Exit

Masz już swoją stronę i chcesz monitorować wizyty użytkowników z Google Analytics, żeby móc ocenić efektywność strony i działań marketingowych i podejmować lepsze decyzje biznesowe? Z tego artykułu dowiesz się, jakie wziąć pod uwagę kwestie prawne i jak wdrożyć Google Analytics w WordPress np. z użyciem wtyczki Cookie Notice & Compliance dla RODO / CCPA dostarczaną przez Hu-manity.co lub GDPR Cookie Compliance dostarczaną przez Moove Agency.

A może masz już zainstalowane statystyki, ale chcesz się upewnić, czy korzystasz z nich w sposób zgodny z wymaganiami prawnymi? Z pomocą tego artykułu dowiesz się, dlaczego należy wymagać zgody od użytkowników oraz sprawdzisz, czy spełniasz wszystkie obowiązki.
Znajdziesz też podstawy prawne i przykłady spełnienia obowiązków informacyjnych.

A może jesteś prawnikiem i chcesz poznać zwłaszcza techniczne szczegóły, żeby dobrze doradzić swoim klientom? W tym artykule znajdziesz wyjaśnienia wdrożenia i działania cookies oraz inne informacje dotyczące Google Analytics i jego twórcy niezbędne do poprawnego spełnienia obowiązków informacyjnych.

Statystyki Google Analytics (GA) to najpopularniejsze, darmowe narzędzie do pomiaru i analizy ruchu na stronie.

W tym artykule dowiesz się

Jak zainstalować statystyki Google Analytics i jak spełnić obowiązki prawne?

Żeby zacząć monitoring użytkowników strony z Google potrzebujesz: 
1. konto w Google
2. konto w Google Analytics
3. opcjonalnie konto w Google Tag Manager (GTM)
4. spełnić obowiązki prawne,
5. umieścić kod do śledzenia na stronie.

Wiele poradników skupia się tylko na tym ostatnim, technicznym kroku, czyli wstawieniu kodu Google Analytics do strony. Jeśli masz stronę na WordPresssie, to możesz sobie z tym poradzić nawet bez pomocy programisty.

Jednak zanim zabierzemy się za monitorowanie statystyk, powinniśmy spełnić kilka obowiązków wynikających z przepisów prawnych, a to trochę komplikuje sprawę.

Przeszukując internet w poszukiwaniu wiedzy lub przykładów wdrożeń, a nawet korzystając z pomocy prawnej, spotkałam się z różnymi interpretacjami przepisów. Niespójności wynikają nie tylko z niezrozumienia tematów, ale przede wszystkim z częstych zmian w technologiach internetowych oraz w ustawodawstwie ich dotyczących.

Jakie obowiązki prawne mają zastosowanie przy monitorowaniu z Google Analytics?

Przy monitorowaniu ruchu z Google Analytics mówimy o różnych obowiązkach:
– spełnieniu obowiązków informacyjnych
– pozyskaniu zgody użytkownika
– zawarciu umów
– zabezpieczaniu danych.

Jakie są podstawy prawne do korzystania z narzędzi do monitorowania ruchu?

Podstawa prawna do korzystania z cookies

Monitorowanie wizyt użytkowników - wdrożenie Google Analytics zgodnie z RODO

Google Analytics należą do tej grupy narzędzi, które mogą zapisywać na urządzeniach użytkowników cookies, czyli takie małe pliki tekstowe. Dzięki nim narzędzia te mogą dokładniej identyfikować wizyty użytkowników i np. mierzyć ich czas trwania, powracalność, itd. 

Pobieranie zgód na stosowanie cookies reguluje prawo telekomunikacyjne (PT).
Art. 173. pkt. 1 pozwala na przechowywanie cookies, pod warunkiem, że użytkownik końcowy wyrazi na to zgodę.

RODO przy monitorowaniu z Google Analytics

Monitorując odwiedzających stronę powinniśmy również zapewnić ochronę ich danych osobowych zgodnie z RODO. Wg RODO dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 

Jakie dane osobowe przetwarza GA? W domyślnej konfiguracji to np. lokalizacja (określana na podstawie IP).

Czy te dane można powiązać z konkretnym człowiekiem?
W niektórych okolicznościach da się i to całkiem prosto.
Kilka przykładów podaję w ramce.

GA nie służy do identyfikowania osób i nie można do niego przesyłać żadnych informacji, które Google mogłoby do tego wykorzystać (zabraniają tego w swoich warunkach korzystania z usługi).
Jeśli monitorujesz stronę na WordPress z dodatkami (motywem i wtyczkami) napisanymi wg standardów bezpieczeństwa i ochrony danych, to z samych raportów GA nie dowiesz się, kto odwiedził serwis.
Jednak technicznie jest możliwe zidentyfikowanie osoby, np. jeśli dane zalogowanego użytkownika są przekazywane w adresie url lub poprzez tzw. zdarzenia.
Wystarczyłby już sam identyfikator użytkownika lub transakcji zakupowej, żeby sobie łatwo powiązać dane osobowe ze strony (np. z profilu użytkownika lub z zamówienia) z danymi z GA.

