Monitorowanie wizyt użytkowników – wdrożenie Google Analytics zgodnie z RODO
Czy monitorowanie statystyk strony z Google Analytics ma jakiś związek z RODO? Czy trzeba pytać odwiedzających stronę o zgodę na monitorowanie? Skorzystaj z procedury wdrożenia statystyk i szczegółowych interpretacji dla spełnienia obowiązków prawnych związanych z cookies oraz przetwarzaniem danych osobowych.
Najnowsza, czwarta wersja narzędzia do monitorowania statystyk Google Analytics (GA4) nie zachwyciła marketerów, jednak nadal to jedno z najpopularniejszych, darmowych narzędzi do pomiaru i analizy ruchu na stronie. Dzięki niemu możesz monitorować źródła odwiedzin i zachowanie użytkowników, żeby móc ocenić efektywność strony i działań marketingowych i podejmować lepsze decyzje biznesowe.
Z tego artykułu dowiesz się, jakie wziąć pod uwagę kwestie prawne i jak wdrożyć Google Analytics w WordPress np. z użyciem wtyczki Cookie Notice & Compliance dla RODO / CCPA dostarczaną przez Hu-manity.co lub GDPR Cookie Compliance dostarczaną przez Moove Agency lub przez platformę do zarządzania cookies: Cookie Hub.
A jeśli masz już zainstalowane statystyki upewnisz się, czy korzystasz z nich w sposób zgodny z wymaganiami prawnymi. Z pomocą tego artykułu dowiesz się, dlaczego należy wymagać zgody od użytkowników oraz sprawdzisz, czy spełniasz wszystkie obowiązki.
Znajdziesz też podstawy prawne i przykłady spełnienia obowiązków informacyjnych.
A jeśli jesteś prawnikiem, to zapoznaj się zwłaszcza z technicznymi szczegółami, żeby dobrze doradzić swoim klientom. W tym artykule znajdziesz wyjaśnienia dotyczące wdrożenia Google Analytics i działania cookies, inne informacje dotyczące jego twórcy (Google), niezbędne do poprawnego spełnienia obowiązków informacyjnych.
Jak zainstalować statystyki Google Analytics i jak spełnić obowiązki prawne?
Żeby zacząć monitoring użytkowników strony z Google potrzebujesz:
1. konto w Google,
2. konto w Google Analytics,
3. opcjonalnie konto w Google Tag Manager (GTM)
4. spełnić obowiązki prawne,
5. umieścić kod do śledzenia na stronie.
Wiele poradników skupia się tylko na tym ostatnim, technicznym kroku, czyli wstawieniu kodu Google Analytics do strony. Jeśli masz stronę na WordPresssie, to możesz sobie z tym poradzić nawet bez pomocy programisty.
Jednak zanim zabierzemy się za monitorowanie statystyk witryny, powinniśmy spełnić kilka obowiązków wynikających z przepisów prawnych, a to trochę komplikuje sprawę.
Przeszukując internet w poszukiwaniu wiedzy lub przykładów wdrożeń, a nawet korzystając z pomocy prawnej, spotkałam się z różnymi interpretacjami przepisów. Niespójności wynikają nie tylko z niezrozumienia tematów, ale przede wszystkim z częstych zmian w technologiach internetowych oraz w ustawodawstwie ich dotyczących.
Jakie obowiązki prawne mają zastosowanie przy monitorowaniu z Google Analytics?
Przy monitorowaniu ruchu z Google Analytics mówimy o różnych obowiązkach:
– spełnieniu obowiązków informacyjnych
– pozyskaniu zgody użytkownika
– zawarciu umów
– zabezpieczaniu danych.
Jakie są podstawy prawne do korzystania z narzędzi do monitorowania ruchu?
Podstawa prawna do korzystania z cookies
Google Analytics to narzędzie, które podczas przeglądania przez użytkownika witryny w przeglądarce zapisuje na jego urządzeniu cookies, czyli takie małe pliki tekstowe. Dzięki cookies można dokładniej identyfikować wizyty i np. mierzyć ich czas trwania, powracalność, itd.
Stosowanie cookies reguluje prawo telekomunikacyjne (PT).
Art. 173. pkt. 1 pozwala na przechowywanie cookies, pod warunkiem, że użytkownik końcowy wyrazi na to zgodę.
RODO przy monitorowaniu z Google Analytics
Monitorując odwiedzających stronę powinniśmy również zapewnić ochronę ich danych osobowych zgodnie z RODO. Wg RODO dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Jakie dane osobowe przetwarza GA? W domyślnej konfiguracji to np. lokalizacja (określana na podstawie IP).
Czy te dane można powiązać z konkretnym człowiekiem?
W niektórych okolicznościach da się i to całkiem prosto.
Kilka przykładów podaję poniżej.
GA nie służy do identyfikowania osób i nie można do niego przesyłać żadnych informacji, które Google mogłoby do tego wykorzystać (zabraniają tego w swoich warunkach korzystania z usługi).
Jeśli monitorujesz stronę na WordPress z dodatkami (motywem i wtyczkami) napisanymi wg standardów bezpieczeństwa i ochrony danych, to z samych raportów GA nie dowiesz się, kto odwiedził serwis.
Jednak technicznie jest możliwe zidentyfikowanie osoby, np. jeśli dane zalogowanego użytkownika są przekazywane w adresie url lub poprzez tzw. zdarzenia.
Wystarczyłby już sam identyfikator użytkownika lub transakcji zakupowej, żeby sobie łatwo powiązać dane osobowe ze strony (np. z profilu użytkownika lub z zamówienia) z danymi z GA.
Jeśli masz zwykłą stronę firmową i najprostszą domyślną konfigurację Google Analytcis, to zaglądając do statystyk w czasie rzeczywistym w trakcie rozmowy z klientem przeglądającym stronę też możesz zidentyfikować jego dane.
Google jako administrator danych osobowych
Niezależnie od tego jak Ty będziesz wykorzystywać dane, Google jako dostawca przyznaje sobie prawo do wykorzystywania danych do własnych celów (tu znajdziesz informacje jak Google używa danych).
Zakładając usługę Google Analytics zawierasz umowę z Google.
W niej Google na Ciebie zrzuca odpowiedzialność za spełnienie niektórych wymagań RODO tj. pozyskania zgody i realizacji obowiązków informacyjnych.
