Ogólne rozporządzenie o ochronie danych osobowych (RODO) weszło w życie ponad dwa lata temu. Mimo to Internet wciąż pełen jest stron, które gromadzą dane o użytkownikach w sposób niezgodny z unijnym prawem. Jeśli używasz banerów informujących o ciasteczkach, także należysz do tej grupy. Dowiedz się, jak to zmienić!
Jakie dane osobowe zbiera analityka internetowa?
Jeżeli zastanawiasz się, czy zasady RODO dotyczą również danych zbieranych przez narzędzia analityczne, krótka odpowiedź brzmi: tak.
RODO definiuje dane osobowe jako każdy rodzaj informacji, która samodzielnie lub w połączeniu z inną informacją, może służyć do zidentyfikowania konkretnej osoby. Dane osobowe to jednak nie tylko nazwisko czy adres e-mail, ale również wykorzystywane w analityce internetowej unikalne identyfikatory użytkowników przechowywane w ciasteczkach. Mówi o tym punkt 30 pierwszego rozdziału RODO:
Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które – w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery – mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.
Oznacza to, że jeśli korzystasz z Google Analytics czy innych popularnych narzędzi do analizy ruchu na stronie, w praktyce zbierasz dane osobowe. Przetwarzanie ich nakłada na Ciebie określone obowiązki wynikające z rozporządzenia. Jednym z nich jest zbieranie zgód na gromadzenie danych.
Jak RODO definiuje zgodę?
W myśl RODO zgoda to świadoma, jednoznaczna i dobrowolna akcja użytkownika. Jeżeli zbierane dane mają służyć różnym celom (na przykład analityce, działaniom remarketingowym i personalizacji), użytkownik musi również mieć możliwość wyrażenia zgody na każdy cel z osobna.
PORADA
Co jest, a co nie jest świadomą akcją użytkownika?
Podane w rozporządzeniu przykłady świadomej akcji obejmują między innymi wybór ustawień technicznych i zaznaczenie okienka wyboru podczas przeglądania strony.
Według RODO oznaką zgody nie może być:
- brak akcji ze strony użytkownika (np. założenie, że jeśli użytkownik pozostał na stronie, to automatycznie udziela zgody na monitorowanie jego działań),
- zaakceptowanie domyślnie zaznaczonych okienek wyboru.
Co więcej, pozwolenie na śledzenie nie powinno być warunkiem przyznania dostępu do strony, ponieważ nie można wtedy mówić o zgodzie wyrażonej dobrowolnie.
Co to oznacza w praktyce? Przede wszystkim to, że wszechobecne w polskim Internecie banery informujące jedynie o używaniu ciasteczek, nie są dobrym sposobem na zbieranie zgód wymaganych przez RODO.
Dlaczego? Ponieważ w większości traktują one ustawienia przeglądarki jako przyzwolenie na zbieranie danych i odbierają użytkownikom możliwość aktywnego udzielenia zgody. Nie pozwalają również użytkownikowi wybrać, co dalej stanie się z jego danymi.
Oto przykładowe treści komunikatów, których warto się wystrzegać, aby działać w zgodzie z RODO:
- „Jeśli będziesz dalej korzystać z naszej strony i nie zmienisz ustawień plików cookies, automatycznie uznamy, że zapoznałeś się z tą wiadomością i akceptujesz nasze pliki cookies.”
- „Dalsze korzystanie z tej strony bez zmiany ustawień plików cookies w przeglądarce potwierdza, że zapoznałeś się z przedstawionymi tu informacjami i wyrażasz zgodę na wykorzystywanie przez nas plików cookies w celach marketingowych.”
Jeżeli więc do tej pory nie stosujesz się do zasad wynikających z nowego unijnego rozporządzenia i Twoja strona wciąż wita użytkowników suchym komunikatem o ciasteczkach, najwyższa pora to zmienić.
Oto cztery najważniejsze kroki do zbierania danych analitycznych zgodnie z RODO:
1 Zamiast baneru z ciasteczkami, użyj formularza z prośbą o zgodę na przetwarzanie danych
Akceptowaną przez europejskie organy ochrony danych alternatywą dla ciasteczkowych banerów są formularze z prośbą o pozwolenie na gromadzenie danych osobowych.
Na rynku dostępnych jest obecnie wiele narzędzi pomagających tworzyć formularze zgód wymaganych przez RODO (z ang. consent managers). Znalezienie rozwiązania, które z powodzeniem zastąpi stary baner, nie powinno więc stanowić żadnego problemu.
