Notkun Google Analytics er háð ákveðnum kröfum samkvæmt GDPR (General Data Protection Regulation). Gagnavernd og Google Analytics hafa lengi verið í átökum. Í síðasta lagi frá dómi EB-dómstólsins um mælingar hefur verið veittur aðgangur að Google Analytics. Í þessu samhengi er spurningin um vinnslu Google Analytics vafraköku mikilvæg. Þú munt finna stuðning frá samþykkisstjórnunaraðilum (CMP) fyrir lagalega örugga samþættingu Google Analytics. Með samþykkislausnum fyrir kökur stuðlar þú að gagnavernd í Google Analytics.
Google Analytics í hnotskurn: mikilvægi gagnaverndar
Meirihluti stærri vefsíðna reiða sig á greiningartæki til að draga ályktanir um hegðun gesta. Langvinsælasta notendagreiningartækið er Google Analytics. Eins og sjá má af ýmsum tölfræði er þetta tól notað á um helmingi allra vefsíðna, allt eftir könnuninni. Annars vegar má rekja þessar vinsældir til þess að Google hefur aðgang að sérstaklega miklu magni notendagagna . Á hinn bóginn stafa vinsældirnar af því að mikið úrval af Google Analytics aðgerðum er ókeypis fyrir alla notendur .
Google Analytics notar vafrakökur til að meta notendagögn. Þessar litlu skrár eru geymdar í vafra gestsins. Notendur hafa fjölmarga möguleika til að safna mismunandi gögnum í samræmi við sérsniðnar stillingar. Google Analytics gerir síðan rekstraraðilum vefsíðna kleift að vinna úr og meta gögnin í samræmi við ýmsar breytur. Á grundvelli þessa er hægt að rekja dýrmætar lykiltölur eins og síðuflettingar, hegðun notenda eða lengd dvalar á síðunni. Google Analytics gerir einnig kleift að rekja einstakar aðgerðir nákvæmlega , þar á meðal að gerast áskrifandi að fréttabréfi eða hlaða niður ákveðnum skrám. Hægt er að nota valkosti fyrir viðskiptarakningu til að ákvarða á hvaða stöðum gestir verða viðskiptavinir. Þetta sýnir hagræðingarmöguleika og stuðlar að stöðugum framförum í frammistöðu síðunnar.
Frá sjónarhóli gagnaverndar verður að skoða gríðarlega mikið magn gagna sem Google Analytics safnar og metur. Sérstaklega kvarta gagnaverndarfulltrúar yfir geymslu og sendingu á fullkomnum IP-tölum gesta á Google (beint til Bandaríkjanna). Ennfremur gagnrýna gagnaverndarsinnar að gagnaverndarreglur Google veiti ekki fullnægjandi upplýsingar um hvaða gögnum gesta síðunnar er raunverulega safnað, geymt og send .
Vegna aðgangs að miklum notendagögnum hefur gagnavernd í Google Analytics lengi verið umdeild. Með gildistöku GDPR (einnig GDPR: General Data Protection Regulation) og enn frekar síðan dómur ECJ um vafrakökur árið 2019, er lagalega örugg notkun Google Analytics háð ákveðnum kröfum. Ef Google Analytics er ekki samræmt GDPR, gætu rekstraraðilar vefsvæða átt yfir höfði sér alvarlegar viðvaranir eða sektir .
Google Analytics: Lagalegur bakgrunnur (GDPR og úrskurður ECJ)
Samhæfing Google Analytics við GDPR hefur orðið ómissandi í síðasta lagi síðan sú síðarnefnda tók gildi. Persónuverndaryfirvöld hafa áður hótað rekstraraðilum vefsíðna sektum fyrir að nota þetta tól. Fyrir GDPR var einnig hægt að nota Google Analytics án samþykkis, að því tilskildu að aðeins örfáar kröfur væru uppfylltar (t.d. IP nafnleynd og AV samningur). GDPR var tengd við vonina um að spurningin um samþykki yrði aðeins stjórnað með ePrivacy reglugerðinni . Fram að því vildu rekstraraðilar vefsíðna treysta á „lögmæta hagsmuni“ í samræmi við 6. gr. 1 lit. f GDPR skipaður.