Przetwarzanie danych przy świadczeniu usługi drogą elektroniczną
Art. 18 ustawy o świadczeniu usług drogą elektroniczną wskazuje wprost, jakie dane można przetwarzać w związku z realizowaniem usługi drogą elektroniczną.
Wskazuje również, że do celu badania zachowań (które to badania nie są niezbędne do świadczenia usługi drogą elektroniczną) jedyną możliwą podstawą przetwarzania danych, jest zgoda:
Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
Ustawa o świadczeniu usług drogą elektroniczną, art. 18, pkt.4
Podsumowując:
Jeśli chcesz korzystać z pełnych możliwości Google Anatytics pytaj każdego użytkownika o zgodę monitorowanie ruchu.
Monitorowanie z Google Analytics NA PODSTAWIE ZGODY użytkownika
Przy standardowym wdrożeniu kod śledzenia z Google Analytics powinno się umieścić na stronie dopiero po udzieleniu zgody przez użytkownika. Wynika to z przepisów prawnych wymienionych powyżej.
Ponadto, możesz spodziewać się zablokowania reklam Google Ads lub uczestnictwa programu AdSense, jeśli śledzisz użytkowników witryny z GA bez ich wyraźnej zgody.
Co powinno się znaleźć w treści zgody na cookies Google Analytics?
W 2019 r. weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, która do uzyskania zgody na cookies nakazuje stosować przepisy RODO (mówi o tym dodany art. 174. Prawa telekomunikacyjnego).
RODO szczegółowo określa zasady pobierania zgody i nakazuje spełnić szereg obowiązków informacyjnych przy pozyskiwaniu zgody.
W praktyce niektóre serwisy realizują je od razu wszystkie w okienku ze zgodą w formie długiego tekstu.
Ustawa pozwala jednak przekazać informacje warstwowo, czyli najpierw w krótkiej formie przed udzieleniem zgody:
Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.
motyw 42. RODO
Ponadto mamy poinformować o:
możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi
Prawo telekomunikacyjne art. 173. pkt. 1 lit. b)
Poniżej w części dotyczącej obowiązków informacyjnych zebrałam szczegółowe interpretacje i przykłady powyższych przepisów.
Sposób wyrażenia zgody na monitorowanie
Projektując pytanie o zgodę należy wziąć pod uwagę, że ma umożliwić:
konkretne i świadome dobrowolne okazanie woli.
RODO art.4
Właścicielom strony i analitykom będzie zależało na tym, żeby pytanie o zgodę na cookies zostało zauważone i rozpatrzone pozytywnie.
Dlatego najczęściej stosuje się popup lub wysuwany element, którego nie da się przeoczyć.
Jak poprawnie zebrać zgody na cookies?
Zgoda nie może być domyślna, ani domniemywana, gdy użytkownik przeskroluje część strony. Gdyby ktoś miał co do tego wątpliwości, to może zajrzeć do wyroku TSUE:
zgoda na przechowywanie informacji lub dostęp do informacji za pośrednictwem plików cookie zainstalowanych w urządzeniach końcowych użytkownika strony internetowej nie jest ważna, jeżeli jest ona efektem umieszczenia na stronie domyślnie zaznaczonego okienka wyboru, i to niezależnie od tego, czy owe informacje stanowią dane osobowe. Zgoda wymaga w szczególności wyrażenia woli w formie „wyraźnego aktu potwierdzającego” i którego motyw 32 wyraźnie wyklucza wyrażenie zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania
wyrok TSUE z dnia 1 października 2019 r. w sprawie C‑673/17
Ponadto zapytanie o zgodę ma nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Sposobem na zmniejszenie dyskomfortu związanego z udzieleniem zgody jest wdrożenie mechanizmu, który polega na zapamiętaniu decyzji użytkownika dla tej i kolejnych wizyt tak, aby nie pytać o zgodę na każdej podstronie i przy kolejnych wizytach.
Przy okazji – ten mechanizm zapamiętywania decyzji też wykorzystuje cookie. To funkcjonalne cookie podlega zwolnieniu z pytania o zgodę (wg art. 173 pkt. 3.2 prawa telekomunikacyjnego).
Jedna czy kilka zgód?
Google Analytics zapisuje użytkownikom kilka cookies. Nie trzeba zbierać zgody na każde cookie osobno. Zgodę na cookies dotyczących monitorowania z Google Analytics można śmiało zgrupować, czyli pozyskiwać zgodę na wszystkie cookies z Google Analytics na raz (a nawet połączyć ze zgodną na inne cookies służące do monitorowania).
Natomiast jeśli w Twojej witrynie są stosowane inne, zwłaszcza niefunkcjonalne cookies np. reklamowe np. pixel Facebooka lub tagi Google Ads itp., to będą wymagały udzielenia co najmniej jednej odrębnej zgody na marketing.
Monitorowanie z Google Analytics BEZ ZGODY użytkownika
Czy możemy podpiąć GA do strony od razu i zbierać dane o ruchu wszystkich, którzy tą stronę odwiedzą i ich tylko o tym informować?
Consent Mode, czyli Tryb uzyskiwania zgody
We wrześniu 2020r. Google udostępniło nowe rozwiązanie, tzw. Consent Mode, czyli Tryb uzyskiwania zgody, które pozwala na mierzenie o ruchu i konwersji w witrynie również w przypadku, gdy użytkownik nie wyrazi zgody na zapisywanie plików cookie, przy jednoczesnym zachowaniu pełnej zgodności z wymogami RODO.
Przed udzieleniem zgody lub w przypadku braku zgody
To rozwiązanie zakłada, że na każdej stronie witryny zostanie zaimplementowany kod śledzenia z pewną modyfikacją, dzięki której Google Analytics:
Po udzieleniu zgody na cookies analityczne
Rozwiązanie z consent mode zakłada, że po udzieleniu zgody kod śledzenia ma być odpowiednio zmodyfikowany tak, aby umożliwić Google Analytics korzystanie z cookies i zbierać kompletne dane do raportów tak, jak to się dzieje w przypadku standardowego wdrożenia.
Zasady pozyskiwania zgody przy wdrożeniu z consent mode są takie same jak przy standardowym bez niego.
Jak wdrożyć Google Analytics bez zgody?
Dla jasności zamieszczam porównanie wdrożenia standardowego i zmodyfikowanego kodu śledzenia.
