Czy jesteś gotowy na nowy Google Consent Mode v2 ? Dowiedz się więcej »
Dobrze

Korzystasz z Google Analytics zgodnie z przepisami o ochronie danych? Krótki przegląd sytuacji prawnej


Korzystanie z Google Analytics podlega pewnym wymogom wynikającym z RODO (ogólnego rozporządzenia o ochronie danych). Ochrona danych i Google Analytics od dawna pozostają w konflikcie. Najpóźniej od czasu wydania wyroku ETS w sprawie śledzenia, przewidziano opcję opt-in dla Google Analytics. W tym kontekście ważna jest kwestia przetwarzania plików cookie Google Analytics. Znajdziesz wsparcie dostawców zarządzania zgodami (CMP) w zakresie bezpiecznej pod względem prawnym integracji Google Analytics. Dzięki rozwiązaniom dotyczącym zgody na pliki cookie przyczyniasz się do ochrony danych w Google Analytics.

Google Analytics w skrócie: znaczenie ochrony danych

Większość większych witryn internetowych opiera się na narzędziach analitycznych do wyciągania wniosków na temat zachowania użytkowników. Zdecydowanie najpopularniejszym narzędziem do analizy użytkowników jest Google Analytics. Jak widać z różnych statystyk, narzędzie to jest używane na około połowie wszystkich stron internetowych, w zależności od ankiety. Z jednej strony popularność ta wynika z faktu, że Google ma dostęp do szczególnie dużej ilości danych użytkowników . Z drugiej strony popularność wynika z faktu, że duży zakres funkcji Google Analytics jest bezpłatny dla wszystkich użytkowników .

Google Analytics wykorzystuje pliki cookie do oceny danych użytkownika. Te małe pliki są przechowywane w przeglądarce odwiedzającego. Użytkownicy mają wiele opcji zbierania różnych danych zgodnie z dostosowanymi ustawieniami. Google Analytics umożliwia następnie operatorom witryn przetwarzanie i ocenę danych według różnych parametrów. Na tej podstawie można śledzić wartościowe kluczowe dane, takie jak odsłony strony, zachowanie użytkowników czy długość pobytu w serwisie. Google Analytics umożliwia również precyzyjne śledzenie poszczególnych działań , w tym zapisanie się do newslettera czy pobranie określonych plików. Opcje śledzenia konwersji można wykorzystać do określenia punktów, w których odwiedzający stają się klientami. To ujawnia potencjał optymalizacji i przyczynia się do ciągłej poprawy wydajności strony.

Z punktu widzenia ochrony danych ogromne ilości danych gromadzonych i ocenianych przez Google Analytics należy oceniać krytycznie. W szczególności urzędnicy ds. ochrony danych skarżą się na przechowywanie i przesyłanie pełnych adresów IP odwiedzających Google (bezpośrednio do USA). Ponadto obrońcy danych krytykują to, że przepisy Google dotyczące ochrony danych nie zawierają wystarczających informacji o tym, jakie dane użytkownika witryny są faktycznie gromadzone, przechowywane i przesyłane .

Ze względu na dostęp do wielu danych użytkowników ochrona danych w Google Analytics od dawna budzi kontrowersje. Wraz z wejściem w życie RODO (również RODO: Ogólne rozporządzenie o ochronie danych), a tym bardziej od czasu orzeczenia ETS w 2019 r. w sprawie plików cookie, prawnie bezpieczne korzystanie z Google Analytics podlega pewnym wymogom. Jeśli Google Analytics nie jest skoordynowane z RODO, operatorzy witryn mogą zostać narażeni na poważne ostrzeżenia lub grzywny .

Google Analytics: kontekst prawny (wyrok RODO i ETS)

Koordynacja Google Analytics z RODO stała się niezbędna najpóźniej od wejścia w życie tego ostatniego. W przeszłości organy ochrony danych groziły operatorom witryn grzywnami za korzystanie z tego narzędzia. Przed wprowadzeniem RODO z Google Analytics można było korzystać również bez zgody, pod warunkiem spełnienia tylko kilku wymagań (np. anonimizacja IP i umowa AV). RODO wiązało się z nadzieją, że kwestię zgody ureguluje dopiero rozporządzenie o prywatności i łączności elektronicznej. Do tego czasu operatorzy stron internetowych chcieli polegać na „uzasadnionym interesie” zgodnie z Art. 6 ust. 1 lit. f powołanie RODO.

