Cookies po zgodzie czy przed? RODO a analityka.
7 min.
Google Analytics jest powszechnie wykorzystywanym narzędziem internetowym do zbierania danych o ruchu na danej stronie www i tworzenia raportów, które pomagają w lepszym pozycjonowaniu witryny i zwiększeniu jej popularności wśród internautów. Stosowanie tego narzędzia ma wiele oczywistych zalet, ale wiąże się również ze zbieraniem informacji o osobach odwiedzających strony internetowe, co nakłada na ich administratorów określone obowiązki prawne wynikające z RODO czy GDPR, czyli unijnego rozporządzenia o ochronie danych osobowych. Jak to się ma do polityki cookies i zbierania danych osobowych internautów przez Google Analytics?
RODO a Google Analytics – w czym tkwi problem?
Przykładowe Google Analytics jest usługą analityczną, która śledzi i raportuje ruch na stronach internetowych. Aby było to możliwe, administrator witryny musi dodać specjalny kod śledzenia Google Analytics na każdej stronie, na której ruch ma być monitorowany. Zazwyczaj kod ten jest umieszczany w sekcji nagłówka (header) strony internetowej. Gdy odwiedzający wchodzi na stronę www z zainstalowanym kodem śledzenia, Google Analytics rozpoczyna gromadzenie różnych informacji, takich jak adres IP użytkownika, przeglądarka, urządzenie, lokalizacja geograficzna oraz aktywność na stronie (np. odsłony stron, czas spędzony na stronie).
Wspomniane wyżej narzędzie używa plików cookies, które są umieszczane na komputerze użytkownika w celu identyfikacji internautów, którzy często odwiedzają daną witrynę i śledzenia ich interakcji na stronie. Pliki cookies zawierają unikalne identyfikatory, które są przesyłane do serwerów Google w celu przeprowadzenia szczegółowej analizy danych. Niektóre „ciasteczka”, w orzecznictwie europejskim, traktowane są jak pliki zawierające dane osobowe. Oznacza to, że strona internetowa musi umożliwić użytkownikowi wyrażenie zgody przed zastosowaniem plików cookies oraz przed udzieleniem informacji o ich używaniu. Dopiero po wyrażeniu zgody przez użytkownika na jego urządzeniu mogą być umieszczone pliki cookies. Ważne jest również zagwarantowanie internautom możliwości wycofania zgody na stosowanie „ciasteczek” w dowolnym momencie i zapewnienie im łatwego dostępu do informacji na temat polityki prywatności i sposobu zarządzania plikami cookies. Używasz WordPress? Sprawdź poradnik Jak dodać zgodę na ciasteczka – WordPress RODO, GDPR – HitMe Blog Hosting
Jak działają narzędzia typu Google Analytics?
Ponieważ kod śledzący dodawany jest przeważnie od razu do nagłówka strony, jest on aktywowany automatycznie przy każdej wizycie użytkownika na naszej stronie. Zebrane dane są przesyłane do narzędzia analitycznego. Jeśli o to nie zadbasz, to z reguły dzieje się to zanim nastąpi zgoda użytkownika.
Chociaż przedstawienie szczegółowych statystyk dotyczących odsetka witryn, które wyłączają pliki cookie przed wyrażeniem zgody, jest trudne, przeprowadzono badania mające na celu ocenę poziomu zgodności witryn internetowych w odniesieniu do praktyk związanych z wyrażaniem zgody na pliki cookie. Jedno godne uwagi badanie zostało przeprowadzone przez naukowców z MIT, UCL i Uniwersytetu Aarhus w 2020 r. Zbadali 10 000 witryn internetowych z największym ruchem i odkryli, że tylko około 11,8% z nich postępowało zgodnie z najlepszymi praktykami, wyłączając pliki cookie przed uzyskaniem zgody.
Czyli można wyciągnąć wniosek iż mało kogo temat interesuje. Czy może są jakieś tego przyczyny?
Google Analytics a RODO – czy brak zgody użytkownika ma wpływ na analizę ruchu na stronie?