Przed udzieleniem lub bez zgody na monitorowanie przez użytkownika | Po udzieleniu zgody na monitorowanie przez użytkownika | |
---|---|---|
Gdy zależy Ci na pozyskiwaniu kompletniejszych danych | stosuj zmodyfikowany kod śledzenia (consent mode) wraz z domyślnymi ustawieniami trybu udzielania zgody (zgoda nieudzielona) | stosuj kod śledzenia ze zaktualizowanymi ustawieniami trybu udzielania zgody (zgoda udzielona) |
Gdy idziesz na łatwiznę | nie zamieszczaj kodu śledzenia | zamieść standardowy kod śledzenia |
Na końcu tego artykułu opisuję proste wdrożenie narzędzia do pozyskiwania zgód, spełnienia obowiązków informacyjnych oraz właśnie trybu consent mode dla serwisu na dowolnym oprogramowaniu i z wykorzystaniem GTM.
A jeśli koniecznie chcesz je u siebie wdrożyć bez korzystania z GTM, możesz skorzystać z tej oficjalnej instrukcji wdrożenia Trybu udzielania zgody na stronie Google dla deweloperów. Ostrzegam: to rozwiązanie tylko dla fachowców:)
OBOWIĄZKI INFORMACYJNE przy stosowaniu statystyk GA
Przypomnę obowiązki informacyjne, które powinny być udzielone jeszcze przed udzieleniem zgody:
- Cele przetwarzania danych i stosowania cookies
- Tożsamość administratorów
Pozostałe obowiązki informacyjne:
- Dane kontaktowe
- Informacje o odbiorcach danych lub o kategoriach odbiorców
- Informacje o zamiarze przekazania danych osobowych do państwa trzeciego
- Okres przechowywania danych i cookies
- Inne prawa osób, których dane dotyczą
- Informacja o prawie cofnięcia zgody
- Czy zgoda jest dobrowolna
- Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
- Informacje o stosowaniu cookies
Wszystkie obowiązki warto spełnić w polityce prywatności i cookies. Link do niej należy umieścić na stałe w widocznym miejscu, np. na dole strony.
Poniżej podaję podstawy prawne obowiązków informacyjnych wynikające z RODO i przypominam, że wg nowego art. 174. prawa telekomunikacyjnego do uzyskania zgody na cookies również stosuje się przepisy o ochronie danych osobowych.
Podaj cele przetwarzania danych osobowych i stosowania cookies
Mówią o tym dwa osobne przepisy:
- zgodnie z Prawem telekomunikacyjmym: cel stosowania cookies,
- natomiast RODO mówi, że trzeba podać cel przetwarzania danych osobowych.
Cel należy podać jeszcze przed udzieleniem zgody.
Uwaga – wg RODO trzeba również podać podstawę prawną celu przetwarzania (wystarczy ją uwzględnić w polityce prywatności i cookies):
Przy pobieraniu zgody podstawą prawną będzie art. 6 RODO ust. 1 lit.a. , który brzmi następująco:
osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
art. 6 RODO ust. 1 lit.a.
Przykłady sformułowania celu przetwarzania danych i stosowania cookies przy zgodzie na Google Analytics
“do monitorowania”
„w celu korzystania z narzędzi analitycznych”
“do prowadzenia statystyk dla witryny x”
“by analizować ruch w tej witrynie”
„badać statystyki dotyczące ruchu na stronie oraz sprawdzać źródła ruchu (kierunki przekierowania),
wykrywać różnego rodzaju nadużycia np. sztuczny ruch internetowy (boty),
ograniczyć niektóre działania marketingowe m.in. aby ochronić użytkowników wielokrotnym wyświetlaniem tej samej reklamy,
mierzyć – bez identyfikowania danych osobowych – skuteczność akcji prowadzonych na rzecz banku, np. w sieci reklamowej Google, w programach partnerskich, na zewnętrznych stronach internetowych,
rozliczać się z partnerami biznesowymi za usługi reklamowe w oparciu o zarejestrowane akcje świadczone na życzenie użytkowników np. za wysłania formularza internetowego o otwarcie konta osobistego.”
www.ing.pl
Podaj tożsamość administratorów
Należy podać tożsamość administratorów danych lub ewentualnie ich przedstawicieli, jeśli są powołani.
Tożsamość należy podać jeszcze przed udzieleniem zgody.
Kto jest administratorem danych?
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych i cookies.
RODO art.4.
To właściciel strony jest administratorem, ponieważ to on decyduje o użyciu narzędzia i sposobie korzystania z danych i ich udostępnianiu.
Administrator wcale nie musi być jakoś specjalnie “mianowany” i już nie trzeba go zgłaszać do GIODO, jak to drzewiej bywało.
Jeśli informacja o cookies jest przedstawiana przed udzieleniem zgody w taki sposób, że widać jakiego serwisu dotyczy (nie zasłania całej strony) i nazwa serwisu jest tożsama z administratorem, to można by się podeprzeć punktem 4. art. 13 RODO, który mówi, że obowiązki informacyjnie nie mają zastosowania, gdy “osoba, której dane dotyczą, dysponuje już tymi informacjami”.
W polityce prywatności i cookies bezwzględnie podajemy pełną tożsamość administratora.
Czy właściciel serwisu jest jedynym administratorem?
Twórca narzędzia, Google odpowiada za cele przetwarzania oraz sposób działania, zakres danych, miejsce ich przechowywania itd.. Dlatego on również jest administratorem.
Przykłady poprawnego podania tożsamości administratorów przed udzieleniem zgody
“Wykorzystujmy pliki cookies w celu prawidłowego jego działania, korzystania z narzędzi analitycznych (z Google)”
Taka informacja na banerze z cookies wyświetliła się tak, że był widoczny logotyp z nazwą firmy, która była administratorem tego serwisu. Oprócz tego na banerze jest wymieniony Google, czyli drugi administrator. Na banerze był odnośnik do polityki prywatności i cookies, a tam pełne nazwy administratorów.
“Administratorem Twoich danych osobowych jest podmiot z Grupy RAS Polska”
onet.pl
W tym przypadku wchodząc do portalu onet.pl nie mogę się domyśleć, kto jest administratorem, za to w treści zgody administratorzy są już podani kawa na ławę.
Podaj dane kontaktowe
Zgodnie z RODO mamy podać dane kontaktowe administratorów danych lub ewentualnie ich przedstawicieli, a jeśli w organizacjach są powołani inspektorzy ochrony danych, to ich dane.
Dane kontaktowe właściciela serwisu najlepiej podać na początku polityki prywatności i cookies.
