GDPR и Google Analytics

A+ A-
2942 прегледа 0 Коментара
Гласували: 6, рейтинг: 5
За GDPR се изписа и изговори много през последните месеци, а предполагам и занапред ще бъде така. В мрежата постоянно излизат нови и нови тълкувания, създава се всеобща паника от влизането в сила на Регламента. Нека все пак не забравяме, че в момента има действащ Закон за защита на личните данни, който до голяма степен урежда същите отношения в офлайн среда, както и Регламентът. Що се отнася до онлайн средата – в повечето случаи се избягват важните за мен въпроси, свързани със събирането на данни за поведението на потребителите ни. В голяма степен тези въпроси още дълго няма да имат своето разрешение, тъй като те са и част от Проекторегламента относно зачитането на личния живот и защитата на личните данни в електронните съобщения (ePrivacy Regulation), който още дълго ще се обсъжда. Въпреки всичко след 25.05.2018 г. всички ние ще продължим да използваме Google Analytics на своите сайтове и ще събираме и генерираме отчети. Как GDPR и Google Analytics ще сработят заедно?


Какво е Google Analytics и как работи?


Потърсете в интернет и ще намерите много чудесни статии, очертаващи колко полезен може да бъде Google Analytics за бизнеса Ви. В България почти всички сайтове имат инсталиран Google Analytics като инструмент за уеб анализ.

➪ The Absolute Beginner’s Guide to Google Analytics – https://moz.com/blog/absolute-beginners-guide-to-google-analytics
➪ Първи стъпки с Google Анализ – https://support.google.com/analytics/answer/1008015?hl=bg
➪ 9 Awesome Things You Can Do With Google Analytics 5 – https://blog.kissmetrics.com/awesome-google-analytics/

Най-общо казано Google Analytics Ви позволява да проследявате и събирате информация за посетителите на уебсайта си, като инсталирате JavaScript код в уеб страниците си. С помощта на собствените си сървъри Google Analytics след това обработва тази информация за вас, което означава, че получавате отчети, които могат да се изтеглят и подробно описват точно как посетителите използват уебсайта Ви. Например можете да разберете кои са страниците, чрез които посетителите са ви намерили, кои страници посещават най-често и колко време се задържат на сайта ви, от какви устройства достигат до вас, демографски данни и т.н. По-напредналите потребители могат да генерират персонализирани отчети за ефективността на съдържанието чрез задаване на цели. Всички те дават ценна представа за потребителите на уебсайта и тяхното поведение.


Как GDPR ще се отрази на Google Analytics?

Гугъл анализи и GDPR

Накратко, това е свързано с факта, че когато използвате Google Analytics Вие и Google споделяте лични данни – това са данни, които се отнасят до отделен субект на данните. Съгласно действащия Закон за защита на личните данните/ЗЗЛД/, някои от тези данни може да не бъдат защитени, но GDPR променя това.

Във връзка с Регламента е важно да се изясни следното: Вие сте администратор на личните данни, а Google е обработващ данните.

Регламентът за защита на личните данни влиза в сила от 25 май 2018 г. и има за цел да предложи по-голяма защита по отношение на личните данни на субектите на данни (физическите лица) в ЕС въз основа на начина, по който технологията е напреднала и използвана. Според новите и по-широки дефиниции на GDPR, личните данни са всяка информация, която може да идентифицира дадено лице с „всички средства, които има разумна вероятност да бъдат използвани“, включително като се има предвид как би могло да бъде идентифицирано дадено лице, ако комбинирате очевидно несвързани набори от данни, които държите. Така че тя все още включва очевидна информация, като например името и адреса на някого, но сега ще включва онлайн идентификатори, включително IP адреси, идентификатори на „бисквитки“ и псевдонимизирани данни. Псевдонимизацията според определението дадено в Комисията за защита на лични данни е техника за защита на неприкосновеността, при която личните данни се обработват по начин, които не позволява идентификацията на физическото лице без употребата на допълнителна информация, която следва да се съхранява отделно от тези данни, под защитата на технически и организационни мерки.

