Monitorowanie wizyt użytkowników – wdrożenie Google Analytics zgodnie z RODO

Statystyki Google Analytics (GA) to najpopularniejsze, darmowe narzędzie do pomiaru i analizy ruchu na stronie. Dzięki niemu możesz monitorować wizyty użytkowników z Google Analytics, żeby móc ocenić efektywność strony i działań marketingowych i podejmować lepsze decyzje biznesowe.

Z tego artykułu dowiesz się, jakie wziąć pod uwagę kwestie prawne i jak wdrożyć Google Analytics w WordPress np. z użyciem wtyczki Cookie Notice & Compliance dla RODO / CCPA dostarczaną przez Hu-manity.co lub GDPR Cookie Compliance dostarczaną przez Moove Agency lub przez platformę do zarządzania cookies: Cookie Hub.

A jeśli masz już zainstalowane statystyki upewnisz się, czy korzystasz z nich w sposób zgodny z wymaganiami prawnymi. Z pomocą tego artykułu dowiesz się, dlaczego należy wymagać zgody od użytkowników oraz sprawdzisz, czy spełniasz wszystkie obowiązki.
Znajdziesz też podstawy prawne i przykłady spełnienia obowiązków informacyjnych.

A jeśli jesteś prawnikiem i zapoznaj się zwłaszcza z technicznymi szczegółami, żeby dobrze doradzić swoim klientom. W tym artykule znajdziesz wyjaśnienia dotyczące wdrożenia Google Analytics i działania cookies, inne informacje dotyczące jego twórcy (Google), niezbędne do poprawnego spełnienia obowiązków informacyjnych.

Wiele poradników skupia się tylko na tym ostatnim, technicznym kroku, czyli wstawieniu kodu Google Analytics do strony. Jeśli masz stronę na WordPresssie, to możesz sobie z tym poradzić nawet bez pomocy programisty.

Jednak zanim zabierzemy się za monitorowanie statystyk, powinniśmy spełnić kilka obowiązków wynikających z przepisów prawnych, a to trochę komplikuje sprawę.

Przeszukując internet w poszukiwaniu wiedzy lub przykładów wdrożeń, a nawet korzystając z pomocy prawnej, spotkałam się z różnymi interpretacjami przepisów. Niespójności wynikają nie tylko z niezrozumienia tematów, ale przede wszystkim z częstych zmian w technologiach internetowych oraz w ustawodawstwie ich dotyczących.

Jakie są podstawy prawne do korzystania z narzędzi do monitorowania ruchu?

Podstawa prawna do korzystania z cookies

Google Analytics należą do tej grupy narzędzi, które zapisują na urządzeniach użytkowników cookies, czyli takie małe pliki tekstowe. Dzięki nim narzędzia te mogą dokładniej identyfikować wizyty użytkowników i np. mierzyć ich czas trwania, powracalność, itd. 

Pobieranie zgód na stosowanie cookies reguluje prawo telekomunikacyjne (PT).
Art. 173. pkt. 1 pozwala na przechowywanie cookies, pod warunkiem, że użytkownik końcowy wyrazi na to zgodę.

RODO przy monitorowaniu z Google Analytics

Monitorując odwiedzających stronę powinniśmy również zapewnić ochronę ich danych osobowych zgodnie z RODO. Wg RODO dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 

Jakie dane osobowe przetwarza GA? W domyślnej konfiguracji to np. lokalizacja (określana na podstawie IP).

Czy te dane można powiązać z konkretnym człowiekiem?
W niektórych okolicznościach da się i to całkiem prosto.
Kilka przykładów podaję poniżej.

Google jako administrator danych osobowych

Niezależnie od tego jak Ty będziesz wykorzystywać dane, Google jako dostawca przyznaje sobie prawo do wykorzystywania danych do własnych celów (tu znajdziesz informacje jak Google używa danych). Zakładając usługę Google Analytics zawierasz umowę z Google. W niej Google na Ciebie zrzuca odpowiedzialność za spełnienie niektórych wymagań RODO tj. pozyskania zgody i realizacji obowiązków informacyjnych.

Przetwarzanie danych przy świadczeniu usługi drogą elektroniczną

Art. 18 ustawy o świadczeniu usług drogą elektroniczną wskazuje wprost, jakie dane można przetwarzać w związku z realizowaniem usługi drogą elektroniczną.

Wskazuje również, że do celu badania zachowań (które to badania nie są niezbędne do świadczenia usługi drogą elektroniczną) jedyną możliwą podstawą przetwarzania danych, jest zgoda:

Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Ustawa o świadczeniu usług drogą elektroniczną, art. 18, pkt.4

Rezygnacja ze zbierania i przetwarzania szczegółowych danych osobowych

Jak już pisałam wcześniej, w domyślnej konfiguracji GA odczytuje i przetwarza IP użytkowników, które może umożliwić dość dokładne określenie lokalizacji. Możemy temu zapobiec poprzez niewielką zmianę kodu śledzenia. W poniższej procedurze podaję jak to zrobić. 

W celu uniknięcia przetwarzania szczegółowych danych użytkowników trzeba też upewnić się, że nie są aktywowane dodatkowe raporty np. z danymi demograficznymi, zainteresowaniami, remarketingiem, wymiarami i danymi niestandardowymi, funkcjami reklamowymi, ID użytkowników, mierzeniem wszystkich interakcji użytkownika na różnych urządzeniach itd. W GA4 za przetwarzanie danych jest odpowiedzialna usługa Google Signals.