Dane kontaktowe administratora Google
Dodatkowo w polityce prywatności i cookies przy informacjach o korzystaniu z narzędzi analitycznych podaj pełne dane drugiego administratora:
Google Ireland Limited („Google”), Gordon House, Barrow Street, Dublin 4, Irlandia.
Podaj informacje o odbiorcach danych lub o kategoriach odbiorców
Odbiorca to podmiot, któremu ujawnia się dane osobowe.
Niektórzy w ramach tego punktu piszą o Google, jako odbiorcy danych. Google są administratorem, o czym pisałam powyżej.
Jeśli udostępniasz konto w Google Analytics komuś spoza swojej firmy np. agencji marketingowej, to jest ona odbiorcą danych. Wtedy należy podać, kto jest tym odbiorcą (pełną nazwę osoby lub firmy) lub podać kategorię odbiorców.
Przykłady kategorii odbiorców
“podmiot świadczący usługi pomocy technicznej udzielanej Administratorowi”
“Podmioty przetwarzające dane na zlecenie administratora danych, w tym agencje marketingowe“
Najlepiej podać te informacje w polityce prywatności i cookies.
Podaj informacje o zamiarze przekazania danych osobowych do państwa trzeciego
Zgodnie z RODO trzeba podać:
informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony
RODO, art. 13
Po pierwsze narzędzie Google przechowuje dane w USA, czyli państwie trzecim.
Po drugie Google współpracuje z różnymi podmiotami, które również mogą być z państw trzecich. Na tej liście można sprawdzić aktualną listę tych podmiotów i ich lokalizacje: https://privacy.google.com/businesses/subprocessors/
Google przystąpiło do programu EU-US-Privacy Shield. Jednakże 16 lipca 2020 TSUE unieważnił decyzję wykonawczą Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji tego wyroku Tarcza Prywatności nie może już stanowić podstawy prawnej do przekazywania danych osobowych do USA.
Przykład informacji o zamiarze przekazania danych osobowych do państwa trzeciego
“Z uwagi na to, że Google posiada siedzibą w USA i wykorzystuje infrastrukturę techniczną znajdującą się w USA, korzysta z mechanizmów zgodności takich jak standardowe klauzule umowne.”
prakreacja.pl
Podaj okres przechowywania danych i cookies
Aby spełnić ten obowiązek, należy ustalić jak długo w narzędziu są przechowywane dane oraz kiedy wygasają cookies zapisywane na urządzeniach użytkowników.
Google Analytics umożliwia ustawienie czasu, po którego upływie dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics.
O co chodzi? W raportach Analyticsa możemy np. rozróżnić użytkowników nowych i powracajacych. Jeśli usuniemy dane użytkownika po 14 miesiącach, a on wejdzie ponownie na naszą stronę pierwszy raz dopiero po 15 miesiącach, to zostanie uznany za nowego użytkownika.
Do wyboru mamy opcje:
- 2 miesiące
- 14 miesięcy.
Poniżej w procedurze podaję, gdzie to można ustawić w GA. Następnie zgodnie z tym ustawieniem możemy poinformować użytkowników o okresie przechowywania danych.
Niezależnie od tego ustawienia okres ważności cookies wynosi do 2 lat. Szczegółowe informacje o okresie wygasania cookies z Anatytisca znajdziesz tutaj: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
Jeśli chcesz się upewnić jakie cookies są stosowane w Twoim serwisie i kiedy wygasają: wejdź na swoją stronę, zgódź się na cookies i sprawdź w przeglądarce.
Najprościej można to zrobić w Chrome: kliknij w pasku adresu na ikonkę przed adresem (kłódkę lub i), poszukaj cookie _ga lub __utma (te są przechowywane najdłużej), sprawdź kiedy wygasa i odejmij aktualny czas.
Przykład określenia okresu przechowywania danych i cookies
“cookies na Twoim urządzeniu wygasają po 2 latach, natomiast dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics po 14 miesiącach;”
Podaj informację o prawie cofnięcia zgody
Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, należy umożliwić wycofanie zgody. W polityce prywatności należy podać informacje jak to zrobić.
Podaj inne prawa osób, których dane dotyczą
Dobrze je znamy z RODO:
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania,
- a także o prawie do przenoszenia danych;
- informacje o prawie wniesienia skargi do organu nadzorczego.
Jeśli chodzi realizację prawa do ograniczenia przetwarzania lub wniesienia sprzeciwu: w serwisie powinna być możliwość nie udzielenia zgody na monitorowanie.
Ponadto użytkownik może ustawić przeglądarkę, żeby nie akceptowała cookies (co w praktyce wielu użytkowników realizuje rozszerzeniami do przeglądarek). Może też sobie usunąć wybrane lub wszystkie cookies z przeglądarki. O tej metodzie też można poinformować użytkowników, jednak weź pod uwagę, że nie jest zbyt wygodna.
O tych możliwościach powinniśmy informować również na podstawie Prawa Telekomunikacyjnego.
Jeśli chodzi o prawo do przenoszenia danych, to w odniesieniu do cookies fizycznie użytkownik ma taką możliwość, bo to są pliki tekstowe zapisane na jego urządzeniu.
BTW – jeśli zastanawiasz się, czy ktoś w ogóle może mieć ochotę skorzystać z prawa do wniesienia skargi, to powiem, że to już się wydarzyło, zapadł wyrok w takiej sprawie, a orzekał Trybunał Sprawiedliwości Unii Europejskiej. Sprawa dotyczyła obowiązków informacyjnych i formy zgody na cookies (wyrok w tej sprawie jest dostępny tutaj: http://curia.europa.eu/juris/celex.jsf?celex=62017CJ0673&lang1=pl&type=TXT&ancre=).
Poinformuj, czy zgoda jest dobrowolna
Zgodnie z RODO należy podać:
“informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych”
RODO, art. 13
W tym kontekście użytkownikowi należy udzielić absolutnie jednoznacznej informacji, czy aktywność prowadzona przez niego na stronie jest uzależniona od wyrażenia zgody na cookies.
Czyli jako właściciel serwisu musisz podać informację, czy użytkownik może przeglądać serwis lub korzystać z usługi bez wyrażenia zgody na cookies czy też nie, albo z jakim ograniczeniem.
Czyli jeszcze dosłowniej: czy pozwolisz użytkownikom przeglądać serwis, nawet jeśli nie wyrażą zgody na monitorowanie.
