Za uporabo storitve Google Analytics veljajo nekatere zahteve v skladu z GDPR (Splošna uredba o varstvu podatkov). Varstvo podatkov in Google Analytics sta že dolgo v sporu. Najkasneje po sodbi Sodišča Evropskih skupnosti o sledenju je bila zagotovljena možnost prijave za Google Analytics. V tem kontekstu je pomembno vprašanje obdelave piškotkov Google Analytics. Za pravno varno integracijo storitve Google Analytics boste našli podporo pri ponudnikih upravljanja privolitve (CMP). Z rešitvami za soglasje za piškotke prispevate k zaščiti podatkov v storitvi Google Analytics.
Google Analytics na prvi pogled: pomen varstva podatkov
Večina večjih spletnih mest se za sklepanje o vedenju obiskovalcev zanaša na orodja za analizo. Daleč najbolj priljubljeno orodje za analizo uporabnikov je Google Analytics. Kot je razvidno iz različnih statistik, se to orodje, odvisno od ankete, uporablja na približno polovici vseh spletnih mest. Po eni strani je ta priljubljenost posledica dejstva, da ima Google dostop do posebej velike količine uporabniških podatkov . Po drugi strani pa priljubljenost izvira iz dejstva, da je velik nabor funkcij Google Analytics brezplačen za vse uporabnike .
Google Analytics uporablja piškotke za ocenjevanje uporabniških podatkov. Te majhne datoteke so shranjene v brskalniku obiskovalca. Uporabniki imajo na voljo številne možnosti zbiranja različnih podatkov glede na prilagojene nastavitve. Google Analytics nato operaterjem spletnih mest omogoča obdelavo in vrednotenje podatkov glede na različne parametre. Na podlagi tega je mogoče spremljati dragocene ključne številke, kot so ogledi strani, obnašanje uporabnikov ali trajanje bivanja na spletnem mestu. Google Analytics omogoča tudi natančno sledenje posameznim dejanjem , vključno z naročanjem na glasilo ali prenosom določenih datotek. Možnosti sledenja konverzijam se lahko uporabijo za določitev točk, na katerih obiskovalci postanejo stranke. To razkrije potencial optimizacije in prispeva k nenehnemu izboljševanju uspešnosti strani.
Z vidika varstva podatkov je treba na ogromne količine podatkov, ki jih Google Analytics zbira in ocenjuje, gledati kritično. Zlasti uradniki za varstvo podatkov se pritožujejo nad shranjevanjem in prenosom popolnih naslovov IP obiskovalcev Googla (neposredno v ZDA). Poleg tega zaščitniki podatkov kritizirajo, da Googlovi predpisi o varstvu podatkov ne zagotavljajo dovolj informacij o tem, kateri podatki obiskovalca spletnega mesta se dejansko zbirajo, shranjujejo in prenašajo .
Zaradi dostopa do velikega števila uporabniških podatkov je varstvo podatkov v storitvi Google Analytics že dolgo sporno. Z začetkom veljavnosti GDPR (tudi GDPR: Splošna uredba o varstvu podatkov) in še bolj od razsodbe Sodišča Evropskih skupnosti o piškotkih leta 2019 veljajo za pravno varno uporabo storitve Google Analytics določene zahteve. Če Google Analytics ni usklajen z GDPR, se lahko upravljavci spletnih mest soočajo z resnimi opozorili ali globami .
Google Analytics: Pravno ozadje (GDPR in sodba Sodišča Evropskih skupnosti)
Usklajevanje Google Analytics z GDPR je postalo nepogrešljivo najkasneje po uveljavitvi slednje. Organi za varstvo podatkov so upravljavcem spletnih mest v preteklosti zagrozili z globami zaradi uporabe tega orodja. Pred GDPR je bilo mogoče Google Analytics uporabljati tudi brez privolitve, če je bilo izpolnjenih le nekaj zahtev (npr. anonimizacija IP-ja in pogodba o AV). GDPR je bil povezan z upanjem, da bo vprašanje privolitve urejeno le z Uredbo o e-zasebnosti . Do takrat so se upravljavci spletnih strani želeli sklicevati na “legitimni interes” v skladu s 6. odst. 1 lit. f imenovan GDPR.
