07 Paź

Google Analitics a RODO

Chyba najpopularniejsze narzędzie służące do generowania statystyk z odwiedzin na stronie internetowej to Google Analitics. Jest ono tak popularne, że stanowi wręcz synonim tej usługi. W mojej praktyce zawodowej spotkałam się też z tym, że bardzo często dostawcy stron internetowych domyślnie instalują GA, nawet jeżeli klient nie zamówił takiej usług, bo to jest oczywiste, że będzie chciał przeglądać statystyki z odwiedzanych stron. Tematem GA zainteresowałam się już bardzo dawno temu, gdyż z natury jestem podejrzliwa i nie wierzę, że w życiu można mieć coś za darmo. Moje podejrzenia utwierdził najpierw regulamin Google Analitics (omówię poniżej), ale także akcja Panoptykon, dotycząca analizy stron administracji rządowej i samorządowej, pod kątem wykorzystywania narzędzi śledzących użytkownika, w tym korzystania przez te strony z GA.

Tak, GA jest narzędziem zbierającym i analizującym dane użytkowników, co więcej musi być w stanie go w jakiś sposób zidentyfikować, aby wygenerować dane statystyczne. Nieważne, że ja jako administrator stron widzę tylko i wyłącznie dane statystyczne, żeby je zebrać i przetworzyć, potrzebne były jakieś dane osobowe. Pytanie jednak, czy to narzędzie jedynie mieli te dane przez chwilę, aby dać nam wynik statystyczny, czy przetwarza je i wysyła dalej, aby móc wykorzystać do szeroko pojętych celów biznesowych Google. Nie bądźmy naiwni. Jaki jest sens dawać administratorom stron za darmo tak fajnie narzędzie, jak Google Analitics, jeżeli ma nie być z tego żadnych korzyści? Współpracując na co dzień z agencjami reklamowymi korzystającymi z szerokiej gamy narzędzi służących do analizy zachowań użytkowników w Internecie w celu generowania skutecznych reklam, utwierdziłam się w przekonaniu, że GA działa bardzo podobnie. Po jakimś czasie pojawiła się aktualizacja regulaminu tego narzędzia (najprawdopodobniej zrobiona w związku z RODO), z której czarno na białym wynika, że jest to narzędzie służące do przetwarzania danych osobowych. W dodatku regulamin korzystania z tego narzędzia jest dosyć, hmmm restrykcyjny.

Jakie dane osobowe zbiera Google Analitics

GA daje administratorowi strony statystyczne wyniki odwiedzin, jednakże w tym celu gromadzi dane osobowe (dane z regulaminu GA z dn. 07.10.2019 r.):

  • Unikalny identyfikator reklamowy użytkownika
  • Adres IP
  • Lokalizacja
  • Aktywność w Internecie (szeroko pojęta: skąd przyszedł, dokąd poszedł, co zrobił na stronie, ile czasu na niej spędził, czego szukał, co kupił, itp.)

Te dane wprost nie są danymi osobowymi. Co więcej, adres IP oraz lokalizacja są bardziej przypisane do urządzenia, niż osoby fizycznej, jednakże w praktyce, w dzisiejszych czasach, większość urządzeń, na których korzystamy z Internetu jest osobisty. Być może 10-20 lat temu można było mówić o tym, że IP i lokalizacja komputera o niczym nie świadczą, bo z jednego urządzenia korzysta cała rodzina, jednakże dzisiaj takie stwierdzenie nie ma już większej racji bytu.

Rola Google w procesie przetwarzania danych

Zgodnie z regulaminem usługi: „W rozumieniu RODO Google Analytics jest podmiotem przetwarzającym dane, ponieważ zbiera i przetwarza dane w imieniu naszych klientów, zgodnie z otrzymanymi od nich instrukcjami. Nasi klienci są natomiast administratorami, którzy zachowują pełne prawa do gromadzenia, przechowywania i usuwania swoich danych w każdej chwili oraz do uzyskiwania do nich dostępu. Google wykorzystuje dane zgodnie z warunkami umów podpisanych z klientami Google Analytics oraz z ustawieniami wybranymi przez nich w interfejsie usługi”.

Powyższe nie pozostawia wątpliwości – usługa służy do przetwarzania danych, ale to administrator strony internetowej jest administratorem danych, który odpowiada za to, aby te dane były przetwarzane legalnie, natomiast Google działa w imieniu administratora, jako podmiot przetwarzający w rozumieniu art. 28 RODO.

W tym miejscu mała dygresja. Czy wiecie, że w panelu administratora narzędzi dostarczanych przez Google jest opcja zawarcia umowy powierzenia danych? Ponieważ zazwyczaj do panelu ma dostęp tylko informatyk, wielu administratorów nie zdaje sobie sprawy z dostępności tej opcji.