---

Podsumowując:

Jeśli chcesz korzystać z pełnych możliwości Google Anatytics pytaj każdego użytkownika o zgodę monitorowanie ruchu.

Monitorowanie z Google Analytics NA PODSTAWIE ZGODY użytkownika

Przy standardowym wdrożeniu kod śledzenia z Google Analytics powinno się umieścić na stronie dopiero po udzieleniu zgody przez użytkownika. Wynika to z przepisów prawnych.

Ponadto, możesz spodziewać się zablokowania reklam Google Ads lub uczestnictwa programu AdSense, jeśli śledzisz użytkowników witryny z GA bez ich wyraźnej zgody.

Co powinno się znaleźć w treści zgody na cookies Google Analytics?

W 2019 weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, która do uzyskania zgody na cookies nakazuje stosować przepisy RODO (mówi o tym dodany art. 174. Prawa telekomunikacyjnego). 

RODO szczegółowo określa zasady pobierania zgody i nakazuje spełnić szereg obowiązków informacyjnych przy pozyskiwaniu zgody. 

W praktyce niektóre serwisy realizują je od razu wszystkie w okienku ze zgodą w formie długiego tekstu.

Ustawa pozwala jednak przekazać informacje warstwowo, czyli najpierw w krótkiej formie przed udzieleniem zgody:

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

motyw 42. RODO

Ponadto mamy poinformować o:

możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za  pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi

Prawo telekomunikacyjne art. 173. pkt. 1 lit. b)

Poniżej w części dotyczącej obowiązków informacyjnych zebrałam szczegółowe interpretacje i przykłady powyższych przepisów.

Sposób wyrażenia zgody na monitorowanie

Projektując pytanie o zgodę należy wziąć pod uwagę, że ma umożliwić:

konkretne i świadome dobrowolne okazanie woli. 

RODO art.4

Właścicielom strony i analitykom będzie zależało na tym, żeby pytanie zostało zauważone i rozpatrzone pozytywnie.
Dlatego najczęściej stosuje się popup lub wysuwany element, którego nie da się przeoczyć.

Ponadto zapytanie o zgodę ma nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Ta wytyczna jest problematyczna.
Już samo klikanie w każdym serwisie zgód na cookies poprzedzonych krótszymi lub dłuższymi informacjami zakłóca mi korzystanie z usług. Chyba nie jestem w tym odczuciu osamotniona.

Jednym sposobem na zmniejszenie dyskomfortu związanego z udzieleniem zgody widzę wdrożenie mechanizmu, który polega na zapamiętaniu decyzji użytkownika dla tej i kolejnych wizyt tak, aby nie pytać o zgodę na każdej podstronie i przy kolejnych wizytach.

Przy okazji – ten mechanizm też wykorzystuje cookies.  Co do ich użycia zakładam, że jako cookies funkcjonalne podlegają zwolnieniu z pytania o zgodę (wg art. 173 pkt. 3.2 prawa telekomunikacyjnego).

Zgoda nie może być domyślna, ani domniemywana, gdy użytkownik przeskroluje część strony. Gdyby ktoś miał co do tego wątpliwości, to może zajrzeć do wyroku TSUE:

zgoda na przechowywanie informacji lub dostęp do informacji za pośrednictwem plików cookie zainstalowanych w urządzeniach końcowych użytkownika strony internetowej nie jest ważna, jeżeli jest ona efektem umieszczenia na stronie domyślnie zaznaczonego okienka wyboru, i to niezależnie od tego, czy owe informacje stanowią dane osobowe.  Zgoda wymaga w szczególności wyrażenia woli w formie „wyraźnego aktu potwierdzającego” i którego motyw 32 wyraźnie wyklucza wyrażenie zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania

wyrok TSUE z dnia 1 października 2019 r. w sprawie C‑673/17

Jedna czy kilka zgód?

Google Analytics zapisuje użytkownikom kilka cookies. Nie trzeba zbierać zgody na każde cookie osobno. Zgodę na cookies dotyczących monitorowania z Google Analytics można śmiało zgrupować, czyli pozyskiwać zgodę na wszystkie cookies z Google Analytics na raz.

Projektując zgody na monitorowanie statystyk weź jednak pod uwagę stosowanie innych, zwłaszcza niefunkcjonalnych cookies np. reklamowych, pixel Facebooka, itp.
Będą wymagały udzielenia odrębnej zgody/zgód.

Monitorowanie z Google Analytics BEZ ZGODY użytkownika

Czy możemy podpiąć GA do strony od razu i zbierać dane o ruchu wszystkich, którzy tą stronę odwiedzą i ich tylko o tym informować? 

Consent Mode, czyli Tryb uzyskiwania zgody

We wrześniu 2020 Google udostępniło nowe rozwiązanie, tzw. Consent Mode, czyli Tryb uzyskiwania zgody, które pozwala na mierzenie o ruchu i konwersji w witrynie również w przypadku, gdy użytkownik nie wyrazi zgody na zapisywanie plików cookie, przy jednoczesnym zachowaniu pełnej zgodności z wymogami RODO.

Przed udzieleniem zgody lub w przypadku braku zgody

To rozwiązanie zakłada, że na każdej stronie witryny zostanie zaimplementowany kod śledzenia z pewną modyfikacją, dzięki której Google Analytics:

Po udzieleniu zgody na cookies analityczne

Rozwiązanie consent mode zakłada, że po udzieleniu zgody kod śledzenia ma być odpowiednio zmodyfikowany tak, aby umożliwić Google Analytics korzystanie z cookies i zbierać kompletne dane do raportów tak, jak to się dzieje w przypadku standardowego wdrożenia.