Ważna zmiana nastąpiła wraz z orzeczeniem ETS z 2019 r. w sprawie Planet49 (sygn. C-673/17). Orzeczeniu towarzyszy jasna informacja dotycząca zgody na korzystanie z plików cookie Google Analytics i innych plików cookie. Projekt zgody powinien być taki, że odwiedzający muszą najpierw wyraźnie wyrazić zgodę na korzystanie z plików cookie Google Analytics. Dlatego Google Analytics opiera się na zgodzie: Użytkownicy muszą najpierw dobrowolnie wyrazić zgodę, zanim operator będzie mógł zbierać i przetwarzać pliki cookie Google Analytics. Wyjątkiem są pliki cookie, które są absolutnie niezbędne do technicznego funkcjonowania strony.

W swoim wyroku ETS wskazał, że rozporządzenie ePrivacy (art. 5 ust. 3) przewiduje już zgodę nawet w przypadku plików cookie, które nie są bezwzględnie konieczne. Podobne wypowiedzi ETS znane są już z wcześniejszego orzecznictwa.

Wymogi prawne dotyczące korzystania z plików cookie Google Analytics zostały ponownie ocenione przez komisję koordynacyjną niemieckich organów nadzorczych ds. ochrony danych (DSK) w dniu 12 maja 2020 r. Wraz z tą rozdzielczością istnieje również dodatek do przewodnika orientacyjnego dla dostawców telemediów . Ten przewodnik orientacyjny wyjaśnia różne ustawienia podczas korzystania z Google Analytics w zakresie zgodnego z prawem użytkowania.

Zgodne z prawem korzystanie z Google Analytics: środki dla operatorów witryn

Wszystkim, którzy nadal korzystają z Google Analytics jako operatora witryny, na przykład w sektorze mediów lub w handlu elektronicznym , zaleca się wdrożenie pewnych środków zapewniających pewność prawną narzędzia śledzącego.

Zapewnienie przejrzystości w przepisach o ochronie danych

Operatorzy serwisów powinni udzielić wyczerpujących informacji o wykorzystaniu i przetwarzaniu danych osobowych w przepisach o ochronie danych. Ta przejrzystość musi być zagwarantowana zgodnie z Art. 13 RODO, aby można było skoordynować Google Analytics z RODO.

W odniesieniu do szczegółowych wymogów obowiązku informacyjnego eksperci ds. ochrony danych odnoszą się do wytycznych w sprawie przejrzystości Europejskiej Rady Ochrony Danych. Dostosowując oświadczenie o ochronie danych, należy określić co najmniej następującą treść informacji, biorąc pod uwagę wymagania DSK zgodnie z Art. 12 i 13 DSGVO: Zakres gromadzenia danych musi być jasno zakomunikowany. Ponadto oświadczenie o ochronie danych musi zawierać informacje o podstawie prawnej, na której dane są gromadzone. Podobnie polityka prywatności musi być wyjaśniona w kolejności

jak długo dane są przechowywane. W tym kontekście
Ujawniono kryteria ustalania okresu przechowywania . Oświadczenie o ochronie danych powinno również zawierać odniesienie do prawa do wycofania i jego realizacji.

Skróć adres IP

Jako kolejny środek koordynacji Google Analytics z RODO operatorzy strony internetowej z tym narzędziem śledzącym powinni zadbać o skrócenie adresu IP . Można to zaimplementować, dodając polecenie „_anonymizeIp()” do kodu śledzenia. Odnosi się to do każdej witryny internetowej, która jest zintegrowana z Google Analytics. Szczegóły techniczne tego typu obcinania adresu IP można znaleźć bezpośrednio w instrukcjach na stronie Google Developers.

Skrócenie adresu IP jest ważnym środkiem ochrony użytkowników zgodnie z Art. 25 ust. 1 RODO. Jednak samo skrócenie adresu IP nie wystarczy, aby zapewnić anonimowe przetwarzanie danych. Oprócz samego adresu IP korzystanie z Google Analytics wiąże się z gromadzeniem wielu innych danych dotyczących użytkowania. Obejmuje to dane osobowe, takie jak te wykorzystywane do identyfikacji użytkowników (np. w sensie połączenia z istniejącym kontem Google).

Dlatego nawet po skróceniu adresu IP należy przestrzegać dalszych wymagań dotyczących koordynacji Google Analytics z DSGVO. Podobnie we wspomnianym oświadczeniu o ochronie danych należy wskazać, czy adres IP został skrócony.

