5 Google Analytics lépés a GDPR megfelelőség érdekében

Mi is az a GDPR és miért kell foglalkozni vele?
Az Általános adatvédelmi törvény (General Data Protectio Regulation – GDPR) az Európai Unió adatvédelmi szabályzata, mely 2018. május 25-én lép életbe. A célja, hogy megszilárdítsa az adatvédelmi szabályokat az EU-ban.

Néhány fontos információ a GDPR vonatkozásában

– Ha egy szervezet nem felel meg, a pénzügyi büntetése akár 20 millió euró is lehet, vagy a globális bevétel 4%-a.
– Akkor is meg kell felelni neki, ha nem vagyunk fizikailag jelen az EU-ban, de EU állampolgároknak nyújtunk termékeket vagy szolgáltatásokat.
– A személyes adatok meghatározása kiterjedt, magában foglalja az IP címeket, cookie azonosítókat és GPS helymeghatározást is.
– Egyértelmű hozzájárulás és átláthatóság szükséges: ez azt jelenti, hogy az inaktivitás és az előre kipipált checkboxok nem minősülnek beleegyezésnek.
– Az uniós állampolgároknak joguk van az adatok törlésére, és kérés esetén ezeket törölni kell.
– A GDPR lehetőséget teremt a bizalom építésére és a márka kiemelésére.

 

europe-3256079_640
 

 

Google Analytics: az adatfeldolgozó

Ha Google Analytics szolgáltatást használunk, akkor a Google az adatfeldolgozónk. A cégünk az adatkezelő, mivel ellenőrizhetjük, hogy mely adatokat küldjük el a Google Analytics-nek.

 

 

Lépések:

1. Ellenőrizzük a személyazonosítására vonatkozó adatokat (Personally Identifiable Information – PII)

Remélhetőleg ez nem meglepő, de a személyazonosításra alkalmas adatok gyűjtése ellentétes a Google Analytics szerződési feltételeivel.
Ez igaz az ingyenes Google Analytics Standard és a fizetett Google Analytics 360-ra is. Akár ezt tudtuk, akár nem, most itt az ideje annak, hogy meggyőződjünk róla, hogy nem továbbítunk személyazonosításra alkalmas adatokat.

 

  • Ellenőrizzük az oldalak url-jeit, címeit és egyéb adat dimenziókat annak biztosítása érdekében, hogy semmilyen személyazonosításra szolgáló adat ne kerüljön összegyűjtésre. A PII adatgyűjtés egyik gyakori példája, hogy az URL cím rögzített “email = querystring” paramétert tartalmaz.
  • Győződjünk meg róla, hogy a felhasználók által az űrlapokon megadott adatok, amelyeket az Analytics is gyűjt, nem tartalmaz személyazonosításra alkalmas információkat.
  • Ne feledjük, hogy a PII adatok egyszerű szűrése nem elengedő, ezt kódszinten kell kezelni, hogy megakadályozzuk a személyes adatok bekerülését a Google Analytics szolgáltatásba.

 

2. Kapcsoljuk be az IP-névtelenítést

A GDPR az IP címeket személyes adatnak tekinti. Annak ellenére, hogy az IP-cím (alapértelmezés szerint) soha nem jelenik meg a jelentéskészítés során, a Google azt használja, hogy földrajzi helymeghatározási adatokat szolgáltathasson.

A biztonság érdekében javasolt bekapcsolni a Google Analytics IP anonimizálás funkcióját. Ehhez kódmódosításra van szükség.

 

Ha Google Címkekezelőt használjunk, akkor adjunk hozzá a Google Analytics beállításaihoz a címkét.
Nyissuk meg a változót, kattintsunk a további beállítások gombra, és új mezőnek vegyünk fel a következőt: name: anonymizeIp value: true

 

tag manager ip anonim
 

 

Ha nem Google Címkekezelőt használunk, előfordulhat, hogy közvetlenül kell módosítanunk a kódot.
Az alábbi plusz sort kell elhelyezni benne: ga(‘set’, ‘anonymizeIp’, true);

 

Ennek a változásnak az lesz az eredménye, hogy a Google anonimizálja az IP címet, ami technikailag megvalósítható az IP cím utolsó oktettjének eltávolításával (például az IP cím 123.123.13.0 lesz). Ez még az adatok tárolása és feldolgozása előtt megtörténik. A teljes IP cím soha nem kerül a rendszerbe, ha ez a funkció engedélyezve van.
Ennek hatása, hogy a földrajzi jelentések pontossága kissé csökken.