Załadowanie się kodów śledzących dopiero po wyrażeniu zgody przez użytkownika może mieć wpływ, i zazwyczaj ma, na wyniki raportów generowanych przez Google Analytics. Jeśli pliki cookies i kody śledzące są umieszczane i aktywowane po uzyskaniu zgody użytkownika, oznacza to, że Google Analytics nie będzie rejestrował wizyt przed uzyskaniem zgody. Może to wpłynąć na precyzję i kompletność danych w ogólnej statystyce. Wyobraźmy sobie że prowadzimy kampanię reklamową i chcemy zbadać jej skuteczność po stronie Google Analytics. Jeśli z tysiąca wizyt tylko co piąty użytkownik zaakceptuje cookies to z poziomu Google Analytics nie będziemy w stanie skutecznie zmierzyć pełnej skuteczności kampanii. Jednak w celu zapewnienia zgodności z RODO i innymi przepisami dotyczącymi prywatności zaleca się, aby pliki cookies związane z narzędziami analitycznymi, takimi jak Google Analytics, były aktywowane dopiero po otrzymaniu wyraźnej zgody użytkownika. Jeśli administrator strony zaniedba ten wymóg, to może nie spełniać wymagań RODO/GDPR w temacie polityki prywatności. Wobec tego może narazić się na karę finansową związaną z brakiem poszanowania przepisów RODO/GDPR. W ślad za taką karą idą zazwyczaj straty wizerunkowe, gdyż internauci, których prywatność została naruszona, mogą zgłaszać skargi i roszczenia przeciwko administratorowi witryny. W praktyce dzieje się tak bardzo rzadko. Słyszymy jednak co jakiś czas że Kolejne kraje uznają że Google Analytics narusza RODO. Jakie alternatywy? – HitMe Blog Hosting. Czy zatem jest jakiś sposób na to Google Analytics?
Czy Google Analytics 4 to lepsza prywatność?
Google Analytics 4 (GA4) to najnowsza usługa analityczna Google, ma zastąpić Universal Analytics, które 1 lipca 2023 r. przestanie działać, a domyślną usługą analityczną Google będzie GA4. I choć GA4 jest mocno skoncentrowany na prywatności danych, umożliwiać m.in. krótszy czas przechowywania danych czy anonimizację adresu IP. GA4 nie będzie przechowywać adresów IP użytkowników i nie może ich śledzić. Z punktu widzenia RODO jest to uważane za najważniejszą zmianę w GA4, pomagającą użytkownikom dostosować się do RODO. Ale czy to wszystko? No niestety problemem okazuję się wybór miejsca przechowywania danych lub brak umowy UE-USA. Od końca 2022 roku GA4 nie jest w pełni zgodne z RODO. No niestety, pomimo dodania wielu funkcjonalności zorientowanych na prywatność, GA4 nadal nie osiągnął konsensusu z europejskimi organami regulacyjnymi.
Analityka zgodna z GDPR?
Jednym ze sposobów jest instalacja własnego silnika analityki na własnym serwerze. W ten sposób jakiekolwiek dane, osobowe czy nie – nigdy nie zostaną przekazane podmiotom trzecim. Jeśli bardzo obawiasz się naruszeń GDPR sprawdź jak wdrożyć Matomo – alternatywa dla Google Analytics. – HitMe Blog Hosting
Nie tylko analityka. Również re-marketing.
Tak naprawdę temat dotyczy nie tylko skryptów analitycznych ale także tych, które umożliwiają re-marketing np. facebook pixel czy inne kody śledzące firm trzecich. Twoi odwiedzający mogą ochoczo wyrażać zgodę na skrypty analityczne, ale już niekoniecznie na re-marketing. Dzieje się tak choćby z przyczyny iż odwiedzający płci męskiej np. po wejściu na stronę z bielizną damską nie chce potem widzieć ogromu bannerów reklamowych związanych z tym tematem. Stąd, jeśli nie masz odpowiednio skonstruowanej polityki prywatności – warto zadbać o narzędzie, które umożliwi rozróżnienie przeznaczenia ciasteczek i związanych z nimi kodów śledzących.
A Wy, jak podchodzicie do tematu cookies na Waszych stronach?