Ustalenie okresu przechowywania danych

W celu skoordynowania Google Analytics z RODO konieczne jest również dokładne określenie, jaki okres przechowywania danych jest przewidziany. Google Analytics obejmuje pewne kontrole przechowywania danych . Ustawienie domyślne jest przeznaczone do automatycznego przechowywania danych użytkownika i danych o zdarzeniach przez 26 miesięcy. Często przycisk „Resetuj przy nowej aktywności” jest w ustawieniach domyślnych wyłączony. Ten przycisk należy dezaktywować , aby skoordynować Google Analytics z RODO (porównaj art. 25: Ochrona danych w fazie projektowania). Okres przechowywania danych powinien być ograniczony do 14 miesięcy .

Aby zmienić okres przechowywania danych należy wybrać właściwość do edycji w zakładce „Zarządzanie”. W odpowiedniej kolumnie „Właściwość” ustawienia czasu przechowywania można wprowadzić w sekcji „Informacje o śledzeniu – przechowywanie danych”. Po wybraniu tutaj innego ustawienia należy pamiętać o dostosowaniu oświadczenia o ochronie danych do tych zmian.

Wyraź zgodę na wykorzystywanie plików cookies

Jednym z najważniejszych warunków zgodnego z prawem projektowania korzystania z Google Analytics jest gwarancja dobrze przemyślanej zgody na pliki cookie . Zgoda odwiedzającego na korzystanie z Google Analytics i plików cookie musi zawierać określone informacje: przede wszystkim nagłówek musi być jasny i jednoznaczny. Musi pokazywać, że użytkownik wyraża zgodę na przetwarzanie danych przez Google po wyrażeniu na to zgody. Ponadto należy poinformować użytkowników, że w ramach przetwarzania danych dane osobowe i dane dotyczące zachowań użytkowników na stronie internetowej są przesyłane do Google . Prośba o zgodę powinna również zawierać dokładne informacje o rodzajach danych, których dotyczy.

Warto również wiedzieć, że gromadzone dane są przetwarzane głównie przez Google . Należy podkreślić, że operator serwisu nie ma wpływu na przetwarzanie danych w tym zakresie. Google przetwarza dane dla własnych celów (np. profilowanie).

Ważne jest również, aby wiedzieć, czy zebrane dane można również powiązać z informacjami z innych źródeł. Należy również dodać informację, czy dane są przechowywane w USA i czy władze stanowe mogą mieć dostęp do tych danych.

Wymagania techniczne dotyczące zgody i cofnięcia

Ponadto opcja zgody nie może oznaczać całkowitej zgody na korzystanie z plików cookie. Ważnym warunkiem technicznym wyrażenia zgody jest aktywne zaangażowanie użytkownika. Użytkownik musi mieć możliwość aktywnego wyrażenia zgody na wykorzystanie danych. Nie obejmuje to wstępnie zaznaczonych pól lub pól wyboru !

Wiąże się to z wymogiem, aby narzędzie śledzące i odpowiednie pliki cookie Google Analytics mogły być aktywne dopiero po wyrażeniu przez użytkowników aktywnej zgody. Pliki cookie Google Analytics nie mogą być wcześniej ustawiane.

Dane mogą być zbierane dopiero po aktywnym zaznaczeniu pola przez użytkowników. Ponadto zgoda ta musi być dobrowolna. Wiąże się to również z możliwością odmowy zgody przez użytkowników w dowolnym momencie.

Ponadto należy zapewnić technicznie, aby użytkownicy nie ponieśli żadnych szkód w przypadku braku zgody. Użytkownikom należy zapewnić jasne i przyjazne dla użytkownika rozwiązania techniczne w celu zapewnienia i realizacji zgody. Narzędzia do wyrażania zgody oferują taką możliwość. Powinny one oferować możliwość cofnięcia tej zgody w dowolnym momencie, nawet po wyrażeniu zgody. We wszystkich aplikacjach lub rozwiązaniach do wyrażania zgody na pliki cookie musi również istnieć łatwo dostępna opcja skutecznego odwołania w ustawieniach.

Zasadniczo Google oferuje dodatek do przeglądarki, który dezaktywuje Google Analytics. Należy zauważyć, że nie wystarczy odesłać użytkowników do tego dodatku. Nie daje to użytkownikom wystarczającej możliwości odwołania. Zgodnie z Art. 7 ust. 3 pkt 4 RODO, cofnięcie zgody musi być tak samo proste jak zgoda. Dodatek Google nie spełnia tych wymagań , ponieważ najpierw wymaga od użytkownika pobrania programu w postaci dodatku.