Jeśli masz zwykłą stronę firmową i najprostszą domyślną konfigurację Google Analytcis, to zaglądając do statystyk w czasie rzeczywistym w trakcie rozmowy z klientem przeglądającym stronę też możesz zidentyfikować jego dane.

Google jako administrator danych osobowych

Niezależnie od tego jak Ty będziesz wykorzystywać dane, Google jako dostawca przyznaje sobie prawo do wykorzystywania danych do własnych celów (tu znajdziesz informacje jak Google używa danych). Zakładając usługę Google Analytics zawierasz umowę z Google. W niej Google na Ciebie zrzuca odpowiedzialność za spełnienie niektórych wymagań RODO tj. pozyskania zgody i realizacji obowiązków informacyjnych.

Przetwarzanie danych przy świadczeniu usługi drogą elektroniczną

Art. 18 ustawy o świadczeniu usług drogą elektroniczną wskazuje wprost, jakie dane można przetwarzać w związku z realizowaniem usługi drogą elektroniczną.

Wskazuje również, że do celu badania zachowań (które to badania nie są niezbędne do świadczenia usługi drogą elektroniczną) jedyną możliwą podstawą przetwarzania danych, jest zgoda:

Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Ustawa o świadczeniu usług drogą elektroniczną, art. 18, pkt.4

Rezygnacja ze zbierania i przetwarzania szczegółowych danych osobowych

Jak już pisałam wcześniej, w domyślnej konfiguracji GA odczytuje i przetwarza IP użytkowników, które może umożliwić dość dokładne określenie lokalizacji. Możemy temu zapobiec poprzez niewielką zmianę kodu śledzenia. W poniższej procedurze podaję jak to zrobić. 

W celu uniknięcia przetwarzania szczegółowych danych użytkowników trzeba też upewnić się, że nie są aktywowane dodatkowe raporty np. z danymi demograficznymi, zainteresowaniami, remarketingiem, wymiarami i danymi niestandardowymi, funkcjami reklamowymi, ID użytkowników, mierzeniem wszystkich interakcji użytkownika na różnych urządzeniach itd.


Podsumowując:

Jeśli chcesz korzystać z pełnych możliwości Google Anatytics pytaj każdego użytkownika o zgodę monitorowanie ruchu.

Monitorowanie z Google Analytics NA PODSTAWIE ZGODY użytkownika

Przy standardowym wdrożeniu kod śledzenia z Google Analytics powinno się umieścić na stronie dopiero po udzieleniu zgody przez użytkownika. Wynika to z przepisów prawnych.

Ponadto, możesz spodziewać się zablokowania reklam Google Ads lub uczestnictwa programu AdSense, jeśli śledzisz użytkowników witryny z GA bez ich wyraźnej zgody.

Co powinno się znaleźć w treści zgody na cookies Google Analytics?

W 2019 weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, która do uzyskania zgody na cookies nakazuje stosować przepisy RODO (mówi o tym dodany art. 174. Prawa telekomunikacyjnego). 

RODO szczegółowo określa zasady pobierania zgody i nakazuje spełnić szereg obowiązków informacyjnych przy pozyskiwaniu zgody. 

W praktyce niektóre serwisy realizują je od razu wszystkie w okienku ze zgodą w formie długiego tekstu.

Ustawa pozwala jednak przekazać informacje warstwowo, czyli najpierw w krótkiej formie przed udzieleniem zgody:

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

motyw 42. RODO

Ponadto mamy poinformować o:

możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za  pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi

Prawo telekomunikacyjne art. 173. pkt. 1 lit. b)

Poniżej w części dotyczącej obowiązków informacyjnych zebrałam szczegółowe interpretacje i przykłady powyższych przepisów.

Sposób wyrażenia zgody na monitorowanie

Projektując pytanie o zgodę należy wziąć pod uwagę, że ma umożliwić:

konkretne i świadome dobrowolne okazanie woli. 

RODO art.4

Właścicielom strony i analitykom będzie zależało na tym, żeby pytanie zostało zauważone i rozpatrzone pozytywnie.
Dlatego najczęściej stosuje się popup lub wysuwany element, którego nie da się przeoczyć.

Należy zadbać o jasny przekaz informacji i jasne wezwanie do udzielenia zgody.

Użytkownik ma mieć możliwość wyrażenia zgody w sposób czynny

Dodatkowo należy zadbać o równie łatwe nie wyrażenie zgody, 

oraz – uwaga! – równie łatwą zmianę decyzji.