Mikilvæg breyting varð með dómi EB 2019 í Planet49 málinu (tilvísun: C-673/17). Dómnum fylgja skýrar upplýsingar um samþykki fyrir notkun á Google Analytics vafrakökum og öðrum vafrakökum. Hönnun samþykkis ætti að vera þannig að gestir verða fyrst að samþykkja sérstaklega notkun á Google Analytics vafrakökum. Þess vegna treystir Google Analytics á opt-in : Notendur verða fyrst að samþykkja sjálfviljugir áður en rekstraraðili hefur jafnvel leyfi til að safna og vinna úr Google Analytics vafrakökum. Það er undantekning hvað varðar vafrakökur, sem eru algjörlega nauðsynlegar fyrir tæknilega virkni síðunnar.
Í dómi sínum benti EB-dómstóllinn á að rafræn persónuverndarreglugerð (5. gr., 3. mgr.) gerði þegar ráð fyrir samþykki jafnvel fyrir vafrakökur sem eru ekki algerlega nauðsynlegar. Svipaðar yfirlýsingar EB-dómstólsins eru þegar þekktar úr fyrri dómaframkvæmd.
Lagaleg skilyrði fyrir notkun á Google Analytics vafrakökum voru endurmetin af samhæfingarnefnd þýskra gagnaverndareftirlitsyfirvalda (DSK) þann 12. maí 2020. Með þessari upplausn er einnig viðbót við leiðarvísir fyrir fjarmiðlunarveitur . Þessi leiðarvísir útskýrir ýmsar stillingar þegar Google Analytics er notað með tilliti til lagalegrar notkunar.
Notkun Google Analytics í samræmi við lög: Ráðstafanir fyrir rekstraraðila vefsíðna
Öllum sem halda áfram að reiða sig á Google Analytics sem rekstraraðila vefsíðna, til dæmis í fjölmiðlageiranum eða í rafrænum viðskiptum , er ráðlagt að innleiða ákveðnar ráðstafanir sem tryggja réttaröryggi fyrir rakningartólið.
Að tryggja gagnsæi í reglugerðum um gagnavernd
Rekstraraðilar vefsíðna ættu að veita ítarlegar upplýsingar um notkun og vinnslu persónuupplýsinga í persónuverndarreglugerðinni. Þetta gagnsæi verður að vera tryggt í samræmi við 13. gr. GDPR svo hægt sé að samræma Google Analytics við GDPR.
Að því er varðar sértækar kröfur upplýsingaskyldunnar vísa gagnaverndarsérfræðingar til leiðbeininga um gagnsæi Evrópsku persónuverndarráðsins. Við aðlögun gagnaverndaryfirlýsingar þarf að minnsta kosti að tilgreina eftirfarandi upplýsingaefni með hliðsjón af DSK-kröfum samkvæmt 12. og 13. gr. DSGVO: Umfang gagnasöfnunar skal koma skýrt á framfæri. Jafnframt skal í persónuverndaryfirlýsingu koma fram upplýsingar um á hvaða lagagrundvelli upplýsinga er safnað. Sömuleiðis þarf að útskýra persónuverndarstefnuna í röð
hversu lengi gögnin eru geymd. Í þessu samhengi er
Forsendur fyrir ákvörðun geymslutíma eru birtar. Persónuverndaryfirlýsingin ætti einnig að veita upplýsingar um afturköllunarréttinn og framkvæmd hans.
Stytta IP tölu
Sem frekari ráðstöfun til að samræma Google Analytics við GDPR, ættu rekstraraðilar vefsíðu með þessu rakningartóli að sjá til þess að IP-tölu verði stytt . Þetta er hægt að útfæra með því að bæta „_anonymizeIp()“ skipuninni við rakningarkóðann. Þetta á við hvaða vefsíðu sem er með Google Analytics samþættingu. Tæknilegar upplýsingar um þessa tegund af styttingu IP-tölu má finna beint í leiðbeiningunum á þróunarsíðu Google.
Stytting IP-tölu er mikilvæg ráðstöfun til að vernda notendur í samræmi við 25. gr. 1 GDPR. Hins vegar er einfaldlega ekki nóg að stytta IP töluna til að tryggja nafnlausa gagnavinnslu. Til viðbótar við hreina IP tölu tengist notkun Google Analytics söfnun fjölda annarra notkunargagna. Þetta felur í sér persónuleg gögn, eins og þau sem notuð eru til að auðkenna notendur (t.d. í þeim skilningi að tengja við núverandi Google reikning).