Zasady pozyskiwania zgody są takie same jak przy standardowym wdrożeniu.

Jak wdrożyć Google Analytics bez zgody?

Dla jasności zamieszczam porównanie wdrożenia standardowego i zmodyfikowanego kodu śledzenia.

	Przed udzieleniem lub bez zgody na monitorowanie przez użytkownika	Po udzieleniu zgody na monitorowanie przez użytkownika
Gdy zależy Ci na pozyskiwaniu kompletniejszych danych	stosuj zmodyfikowany kod śledzenia (consent mode) wraz z domyślnymi ustawieniami trybu udzielania zgody (zgoda nieudzielona)	stosuj kod śledzenia ze zaktualizowanymi ustawieniami trybu udzielania zgody (zgoda udzielona)
Gdy idziesz na łatwiznę	nie zamieszczaj kodu śledzenia	zamieść standardowy kod śledzenia

Na końcu tego artykułu opisuję proste wdrożenie narzędzia do pozyskiwania zgód, spełnienia obowiązków informacyjnych oraz właśnie trybu consent mode dla serwisu na dowolnym oprogramowaniu i z wykorzystaniem GTM.

A jeśli koniecznie chcesz je u siebie wdrożyć bez korzystania z GTM, możesz skorzystać z tej oficjalnej instrukcji wdrożenia Trybu udzielania zgody na stronie Google dla deweloperów. Ostrzegam: to rozwiązanie tylko dla fachowców:)

OBOWIĄZKI INFORMACYJNE przy stosowaniu statystyk GA

Obowiązki informacyjne, które powinny być udzielone jeszcze przed udzieleniem zgody:

• Cele przetwarzania danych i stosowania cookies
• Tożsamość administratorów

Pozostałe obowiązki informacyjne:

• Dane kontaktowe
• Informacje o odbiorcach danych lub o kategoriach odbiorców
• Informacje o zamiarze przekazania danych osobowych do państwa trzeciego
• Okres przechowywania danych i cookies
• Inne prawa osób, których dane dotyczą
• Informacja o prawie cofnięcia zgody
• Czy zgoda jest dobrowolna
• Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
• Informacje o stosowaniu cookies

Wszystkie obowiązki warto spełnić w polityce prywatności i cookies. Link do niej należy umieścić na stałe w widocznym miejscu, np. na dole strony.

Poniżej podaję podstawy prawne obowiązków informacyjnych wynikające z RODO i przypominam, że wg nowego art. 174. prawa telekomunikacyjnego do uzyskania zgody na cookies również stosuje się przepisy o ochronie danych osobowych. 

Podaj cele przetwarzania danych osobowych i stosowania cookies

Mówią o tym dwa osobne przepisy:

• zgodnie z Prawem telekomunikacyjmym: cel stosowania cookies, 
• natomiast RODO mówi, że trzeba podać cel przetwarzania danych osobowych.

Cel należy podać jeszcze przed udzieleniem zgody.

Uwaga – wg RODO trzeba również podać podstawę prawną celu przetwarzania (wystarczy ją uwzględnić w polityce prywatności i cookies):

Przy pobieraniu zgody podstawą prawną będzie art. 6 RODO ust. 1 lit.a. , który brzmi następująco:

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

art. 6 RODO ust. 1 lit.a.

Przykłady sformułowania celu przetwarzania danych i stosowania cookies przy zgodzie na Google Analytics

“do monitorowania”

„w celu korzystania z narzędzi analitycznych”

“do prowadzenia statystyk dla witryny x”

“by analizować ruch w tej witrynie”

„badać statystyki dotyczące ruchu na stronie oraz sprawdzać źródła ruchu (kierunki przekierowania),
wykrywać różnego rodzaju nadużycia np. sztuczny ruch internetowy (boty),
ograniczyć niektóre działania marketingowe m.in. aby ochronić użytkowników wielokrotnym wyświetlaniem tej samej reklamy,
mierzyć – bez identyfikowania danych osobowych – skuteczność akcji prowadzonych na rzecz banku, np. w sieci reklamowej Google, w programach partnerskich, na zewnętrznych stronach internetowych,
rozliczać się z partnerami biznesowymi za usługi reklamowe w oparciu o zarejestrowane akcje świadczone na życzenie użytkowników np. za wysłania formularza internetowego o otwarcie konta osobistego.”

www.ing.pl

Podaj tożsamość administratorów

Należy podać tożsamość administratorów danych lub ewentualnie ich przedstawicieli, jeśli są powołani.

Tożsamość należy podać jeszcze przed udzieleniem zgody.

Kto jest administratorem danych?

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych i cookies.

RODO art.4.

To właściciel strony jest administratorem, ponieważ to on decyduje o użyciu narzędzia i sposobie korzystania z danych i ich udostępnianiu.

Administrator wcale nie musi być jakoś specjalnie “mianowany” i już nie trzeba go zgłaszać do GIODO, jak to drzewiej bywało.

Jeśli informacja przedstawiana przed udzieleniem zgody jest wyświetlona w taki sposób, że widać jakiego serwisu dotyczy (nie zasłania całej strony) i nazwa serwisu jest tożsama z administratorem, to można by się podeprzeć punktem 4. art. 13 RODO, który mówi, że obowiązki informacyjnie nie mają zastosowania, gdy “osoba, której dane dotyczą, dysponuje już tymi informacjami”.