Znaczenie procedury opt-in

Czynna i wyraźna zgoda na korzystanie z plików cookie Google Analytics jest również znana jako procedura opt-in. Projekt zgody na wykorzystanie musi być zaprojektowany jako prawdziwa akceptacja Google Analytics najpóźniej od czasu orzeczenia ETS w sprawie plików cookie. Zasadniczo od wytycznych UE dotyczących ochrony danych osobowych z 2009 r. przewidziano, że użytkownicy serwisu są proszeni o wyrażenie zgody. Do tej pory jednak wielu operatorów interpretowało tę zgodę jako opt-out. W praktyce oznacza to, że pliki cookie są zbierane bez konieczności wykonywania jakichkolwiek czynności przez użytkownika. Odwiedzający mają jedynie możliwość uniemożliwienia gromadzenia plików cookie. Zgodnie z orzeczeniem ETS w sprawie plików cookie, strona internetowa nie może już ustawiać plików cookie, zanim odwiedzający wyrazi na to wyraźną i czynną zgodę . Oznacza to, że pliki cookie Google Analytics można w ogóle ustawić tylko wtedy, gdy odwiedzający zdecyduje się na nie (opt-in).

CMP: Rozwiązania do zarządzania zgodami dla stron internetowych i ich korzyści

Ważne jest, aby operatorzy witryn i firmy podjęły środki ostrożności w odpowiednim czasie w celu uzyskania skutecznej zgody na korzystanie z Google Analytics. Z jednej strony banery zarządzania zgodą dostarczają użytkownikom wyczerpujących informacji na temat wykorzystania danych, a jednocześnie proszą ich o wyrażenie zgody.

Techniczna realizacja zgodnego z prawem zarządzania plikami cookie korzysta z tzw. zgody

Rozwiązania. Dobry menedżer ds. zgody bierze pod uwagę wymogi RODO i wyroku ETS, a także pozytywne wrażenia użytkownika. Najważniejszymi aspektami pozytywnego doświadczenia użytkownikadługi czas przebywania i wysoki wskaźnik akceptacji . W związku z tym współczynnik odrzuceń powinien być utrzymywany na jak najniższym poziomie. Dobre rozwiązania do zarządzania zgodami pomagają zwiększyć współczynnik akceptacji, a jednocześnie zminimalizować współczynnik odrzuceń. W ten sposób zapewniają, że witryna działa dobrze i wnosi swój wkład w pozyskiwanie i lojalność klientów.

Dobrze przemyślane rozwiązanie do zarządzania zgodami zapewnia przegląd w czasie rzeczywistym wskaźników akceptacji i odrzuceń. Pozwala to na wyciągnięcie cennych wniosków na temat aktualnej wydajności strony internetowej i związanego z nią potencjału poprawy.

Rozwiązania w zakresie zgody są zorientowane na skalę międzynarodową . Wyświetlany baner pojawia się automatycznie w odpowiednim języku kraju w obszarze RODO, z którego uzyskano dostęp do strony internetowej. Ogólnie rzecz biorąc, dostawca zarządzania zgodami wyświetla informacje w 29 językach. Podobnie, responsywny projekt i adaptacja są oczywiste w nowoczesnym rozwiązaniu do wyrażania zgody. Rozwiązanie zgody uwzględnia urządzenie końcowe, system operacyjny i rozmiar ekranu oraz wyświetla baner zgody w zoptymalizowany sposób.

Artykuły o podobnej tematyce:


więcej komentarzy

Ogólny

Biuletyn 09.2024

Nowe funkcje: narzędzie dotyczące praw osób, których dane dotyczą (DSR). RODO stanowi, że osobom, których dane dotyczą (takim jak odwiedzający witrynę, klienci lub inne osoby, których dane są przetwarzane), przysługują określone prawa. Obejmuje to w szczególności możliwość dochodzenia swoich praw oraz otrzymywania informacji o przetwarzanych danych. Prawa obejmują m.in.: Nasze nowe narzędzie DSR umożliwia teraz […]
consentmanager logo with the text ‘consentmanager is a Google CMP Gold Partner’ on the left side. Gold medal with a ribbon next to a shield with the text ‘Certified CMP Partner’ in Google brand colours.
Nowy

consentmanager osiąga status złotego partnera Google CMP

consentmanager uzyskał certyfikat partnera CMP Gold Tier w programie partnerskim Google Consent Management Platform (CMP). Status ten przyznano nam na podstawie następujących kryteriów: Najnowsze osiągnięcie w programie partnerskim Google CMP przynosi naszym klientom znaczące korzyści. Teraz możesz zintegrować swój baner zgody z Google Ads, Google Analytics i Google Tag Managerem bezpośrednio z interfejsu Google Tag […]

CMP

Twoje pytania dotyczące CMP & Co.

Jeśli nie masz pewności, czy potrzebujesz CMP, czy nie, skontaktuj się z nami – pomożemy Ci znaleźć odpowiednie rozwiązanie dla Twojej firmy.