Nowe technologie,  Ochrona danych osobowych

Google Analytics – jak korzystać z tego narzędzia legalnie?

Google Analytics chyba śmiało można uznać za narzędzie bez którego większość stron nie istnieje. Mocne stwierdzenie… Ale GA jest najpopularniejszym narzędziem do tworzenia statystyk. Jak zatem korzystać z niego legalnie i zgodnie z RODO?


GOOGLE ANALYTICS – NA KIM CIĄŻĄ OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH?

Bez wątpienia, jeśli korzystasz z GA jesteś administratorem danych osobowych. Natomiast Google jest podmiotem przetwarzającym, czyli podmiotem, który zbiera i przetwarza dane w imieniu klientów (np. właścicieli stron internetowych). Oznacza to, że to na Tobie ciążą obowiązki administratora określone w RODO.

Skoro ustaliliśmy już kto jest kim, idźmy dalej, żeby omówić te najważniejsze obowiązki.


JAKIE FUNKCJE POSIADA GA?

Google Analytics posiada następujące funkcje reklamowe:

  • remarketing z wykorzystaniem Google Analytics;
  • raporty wyświetleń w sieci reklamowej Google;
  • raporty danych demograficznych i zainteresowań w GA;
  • zintegrowane usługi, które wymagają od GA zbierania danych do celów reklamowych, w tym z wykorzystaniem identyfikatorów i plików cookie dotyczących reklam.

Włączenie tych funkcji pozwala na zbieranie informacji o ruchu na stronie za pomocą identyfikatorów i plików cookies Google.

Informację o stosowanych plikach cookies Google udostępnia tutaj.


JAKIE DANE PRZETWARZA GOOGLE ANALYTICS?

GA gromadzi własne pliki cookie. Są to dane związane z urządzeniem oraz przeglądarką, adresem IP i działaniami użytkownika w witrynie lub aplikacji.

Najważniejsze jest by zwrócić uwagę na adresy IP, ponieważ na gruncie RODO są one uznawane za dane osobowe.

Jakie działania należy podjąć, aby zminimalizować ryzyko?


ZMINIMALIZUJ ZAKRES DANYCH

Przejrzyj jakie dane są pozyskiwane i przetwarzane przez GA. Jeżeli któreś z danych nie są Ci niezbędne, zmień ustawienia i nie przetwarzaj tych danych.


SKRÓĆ OKRES PRZECHOWYWANIA DANYCH

W opcjach GA możesz określić czas przechowywania danych. Skróć ten okres do minimum.


USTAW PRAWIDŁOWĄ ZGODĘ NA COOKIES

Zadbaj o zgodną z prawem zgodę na korzystanie z plików cookies. Jaka ta zgoda powinna być?

Ważne jest, aby cookies nie były zapisywane przed wyrażeniem zgody przez użytkownika.

Bez zgody użytkownika możesz stosować tylko pliki cookies techniczne, czyli te które są niezbędne do korzystania ze strony internetowej, np. do zapisywania sesji.

Cookies nie mogą być zapisywane, jeśli użytkownik tej zgody nie wyrazi. Jeżeli użytkownik nie wyrazi zgody na pliki cookies, powinien on mieć możliwość dalszego korzystania ze strony bez zapisywania cookies przez stronę. Zdarza się, że te zgody są skonstruowane np. tak: “Korzystając z naszej strony wyrażasz zgodę na używanie plików cookies. Jeśli nie wyrażasz zgody, opuść stronę”. Nie jest to rozwiązanie prawidłowe.

Pamiętaj też, że taka zgoda musi być zachowana dla celów dowodowych.

Zapewnij użytkownikom możliwość wycofania zgody, zmiany ustawień zgody i poinformuj ich w jaki sposób mogą to zrobić. Odwołanie do ustawień przeglądarek to za mało. Twoja strona powinna mieć zapewnione ustawienia, w których użytkownik może wyrazić zgodę np. tylko na pliki cookies analityczne albo tylko marketingowe.