W polityce prywatności i cookies bezwzględnie podajemy pełną tożsamość administratora.

Czy właściciel serwisu jest jedynym administratorem?

Twórca narzędzia, Google odpowiada za cele przetwarzania oraz sposób działania, zakres danych, miejsce ich przechowywania itd.. Dlatego on również jest administratorem.

Przykłady podania tożsamości administratorów przed udzieleniem zgody 

“Wykorzystujmy pliki cookies w celu prawidłowego jego działania, korzystania z narzędzi analitycznych (z Google)”

W tym przypadku baner z cookies wyświetlił się tak, że było widoczne logo firmy, która była administratorem tego serwisu. Oprócz tego jest wymieniony Google, czyli drugi administrator.
W polityce prywatności i cookies były już pełne nazwy administratorów.

“Administratorem Twoich danych osobowych jest podmiot z Grupy RAS Polska”

onet.pl

W tym przypadku wchodząc do portalu onet.pl nie mogę się domyśleć, kto jest administratorem, za to w treści zgody administratorzy są już podani kawa na ławę.

Podaj dane kontaktowe

Zgodnie z RODO mamy podać dane kontaktowe administratorów danych lub ewentualnie ich przedstawicieli, a jeśli w organizacjach są powołani inspektorzy ochrony danych, to ich dane. 

Dane kontaktowe właściciela serwisu najlepiej podać na początku polityki prywatności i cookies.

Dane kontaktowe administratora Google 

Dodatkowo w polityce prywatności i cookies przy informacjach o korzystaniu z narzędzi analitycznych podaj pełne dane drugiego administratora:

Google Ireland Limited („Google”), Gordon House, Barrow Street, Dublin 4, Irlandia.

Podaj informacje o odbiorcach danych lub o kategoriach odbiorców

Odbiorca to podmiot, któremu ujawnia się dane osobowe.

Niektórzy w ramach tego punktu piszą o Google, jako odbiorcy danych. Google są administratorem, o czym pisałam powyżej.

Jeśli udostępniasz konto w Google Analytics komuś spoza swojej firmy np. agencji marketingowej, to jest ona odbiorcą danych. Wtedy należy podać, kto jest tym odbiorcą lub podać kategorię. Najlepiej w polityce prywatności i cookies.

Przykłady kategorii odbiorców

“podmiot świadczący usługi pomocy technicznej udzielanej Administratorowi”

“Podmioty przetwarzające dane na zlecenie administratora danych, w tym agencje marketingowe“

Podaj informacje o zamiarze przekazania danych osobowych do państwa trzeciego

Zgodnie z RODO trzeba podać:

informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony

RODO, art. 13

Po pierwsze narzędzie Google przechowuje dane w USA, czyli państwie trzecim.
Po drugie Google współpracuje z różnymi podmiotami, które również mogą być z państw trzecich. Na tej liście można sprawdzić aktualną listę tych podmiotów i ich lokalizacje: https://privacy.google.com/businesses/subprocessors/

Google przystąpiło do programu EU-US-Privacy Shield. Stwierdzenie stopnia ochrony znajdziemy tutaj:
https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active

Jednakże 16 lipca 2020 TSUE unieważnił decyzję wykonawczą Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji tego wyroku Tarcza Prywatności nie może już stanowić podstawy prawnej do przekazywania danych osobowych do USA.

Przykład informacji o zamiarze przekazania danych osobowych do państwa trzeciego

“Z uwagi na to, że Google posiada siedzibą w USA i wykorzystuje infrastrukturę techniczną znajdującą się w USA, korzysta z mechanizmów zgodności takich jak standardowe klauzule umowne.”

prakreacja.pl

Podaj okres przechowywania danych i cookies

Aby spełnić ten obowiązek, należy ustalić jak długo w narzędziu są przechowywane dane oraz kiedy wygasają cookies zapisywane na urządzeniach użytkowników.

Google Analytics umożliwia ustawienie czasu, po którego upływie dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics.
O co chodzi? W raportach Analyticsa możemy np. rozróżnić użytkowników nowych i powracajacych. Jeśli usuniemy dane użytkownika po 14 miesiącach, a on wejdzie ponownie na naszą stronę pierwszy raz dopiero po 15 miesiącach, to zostanie uznany za nowego użytkownika.

Do wyboru mamy opcje:

• 14 miesięcy
• 26 miesięcy
• 38 miesięcy
• 50 miesięcy
• Nie wygasa automatycznie.

Poniżej w procedurze podaję, gdzie to można ustawić w GA. Następnie zgodnie z tym ustawieniem możemy poinformować użytkowników o okresie przechowywania danych.

Niezależnie od tego ustawienia okres ważności cookies wynosi do 2 lat. Szczegółowe informacje o okresie wygasania cookies z Anatytisca znajdziesz tutaj: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Zwróć uwagę, że w Twoim serwisie mogą być stosowane różne cookies w zależności od rodzaju wdrożenia (kiedyś był używany ga.js, później analytics.js, a teraz polecany jest gtag.js).

Jeśli Cię to ciekawi, możesz sprawdzić tutaj, jakie dane są zapisywane w cookies z Google Analytics (np. identyfikator użytkownika, czas aktualnej i poprzednich wizyt).