Pomembna sprememba je prišla s sodbo Sodišča Evropskih skupnosti iz leta 2019 v zadevi Planet49 (Ref.: C-673/17). Sodbi so priložene jasne informacije o soglasju za uporabo piškotkov Google Analytics in drugih piškotkov. Zasnova privolitve mora biti taka, da se morajo obiskovalci najprej izrecno strinjati z uporabo piškotkov Google Analytics. Zato se Google Analytics zanaša na opt-in : uporabniki se morajo najprej prostovoljno strinjati, preden lahko operater sploh dovoli zbiranje in obdelavo piškotkov Google Analytics. Izjema obstaja v zvezi s piškotki, ki so nujno potrebni za tehnično delovanje strani.
Sodišče Evropskih skupnosti je v svoji sodbi poudarilo, da Uredba o e-zasebnosti (5. člen, 3. odstavek) že predvideva privolitev tudi za piškotke, ki niso nujno potrebni. Podobne izjave SES so že znane iz prejšnje sodne prakse.
Koordinacijski odbor nemških nadzornih organov za varstvo podatkov (DSK) je 12. maja 2020 ponovno ocenil pravne zahteve za uporabo piškotkov Google Analytics. S to resolucijo je tudi dodatek k orientacijskemu vodniku za ponudnike telekomunikacij . Ta orientacijski vodnik razlaga različne nastavitve pri uporabi storitve Google Analytics v smislu zakonsko skladne uporabe.
Zakonsko skladna uporaba Google Analytics: Ukrepi za upravljavce spletnih mest
Vsem, ki se še naprej zanašajo na Google Analytics kot upravljavec spletne strani, na primer v medijskem sektorju ali v e-trgovini , priporočamo, da izvedete določene ukrepe, ki zagotavljajo pravno varnost orodja za sledenje.
Zagotavljanje preglednosti predpisov o varstvu podatkov
Upravljavci spletnih strani bi morali v predpisih o varstvu podatkov zagotoviti izčrpne informacije o uporabi in obdelavi osebnih podatkov . Ta preglednost mora biti zagotovljena v skladu s členom 13 GDPR, da se lahko Google Analytics uskladi z GDPR.
Glede na posebne zahteve obveznosti obveščanja se strokovnjaki za varstvo podatkov sklicujejo na smernice o preglednosti Evropskega odbora za varstvo podatkov. Pri prilagajanju izjave o varstvu podatkov je treba ob upoštevanju zahtev DSK v skladu z 12. in 13. členom DSGVO določiti vsaj naslednjo informacijsko vsebino: Jasno je treba sporočiti obseg zbiranja podatkov . Poleg tega mora izjava o varstvu podatkov vsebovati informacije o pravni podlagi, na kateri se podatki zbirajo. Prav tako je treba po vrstnem redu pojasniti politiko zasebnosti
kako dolgo so podatki shranjeni. V tem kontekstu je
Razkrita so merila za določitev roka skladiščenja . Izjava o varstvu podatkov bi morala vsebovati tudi informacije o pravici do preklica in njenem izvajanju.
Skrajšajte naslov IP
Kot nadaljnji ukrep za usklajevanje Google Analytics z GDPR bi morali upravljavci spletnega mesta s tem orodjem za sledenje poskrbeti za skrajšanje naslova IP . To je mogoče izvesti z dodajanjem ukaza “_anonymizeIp()” v kodo za sledenje. To se nanaša na katero koli spletno mesto, ki ima integracijo Google Analytics. Tehnične podrobnosti o tej vrsti skrajšanja naslova IP lahko najdete neposredno v navodilih na Googlovi strani za razvijalce.
Skrajšanje IP naslova je pomemben ukrep za zaščito uporabnikov v skladu s 25. odst. 1 GDPR. Vendar preprosto skrajšanje naslova IP ni dovolj za zagotavljanje anonimne obdelave podatkov. Poleg čistega naslova IP je uporaba storitve Google Analytics povezana z zbiranjem številnih drugih podatkov o uporabi. To vključuje osebne podatke, kot so tisti, ki se uporabljajo za identifikacijo uporabnikov (npr. v smislu povezave z obstoječim Google Računom).