Þess vegna, jafnvel eftir að IP-talan hefur verið stytt, verður að virða frekari kröfur um samhæfingu Google Analytics við DSGVO. Í fyrrnefndri gagnaverndaryfirlýsingu þarf einnig að koma fram hvort IP-talan hafi verið stytt.
Ákvörðun varðveislutíma gagnanna
Til þess að samræma Google Analytics við GDPR er einnig nauðsynlegt að tilgreina nákvæmlega hvaða varðveislutíma er veittur fyrir gögnin. Google Analytics inniheldur ákveðnar stýringar á varðveislu gagna . Sjálfgefin stilling er hönnuð til að vista notendagögn og viðburðagögn sjálfkrafa í 26 mánuði. Oft er hnappurinn „Endurstilla við nýja virkni“ óvirkur í sjálfgefnum stillingum. Þessi hnappur ætti að vera óvirkur til að samræma Google Analytics við GDPR (samanber grein 25: Data Protection by design). Varðveislutími gagna ætti að vera takmarkaður við 14 mánuði .
Til að breyta varðveislutíma gagnanna ætti að velja eignina sem á að breyta undir flipanum „Stjórn“. Í samsvarandi „Eign“ dálki er hægt að gera stillingar fyrir lengd geymslu undir „Rakningarupplýsingar – gagnageymslur“. Eftir að önnur stilling hefur verið valin hér ættirðu að muna að laga gagnaverndaryfirlýsinguna að þessum breytingum.
Sýnt samþykki fyrir notkun á vafrakökum
Ein mikilvægasta forsenda fyrir lagalega samræmdri hönnun notkunar á Google Analytics er trygging fyrir vel ígrunduðu samþykki fyrir vafrakökur . Samþykki gesta fyrir notkun á Google Analytics og vafrakökum verður að innihalda ákveðnar upplýsingar: Í fyrsta lagi þarf fyrirsögnin að vera skýr og ótvíræð. Það verður að sýna að notandinn samþykkir gagnavinnslu Google eftir að hafa gefið samþykki sitt. Ennfremur þarf að upplýsa notendur um að sem hluti af gagnavinnslu séu persónuupplýsingar og gögn um notkunarhegðun á vefsíðunni send til Google . Beiðni um samþykki ætti einnig að innihalda nákvæmar upplýsingar um hvers konar gagna er um að ræða.
Það er líka mikilvægt að vita að gögnin sem safnað eru eru aðallega unnin af Google . Rétt er að árétta að rekstraraðili vefsíðunnar hefur engin áhrif á gagnavinnslu að þessu leyti. Google vinnur gögnin í eigin tilgangi (t.d. prófílgreiningu).
Einnig er mikilvægt að vita hvort hægt sé að tengja gögnin sem safnað er við upplýsingar frá öðrum aðilum. Einnig þarf að bæta við upplýsingum um hvort gögnin séu geymd í Bandaríkjunum og hvort ríkisyfirvöld geti haft aðgang að þessum gögnum.
Tæknilegar kröfur um samþykki og afturköllun
Ennfremur má samþykkisvalkosturinn ekki tákna alltumlykjandi samþykki fyrir notkun á vafrakökum. Mikilvæg tæknileg krafa um samþykki er virk þátttaka notandans. Notandinn verður að hafa tækifæri til að samþykkja virkan notkun gagna. Þetta útilokar fyrirfram merkta reiti eða gátreiti !
Þetta tengist þeirri kröfu að rakningartólið og samsvarandi vefkökur frá Google Analytics geti aðeins orðið virk eftir að notendur hafa gefið virkt samþykki sitt. Ekki má setja Google Analytics vafrakökur fyrirfram.
Gögnin má aðeins safna eftir að notendur hafa virkt merkt við reitinn. Ennfremur verður þetta samþykki að vera valfrjálst. Þetta er einnig tengt möguleika notenda á að neita samþykki hvenær sem er.