Jeśli chcesz się upewnić jakie cookies są stosowane w Twoim serwisie i kiedy wygasają: wejdź na swoją stronę, zgódź się na cookies i sprawdź w przeglądarce.
Najprościej można to zrobić w Chrome: kliknij w pasku adresu na ikonkę przed adresem (kłódkę lub i), poszukaj cookie _ga lub __utma (te są przechowywane najdłużej), sprawdź kiedy wygasa i odejmij aktualny czas.

Przykład określenia okresu przechowywania danych i cookies

“cookies na Twoim urządzeniu wygasają po 2 latach, natomiast dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics po 50 miesiącach;”

Podaj informację o prawie cofnięcia zgody 

Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, należy umożliwić wycofanie zgody. W polityce prywatności należy podać informacje jak to zrobić.

Podaj inne prawa osób, których dane dotyczą 

Dobrze je znamy z RODO:

1. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, 
2. a także o prawie do przenoszenia danych;
3. informacje o prawie wniesienia skargi do organu nadzorczego.

Jeśli chodzi realizację prawa do ograniczenia przetwarzania lub wniesienia sprzeciwu: w serwisie powinna być możliwość nie udzielenia zgody na monitorowanie.
Ponadto użytkownik może ustawić przeglądarkę, żeby nie akceptowała cookies (co w praktyce wielu użytkowników realizuje rozszerzeniami do przeglądarek). Może też sobie usunąć wybrane lub wszystkie cookies z przeglądarki. O tej metodzie też można poinformować użytkowników, jednak weź pod uwagę, że nie jest zbyt wygodna.

O tych możliwościach powinniśmy informować również na podstawie Prawa Telekomunikacyjnego. 

Jeśli chodzi o prawo do przenoszenia danych, to w odniesieniu do cookies fizycznie użytkownik ma taką możliwość, bo to są pliki tekstowe zapisane na jego urządzeniu.

BTW – jeśli zastanawiasz się, czy ktoś w ogóle może mieć ochotę skorzystać z prawa do wniesienia skargi, to powiem, że to już się wydarzyło, zapadł wyrok w takiej sprawie, a orzekał Trybunał Sprawiedliwości Unii Europejskiej. Sprawa dotyczyła obowiązków informacyjnych i formy zgody na cookies (wyrok w tej sprawie jest dostępny tutaj: http://curia.europa.eu/juris/celex.jsf?celex=62017CJ0673&lang1=pl&type=TXT&ancre=).

Poinformuj, czy zgoda jest dobrowolna

Zgodnie z RODO należy podać:

“informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych”

RODO, art. 13

W  tym kontekście użytkownikowi należy udzielić absolutnie jednoznacznej informacji, czy aktywność prowadzona przez niego na stronie jest uzależniona od wyrażenia zgody na cookies. 

Czyli jako właściciel serwisu musisz podać informację, czy użytkownik może przeglądać serwis lub korzystać z usługi bez wyrażenia zgody na cookies czy też nie, albo z jakim ograniczeniem.

Czyli jeszcze dosłowniej: czy pozwolisz użytkownikom przeglądać serwis, nawet jeśli nie wyrażą zgody na monitorowanie.

Podaj informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczaniu się

RODO, art 4. pkt 4.

Zakładam, że profilowanie w rozumieniu ustawy miałoby dotyczyć konkretnych osób, a nie zagregowanych danych o wszystkich użytkownikach. Nie znalazłam żadnej informacji o profilowaniu przez Google poprzez użycie Google Analytics.
Nie potrafię sobie także wyobrazić samodzielnego profilowania przy użyciu Google Analytics.

W związku z tym uznaję, że można poinformować, że w związku z monitorowaniem z użyciem GA w odniesieniu do osób fizycznych nie są podejmowane zautomatyzowane decyzje.

Aczkolwiek Google Analytics może być łączone z narzędziami reklamowymi. W nietypowych wdrożeniach rozważ indywidualnie, czy zachodzi profilowanie.

Podaj informacje o stosowaniu cookies

Ustawa Prawa telekomunikacyjnego pozwala stosować cookies pod warunkiem, że użytkownicy otrzymają informację o:

“możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;”.

Prawo telekomunikacyjne  art. 173. pkt. 1 lit. b)

Przekładam to na polski tak: “poinformuj, że cookies można zablokować lub usunąć w ustawieniach przeglądarki”.

Przykłady informacji o stosowaniu cookies

“Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij w przycisk „Rozumiem i akceptuję”. Jeżeli chcesz edytować ustawienia plików cookies, kliknij w przycisk „Ustawienia”.”

prakreacja.pl

“W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki.” 

www.gov.pl

“ W każdej chwili możesz usunąć i zablokować dalsze umieszczanie plików cookie zmieniając ustawienia przeglądarki.“

mzbkancelaria.pl

“Możesz zmienić ustawienia przeglądarki w zakresie korzystania z plików cookie. Instrukcję znajdziesz w naszej polityce prywatności.”

prawo.gazetaprawna.pl

INNE OBOWIĄZKI administratora 

Zawrzyj umowy powierzenia

Na podstawie ustawy:

Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.59), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:
1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174

Jak upoważnić?

1. W konfiguracji usługi Google Analytics potwierdź “Aneks o przetwarzaniu danych”.
   Poniżej w procedurze podaję, gdzie go znaleźć.
2. Jeśli udostępniasz swoje konto w Google Analytics swojemu pracownikowi, to nadaj mu upoważnienie.
3. Jeśli współpracujesz z zewnętrznym podmiotem np. freelancerem lub agencją interaktywną lub marketingową, która opiekuje się serwisem lub wspiera Cię w reklamowaniu, SEO itd. zawrzyj umowę powierzenia.