Zato je treba tudi po skrajšanju naslova IP upoštevati nadaljnje zahteve za usklajevanje Google Analytics z DSGVO. V zgoraj omenjeni izjavi o varstvu podatkov mora biti navedeno tudi, ali je bil IP naslov skrajšan.
Določitev obdobja hrambe podatkov
Za uskladitev Google Analytics z GDPR je treba tudi natančno določiti, kakšno obdobje hrambe je predvideno za podatke. Google Analytics vključuje nekatere kontrole hrambe podatkov . Privzeta nastavitev je zasnovana tako, da samodejno shranjuje uporabniške podatke in podatke o dogodkih 26 mesecev. Pogosto je gumb »Ponastavi ob novi dejavnosti« onemogočen v privzetih nastavitvah. Ta gumb je treba deaktivirati , da se Google Analytics uskladi z GDPR (primerjaj 25. člen: Zasnovano varstvo podatkov). Obdobje hrambe podatkov mora biti omejeno na 14 mesecev .
Če želite spremeniti obdobje hrambe podatkov, je treba pod zavihkom »Upravljanje« izbrati lastnost, ki jo želite urejati. V ustreznem stolpcu »Lastnost« pod »Informacije o sledenju – shranjevanje podatkov« lahko nastavite trajanje shranjevanja. Ko je bila tukaj izbrana drugačna nastavitev, ne pozabite prilagoditi izjavo o varstvu podatkov tem spremembam.
Izrecno soglasje za uporabo piškotkov
Eden najpomembnejših predpogojev za zakonsko skladno zasnovo uporabe Google Analytics je jamstvo za dobro premišljeno privolitev piškotkov . Privolitev obiskovalca za uporabo Google Analytics in piškotkov mora vsebovati določene podatke: najprej mora biti naslov jasen in nedvoumen. Iz nje mora biti razvidno, da se uporabnik strinja z obdelavo podatkov s strani Googla, potem ko je dal soglasje. Poleg tega morajo biti uporabniki obveščeni, da se v okviru obdelave podatkov Googlu posredujejo osebni podatki in podatki o obnašanju pri uporabi spletnega mesta. Zahteva za soglasje mora vsebovati tudi natančne informacije o vrstah podatkov, ki so vključeni.
Pomembno je tudi vedeti, da zbrane podatke v glavnem obdeluje Google . Poudariti je treba, da upravljavec spletne strani nima vpliva na obdelavo podatkov v zvezi s tem. Google obdeluje podatke za lastne namene (npr. profiliranje).
Prav tako je pomembno vedeti, ali je zbrane podatke mogoče povezati tudi z informacijami iz drugih virov. Dodati je treba tudi podatke o tem, ali se podatki hranijo v ZDA in ali imajo državni organi lahko dostop do teh podatkov.
Tehnične zahteve za privolitev in preklic
Poleg tega možnost privolitve ne sme predstavljati vseobsegajočega soglasja za uporabo piškotkov. Pomemben tehnični pogoj za privolitev je aktivna vključenost uporabnika. Uporabnik mora imeti možnost, da se aktivno strinja z uporabo podatkov. To izključuje vnaprej označena polja ali potrditvena polja !
To je povezano z zahtevo, da lahko orodje za sledenje in ustrezni piškotki Google Analytics postanejo aktivni šele, ko uporabniki dajo aktivno soglasje. Piškotki Google Analytics se ne smejo nastaviti vnaprej.
Podatki se lahko zbirajo šele, ko uporabniki aktivno označijo polje. Poleg tega mora biti to soglasje prostovoljno. To je povezano tudi z možnostjo, da uporabniki kadar koli zavrnejo privolitev.