Aby formularz był zgodny z RODO, powinien:
- zawierać kompletną listę celów zbierania danych o użytkowniku,
- dawać możliwość zaakceptowania lub odrzucenia wszystkich celów przetwarzania danych,
- dawać możliwość zaakceptowania i odrzucenia poszczególnych celów przetwarzania danych,
- nie blokować dostępu do strony czy aplikacji użytkownikom, którzy nie wyrażą zgody na przetwarzanie danych,
- dawać możliwość wstrzymania się od decyzji – brak akcji ze strony użytkownika należy wtedy traktować jako brak zgody na monitorowanie jego zachowania,
- nie odpalać kodów śledzących przed otrzymaniem zgody użytkownika.
W treści komunikatu kierowanego do użytkownika warto zawrzeć następujące informacje:
- nazwę administratora danych (czyli podmiotu zbierającego informacje o użytkownikach),
- cele gromadzenia danych (np.: remarketing, analityka czy testy A/B) wraz z ich krótkim objaśnieniem,
- wzmiankę o tym, że odwiedzający mają prawo do wycofania zgody.
2 Zaktualizuj swoją politykę prywatności
Następnym krokiem będzie aktualizacja polityki prywatności opublikowanej na Twojej stronie. Aby sprostać wymaganiom RODO, zadbaj o to, aby Twoja polityka prywatności była:
- napisana prostym językiem i w przystępnej formie – czyli była zrozumiała dla zwykłego użytkownika sieci,
- opisywała wszystkie informacje dotyczące zbierania i przetwarzania danych osobowych o użytkownikach Twojej strony – w tym wszystkie podmioty zewnętrzne, z którymi dzielisz się informacjami o użytkownikach,
- była łatwo dostępna – dobrze jest zamieścić link do polityki prywatności zarówno w formularzu zgody, jak i na głównej stronie Twojej witryny.
Dokładną treść polityki prywatności warto skonsultować z prawnikiem.
3 Pozwól użytkownikom wycofać z łatwością zgodę na przetwarzanie danych
Zgodnie z RODO wycofanie zgody powinno być tak łatwe, jak jej wyrażenie. Dlatego musisz pozwolić użytkownikowi w szybki sposób zmienić preferencje dotyczące zbierania jego danych przez Twoją stronę.
Dobrym rozwiązaniem jest okno dialogowe, osadzone na stronie polityki prywatności, które po kliknięciu w przycisk rozwinie formularz ze zgodami RODO:
Dzięki niemu użytkownicy bezproblemowo poinformują Cię o zmianie decyzji.
4 Pamiętaj o innych prawach użytkowników, które wynikają z RODO
Wiele osób zapomina, że RODO to nie tylko zgody na przetwarzanie danych osobowych, ale również prawa użytkownika dotyczące:
- dostępu do danych,
- sprostowania danych,
- sprzeciwu wobec przetwarzania danych,
- usunięcia danych,
- przenoszenia danych (czyli otrzymania danych zapisanych w formacie umożliwiającym ich łatwy odczyt).
Musisz liczyć się z tym, że w którymś momencie spłyną do Ciebie zapytania od osób, które będą chciały skorzystać z przysługujących im praw. Aby ułatwić im ten proces, zainstaluj na stronie polityki prywatności prosty formularz kontaktowy:
Analityka internetowa w czasach RODO – szanse i zagrożenia
Zbieranie zgód pozwoli Ci żyć w dobrych stosunkach z Urzędem Ochrony Danych Osobowych, ale jednocześnie odbije się na ilości gromadzonych przez Ciebie danych.
Według badań od 50 do nawet 70% użytkowników nie wyraża zgody na śledzenie ich zachowań w Internecie.
Aby poprawić swoje statystyki, warto eksperymentować z układem formularza i zawartym w nim komunikatem. Bardzo ważne będzie też budowanie wizerunku firmy godnej zaufania i powierzenia danych. To wszystko może skutkować zwiększeniem procentu udzielonych zgód. A gra jest warta świeczki!
Zebrane zgody dadzą Ci dostęp do wysokiej jakości danych osobowych – nie tylko unikalnych identyfikatorów z ciasteczek, ale również adresów e-mail czy szczegółów dotyczących ścieżek zakupowych konkretnych użytkowników. Dane tego typu posłużą do budowania szczegółowych profili użytkownika. Dzięki nim poprawisz skuteczność działań remarketingowych i personalizację strony, co przełoży się na Twoje wyniki biznesowe.
Walka o zgody to jednak nie jedyne wyjście z sytuacji. Na rynku pojawia się też coraz więcej rozwiązań, które pozwalają stanąć naprzeciw wymogom RODO i jednocześnie uwolnić się od obowiązku zbierania zgód. Są to narzędzia umożliwiające gromadzenie informacji o użytkownikach, którzy nie zezwolili na śledzenie.
W większości wykorzystują one techniki anonimowego (ang. anonymous tracking) lub beztożsamościowego monitorowania (ang. zero-identity tracking), dzięki którym gromadzą informacje o akcjach na stronie bez przypisywania ich do konkretnych osób. Nowe przepisy unijne nie oznaczają więc bezpowrotnej utraty dostępu do danych o użytkownikach. Z pewnością zmieniają jednak reguły gry, a firmy muszą się do nich dostosować.