Ако:

 имате онлайн магазин, който оперира на ЕС, и съответно обработвате данни на граждани на ЕС или
 наблюдавате поведението на потребителите на уебсайта си

тогава ГДПР ще се прилага за вас.

Това означава, че трябва да спазвате изискванията на GDPR, но също така трябва да сте в състояние да представите доказателство, че го правите.


И така, какво общо има между GDPR и Google Analytics?


Целта от използването на Google Analytics е да позволи на Google да споделя данни, които сте събрали, така че в крайна сметка да може да генерира отчетите, от които се нуждаете. Съгласно действащото законодателство за защита на данните поне някои от данните, които се използват като част от Google Analytics, вероятно не са лични данни, но по-широките дефиниции на GDPR, както беше споменато, означават, че това ще бъде.

Въпросът също е сложен, защото ще трябва да разгледате и двата аспекта:

• позволявате на Google да има достъп до данните и
• използвате данните от Google под формата на отчетите, изготвени от Google Analytics.

Така например, бихте могли да събирате и да разрешите на Google достъп до:

• имейл адресите, ако те са част от процеса на вход в уебсайта Ви или
• имената на потребителите в URL адресите на страниците, които събирате, защото потребителско име е част от URL адреса (например site.com/user/ivanivanov)

От данните от Google можете да имате възможност да идентифицирате физическо лице чрез „всички средства, които е разумно вероятно да бъдат използвани“, като се има предвид как може да бъде идентифицирано дадено лице, например включително по IP адрес.
Повече информация относно как да проследявате логнатите потребители на сайта ви > developers.google.com/analytics

Не забравяйте специфичните за клиента страници.

Само защото съдържанието е достъпно само за потребители, които са влезли в уебсайта Ви (например като за членство в сайта), не означава, че събраните лични данни са освободени от изискванията на GDPR.

Нуждаете се от законово основание за обработка (използване, събиране и др.) на данни и вие и вашият бизнес може да бъде един от многото, които разчитат на съгласието на индивида. Така например, изглежда съвсем лесно да се накара някой да се съгласи, че можете да използвате данните й/му за ваши собствени цели. За съжаление, при GDPR въпросът за съгласието е много по-сложен. Регламентът ясно казва, че данните, които събирате трябва да да бъдат възможно най-малко и да имате основание за тяхното събиране. Например, ако сте онлайн магазин, за да си купя даден продукт и да ми го доставите, вие се нуждаете от имена, телефон и адрес, евентуално и от имейл, в случай че се изисква регистрация и на сайта ви няма бърза поръчка. Какви данни получаваме при отчетите от Analytics?


Дали Google покрива изискванията на GDPR?


Google определено се ангажира да спазва GDPR и, например, както ни казва Google, потребителите на интернет може да имат опцията да „инсталират добавката за браузър за изключване на Google Analytics“. Проблемът е, че това не означава, че отговорността ви по някакъв начин е прехвърлена на Google или на някой друг по този въпрос.

Официалното разширение, използвано за отказване от Google Analytics, е най-лесният начин за отказване и винаги трябва да работи, дори когато Google прави промени в услугите си. Има обаче няколко недостатъка на разширението. Разширението трябва да бъде инсталирано на компютъра ви. Инсталирането на софтуер за спиране на друг софтуер от проследяване на вашите дейности изглежда малко контрапродуктивен. Google, използвайки разширение вместо обичайните методи за отказване от „бисквитки“, има полза от това, че опцията за отказване е по-постоянна и няма да спре да работи, когато изчистите „бисквитките“ си. От друга страна, разширението не възпрепятства Google да знае кои уебсайтове посещавате. Разширението работи, като предотвратява изпращането на събития в Google Analytics, но JavaScript от Google Analytics все още се извлича от сървърите на Google.