SPRAWDŹ POLITYKĘ PRYWATNOŚCI NA STRONIE

Jeśli włączysz jakiekolwiek funkcje reklamowe GA, musisz powiadomić o tym użytkowników, umieszczając w polityce prywatności informacje na temat:

  • wdrożonych funkcji reklamowych GA (funkcje zostały określone w drugim punkcie artykułu);
  • sposobu korzystania przez właściciela strony i dostawców zewnętrznych z własnych plików cookies (np. GA), innych własnych identyfikatorów, plików cookies firm zewnętrznych (np. plików cookies dotyczących reklam Google) i innych identyfikatorów firm zewnętrznych;
  • zasad zbierania i przetwarzania danych przez GA (zalecane jest, aby zamieścić odwołanie do polityki Google: www.google.com/intl/pl/policies/privacy/partners/)
  • sposobów rezygnacji z używanych funkcji reklamowych GA, w tym za pomocą ustawień reklam, ustawień reklam wyświetlanych w aplikacjach mobilnych i wszelkich innych dostępnych metod (np. funkcji rezygnacji konsumenckiej NAI),
  • celu korzystania z GA, np. cel statystyczny, analityczny, analiza ruchu i korzystania ze strony internetowej, dopasowanie treści do preferencji użytkowników.

Warto podkreślić, że funkcje reklamowe powinny być wyłączone do czasu uzyskania zgody użytkownika.


Niezależnie od powyższego, Google zachęca do kierowania użtkowników na stronę z narzędziami do blokowania Google Analytics: Dodatek blokujący Google Analytics.


WŁĄCZ ANONIMIZACJĘ ADRESÓW IP

Tak naprawdę największy problem w stosowaniu GA leży w przetwarzaniu adresów IP. Zastosuj funkcję anonimizacji IP. Google pisze: Użytkownicy GA powinni stosować maskowanie adresów IP, aby usługa GA korzystała tylko z części, a nie z całości zarejestrowanego adresu IP. Użytkownicy GA mogą też zastępować adresy IP, korzystając z odpowiedniej funkcji.

Warto zastosować tę funkcję, bo przekazywanie adresu IP to kluczowy problem.


ZAWRZYJ Z GOOGLE UMOWĘ POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Skoro Ty jesteś administratorem danych osobowych, a GA jest podmiotem przetwarzającym, powinieneś zawrzeć umowę powierzenia przetwarzania danych osobowych z Google. Jak to zrobić? Stosowne informacje znajdziesz tutaj. Google nazywają to Aneksem o przetwarzaniu danych i piszą jak go zaakceptować.


GOOGLE ANALYTICS – PRZEKAZUJESZ DANE DO PAŃSTW TRZECICH?

Tak, przekazujesz dane do państw trzecich. Dane osobowe użytkowników Facebooka mogą być przechowywane na serwerach znajdujących się w USA. Dotychczas podstawą przekazywania danych do USA była Tarcza Prywatności. Jednak od wydania wyroku Trybunału Sprawiedliwości z dnia 16 lipca 2020 roku w sprawie Schrems II Tarcza Prywatności jest nieważna. GA wskazuje, że przy przesyłaniu danych osobowych poza Europę, korzysta ze standardowych klauzul umownych. Standardowe klauzule umowne to takie gotowe wzory postanowień pomiędzy stronami, które zabezpieczeją transfer danych do państw trzecich.

Trybunał w ww. wyroku wskazał jednak, że korzystanie ze standardowych klauzul umownych nie jest wystarczające. Administrator powinien zweryfikować prawo państwa do którego dane przekazuje oraz zapewnić dodatkowe środki bezpieczeństwa.

Jednak Trybunał wprost wskazał, że prawo USA nie zapewnia odpowiedniego bezpieczeństwa przetwarzania danych.

Komisja Europejska wydała decyzję nr 2021/914 w sprawie standardowych  klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich. Dotychczasowe klauzule zawarte przed 27 września 2021 r. zapewniają odpowiednie gwarancje do  27 grudnia 2022 r. Jednak pod warunkiem że operacje przetwarzania stanowiące przedmiot umowy pozostaną niezmienione oraz że stosowanie tych klauzul zapewnia, aby przekazywanie danych osobowych odbywało się z zastrzeżeniem odpowiednich zabezpieczeń.

UODO wskazuje, że zastosowanie nowych standardowych klauzul umownych i tak powoduje konieczność oceny transferu i ewentualne wdrożenie środków uzupełniających standardowe klauzule umowne.

Jednak aktualnie Google wskazują, że stosują standardowe klauzule umowne i na nie należy się powołać w Polityce prywatności jako podstawa przekazywania danych do USA.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.