Zabezpiecz dostęp do danych

Dalej w art. 174 doczytamy o środkach ochrony, które obowiazują dostawców usług telekomunikacyjnych:

2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174

Niezależnie od tego, czy uznasz, że ten przepis dotyczy Ciebie, czy też nie, przy korzystaniu z usługi Google Analytics należy stosować podstawowe zasady bezpieczeństwa, czyli:

• nie użyczać nikomu swojego hasła dostępowego, tym bardziej, że w Google Analytics logujesz się na swoje konto Googlowe, czyli to, które identyfikuje Cie w wyszukiwarce Google i na którym możesz korzystać z innych usług np. kalendarza, poczty, dokumentów Google;
• jeśli chcesz komuś dać dostęp do raportów w Google Analytics – daj mu najmniejsze uprawnienia i na najniższym poziomie, jakich będzie potrzebować.

---

Podsumowując:

---

Jeśli udało Ci się przebrnąć przez meandry wymagań prawnych, masz już ustalony sposób pobierania zgody i przygotowane teksty dla spełnienia obowiązków informacyjnych możesz skorzystać z poniższej procedury, według której możesz zainstalować statystyki na swojej stronie i spełnić obowiązki, jakie nakłada ustawa RODO o ochronie danych osobowych oraz Prawo telekomunikacyjne, które reguluje sposób korzystania z plików cookies.

Google często zmienia swoje narzędzia, dlatego w kilku miejscach w poniższej procedurze podaję odesłania do ich instrukcji, bo są większe szanse, że będą aktualne.

PROCEDURA wdrożenia podstawowych statystyk Google Analytics

Opcjonalnie: skonfiguruj zbieranie szczegółowych danych w GA 

Taką minimalną konfigurację statystyk możesz uzupełnić o mierzenie konwersji, pobrań plików, segmentacje, wykluczenia, łączenie danych, filtrowania, statystyki e-commerce, dane demograficzne itp. Poszczególne raporty możesz włączyć w Google Analytics.

Jak umieścić kod śledzenia od Google Analytics w WordPress?

Jeśli używasz WordPressa to masz kilka opcji umieszczenia kod śledzenia, w zależności od tego, czy wymagasz jednej czy kilku osobnych zgód lub czy chcesz korzystać z trybu udzielania zgody.

Jeśli będziesz korzystać ze standardowego wdrożenia GA i wymagać tylko jedną zgodę (tylko na monitorowanie) bez trybu zgody (consent mode)

Skorzystaj z wtyczki:

Cookie Notice & Compliance for GDPR / CCPA dostarczanej przez Hu-manity.co

W niej ustaw:

• Wiadomość: tu wpisz treść zgody. 
• Tekst przycisku: tu wpisz tekst przycisku zgody, np. “Zgadzam się”
• Polityka prywatności: włącz (ewentualnie wyłącz, ale dodaj link np. w wiadomości, czyli w treści zgody np. <a href=”https://twojadomena.pl/polityka-prywatnosci-i-cookies/” target=”_blank”>Polityka prywatności i cookies</a>
• Odmowa (Refuse consent):
  • włącz Zezwól użytkownikowi na odmowę używania nie funkcjonalnych ciasteczek
  • i wpisz tekst przycisku odmowy, np. “Nie zgadzam się”
• Zmiana decyzji (Revoke consent): 
  • włącz, 
  • wpisz tekst linku zmiany decyzji (Enter the revoke message.) np. “Zmieniam decyzję co do cookies”
  • ustaw sposób jego wywołania na automatyczny lub ręczny
• Blokowanie skryptów: tu wklej kod śledzenia (globalny tag witryny z poprawkami wg punktu 7.)
• Przeładowuję:
  włączone (wtedy po udzieleniu zgody strona się przeładuje, co będzie widoczne jako mignięcie, użytkownik będzie od tego momentu użytkownik będzie monitorowany)
  lub wyłączone (strona nie mignie, ale użytkownik będzie monitorowany dopiero po przejściu do następnej strony).
• Przewijanie: nie zaznaczaj
• Po kliknięciu: nie zaznaczaj
• Wygasanie ciasteczka ze zgodą: wg własnego uznania
• Pozycja skryptów: w stopce
• Deaktywacja: proponuję wyłączyć

Wygląd dostosuj wg własnego uznania.  W razie potrzeby lepszego dopasowania wyglądu albo dla zrealizowania kreatywnych pomysłów można dodać własne style w CSS.

Jeśli stawiasz na ręczną zmianę decyzji wstaw shortcode [[cookies_revoke]] w wybranym miejscu np. w stopce.

Jeśli strona będzie używana w kilku wersjach językowych, to w konfiguracji wtyczki teksty należy wpisać w podstawowym języku w jakim jest motyw (np. po angielsku), a tłumaczenie na pl i inne języki wykonaj osobno. Jeśli korzystasz z WPML, to przetłumacz przez moduł tłumaczenie wyrażeń > Kontekst=Cookie Notice (nie plugin cookie-notice!!!)

Jeśli chcesz zapisywać cookies wymagające osobnych zgód

Będziesz potrzebować rozwiązania, które będzie umieszczać skrypt śledzenia niezależnie od pozostałych.