Podaj informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczaniu się
RODO, art 4. pkt 4.
Zakładam, że profilowanie w rozumieniu ustawy miałoby dotyczyć konkretnych osób, a nie zagregowanych danych o wszystkich użytkownikach. Nie znalazłam żadnej informacji o profilowaniu przez Google poprzez użycie Google Analytics.
Nie potrafię sobie także wyobrazić samodzielnego profilowania przy użyciu Google Analytics.
W związku z tym uznaję, że można poinformować, że w związku z monitorowaniem z użyciem GA w odniesieniu do osób fizycznych nie są podejmowane zautomatyzowane decyzje.
Aczkolwiek Google Analytics może być łączone z narzędziami reklamowymi. W nietypowych wdrożeniach rozważ indywidualnie, czy zachodzi profilowanie.
Podaj informacje o stosowaniu cookies
Ustawa Prawa telekomunikacyjnego pozwala stosować cookies pod warunkiem, że użytkownicy otrzymają informację o:
“możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;”.
Prawo telekomunikacyjne art. 173. pkt. 1 lit. b)
Rozumiem to tak: “poinformuj, że cookies można zablokować lub usunąć w ustawieniach przeglądarki”.
Przykłady informacji o stosowaniu cookies
“Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij w przycisk „Rozumiem i akceptuję”. Jeżeli chcesz edytować ustawienia plików cookies, kliknij w przycisk „Ustawienia”.”
prakreacja.pl
“W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki.”
www.gov.pl
“ W każdej chwili możesz usunąć i zablokować dalsze umieszczanie plików cookie zmieniając ustawienia przeglądarki.“
mzbkancelaria.pl
“Możesz zmienić ustawienia przeglądarki w zakresie korzystania z plików cookie. Instrukcję znajdziesz w naszej polityce prywatności.”
prawo.gazetaprawna.pl
INNE OBOWIĄZKI administratora
Zawrzyj umowy powierzenia
Na podstawie ustawy:
Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.59), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:
Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174
1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych
Jak upoważnić?
- W konfiguracji usługi Google Analytics potwierdź “Aneks o przetwarzaniu danych”.
Poniżej w procedurze podaję, gdzie go znaleźć. - Jeśli udostępniasz swoje konto w Google Analytics swojemu pracownikowi, to nadaj mu upoważnienie.
- Jeśli współpracujesz z zewnętrznym podmiotem np. freelancerem lub agencją interaktywną lub marketingową, która opiekuje się serwisem lub wspiera Cię w reklamowaniu, SEO itd. zawrzyj umowę powierzenia.
Zabezpiecz dostęp do danych
Dalej w art. 174 doczytamy o środkach ochrony, które obowiązują dostawców usług telekomunikacyjnych:
2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174
3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.
Niezależnie od tego, czy uznasz, że ten przepis dotyczy Ciebie, czy też nie, przy korzystaniu z usługi Google Analytics należy stosować podstawowe zasady bezpieczeństwa, czyli:
- nie użyczać nikomu swojego hasła dostępowego, tym bardziej, że w Google Analytics logujesz się na swoje konto Googlowe, czyli to, które identyfikuje Cię w wyszukiwarce Google i na którym możesz korzystać z innych usług np. kalendarza, poczty, dokumentów Google;
- jeśli chcesz komuś dać dostęp do raportów w Google Analytics – daj mu najmniejsze uprawnienia i na najniższym poziomie, jakich będzie potrzebować.
Podsumowując:
Czy wystarczy założyć konto Google Analytics, żeby mierzyć zachowanie swoich użytkowników?
Nie.
Oprócz tego należy na stronie wdrożyć mechanizm pytający odwiedzających o zgodę na cookies dot. monitorowania i umieszczający kod śledzenia po jej udzieleniu, spełnić obowiązki informacyjne np. w polityce cookies, a w GA potwierdzić Zasady przetwarzania danych i podać dane administratora w swojej organizacji.
Jeśli udało Ci się przebrnąć przez meandry wymagań prawnych, masz już ustalony sposób pobierania zgody (z consent mode lub bez) i przygotowane teksty dla spełnienia obowiązków informacyjnych możesz skorzystać z poniższej procedury, według której możesz zainstalować statystyki na swojej stronie i spełnić obowiązki, jakie nakłada ustawa RODO o ochronie danych osobowych oraz Prawo telekomunikacyjne, które reguluje sposób korzystania z plików cookies.
Google często zmienia swoje narzędzia, dlatego w kilku miejscach w poniższej procedurze podaję odesłania do ich instrukcji, bo są większe szanse, że będą aktualne.
PROCEDURA wdrożenia podstawowych statystyk Google Analytics
Jak wdrożyć standardowe statystyki Google Analytics 4 i spełnić obowiązki prawne?
Załóż konto w Google
Jeśli jeszcze nie masz konta w Google załóż je. W razie potrzeby skorzystaj z pomocy https://support.google.com/accounts/answer/27441?hl=pl
Zaloguj się w Google Analytics
https://google.com/analytics – pod tym adresem kliknij w prawym górnym rogu w Sign in to Analytics.
Jeśli nie masz: załóż konto w Google Analytics, klikając w Get started today.Skonfiguruj usługę
Dla swojej witryny skonfiguruj usługę wg instrukcji.
Jeśli jeszcze nie masz założonej osobnej usługi dla swojej witryny to zacznij od Tworzenia konta Analytics. Następnie załóż usługę Google Analytics 4.Usługa się założy i wyświetlą Ci się informacje o niej, m.in. Globalny tag witryny, a w nim kod śledzenia.
Skopiuj kod śledzenia
np. do notatnika.
Jeśli ten krok Ci umknął przy zakładaniu usługi, to ta instrukcja podpowiada, gdzie szukać tego tagu Google.Zawrzyj umowę powierzenia przetwarzania danych
Dalej w Google Analytics przejdź do Administracji.
Dla zawarcia umowy powierzenia przetwarzania danych:
w sekcji Ustaweinia konta (Account) w Szczegóły konta (Account details) potwierdź “Zasady przetwarzania danych” (Data Processing Amendment).
Ten aneks bywa aktualizowany i wtedy w tym miejscu może się wyświetlić prośba o potwierdzenie zmian.