Ако толкова много държите вашите данни да не бъдат проследявани на даден сайт, можете да си инсталирате добавката от тук.





Ако се вгледате добре в собствените условия на Google (които приемате, когато инсталирате Google Analytics), ясно е казано, че ВИЕ сте „единствено отговорни“, когато използвате Google Analytics и Ваша е отговорността по

• гарантиране, че няма да има „информация, която да идентифицира лице“ (т.е. нещо, което може да идентифицира дадено лице) между вас и Google и
• имат законосъобразна политика за поверителност.

Така че, използването на данни, които биха могли да идентифицират дадено лице, може да означава нарушаване на GDPR и вашето съгласие с Google Analytics, което означава, че не само КЗЛД (Комисията за защита на лични данни е органът, който ще контролира спазването на GDPR) може да ви наложи глоба, но има и вероятност повече да не можете да използвате Google Analytics, защото Google ще прекрати споразумението ви.

GDPR инфографика
Инфографика на Европейската комисия


Какво можете да направите, ако искате да продължите да използвате Google Analytics?


(1) Запознайте се с данните, които съхранявате


Много от бизнесите са гладни за данни, но някои от тези данни са просто съхранени и никога не се използват, така че честото почистване на данни е винаги добра идея, особено в контекста на GDPR. Не забравяйте, че трябва да съхранявате данни само толкова дълго, колкото е разумно.

• Започнете да сте наясно какви данни държите и как ще обработвате (използвате, съхранявате и т.н.).
• След това разгледайте какви данни трябва да събирате и използвате и колко време имате нужда от тях.

Имате ли законово основание за обработка? Ако не, има време да поправите нещата. Ако например разчитате на съгласието на някого да използвате данните й/му, проверете дали имате съгласие за съответствие с GDPR. В противен случай не можете законно да използвате тези данни след 25 май 2018 година.

След като направите това, уверете се, че изтривате за постоянно всичко, което не ви е необходимо или не може да оправдаете защо го съхранявате.

Това може да изглежда, че ще отнеме време, но в крайна сметка вие ще сте подготвени и ще сте съвместими с постановките на GDPR, особено ако повтаряте това регулярно.


(2) Проверете вашите правила и политики


Google изисква да имате ясна и съвместима с GDPR декларация за поверителност. Не бъдете този, който седи там в 23 ч. на 24 май, опитвайки се да напише или намери такива.

Имайки предвид, че вие също отговаряте за съответствието на организацията си, помислете дали да въведете пълна политика за защита на данните (това определя начина, по който вашият бизнес ще изпълнява задълженията си за защита на данните) с подходящо обучение – вътрешнофирмено или подходящо за вашия бизнес, така че всеки да е ясно относно задълженията на организацията и съответно за какво трябва да отговарят. Според мен, тук е и моментът с длъжностното лице, в чиято трудова характеристика да включите, че ще отговаря за обработване на данните, събрани чрез Google.

Личният ми съвет е всеки бизнес да направи поне ЕДНА консултация с адвокат по отношение на специфичните страни на своя бизнес и изготвяне на Общи условия на сайта, Политика за бисквитки, Правила за съхранение на личните данни и Начин на унищожаването им.

съхранение на данни


(3) Изяснете ясно как ще използвате данните от Google Analytics


Уверете се, че имате ясни граници, така че да не споделяте по невнимание всяка „информация, която може да бъде идентифицира лице“.

Ако някой друг има достъп до профилите Ви в Google Analytics (например, ако дадена агенция или фрийлансър Ви помага с анализа на уебсайта Ви), да сте ясни относно собствеността и отговорността на профила ви и контролирайте кой има достъп; изяснете точно какво могат (и не могат) да направят. Премахнете всички разрешения, освен ако не са абсолютно необходими. Например: Работили сте с фрийлансър, сега вече работите с агенция, но достъпът на фрийлансъра е оставен. Освен ако не продължавате да работите с него, то тогава го премахнете. Бъдете внимателни и на кого предоставяте имейл и парола за достъп до Google Analytics.

