Wykorzystywanie Google Analytics w Europie, również wersji GA4, wciąż jest kwestią mocno dyskusyjną.
Dziś jednak, zamiast skupiać się nad trwającym od lat problemem przekazywania danych do USA oraz wykorzystywania Google Analytics, chcemy przekazać Państwu możliwości, które pomogą organizacji zapewnić rozliczalność, o której mowa w RODO.
Rozważ wykorzystanie alternatywnych narzędzi
Rodo.pl zaleca przeanalizowanie innych rozwiązań dot. cookies analitycznych dostępnych na rynku, które dostosowane są do przepisów prawa oraz zapewnia przetwarzanie danych w EOG.
W poniższym artykule, możesz zapoznać się z zestawieniem takich alternatyw https://marketsplash.com/pl/alternatywy-google-analytics/
Jeśli jednak sformułowanie „rezygnacja z wykorzystywania GA4”, nie pojawia się nawet przez chwilę w Twojej głowie, to wychodząc naprzeciw oczekiwaniom i decyzjom naszych klientów o zaakceptowaniu ryzyka i korzystanie z nowego rozwiązania Google – GA4, prezentujemy listę „to do”, aby wdrożone narzędzie jak najbardziej chroniło prawa i wolności wszystkich użytkowników Twojej strony.
TO DO:
- Analiza Privacy by Design
Pierwszym krokiem jest wykonanie prawidłowej analizy Privacy by Design (PbD).
Analiza Privacy by Design to proces, w ramach którego organizacje potwierdzają uwzględnienie prywatności już na etapie projektowania systemów czy usług oraz na wszystkich kolejnych etapach ich cyklu życia. Oznacza to, że ochrona prywatności jest wbudowana w daną usługę czy produkt od początku, a nie jest dodawana na końcu procesu jako dodatek.
Ta proaktywna strategia zarządzania prywatnością pozwala organizacjom nie tylko przestrzegać prawa, czyli głównej zasady rozliczalności, o której mowa w RODO, ale jednocześnie budować zaufanie użytkowników, co jest kluczowe dla utrzymania i wzrostu ich działalności.
Podczas analizy organizacja powinna wykazać, że wdrożone przez rozwiązanie, zapewnia maksymalną ochronę danych dla danych oraz, że przetwarzanie danych jest zgodnie z RODO, w szczególności zgodne z 5 artykułem RODO, które są następujące:
Zasada legalności, uczciwości i przejrzystości: Dane osobowe powinny być przetwarzane legalnie, uczciwie i w sposób przejrzysty dla osoby, której dane dotyczą.
Zasada minimalizacji danych: Dane powinny być adekwatne, istotne i ograniczone do tego, co jest niezbędne w związku z celami, w których są przetwarzane. Innymi słowy, nie powinno się gromadzić więcej danych, niż jest to rzeczywiście potrzebne.
Zasada celowości: Dane osobowe powinny być zbierane do określonych, wyraźnych i legalnych celów. Nie powinny być dalej przetwarzane w sposób niezgodny z tymi celami.
Zasada prawidłowości: Dane powinny być prawidłowe i, jeżeli jest to potrzebne, aktualizowane. Organizacje powinny podjąć wszelkie rozsądne kroki, aby usunąć lub poprawić dane, które są nieprawidłowe.
Zasada ograniczenia przechowywania: Dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osób, której dane dotyczą, nie dłużej, niż jest to konieczne do celów, dla których dane te są przetwarzane.
Zasada integralności i poufności: Dane powinny być przetwarzane w sposób, który zapewnia odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich technicznych lub organizacyjnych środków.
- Wdrożenie odpowiednich środków, w kontekście art. 5 RODO
Firma Google, wprowadzając nowe rozwiązanie, wprowadziła szereg funkcji, które jak twierdzi pozwalają uzyskać zgodność z RODO.
Podczas zbierania danych Google Analytics 4 nie rejestruje ani nie przechowuje adresów IP. Analytics usuwa wszelkie adresy IP zebrane od użytkowników z UE, zanim zapisze je, korzystając z domen i serwerów na terenie UE.
Google Analytics umożliwia też:
wyłączenie zbierania danych Google Signals w wybranych regionach,
wyłączenie zbierania szczegółowych danych o urządzeniu i lokalizacji w wybranych regionach.
Źródło: https://support.google.com/analytics/answer/12017362?hl=pl
W celu zapewnienie maksymalnej możliwej na dziś zgodności z RODO, należy.