Jeśli stosujesz przełącznik lub checkboxy, nie mają być domyślnie zaznaczone.

Nie wprowadzaj rozwiązania, które by służyło do czynnego wyrażenia sprzeciwu.

Zapytanie o zgodę ma nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Ta wytyczna jest problematyczna.
Już samo klikanie w każdym serwisie zgód na cookies poprzedzonych krótszymi lub dłuższymi informacjami zakłóca mi korzystanie z usług. Chyba nie jestem w tym odczuciu osamotniona.

Jednym sposobem na zmniejszenie dyskomfortu związanego z udzieleniem zgody widzę wdrożenie mechanizmu, który polega na zapamiętaniu decyzji użytkownika dla tej i kolejnych wizyt tak, aby nie pytać o zgodę na każdej podstronie i przy kolejnych wizytach.

Przy okazji – ten mechanizm też wykorzystuje cookies.  Co do ich użycia zakładam, że jako cookies funkcjonalne podlegają zwolnieniu z pytania o zgodę (wg art. 173 pkt. 3.2 prawa telekomunikacyjnego).

Zgoda nie może być domyślnam ani domniemywana, gdy użytkownik przeskroluje część strony. Gdyby ktoś miał co do tego wątpliwości, to może zajrzeć do wyroku TSUE:

zgoda na przechowywanie informacji lub dostęp do informacji za pośrednictwem plików cookie zainstalowanych w urządzeniach końcowych użytkownika strony internetowej nie jest ważna, jeżeli jest ona efektem umieszczenia na stronie domyślnie zaznaczonego okienka wyboru, i to niezależnie od tego, czy owe informacje stanowią dane osobowe.  Zgoda wymaga w szczególności wyrażenia woli w formie „wyraźnego aktu potwierdzającego” i którego motyw 32 wyraźnie wyklucza wyrażenie zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania

wyrok TSUE z dnia 1 października 2019 r. w sprawie C‑673/17

Jedna czy kilka zgód?

Google Analytics zapisuje użytkownikom kilka cookies. Nie trzeba zbierać zgody na każde cookie osobno. Zgodę na cookies dotyczących monitorowania z Google Analytics można śmiało zgrupować, czyli pozyskiwać zgodę na wszystkie cookies z Google Analytics na raz.

Projektując zgody na monitorowanie statystyk weź jednak pod uwagę stosowanie innych, zwłaszcza niefunkcjonalnych cookies np. reklamowych, pixel Facebooka, itp.
Będą wymagały udzielenia odrębnej zgody/zgód.

Monitorowanie z Google Analytics BEZ ZGODY użytkownika

Czy możemy podpiąć GA do strony od razu i zbierać dane o ruchu wszystkich, którzy tą stronę odwiedzą i ich tylko o tym informować? 

Consent Mode, czyli Tryb uzyskiwania zgody

We wrześniu 2020 Google udostępniło nowe rozwiązanie, tzw. Consent Mode, czyli Tryb uzyskiwania zgody, które pozwala na mierzenie o ruchu i konwersji w witrynie również w przypadku, gdy użytkownik nie wyrazi zgody na zapisywanie plików cookie, przy jednoczesnym zachowaniu pełnej zgodności z wymogami RODO.

Przed udzieleniem zgody lub w przypadku braku zgody

To rozwiązanie zakłada, że na każdej stronie witryny zostanie zaimplementowany kod śledzenia z pewną modyfikacją, dzięki której Google Analytics:

Będzie zbierać tylko podstawowe, zanonimizowane i zagregowane dane dotyczące czasu wizyt w witrynie i o stronie odsyłającej. Umożliwi również mierzenie konwersji z kampanii reklamowych.

Nie będzie korzystać z własnych plików cookie.

Jak wdrożyć Google Analytics bez zgody?

Jeśli korzystasz z GTM, to możesz skorzystać z wbudowanych funkcji, które pomagają w zarządzaniu działaniem tagów odpowiednio do ustawień uzyskiwania zgody.

Jeśli chcesz je u siebie wdrożyć bez korzystania z GTM, możesz skorzystać z tej oficjalnej instrukcji wdrożenia Trybu udzielania zgody na stronie Google dla deweloperów.

To rozwiązanie zakłada, że po udzieleniu zgody kod śledzenia ma być odpowiednio zmodyfikowany tak, aby umożliwić Google Analytics korzystanie z cookies i zbierać kompletne dane do raportów tak, jak to się dzieje w przypadku standardowego wdrożenia.

Zasady pozyskiwania zgody są takie same jak przy standardowym wdrożeniu.

Dla jasności zamieszczam porównanie wdrożenia standardowego i zmodyfikowanego kodu śledzenia.