Ако нямате нужда от обработване на лични данни в Google Analytics, можете да анонимизирате IP адресите. Повече информация как да го направите, можете да прочетете на: https://support.google.com/analytics/answer/2763052?hl=bg.


(4) Съответствие с трансфера на данни


Google е американска компания и въпреки че има някои сървъри, позиционирани в Европейската икономическа зона, все още има вероятност да има известен трансфер на данни извън нея. Тъй като Google всъщност ще бъде вашият процесор за данни, това означава, че трябва да проверите дали Google е съвместим с GDPR за прехвърляне на данни извън ЕИО. В момента Google разчита на защитата за поверителност на ЕС и САЩ, но все пак това е динамична среда и нещата се променят. Тъй като е Ваша отговорност, имайте прост процес, който показва, че редовно проверявате дали Google спазва GDPR, за да можете да докажете, че спазвате вашите собствени задължения.

 Как да проверите сигурността на профила ви в Google: https://myaccount.google.com/security-checkup

Миналата седмица Google анонсираха своите нови правила за съгласие на потребителите, които влизат в сила от 25.05.2018 и са в съответствие с GDPR. Трябва да сте наясно, ако още не сте приели условията, че трябва да посетите профила си в Google Analytics, за да го направите.

 Правила на Google за съгласие на потребителите на ЕС: https://www.google.com/about/company/consentstaging.html


(5) Запомнете правата на субектите на данните


И накрая, съгласно GDPR, субектите на данни ще имат много повече контрол над своите данни. Ако искате да продължите да използвате аналитични инструменти и сте загрижени, че може да се използва някаква лична информация (като IP адреси), най-разумният начин е да се уверите, че потребителите на уебсайта Ви

• знаят, че използвате Google Analytics и разбират как работи и как се използват данните им;
• да дадат своето изрично съгласие, за да можете да използвате Google Analytics;
• могат да променят мнението си за съгласието и да се откажат лесно и по всяко време.

Според тълкуванието на Комисията за защита на личните данни и във връзка с GDPR:

“Съгласието е едно от алтернативните основания за законосъобразно обработване на лични данни. В случай че администраторът реши да обработва данните на това основание, той следва да е в състояние да докаже, че съгласието е:

• свободно изразено – не е дадено под натиск или заплаха от неблагоприятни последици (напр. по-висока цена на услуга);
• конкретно – отделно съгласие за всяка конкретно определена цел, а когато е относимо – и за конкретна категория лични данни;
• информирано – дадено на основата на пълна, точна и лесно разбираема информация;
• недвусмислено – не се извлича или предполага въз основа на други изявления или действия на лицето;
• дадено с активно действие: чрез изрично изявление или ясно потвърждаващо действие, вкл. онлайн. Мълчанието на лицето или предварително отметнати квадратчета за съгласие не могат да се приемат за валидно съгласие.”

Можете да прочетете още от Практическите въпроси на защитата на личните данни на сайта на КЗЛД https://www.cpdp.bg/?p=element&aid=1115

Полезни линкове за GDPR за бизнеса:

 Насоки на ЕK за прилагане на GDPR: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_bg

 Правила за дружествата и организациите: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_bg

 Какво представлява нарушение на сигурността на данните и какво следва да бъде направено в случай на нарушение на сигурността на данните? https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_bg

 Предложение за Регламент на e-Privacy https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation

 Guide to the General Data Protection Regulation (GDPR), публикуван от ICO. /органът, който отговаря за защитата на лични данни в ЕС https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/consent/

 Защита на данните – По-добри правила за малкия бизнес /инфографика/ http://ec.europa.eu/justice/smedataprotect/index_bg.htm


Източник: https://pixel-heart.net
Сподели
За автора
Epis

Информацията, която търсите...

Свързани публикации
Коментари