Możesz użyć darmowe wtyczki:

GDPR Cookie Compliance (CCPA, PIPEDA ready) dostarczana przez Moove Agency

Wtyczka w darmowej wersji pozwala dodać 2 osobne zgody np. na monitorowanie i remarketing.

Tą wtyczkę polecam, gdy zależy Ci na zapewnieniu dostępności cyfrowej: pozwala łatwo obsługiwać przyciski przy użyciu klawiatury (działa tabulacja i wyłączanie przez klawisz ESC).

W ustawieniach wtyczki:

1. W Banner Settinngs w Cookie Banner Content wpisz treść zgody.
2. Włacz Floating Button, który umożliwia użytkownikom zmianę decyzji.
3. W Privacy Overview możesz podać więcej ogólnych informacji (to się wyświetli przy zmianie decyzji co do cookies i przy ustawianiu osobnych zgód).
4. Wejdź do zakładki 3rd party cookies i tam zmień nazwę tej grupy cookies w Tab title np. Monitorowanie.
5. Default status ustaw Disabled, żeby użytkownikom skrypt się instalował dopiero po udzieleniu zgody.
6. W Tab content wpisz informacje wynikające z obowiązków informacyjnych, czyli o celu, administratorach i dodatkowe informacje jeśli korzystasz ze szczegółowych raportów np. dotyczących demografii, zainteresowań, itd.
7. Pod Paste your codes and snippets below. They will be added to all pages if user enables these cookies. w Head Section wklej kod śledzenia (globalny tag witryny z poprawkami wg punktu 7.)
8. W kolejnej zakładce Additional Cookies możesz ustawić drugą zgodę, analogicznie jak w punktach 4-7.

Jeśli korzystasz z Google Tag Manager

Podepnij Google Analytics przez GTM.

Jeśli GTM służy Ci tylko do tego celu, to możesz podpiąć skrypt GTM przez wtyczkę tak, jak w punkcie dotyczącym pojedynczej zgody, tylko zamiast skryptu GA dodaj skrypt GTM.

Jeśli jednak serwis korzysta z wielu narzędzi wykorzystujących różne kategorie cookies i potrzebujesz zbierać zgody na kilka różnych celów przetwarzania danych osobowych i cookies, to najwygodniej będzie skorzystać z narzędzi ułatwiających spełnienie obowiązków informacyjnych przez automatyczne skanowanie serwisu i rozpoznawanie cookies.

W tym przypadku lub gdy chcesz monitorować ruch bez korzystania z cookies (i bez wyraźniej zgody użytkowników) wykorzystaj:

Cookie Hub – łatwe wdrożenie consent mode v2

Cookie Hub to platforma, która służy do zarządzania cookies i zgodami na nie.
Regularnie skanuje serwis w poszukiwaniu cookies i pomaga je skategoryzować. Następnie dla każdej kategorii ustalasz sposób obchodzenia się z cookies. Przede wszystkim czy mogą być stosowane od razu czy dopiero po udzieleniu zgody odbiorcy.

Można śmiało korzystać z domyślnych konfiguracji i sensownych tekstów (również w języku polskim). Można również wiele rzeczy dostosować, w tym wszystkie teksty i przyciski widoczne w banerze.

Jest dostępny w wersji darmowej i płatnej. Wersja darmowa wystarczy dla małego serwisu w jednej wersji językowej.

Gdy na koncie Cookie Hub już wszystko skonfigurujesz podpinasz go do serwisu przez Google Tag Manager (GTM), wtyczkę do WordPress lub ręcznie.

Proponuję skorzystać z metody z Google Tag Manager, która dodatkowo pozwala korzystać z wbudowanej opcji consent mode.

Jak uruchomić pozyskiwanie zgód na cookies z Cookie Hub + Google Tag Manager w trybie consent mode?

1. W cookiehub.com
   1. załóż konto (account)
   2. dodaj domenę i wybierz plan (darmowy lub płatny).
   3. w Settings > General:
      • włącz Google Consent Mode
      • jak instalujesz dla polskiego serwisu od razu zmień Default Language na Polish
      • ustaw, które kategorie cookies mają się wyświetlać przy udzielaniu szczegółowych zgód na cookies
      • Save changes
   4. w Content: przejrzyj treści obowiązków informacyjnych. Domyślne wersje są dość dobre, ale w razie potrzeby podaj nazwy administratorów.
   5. Jeśli zastosujesz banner do serwisu w kilku wersjach językowych:
      • to w Settings dodaj języki (więcej niż jeden język można dodać tylko w opcji płatnej),
      • a w Content zweryfikuj teksty dla wszystkich wersji językowych.
   6. w Customize: wygląd i zawartość baneru, w tym link do swojej strony z polityką cookies (podaj pełny url np. https://twojadomena.pl/polityka-cookies/).
      Zaznacz Enhanced accessibility – to nic Cię nie kosztuje, a zwiększa użyteczność zwłaszcza dla osób z niepełnosprawnościami.
   7. Save & publish (na razie to będzie oznaczać tylko zapisanie zmian, jeszcze nic nie zobaczysz w swoim serwisie)
2. W Google Tag Manager
   1. Importuj z szablonu tagi i triggery wg instrukcji (doda się wywołanie baneru o cookies i consent mode dla wybranych usług, m.in. Google Analytics).
   2. Uzupełnij consent mode dla pozostałych tagów (np. innych usług śledzących Hotjar i reklamowych np. pixel Facebooka) wg instrukcji
   3. Opublikuj zmiany w Google Tag Manager.
3. W WordPress
   1. Jeśli dotychczas Twój serwis wyświetlał info o cookies w inny sposób, to: w razie potrzeby usuń linki do ustawień cookies/zmiany decyzji co do cookies i wyłącz stare rozwiązanie (wtyczkę lub ustawienie w motywie)
   2. Jeśli jeszcze nie był dodany – dodaj ​kod instalujący Google Tag Manager np. w child theme w functions.php przez ustawienia motywu lub wtyczkę
4. W cookiehub.com
   1. Włącz ponowne skanowanie cookies.
   2. Po przeskanowaniu przejrzyj wykryte cookies, upewnij się, że są poprawnie skategoryzowane i wymagasz odpowiednie zgody.
   3. Po drugie w zakładce Content w sekcji Cookies pojawią się pola do opisania poszczególnych cookies. Niestety nie podaje nam polskich wersji, więc ręcznie dodaj tłumaczenia (ja korzystałam z Translatora Google i moim zdaniem całkiem dobrze sobie poradził). Oprócz proponowanych przez CookieHub domyślnych opisów proponuję jeszcze dodać nazwy współadministratorów (np. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia).
   4. I jeszcze raz publikuj (tym razem publikowane zmiany już będą widoczne w serwisie, chociaż trzeba odczekać parę minut)
5. Przetestuj wygląd i czytelność baneru w swoim serwisie na dużym ekranie i na smartfonie.
6. Upewnij się, że wszystkie usługi korzystające z cookies działają poprawnie.
   