Ponadto poniżej kliknij w ZARZĄDZAJ SZCZEGÓŁAMI ANEKSU O PRZETWARZANIU DANYCH (MANAGE DPA DETAILS) i podaj dane swojej organizacji i dane kontaktowe swojego administratora.Ustaw okres przechowywania danych
W sekcji Ustawienia usługi (Property):
1. w Zbieranie i modyfikowanie danych kliknij w Przechowywanie danych (Data retention)
3. wybierz okres przechowywania plików cookies.Umieść kod śledzenia na każdej stronie, którą chcesz monitorować na samym początku w elemencie <HEAD>
Upewnij się, że kod uruchamia się dopiero po udzieleniu zgody przez użytkownika.
Jeśli używasz WordPressa to zajrzyj poniżej na osobne instrukcje.Sprawdź czy działa
Wejdź do https://google.com/analytics upewnij się, że jesteś na statystykach swojej strony: w lewym górnym rogu jest podany adres aktualnie raportowanej strony (jeśli masz już kilka kont, to możesz się przełączać):
W menu po lewej kliknij w raport Czas rzeczywisty (realtime).
Wejdź na swoją stronę WWW, wyraź zgodę na monitorowanie;
Wróć do Analyticsa i zobacz, czy na wykresie pojawi się przesuwający się słupek z Twoją wizytą.
Jeśli nic nie widzisz, upewnij się, że kod śledzenia znajduje się bezpośrednio za tagiem <head> na każdej stronie witryny: wejdź na swoją stronę i wyświetl jej źródło (w Windows wybierz opcję prawym przyciskiem myszy).Założ stronę polityki prywatności i cookies lub zaktualizuj jej treść.
Upewnij się, że zawiera elementy wymienione powyżej w części dotyczącej obowiązków informacyjnych przy stosowaniu statystyk GA.
Dodaj link do strony Polityki Prywatności i Cookies
Najlepiej w stopce (w WordPressie sprawdź, czy możesz to zrobić w ustawieniach motywu lub przez widget).
Opcjonalnie: skonfiguruj zbieranie szczegółowych danych w GA
Taką minimalną konfigurację statystyk możesz uzupełnić o mierzenie zdarzeń, segmentacje, wykluczenia, łączenie danych, filtrowania, statystyki e-commerce itp. Poszczególne raporty możesz skonfigurować w Google Analytics.
Jak umieścić kod śledzenia od Google Analytics w WordPress?
Jeśli używasz WordPressa to masz kilka opcji umieszczenia kod śledzenia, w zależności od tego, czy wymagasz jednej czy kilku osobnych zgód i czy potrzebujesz korzystać z trybu udzielania zgody.
Jeśli będziesz korzystać ze standardowego wdrożenia GA i wymagać tylko jedną zgodę (tylko na monitorowanie) bez trybu zgody (consent mode)
Skorzystaj z wtyczki:
Cookie Notice & Compliance for GDPR / CCPA dostarczanej przez Hu-manity.co
W niej ustaw:
- Wiadomość: tu wpisz treść zgody.
- Tekst przycisku: tu wpisz tekst przycisku zgody, np. “Zgadzam się”
- Polityka prywatności: włącz (ewentualnie wyłącz, ale dodaj link np. w wiadomości, czyli w treści zgody np. <a href=”https://twojadomena.pl/polityka-prywatnosci-i-cookies/” target=”_blank”>Polityka prywatności i cookies</a>
- Odmowa (Refuse consent):
- włącz Zezwól użytkownikowi na odmowę używania nie funkcjonalnych ciasteczek
- i wpisz tekst przycisku odmowy, np. “Nie zgadzam się”
- Zmiana decyzji (Revoke consent):
- włącz,
- wpisz tekst linku zmiany decyzji (Enter the revoke message.) np. “Zmieniam decyzję co do cookies”
- ustaw sposób jego wywołania na automatyczny lub ręczny
- Blokowanie skryptów: tu wklej kod śledzenia (globalny tag witryny)
- Przeładowuję:
włączone (wtedy po udzieleniu zgody strona się przeładuje, co będzie widoczne jako mignięcie, użytkownik będzie od tego momentu użytkownik będzie monitorowany)
lub wyłączone (strona nie mignie, ale użytkownik będzie monitorowany dopiero po przejściu do następnej strony). - Przewijanie: nie zaznaczaj
- Po kliknięciu: nie zaznaczaj
- Wygasanie ciasteczka ze zgodą: wg własnego uznania
- Pozycja skryptów: w stopce
- Deaktywacja: proponuję wyłączyć
Wygląd dostosuj wg własnego uznania. W razie potrzeby lepszego dopasowania wyglądu albo dla zrealizowania kreatywnych pomysłów można dodać własne style w CSS.
Jeśli stawiasz na ręczną zmianę decyzji wstaw shortcode [[cookies_revoke]]
w wybranym miejscu np. w stopce.
Jeśli strona będzie używana w kilku wersjach językowych, to w konfiguracji wtyczki teksty należy wpisać w podstawowym języku w jakim jest motyw (np. po angielsku), a tłumaczenie na pl i inne języki wykonaj osobno. Jeśli korzystasz z WPML, to przetłumacz przez moduł tłumaczenie wyrażeń > Kontekst=Cookie Notice (nie plugin cookie-notice!!!)
Jeśli chcesz zapisywać cookies wymagające osobnych zgód
Będziesz potrzebować rozwiązania, które będzie umieszczać skrypt śledzenia niezależnie od pozostałych.
Możesz użyć darmowe wtyczki:
GDPR Cookie Compliance (CCPA, PIPEDA ready) dostarczana przez Moove Agency
Wtyczka w darmowej wersji pozwala dodać 2 osobne zgody np. na monitorowanie i remarketing.
Tą wtyczkę polecam, gdy zależy Ci na zapewnieniu dostępności cyfrowej: pozwala łatwo obsługiwać przyciski przy użyciu klawiatury (działa tabulacja i wyłączanie przez klawisz ESC).
W ustawieniach wtyczki:
- W Banner Settinngs w Cookie Banner Content wpisz treść zgody.
- Włacz Floating Button, który umożliwia użytkownikom zmianę decyzji.
- W Privacy Overview możesz podać więcej ogólnych informacji (to się wyświetli przy zmianie decyzji co do cookies i przy ustawianiu osobnych zgód).
- Wejdź do zakładki 3rd party cookies i tam zmień nazwę tej grupy cookies w Tab title np. Monitorowanie.