Przypominamy, że wielkimi krokami zbliża się konferencja I ♥ Marketing & Technology, która odbędzie się już 22–24 października 2024 roku oraz organizowane przez nas 33 szkolenia z zakresu marketingu.
Jeśli chcesz być zawsze na bieżąco, zamów prenumeratę magazynu sprawny.marketing!
A co z sytuacjami, gdzie przykładowo mamy blog, który nie ma reklam i jedynym elementem zahaczającym o GDPR jest właśnie GA?
Dyrektywa przewiduje przecież parę wyjątków, kiedy zgoda na cookies nie jest wymagana. Zgodnie z przepisami, zgoda nie jest wymagana, jeśli plik cookie jest wykorzystywany „jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej” lub „szczególnie niezbędny w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.
To sugeruje, że zgoda nie musi być wymagana, jeśli cookies służą wyłącznie jednemu z powyższych celów. Niektóre interpretacje mówią nawet, że do takich celów można zaliczyć nawet zamówienie w e-sklepie.
Masz jakieś case studies, które dowodzą jednoznacznie, że obecność GA bezwzględnie oznacza konieczność zbierania zgód?
Cześć,
Dzięki za interesujące pytanie. Jeżeli chodzi o zgodność Google Analytics z regulacją GDPR, to sprawa jest dość złożona. My widzimy ją następująco:
+ GDPR jest regulacją bardzo ogólną, ale w swojej treści wspomina o identyfikatorach online, takich jak cookies.
+ W październiku 2019, w sprawie Planet49 Trybunał Sprawiedliwości Unii Europejskiej orzekł jednoznacznie, że jeżeli używamy cookies (nieważne czy analitycznych, czy marketingowych), to wymagana jest zgoda na przetwarzanie danych i nie możemy powoływać się na „uzasadniony interes”. Ciasteczka, które GDPR wyłącza z tej reguły to np. zawartość koszyka w e-commerce i cookies autoryzacyjne.
+ W podobnym duchu wypowiadają się europejskie urzędy ochrony danych, m.in. francuski CNIL, brytyjskie ICO, duński Datatilsynet.
+ Maja Smoltczyk, Berlińska Rzecznik ds. Ochrony Danych oraz Wolności Informacji , wypowiedziała się w tej kwestii jednoznacznie: “Web page operators are required to get the consent of the visitors of their web pages if third-party services are embedded into the website also when the embedded third-party service use the data obtained for their own purposes. This includes Google Analytics product.”
+ Kolejna sprawa to transfer danych. W lipcu 2020 Trybunał Sprawiedliwości Unii Europejskiej orzekł w sprawie SCHREMS II, że Tarcza Prywatności, framework który regulował przesył danych między EU, a US jest nieważny. Trybunał orzekł, że system prawny USA nie zapewnia wystarczającej ochrony danych Europejczyków. GA wysyła dane personalne (cookies/profil) poza EEA, w tym do USA. Więcej tutaj: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-transfers/
+ Ostatnia ważna sprawa to kwestia własności danych. Korzystając z GA, przekazujesz dane do Google, które następnie wykorzystuje je w swoich produktach reklamowych. Ciężko uznać, że w takiej sytuacji Administrator danych zapewnia im wymaganą przez GDPR prywatność i daje użytkownikom prawo do decydowania o swoich danych.
Jak to mawiają, fair enough ;) Dzięki za rzeczową odpowiedź!
Cześć
Dzięki za tak jasne i konkretne przekazanie powyżej swojej wiedzy.
Jeżeli mógłbym również poprosić o rozwianie moich wątpliwości – byłbym bardzo wdzięczny:
Zauważyliśmy że w ciągu ostatnich lat nasze dane analityczne zbierane przy pomocy cookies są coraz mniej dokładne. Napisałeś, że GDPR wspomina o cookies i można to zrozumieć tak, że właściwie, gdyby nie instalować cookies na urządzeniu użytkownika, to nie byłoby w ogóle problemu z GDPR – czy taka interpretacja jest choćby w części uzasadniona?
Czy np. zbierając statystyki bez używania plików cookie mamy większe pole manewru, czy też jednoznacznie wynika to z dyrektywy lub lokalnych przepisów (RODO), że na takie zbieranie informacji użytkownik również musi wyrazić taką samą zgodę?
No i wreszcie – czy jeśli nie zbieramy danych, które w połączeniu z innymi dostępnymi danymi by mogły identyfikować jednoznacznie użytkownika, to czy użytkownik musi nam taką zgodę wyrazić (w przypadku użycia cookies i w przypadku braku ich użycia)?
Z góry dzięki za fatygę :)