   Np. jeśli osadzasz filmy z YouTube w zwykły sposób, to ich uruchomienie będzie wymagać korzystania z cookies. Więc jeśli poprawnie zakwalifikujesz cookie YouTubowe do kategorii analitycznych, a użytkownik się na nie nie zgodzi, to nie da rady obejrzeć filmów.
   Jest kilka sposobów na obejście tego problemu. Jednym z nich jest osadzanie filmów z YouTube w trybie rozszerzonej prywatności. Alternatywnie można wyświetlić filmy tylko po udzieleniu zgody na cookies analityczne.

Jak uzyskać więcej zgód?

Możesz umieścić mały baner z info o cookies i spełnić rzetelnie wszystkie wymagania prawne. Jednak szkopuł w tym, że taką zgodę na cookies wyrazi zaledwie 20 do 40% wszystkich użytkowników odwiedzających witrynę.

Reszta odmówi lub nie podejmie żadnej decyzji. Ich zachowanie na stronie nie będzie uwzględnione w raportach Google Analytics. Jeśli również nie udzielą zgody na marketing, to stracisz możliwość dotarcia do nich z reklamami remarketingowymi (wyświetlanymi osobom, które odwiedziły Twoją stronę i wyraziły zgodę na marketing).

Jak temu zapobiec?

Bezpieczną (zgodną z prawem) metodą na skłonienie do podjęcia decyzji będzie wyświetlenie dużego baneru z info o cookies w sposób utrudniający korzystanie z witryny.

Organizacjom, którym bardzo zależy na uzyskaniu zgody wyświetlają baner w sposób uniemożliwiający korzystanie z witryny.

W takim przypadku trzeba zadbać o to, żeby polityka prywatności i cookies była dostępna przed podjęciem decyzji. Jeśli w serwisie są linki do przełączenia wersji językowej, to również powinny być dostępne od razu.

Takie rozwiązanie pozwoli zebrać 20 do 70% więcej zgód na cookies.

Niektóre organizacje ryzykują zgodność z przepisami i na banerze wyświetlają prominentny link do zgody, dzięki któremu użytkownikowi łatwo pozbyć się baneru, ale nie wyrażenie zgody wymaga od użytkownika większej determinacji (wyklikanie szczegółowych ustawień cookies lub znalezienie małego znaczka do zamknięcia baneru). Takie rozwiązanie wraz z uniemożliwieniem korzystania z serwisu przed udzieleniem decyzji może dać 40-70% więcej zgód.

---

Jeśli masz uwagi lub pytania do tego opracowania, albo po prostu interesuje Cię ten temat – zostaw komentarz! Miło by mi było wiedzieć, że jest jeszcze ktoś, kto ma ochotę zgłębić ten temat:)

A może monitorujesz ruch nie tylko z Google Analytics?

Jeśli masz stronę współdzielonym koncie hostingowym (czyli gdzieś masz wykupioną usługę serwera, hostingu) to jest duże prawdopodobieństwo, że hostingodawca zapewnia Ci dostęp do podstawowych statystyk. Wystarczy, że zalogujesz się na swoje konto hostingowe, to znajdziesz do nich dostęp.

A jeśli masz dostęp do takich statystyk, bo hostingodawca je prowadzi domyślnie dla Twojego konta i w monitorowanych danych mogą się znaleźć dane osobowe, to uznałabym, że administratorem tych danych jest hostingodawca, a Ty jako wynajmujący miejsce na serwerze jesteś odbiorcą tych danych. 

W związku z tym:

1. Z hostingodawcą zawrzyj umowę powierzenia przetwarzania danych osobowych.
2. W Polityce Prywatności spełnij obowiązki informacyjne zgodnie z RODO art.14, jeśli masz możliwość przetwarzać (czyli np. mieć dostęp) do jakiś dane osobowych z tych statystyk (np. adresów IP).

 

Chcesz więcej wskazówek jak rozwijać stronę firmową, aby wspierała w sprzedaży?