Poleg tega je treba tehnično zagotoviti, da uporabniki v primeru nesoglasja ne utrpijo nobenih pomanjkljivosti. Uporabnikom je treba zagotoviti jasne in uporabniku prijazne tehnične rešitve za zagotovitev in izvajanje soglasja. Orodja za privolitev ponujajo eno možnost za to. Ti bi morali nuditi možnost, da to privolitev kadar koli prekličete, tudi potem, ko je privolitev že dana. V vseh aplikacijah ali rešitvah za privolitev piškotkov mora biti v nastavitvah tudi lahko dostopna možnost za učinkovit preklic .
Google načeloma ponuja dodatek za brskalnik, ki deaktivira Google Analytics. Opozoriti je treba, da ni dovolj, da uporabnike napotimo na ta dodatek. To uporabnikom ne ponuja zadostne možnosti preklica. V skladu s 7. odst. 3 str.4 GDPR, mora biti preklic privolitve prav tako preprost kot privolitev. Googlov dodatek ne izpolnjuje teh zahtev, ker najprej od uporabnika zahteva, da prenese program v obliki dodatka.
Pomen postopka prijave
Aktivno in izrecno soglasje za uporabo piškotkov Google Analytics je znano tudi kot postopek prijave. Zasnova privolitve za uporabo mora biti zasnovana kot prava prijava v Google Analytics najpozneje od sodbe Sodišča Evropskih skupnosti o piškotkih. Načeloma je od smernic EU o varstvu podatkov iz leta 2009 predvideno, da se uporabnike spletne strani zaprosi za njihovo soglasje. Doslej pa so številni operaterji to privolitev razlagali kot odpoved. V praksi to pomeni, da se piškotki zbirajo, ne da bi uporabniku bilo treba karkoli storiti. Obiskovalci imajo le možnost preprečevanja zbiranja piškotkov. V skladu s sodbo Sodišča Evropskih skupnosti o piškotkih spletna stran ne sme več nastavljati piškotkov, dokler obiskovalec ne da izrecnega in aktivnega soglasja . To pomeni, da je piškotke Google Analytics sploh mogoče nastaviti šele potem, ko se obiskovalec zanje odloči (opt-in).
CMP: rešitve za upravljanje privolitve za spletna mesta in njihove prednosti
Za upravljavce spletnih mest in podjetja je pomembno, da pravočasno sprejmejo previdnostne ukrepe za učinkovito privolitev v uporabo Google Analytics. Po eni strani pasice za upravljanje privolitve uporabnikom zagotavljajo izčrpne informacije o uporabi podatkov in jih hkrati zahtevajo, da dajo soglasje.
Tehnična realizacija pravno skladnega upravljanja piškotkov ima koristi od tako imenovanega soglasja
Rešitve. Dober upravljavec privolitve upošteva zahteve GDPR in sodbe Sodišča Evropskih skupnosti ter pozitivno uporabniško izkušnjo. Najpomembnejša vidika pozitivne uporabniške izkušnje sta dolg čas zadrževanja in visoka stopnja sprejemanja . V skladu s tem bi morala biti stopnja obiskov ene strani čim nižja. Dobre rešitve za upravljanje privolitev pomagajo povečati stopnjo sprejemanja in hkrati zmanjšati stopnjo obiskov ene strani. Na ta način zagotavljajo dobro delovanje spletne strani in prispevajo k pridobivanju in zvestobi strank.
Dobro premišljena rešitev za upravljanje privolitve omogoča pregled sprejemanja in stopnje obiskov ene strani v realnem času. To omogoča dragocene zaključke o trenutni uspešnosti spletnega mesta in ustreznem potencialu za izboljšanje.
Rešitve za soglasje so mednarodno usmerjene. Prikazana pasica se samodejno prikaže v ustreznem jeziku države na območju GDPR, iz katerega se dostopa do spletnega mesta. Na splošno ponudnik upravljanja privolitve prikazuje informacije v 29 jezikih. Prav tako je odzivno oblikovanje in prilagoditev samoumevno v sodobni rešitvi za soglasje. Rešitev za soglasje upošteva končno napravo, operacijski sistem in velikost zaslona ter prikaže pasico za soglasje na optimiziran način.