Ennfremur þarf að vera tæknilega tryggt að notendur verði ekki fyrir neinum óhagstæðum ef ekki er samþykki. Notendur verða að fá skýrar og notendavænar tæknilausnir til að tryggja og innleiða samþykki. Samþykkisverkfæri bjóða upp á einn möguleika fyrir þetta. Þetta ætti að gefa möguleika á að afturkalla þetta samþykki hvenær sem er, jafnvel eftir að samþykki hefur þegar verið gefið. Í öllum öppum eða samþykkislausnum fyrir kökur verður einnig að vera aðgengilegur valkostur fyrir virka afturköllun í stillingunum.
Í grundvallaratriðum býður Google upp á vafraviðbót sem gerir Google Analytics óvirkt. Það skal tekið fram að það er ekki nóg að vísa notendum á þessa viðbót. Þetta býður notendum ekki upp á nægjanlegan möguleika á afturköllun. Samkvæmt 7. gr. 3 bls.4 GDPR, afturköllun samþykkis verður að vera jafn einföld og samþykkið. Google viðbótin uppfyllir ekki þessar kröfur vegna þess að hún krefst þess fyrst að notandinn sæki forrit í formi viðbótarinnar.
Mikilvægi valferlisins
Virkt og skýrt samþykki fyrir notkun á Google Analytics vafrakökum er einnig þekkt sem opt-in aðferð. Hönnun samþykkis til notkunar verður að vera hönnuð sem raunverulegur aðgangur að Google Analytics í síðasta lagi frá dómi ECJ um vafrakökur. Í grundvallaratriðum, frá gagnaverndarleiðbeiningum ESB frá 2009, hefur verið kveðið á um að notendur vefsíðna séu beðnir um samþykki þeirra. Hingað til hafa þó margir rekstraraðilar túlkað þetta samþykki sem undanþágu. Í reynd þýðir þetta að vafrakökum er safnað án þess að notandinn þurfi að gera neitt. Gestir hafa aðeins möguleika á að koma í veg fyrir söfnun á vafrakökum. Samkvæmt dómi ECJ um vafrakökur má vefsíða ekki lengur setja vafrakökur áður en gesturinn hefur gefið skýrt og virkt samþykki sitt . Þetta þýðir að aðeins er hægt að setja Google Analytics vafrakökur eftir að gesturinn hefur valið þær (opt-in).
CMP: Samþykkisstjórnunarlausnir fyrir vefsíður og ávinning þeirra
Það er mikilvægt fyrir rekstraraðila vefsíðna og fyrirtæki að gera varúðarráðstafanir tímanlega fyrir virkt samþykki fyrir notkun Google Analytics. Annars vegar veita samþykkisstjórnunarborðar notendum ítarlegar upplýsingar um notkun gagnanna og biðja þá um leið um að veita samþykki sitt.
Tæknileg útfærsla á lagalega samræmdri vafrakökustjórnun nýtur góðs af svokölluðu samþykki
Lausnir. Góður samþykkisstjóri tekur mið af kröfum GDPR og dóms ECJ ásamt jákvæðri notendaupplifun. Mikilvægustu þættir jákvæðrar notendaupplifunar eru langur dvalartími og hátt samþykki . Samkvæmt því ætti að halda hopphlutfallinu eins lágu og hægt er. Góðar samþykkisstjórnunarlausnir hjálpa til við að auka samþykkishlutfallið og á sama tíma lágmarka hopphlutfallið. Þannig tryggja þeir að vefurinn standi sig vel og leggja sitt af mörkum til viðskiptavinaöflunar og viðskiptavinahollustu.
Vel ígrunduð samþykkisstjórnunarlausn gefur rauntíma yfirsýn yfir samþykki og hopphlutfall. Þetta gerir kleift að draga dýrmætar ályktanir um núverandi árangur vefsíðunnar og samsvarandi möguleika á umbótum.
Samþykkislausnir eru alþjóðlega miðaðar. Borðinn sem birtist birtist sjálfkrafa á viðkomandi tungumáli landsins á GDPR svæðinu sem vefsíðan er opnuð frá. Á heildina litið birtir samþykkisstjórnunaraðilinn upplýsingarnar á 29 tungumálum. Sömuleiðis er móttækileg hönnun og aðlögun sjálfsögð í nútímalegri samþykkislausn. Samþykkislausnin tekur mið af endabúnaði, stýrikerfi og skjástærð og birtir samþykkisborðann á hagkvæman hátt.