- Default status ustaw Disabled, żeby użytkownikom skrypt się instalował dopiero po udzieleniu zgody.
- W Tab content wpisz informacje wynikające z obowiązków informacyjnych, czyli o celu, administratorach i dodatkowe informacje jeśli korzystasz ze szczegółowych raportów np. dotyczących demografii, zainteresowań, itd.
- Pod Paste your codes and snippets below. They will be added to all pages if user enables these cookies. w Head Section wklej kod śledzenia (globalny tag witryny z poprawkami wg punktu 7.)
- W kolejnej zakładce Additional Cookies możesz ustawić drugą zgodę, analogicznie jak w punktach 4-7.
Jeśli korzystasz z Google Tag Manager
Podepnij Google Analytics przez GTM.
Jeśli GTM służy Ci tylko do tego celu, to możesz podpiąć skrypt GTM przez wtyczkę tak, jak w punkcie dotyczącym pojedynczej zgody, tylko zamiast skryptu GA dodaj skrypt GTM.
Jeśli jednak serwis korzysta z wielu narzędzi wykorzystujących różne kategorie cookies i potrzebujesz zbierać zgody na kilka różnych celów przetwarzania danych osobowych i cookies, to najwygodniej będzie skorzystać z narzędzi ułatwiających spełnienie obowiązków informacyjnych przez automatyczne skanowanie serwisu i rozpoznawanie cookies.
W tym przypadku lub gdy chcesz monitorować ruch bez korzystania z cookies (i bez wyraźniej zgody użytkowników) wykorzystaj:
Cookie Hub – łatwe wdrożenie consent mode v2
Cookie Hub to platforma, która służy do zarządzania cookies i zgodami na nie.
Regularnie skanuje serwis w poszukiwaniu cookies i pomaga je skategoryzować.
Dla każdej kategorii ustalasz sposób obchodzenia się z cookies: czy mogą być stosowane od razu czy dopiero po udzieleniu zgody odbiorcy.
Można śmiało korzystać z domyślnych konfiguracji i sensownych tekstów dla spełnienia obowiązków informacyjnych (w języku polskim i wielu innych).
Można również wiele rzeczy dostosować, w tym wszystkie teksty i przyciski widoczne w banerze.
Jest dostępny w wersji darmowej i płatnej. Wersja darmowa wystarczy dla małego serwisu w jednej wersji językowej.
Gdy na koncie Cookie Hub już wszystko skonfigurujesz podpinasz go do serwisu przez Google Tag Manager (GTM), żeby korzystać z wbudowanej opcji consent mode.
My znamy to narzędzie i wdrażamy wszędzie tam, gdzie są potrzebne odrębne zgody na kategorie cookies (do monitorowania/marketingu), bo oprócz wymienionych wcześniej przydatnych funkcjonalności i opcji:
- spełnia wszystkie bieżące wymagania prawne, np. RODO, ustawa telekomunikacyjna i jest rozwijany, gdy pojawiają się nowe
- jest zgodne z wymaganiami Google dotyczącymi zarządzania zgodą użytkowników na wyświetlanie reklam w Europejskim Obszarze Gospodarczym i CookieHub został oficjalnie uznany przez Google za Złotego Partnera CMP
- w witrynie wyświetla czytelny baner, który spełnia wymagania dostępności cyfowej.
Jak uruchomić pozyskiwanie zgód na cookies z Cookie Hub + Google Tag Manager w trybie consent mode?
- W cookiehub.com
- załóż konto (account)
- dodaj domenę
- wybierz plan darmowy lub płatny.
Jeśli potrzebujesz płatnej usługi łap kod zniżkowy (Discount code): NJUXNZEW, żeby mieć zawsze 10% zniżki!
- w Settings:
- w sekcji General włącz:
- Automatic updates
- Automatic Cookie Blocking
- Europe only storage
- Consent mode
- w Consent mode settings > Advanced consent mode (recommended)
- w Languages: gdy instalujesz dla polskiego serwisu od razu zmień Default Language na Polish
- w Categories ustaw, które kategorie cookies mają się wyświetlać przy udzielaniu szczegółowych zgód na cookies
- Na górze kliknij: Save changes
- w sekcji General włącz:
- w Content: przejrzyj treści dla spełnienia obowiązków informacyjnych. Domyślne wersje są dość dobre, ale w razie potrzeby usuń zbędne cele, uzupełnij dodatkowe i podaj nazwy administratorów.
- Jeśli zastosujesz banner do serwisu w kilku wersjach językowych:
- to w Settings dodaj języki (więcej niż jeden język można dodać tylko w opcji płatnej),
- a w Content zweryfikuj teksty dla wszystkich wersji językowych.
- w Customize: wygląd i zawartość baneru, w tym link do swojej strony z polityką cookies (podaj pełny url np. https://twojadomena.pl/polityka-cookies/).
Zaznacz Enhanced accessibility – to nic Cię nie kosztuje, a zwiększa użyteczność zwłaszcza dla osób z niepełnosprawnościami. - Save & publish (na razie to będzie oznaczać tylko zapisanie zmian, jeszcze nic nie zobaczysz w swoim serwisie)
- W Google Tag Manager
- Importuj z szablonu tagi i triggery wg instrukcji (doda się wywołanie baneru o cookies i consent mode dla wybranych usług, m.in. Google Analytics).
- Uzupełnij consent mode dla pozostałych tagów (np. innych usług śledzących Hotjar i reklamowych np. pixel Facebooka) wg instrukcji
- Opublikuj zmiany w Google Tag Manager.
- W WordPress
- Jeśli dotychczas Twój serwis wyświetlał info o cookies w inny sposób, to: w razie potrzeby usuń linki do ustawień cookies/zmiany decyzji co do cookies i wyłącz stare rozwiązanie (wtyczkę lub ustawienie w motywie)
- Jeśli jeszcze nie był dodany – dodaj kod instalujący Google Tag Manager np. w child theme w functions.php przez ustawienia motywu lub wtyczkę
- W cookiehub.com
- Włącz ponowne skanowanie cookies.
- Po przeskanowaniu przejrzyj wykryte cookies, upewnij się, że są poprawnie skategoryzowane i wymagasz odpowiednie zgody.
- Po drugie w zakładce Content w sekcji Cookies pojawią się pola do opisania poszczególnych cookies. Niestety nie podaje nam polskich wersji, więc ręcznie dodaj tłumaczenia (ja korzystałam z Translatora Google i moim zdaniem całkiem dobrze sobie poradził). Oprócz proponowanych przez CookieHub domyślnych opisów proponuję jeszcze dodać nazwy współadministratorów (np. Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia).