- wykorzystywać adres IP wyłącznie do standardowej komunikacji,
- wyłączenie Google Signals dla określonych regionów,
- zmniejszenie zakresu zbierania szczegółowych informacji o urządzeniu, lokalizacji i wybranych regionach.
- Świadome i rozliczalne pobranie zgody na przetwarzanie danych od użytkownika
Zgodnie z wymogami RODO, zgoda na przetwarzanie danych osobowych, w tym plików cookie, musi być świadoma, wyraźna, dobrowolna i jednoznaczna. Oznacza to, że prawidłowo pobrana zgoda na pliki cookie powinna spełniać następujące kryteria:
Informacyjność: Użytkownik musi być jasno poinformowany o tym, jakie dane będą zbierane, jak będą wykorzystywane, przez kogo, jak długo będą przechowywane, a także o celu zbierania danych. Informacje te muszą być podane w prosty i zrozumiały sposób, zanim zgoda zostanie uzyskana.
Aktywność: Zgoda musi być aktywnym działaniem, a nie biernym akceptowaniem. Oznacza to, że proste przewinięcie strony lub jej dalsze przeglądanie nie może być traktowane jako zgoda. Często wykorzystuje się tu mechanizmy takie jak kliknięcie w przycisk "Akceptuję" na banerze cookie.
Odrębność: Jeśli pliki cookie służą różnym celom, zgoda na każdy z nich powinna być wyrażana odrębnie. Użytkownik powinien mieć możliwość wyboru, na które pliki cookie chce zezwolić, a na które nie.
Możliwość wycofania zgody: Użytkownik powinien mieć możliwość łatwego wycofania zgody w dowolnym momencie. Mechanizm wycofania zgody powinien być równie prosty do zastosowania, co mechanizm jej udzielenia.
Dokumentowanie zgody: Organizacje muszą być w stanie udowodnić, że uzyskały prawidłową zgodę. To oznacza, że muszą dokumentować, kiedy, jak i na co użytkownik wyraził zgodę.
Baner cookie na stronie internetowej, który spełnia powyższe wymagania, będzie prawidłowo pobierał zgodę na pliki cookie zgodnie z RODO.
- Aktualizacja polityki prywatności
Aktualizowanie polityki prywatności jest istotnym działaniem w kontekście przetwarzania danych w Google Analytics 4 (GA4) z kilku powodów:
Zmiana w zakresie przetwarzania danych: Google Analytics 4 przetwarza i gromadzi różne rodzaje danych, które mogą różnić się od tych, które były gromadzone w poprzednich wersjach Google Analytics. W związku z tym, może być konieczne zaktualizowanie polityki prywatności, aby odzwierciedlić te zmiany i zapewnić, że użytkownicy są świadomi, jakie dane są gromadzone i jak są wykorzystywane.
Zmiany w funkcjonalnościach GA4: Google Analytics 4 wprowadza nowe funkcje i możliwości analityczne, które mogą wpływać na to, jak dane są przetwarzane i używane. Aktualizacja polityki prywatności pozwala organizacjom jasno wyjaśnić te nowe funkcje użytkownikom.
Zgodność z RODO: RODO wymaga, aby użytkownicy byli informowani o tym, jak ich dane są przetwarzane. Jeżeli dane są przetwarzane w nowy sposób - na przykład poprzez użycie GA4 - polityka prywatności musi być zaktualizowana, aby odzwierciedlić te zmiany.
Zaufanie użytkowników: Regularne aktualizowanie polityki prywatności pomaga budować zaufanie użytkowników. Pokazuje, że organizacja jest zaangażowana w ochronę prywatności i że jest transparentna co do tego, jak wykorzystuje dane.
- Zawarcie umowy powierzenie danych z Google
Umowa powierzenia danych jest jednym z fundamentalnych narzędzi w kontekście RODO, które jest wymagane, gdy dane osobowe są przekazywane do przetwarzania zewnętrznym podmiotom, zwanych procesorami danych.
Pamiętaj o wygenerowaniu jej ze swojego panelu, prawidłowym zarchwizowaniu i zapisaniu jej w swoich rejestrach.
- Możliwe jest również zastosowanie serwera proxy
Francuski Organ Ochrony Danych opublikował rozwiązanie na swojej stronie, którego wdrożenie również warto rozważyć. Szczegóły tutaj: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr
Jeśli zdecydowałeś się używać GA4 – skontaktuj się z nami, abyśmy mogli razem z Tobą zabezpieczyć Twój biznes.