Obowiązki administratora strony wynikające z regulaminu GA

Zgodnie z Regulaminem GA administrator strony, który chce wykorzystywać to narzędzie, jest zobligowany zamieścić na stronie internetowej Politykę Prywatności, która będzie zawierała postanowienia dotyczące zasad ochrony danych osobowych oraz zasad wykorzystywania przez niego plików cookie zbierających dane. W Polityce musi znaleźć się informacja o tym, że strona korzysta z usługi Google Analytics, oraz o zasadach, na jakich ta usługa zbiera i przetwarza dane. Google wskazuje, że można to zrobić, umieszczając dobrze widoczny link do strony www.google.com/intl/pl/policies/privacy/partners/

Funkcje reklamowe Google Analitics

Funkcje reklamowe Google Analytics umożliwiają:

  • remarketing z wykorzystaniem Google Analytics;
  • raporty wyświetleń w sieci reklamowej Google;
  • raporty danych demograficznych i zainteresowań w Google Analytics;
  • zintegrowane usługi, które wymagają od Google Analytics zbierania danych do celów reklamowych, w tym z wykorzystaniem identyfikatorów i plików cookie dotyczących reklam.

Zgodnie z regulaminem usługi (7.10.2019 r.):

„Jeśli włączysz jakiekolwiek Funkcje reklamowe Google Analytics, musisz powiadomić o tym użytkowników, umieszczając w polityce prywatności informacje na temat:

  • wdrożonych Funkcji reklamowych Google Analytics;
  • sposobu korzystania przez Ciebie i dostawców zewnętrznych z własnych plików cookie (np. Google Analytics), innych własnych identyfikatorów, plików cookie firm zewnętrznych (np. plików cookie dotyczących reklam Google) i innych identyfikatorów firm zewnętrznych;
  • sposobów rezygnacji z używanych przez Ciebie Funkcji reklamowych Google Analytics, w tym za pomocą ustawień reklam, ustawień reklam aplikacji mobilnych i wszelkich innych dostępnych metod (np. funkcji rezygnacji konsumenckiej NAI).

Chcę korzystać z Google Analitics co powinienem zrobić?

Wiesz już, że GA nie jest banalnym narzędziem, które generuje statystyki, ale ogromną machiną mielącą i analizującą dane Twoich użytkowników. Po pierwsze odpowiedz sobie na dwa pytania:

  1. Czy naprawdę potrzebuję statystyk (czy korzystam z nich, czy czemukolwiek służą)?
  2. Czy chcę koniecznie korzystać z GA?

Może pierwsze pytanie jest zaskakujące, ale ma sens. Statystyki obciążają serwer i spowalniają stronę. Poza tym gromadzenie ich z wykorzystaniem GA wymaga spełnienia zasady adekwatności oraz celowości z art. 5 RODO. Oznacza to, że musisz być w stanie wykazać, że te informacje są Ci faktycznie potrzebne (np. dostosowujesz treści do haseł z zapytań, które generują ruch na Twojej stronie), po drugie GA daje możliwość ograniczenia wyświetlanych informacji – powinieneś korzystać tylko z tych, które są faktycznie potrzebne.

Dlaczego pytam, czy koniecznie musi to być GA? Ponieważ wiele CMS pozwala na gromadzenie statystyk z wykorzystaniem wbudowanego narzędzia lub prostego widgetu, który ogranicza się do zbierania tych danych tylko dla Ciebie (tutaj niezbędne każdorazowe sprawdzenie regulaminu dostawcy usługi). Ja jakiś czas temu zupełnie zrezygnowałam ze statystyk (nie korzystałam z GA, ale innego narzędzia), ponieważ muliły mi stronę, a nie chciałam ponosić wyższych kosztów jej obsługi. Ale ja to ja, a Ty możesz jednak chcieć korzystać z GA, a to oznacza, że powinieneś:

  1. Ustawić zakres wyświetlanych danych tak, żeby wiedzieć tylko to co niezbędne
  2. Zapewnić certyfikat SSL na stronie (w końcu gromadzisz dane, więc trzeba je zabezpieczyć);
  3. Stworzyć i opublikować politykę prywatności określającą zasady przetwarzania przez Ciebie danych (w tym obowiązek informacyjny z art. 13 ust. 1 i 2 RODO – tu nie zapomnij napisać, że dane będą transferowane poza EOG w związku z powierzeniem danych do Google, a także że Google otrzymał certyfikat potwierdzający, że przetwarzana dane zgodnie z wymaganiami Tarczy prywatności UE-USA);
  4. Wkleić do swojej polityki niezbędne zapisy z regulaminu GA (tzn. wskazane w tym regulaminie, jako konieczne do zamieszczenia w Twojej polityce prywatności);
  5. Stworzyć mechanizm informowania o plikach cookies i mechanizmach analizujących ruch na stronie.
  6. Jeżeli używasz narzędzi reklamowych GA, powinieneś mieć mechanizm pozyskujący zgody na przetwarzanie danych osobowych użytkowników na te mechanizmy. Domyślnie wszystkie mechanizmy powinny być wyłączone, chyba że użytkownik wyrazi na to zgodę.

Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych


Data aktualizacji: 7 października 2019