniej bezpiecznych ciasteczek.

W jaki sposób Google Analytics zbiera dane na temat użytkowników witryny?

Zakładam, że wielokrotnie odwiedzasz różne strony internetowe i już nieraz zdarzyło Ci się spotkać z charakterystycznymi komunikatami informującymi o tym, że dany serwis wykorzystuje pliki cookies oraz prośbą o wyrażenie zgody na ich przetwarzanie.

Teoretycznie*, przed wyrażeniem tej zgody, serwis powinien “załadować” wyłącznie obowiązkowe ciasteczka, które są konieczne do jego funkcjonowania. Dopiero gdy zaakceptujesz pozostałe – powinien dodać do nich, chociażby te od Google Analytics. Więcej informacji na temat przetwarzania zgód dotyczących ciasteczek znajdziesz w artykule o Consent Mode.

Zdecydowana większość firm w Polsce błędnie lub w ogóle nie zbiera zgód dotyczących funkcjonowania plików cookies. W wielu przypadkach są ładowane przedwcześnie, serwisy nie dają możliwości wyboru konkretnych ciasteczek albo po prostu komunikat spełniają wyłącznie cel informacyjny (po akceptacji lub rezygnacji nie dzieje się nic).

Jak w praktyce działają ciasteczka od Google Analytics?

Załóżmy jednak pozytywny scenariusz, czyli taki, w którym mechanizm Consent Mode został wdrożony prawidłowo, a Ty, jako użytkownik sieci, zdecydowałeś się zgodzić na załadowanie wszystkich cookiesów. Co dalej?

W serwisie uruchomi się specjalny skrypt (w JavaScript), który utworzy ciasteczko, w którym zapisze losowe ID danego użytkownika (w tym przypadku Ciebie). Wspomniane cookie będzie zapisywało, a następnie wysyłało do Google Analytics każdą Twoją interakcję z serwisem www. Znajdą się w nim między innymi dane o adresach odwiedzonych przez Ciebie podstron, czas spędzony na każdej z nich, lokalizacja (kraj, miasto), urządzenie (komputer, smartfon, tablet) oraz mnóstwo innych.

Dokąd są wysyłane dane trafiające do Google Analytics?

Właściwym administratorem tego rodzaju informacji jest Google. Dlatego wszystkie dane są wysyłane oraz zostają utrzymywane na serwerach należących do firmy z Mountain View.
Właśnie ten fakt był niedawno elementem pewnego sporu pomiędzy Unią Europejską a USA. Rozchodziło się w nim w szczególności o to, że dane zbierane w EU są transferowane do Ameryki. A będąc już “fizycznie” na innym kontynencie i podlegając jurysdykcji USA – mogą dalej tam być wykorzystywane.
Z tej okazji Google opublikowało nawet specjalny artykuł pt. Some facts about Google Analytics data privacy. Gorąco zachęcam do zapoznania się z jego treścią!

Co z danymi osobowymi? Czy informacje o Tobie są bezpieczne?

Przy zastosowaniu podstawowej konfiguracji Universal Analytics, dane na temat konkretnych użytkowników są szyfrowane i występują od unikalnym i losowo przydzielanym numerem ID. Takie rozwiązanie sprawia, że takie informacje są pseudoanonimowe i nie da się ich przydzielić do konkretnego użytkownika (z imienia i nazwiska lub innej informacji personalnie identyfikowalnej).
Inną daną, która może dostarczyć informacji na temat użytkowników, jest adres IP. Dla zachowania wyższego poziomu bezpieczeństwa, w Universal Analytics istnieje opcja anonimizacji tej informacji. Z kolei w Google Analytics 4, jest ona zanonimizowana już w standardzie.
Wspomniana wyżej anonimizacja przebiega dwuetapowo. W pierwszej fazie dochodzi do niej za pomocą tagu JavaScript. W drugiej fazie – za pomocą Collection Network. Dopiero po przejściu tego procesu trafia do Google Analytics.
Więcej na temat procesu zabezpieczania informacji dotyczących IP użytkowników znajdziesz pod tym adresem.

Anonimizacja (czyli maskowanie) adresów IP w Universal Analytics

Jakie informacje nie mogą być wysyłane do Google Analytics?

Jednak szyfrowanie danych oraz anonimizacja adresów IP to niejedyne kroki, jakie zostały podjęte przez firmę Google, aby zapewnić maksymalne bezpieczeństwo.
Mianowicie, zgodnie z regulaminem Google Analytics, do narzędzia mogą trafiać wyłącznie informacje, które NIE są personalnie identyfikowane. To oznacza, że za pośrednictwem GA nie można agregować takich danych, jak imię, nazwisko, numer PESEL, numer telefonu, adres e-mail, login oraz wiele innych, które mogą wskazywać, że należą konkretnej osoby.
Podpowiedź: zła konfiguracja strony lub sklepu online może sprawić, że niektóre z wyżej wymienionych danych mogą znajdować się w adresach URL, a nawet zostać zawarte w raportach zachowania. Warto to bardzo dokładnie zweryfikować.
A jeśli mimo wszystko takie informacje “przez przypadek” trafią do Google Analytics – należy je szybko usunąć. Między innymi z uwagi właśnie na takie okoliczności powstało narzędzie o nazwie Data Deletion Tool. Jest to specjalna opcja, która pozwala usunąć konkretne informacje, które zostały zgromadzone w GA.

Szukasz więcej porad na temat prywatności, ochrony danych, jak i innych funkcjonalności Google Analytics i nie tylko?

Jak widzisz – GA stanowi doskonałe narzędzie biznesowe, które daje możliwość poznawania swoich odbiorców, mierzenie skuteczności działań i kampanii marketingowych oraz podejmowanie licznych inicjatyw zmierzających do poprawy konwersji, jak i innych istotnych wskaźników. Z drugiej strony oferuje też szereg rozwiązań, dzięki którym jest nie tylko funkcjonalne, ale zapewnia również wysoki poziom ochrony, dzięki któremu userzy mogą czuć się bezpiecznie.

Jeżeli zależy Ci na kolejnych porcjach wartościowej wiedzy – już teraz zapraszam Cię do śledzenia mojego profilu LinkedIn, na którym regularnie publikuje informacje ze świata szeroko pojętej analityki oraz zapisania się na nasz newsletter!

The post Prywatność w Google Analytics. Jak GA chroni dane użytkowników? first appeared on Conversion.