 

3. Ellenőrizzük a pszeudo azonosítók gyűjteményét (hashed e-mailek, felhasználói azonosító)

A Google Analytics végrehajtása során lehet, használunk álneves, pszeudo azonosítókat. Ez a következőket foglalhatja magában:

  • User ID: felhasználói azonosító – ennek alfanumerikus adatbázis-azonosítónak kell lennie; soha nem lehet egyszerű szöveges adat, pl.: felhasználónév
  • Titkosított adatok, mint pl. e-mail cím: a Google-nek van egy minimális hash igénye és erősen ajánlott egy legalább 8 karakteres láncot használni.
  • Tranzakció azonosítók: technikailag ez egy pszeudo azonosító, mivel más adatforrással összekapcsolva az egyén azonosításához vezethet. Ennek az azonosítónak mindig alfanumerikus adatbázis azonosítónak kell lennie.

A GDPR és a Google Analytics Általános Szerződési Feltételei között ez elfogadható gyakorlatnak tűnik. De ajánlott biztosítani, hogy az Adatvédelmi irányelvek frissüljenek, tükrözzék az adatgyűjtés célját, valamint hogy a felhasználóktól kifejezett belegyezést kapjunk. A felhasználók tájékoztatásának mindkét esetben világosnak kell lennie és válaszolnia kell a “milyen adatokat gyűjtünk” és “hogyan használjuk ezeket az adatokat” kérdésekre.

 

4. Frissítsük az adatvédelmi szabályzatot

A GDPR szerint az adatvédelmi szabályzat frissítése az egyik legfontosabb feladat, ezt mindig világosan, érhetően és tömören kell a felhasználók tudomására juttatni.
Ahogy mindig is volt, az adatvédelmi irányelvek célja, hogy leírja, mit gyűjtünk, illetve a legfontosabb, hogy a szervezetnek követnie kell és meg kell tennie, amit itt állít. Az adatvédelmi irányelvek közönsége a végfelhasználó (nem az ügyvéd).

 

Az adatvédelmi nyilatkozat megírásakor a következő kérdéseket kell figyelembe venni:

  • milyen információkat gyűjtünk?
  • ki gyűjti ezeket?
  • hogyan gyűjti?
  • miért gyűjti?
  • hogyan fogja használni?
  • kivel osztja meg?
  • milyen hatása lesz az érintettekre?
  • a tervezett felhasználás ellen az egyén kifogással fog élni?

 

gdpr regulation
 

5. Hozzunk létre opt in/out lehetőségeket

A nagy kérdés, ami mindenki fejében jár, hogy valóban szükségünk van-e a kifejezett beleegyezésre. Végül is ez jelentős mennyiségű munkát jelenthet, és abszolút hatással lehet a felhasználók részvételére.

 

Gondoljuk át!

Ha felhasználói azonosítókat vagy egyéb pszeudo azonosítókat gyűjtünk, a felhasználónak jóvá kell hagynia a hozzájárulását. Ahogy említettük a beleegyezésnek expilicnek kell lennie (opt in). Elmúltak a cookie hirdetések napjai, amelyek azt jelzik, hogy ha folytatja a webhely használatát, akkor beleegyezik – ez már nem minősül beleegyezésnek. Ehelyett egyértelműen meg kell kérdezni a felhasználókat. A legáltalánosabb megközelítés, hogy van egy felugró ablak az oldalon belépéskor, amely kéri a felhasználó engedélyét, majd ha megadja, az oldal újratöltődik vagy a Google Analytics szkriptek lefutásra kerülnek.

 

Ha user ID adatokat gyűjtünk vagy az adatokat viselkedési profilkészítéshez használjuk, vagy más hirdetési technológiát használunk, akkor létre kell hozni egy opt-in beleegyezési mechanizmust.

 

A Google Analytics is rögzít cookie azonosítót, amelyet GA ügyfél-azonosítónak neveznek és mivel ez a termék alapvető funkciója, valószínűleg az Analytics felajánlja majd az opt-in engedélyt az összes EU-s látogató számára. Ezek az online azonosítók személyes adatnak minősülnek, és ezért a szabályozás vonatkozik rá.
A GDPR részeként vannak olyan követelmények, amelyek igazolják a hozzájárulás megadását (audit trail). Javasoljuk, hogy a jóváhagyást kövessük nyomon Google Analytics rendszerben egyedi eseményként.

 

 

 

Összefoglalás

Ez az öt cselekvési lépés nagyszerű módja annak, hogy Google Analytics fiókunk, illetve weboldalunk megfeleljen a GDPR követelményeinek. A GDPR egy összetett szabályzat, és elengedhetetlen, hogy a szervezet kialakítsa a megfelelő tervet a megfelelőség elérése érdekében.

 

 

 

Forrás: http://www.blastam.com/blog/5-actionable-steps-gdpr-compliance-google-analytics

 

 

Tetszett a cikk? Itt megoszthatja!



Referenciák
Kérjen
árajánlatot!