- I jeszcze raz publikuj (tym razem publikowane zmiany już będą widoczne w serwisie, chociaż trzeba odczekać parę minut)
- Przetestuj wygląd i czytelność baneru w swoim serwisie na dużym ekranie i na smartfonie.
- Upewnij się, że wszystkie usługi korzystające z cookies działają poprawnie.
Np. jeśli osadzasz filmy z YouTube w zwykły sposób, to ich uruchomienie będzie wymagać korzystania z cookies. Więc jeśli poprawnie zakwalifikujesz cookie YouTubowe do kategorii analitycznych, a użytkownik się na nie nie zgodzi, to nie da rady obejrzeć filmów.
Jest kilka sposobów na obejście tego problemu. Jednym z nich jest osadzanie filmów z YouTube w trybie rozszerzonej prywatności. Alternatywnie można wyświetlić filmy tylko po udzieleniu zgody na cookies analityczne.
Jak uzyskać więcej zgód?
Możesz umieścić mały baner z info o cookies i spełnić rzetelnie wszystkie wymagania prawne. Jednak szkopuł w tym, że taką zgodę na cookies wyrazi zaledwie 20 do 40% wszystkich użytkowników odwiedzających witrynę.
Reszta odmówi lub nie podejmie żadnej decyzji. Ich zachowanie na stronie nie będzie uwzględnione w raportach Google Analytics. Jeśli również nie udzielą zgody na marketing, to stracisz możliwość dotarcia do nich z reklamami remarketingowymi (wyświetlanymi osobom, które odwiedziły Twoją stronę i wyraziły zgodę na marketing).
Jak temu zapobiec?
Bezpieczną (zgodną z prawem) metodą na skłonienie do podjęcia decyzji będzie wyświetlenie dużego baneru z info o cookies w sposób utrudniający korzystanie z witryny.
Organizacjom, którym bardzo zależy na uzyskaniu zgody wyświetlają baner w sposób uniemożliwiający korzystanie z witryny.
W takim przypadku trzeba zadbać o to, żeby polityka prywatności i cookies była dostępna przed podjęciem decyzji. Jeśli w serwisie są linki do przełączenia wersji językowej, to również powinny być dostępne od razu.
Takie rozwiązanie pozwoli zebrać 20 do 70% więcej zgód na cookies.
Uwaga! Blokowanie dostępu do zawartości może całkowicie uniemożliwić korzystanie z witryny, gdy użytkownik ma problem z zamknięciem baneru zgody.
Taka sytuacja może się zdarzyć w wyniku błędów z ostylowaniem baneru lub przycisków np. gdy przyciski są niewidoczne lub wychodzą poza ekran. Dlatego przy korzystaniu z takiego rozwiązania dokładnie je testujemy na różnych szerokościach ekranu i w najpopularniejszych systemach smartfonowych, czyli na Android i iOS.
Ponadto wielu użytkowników Internetu korzysta z oprogramowania do blokowania reklam. Taki adblock może ukryć tylko baner i zablokować użytkownika w punkcie bez wyjścia, bo nie ma jak udzielić decyzji co do cookies.
W przypadku korzystania z platformy CookieHub problem pojawia się, gdy dla serwisu w Customize jest włączona opcja „Block user interface” a odbiora korzysta z AdBlock z dodatkowo włączoną opcją „I don’t care about cookies„. Nie ma problemu przy domyślnych ustawieniach AdBlock, ani z rozszerzeniem uBlock Origin.
Niektóre organizacje ryzykują zgodność z przepisami i na banerze wyświetlają prominentny link do zgody, dzięki któremu użytkownikowi łatwo pozbyć się baneru, ale nie wyrażenie zgody wymaga od użytkownika większej determinacji (wyklikanie szczegółowych ustawień cookies lub znalezienie małego znaczka do zamknięcia baneru). Takie rozwiązanie wraz z uniemożliwieniem korzystania z serwisu przed udzieleniem decyzji może dać 40-70% więcej zgód.
Jeśli masz uwagi lub pytania do tego opracowania, albo po prostu interesuje Cię ten temat – zostaw komentarz! Miło by mi było wiedzieć, że jest jeszcze ktoś, kto ma ochotę zgłębić ten temat:)
A może monitorujesz ruch nie tylko z Google Analytics?
Jeśli masz stronę współdzielonym koncie hostingowym (czyli gdzieś masz wykupioną usługę serwera, hostingu) to jest duże prawdopodobieństwo, że hostingodawca zapewnia Ci dostęp do podstawowych statystyk. Wystarczy, że zalogujesz się na swoje konto hostingowe, to znajdziesz do nich dostęp.
A jeśli masz dostęp do takich statystyk, bo hostingodawca je prowadzi domyślnie dla Twojego konta i w monitorowanych danych mogą się znaleźć dane osobowe, to uznałabym, że administratorem tych danych jest hostingodawca, a Ty jako wynajmujący miejsce na serwerze jesteś odbiorcą tych danych.
W związku z tym:
- Z hostingodawcą zawrzyj umowę powierzenia przetwarzania danych osobowych.
- W Polityce Prywatności spełnij obowiązki informacyjne zgodnie z RODO art.14, jeśli masz możliwość przetwarzać (czyli np. mieć dostęp) do jakiś dane osobowych z tych statystyk (np. adresów IP).
Chcesz więcej wskazówek jak rozwijać stronę firmową, aby wspierała w sprzedaży?
Dla naszych klientów na opiece opracowujemy zalecenia jak korzystać z ciągle aktualizowanych usług Google i utrzymać stronę firmową w standardach technicznych i prawnych. Opracowujemy proste instrukcje do samodzielnego wdrożenia.
Ty też możesz z nich korzystać!
Subskrybuj Newsletter WEBEST.
Administratorami danych osobowych newslettera są współwłaścicielki s.c. WEBEST Danuta Stawarz, Magdalena Czekała. Kontakt w sprawie ochrony danych osobowych jest możliwy pod adresem e-mail: info@webest.pl. Szczegółowe informacje znajdziesz w Polityce Prywatności.
PS. Nie zapomnij kliknąć potwierdzenia zapisu w przesłanym mailu. Jeśli go nie widzisz, sprawdź zakładkę ze spamem.