Przed udzieleniem lub bez zgody na monitorowanie przez użytkownikaPo udzieleniu zgody na monitorowanie przez użytkownika
Gdy zależy Ci na pozyskiwaniu kompletniejszych danych stosuj zmodyfikowany kod śledzenia (consent mode) wraz z domyślnymi ustawieniami trybu udzielania zgody (zgoda nieudzielona)stosuj kod śledzenia ze zaktualizowanymi ustawieniami trybu udzielania zgody (zgoda udzielona)
Gdy idziesz na łatwiznę nie zamieszczaj kodu śledzeniazamieść standardowy kod śledzenia
Tabela: Kiedy umieszczać w kodzie strony kod Google Analytics w zależności od zgody użytkownika i rodzaju kodu

OBOWIĄZKI INFORMACYJNE przy stosowaniu statystyk GA

Obowiązki informacyjne, które powinny być udzielone jeszcze przed udzieleniem zgody:

  • Cele przetwarzania danych i stosowania cookies
  • Tożsamość administratorów

Pozostałe obowiązki informacyjne:

  • Dane kontaktowe
  • Informacje o odbiorcach danych lub o kategoriach odbiorców
  • Informacje o zamiarze przekazania danych osobowych do państwa trzeciego
  • Okres przechowywania danych i cookies
  • Inne prawa osób, których dane dotyczą
  • Informacja o prawie cofnięcia zgody
  • Czy zgoda jest dobrowolna
  • Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
  • Informacje o stosowaniu cookies

Wszystkie obowiązki warto spełnić w polityce prywatności i cookies. Link do niej należy umieścić na stałe w widocznym miejscu, np. na dole strony.

Poniżej podaję podstawy prawne obowiązków informacyjnych wynikające z RODO i przypominam, że wg nowego art. 174. prawa telekomunikacyjnego do uzyskania zgody na cookies również stosuje się przepisy o ochronie danych osobowych. 

Podaj cele przetwarzania danych osobowych i stosowania cookies

Mówią o tym dwa osobne przepisy:

  • zgodnie z Prawem telekomunikacyjmym: cel stosowania cookies, 
  • natomiast RODO mówi, że trzeba podać cel przetwarzania danych osobowych.

Cel należy podać jeszcze przed udzieleniem zgody.

Uwaga – wg RODO trzeba również podać podstawę prawną celu przetwarzania (wystarczy ją uwzględnić w polityce prywatności i cookies):

Przy pobieraniu zgody podstawą prawną będzie art. 6 RODO ust. 1 lit.a. , który brzmi następująco:

osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

art. 6 RODO ust. 1 lit.a.

Przykłady sformułowania celu przetwarzania danych i stosowania cookies przy zgodzie na Google Analytics

do monitorowania”

w celu korzystania z narzędzi analitycznych”

“do prowadzenia statystyk dla witryny x”

“by analizować ruch w tej witrynie”

„badać statystyki dotyczące ruchu na stronie oraz sprawdzać źródła ruchu (kierunki przekierowania),
wykrywać różnego rodzaju nadużycia np. sztuczny ruch internetowy (boty),
ograniczyć niektóre działania marketingowe m.in. aby ochronić użytkowników wielokrotnym wyświetlaniem tej samej reklamy,
mierzyć – bez identyfikowania danych osobowych – skuteczność akcji prowadzonych na rzecz banku, np. w sieci reklamowej Google, w programach partnerskich, na zewnętrznych stronach internetowych,
rozliczać się z partnerami biznesowymi za usługi reklamowe w oparciu o zarejestrowane akcje świadczone na życzenie użytkowników np. za wysłania formularza internetowego o otwarcie konta osobistego.”

www.ing.pl

Podaj tożsamość administratorów

Należy podać tożsamość administratorów danych lub ewentualnie ich przedstawicieli, jeśli są powołani.

Tożsamość należy podać jeszcze przed udzieleniem zgody.

Kto jest administratorem danych?

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych i cookies.

RODO art.4.

To właściciel strony jest administratorem, ponieważ to on decyduje o użyciu narzędzia i sposobie korzystania z danych i ich udostępnianiu.

Administrator wcale nie musi być jakoś specjalnie “mianowany” i już nie trzeba go zgłaszać do GIODO, jak to drzewiej bywało.

Jeśli informacja przedstawiana przed udzieleniem zgody jest wyświetlona w taki sposób, że widać jakiego serwisu dotyczy (nie zasłania całej strony) i nazwa serwisu jest tożsama z administratorem, to można by się podeprzeć punktem 4. art. 13 RODO, który mówi, że obowiązki informacyjnie nie mają zastosowania, gdy “osoba, której dane dotyczą, dysponuje już tymi informacjami”.

W polityce prywatności i cookies bezwzględnie podajemy pełną tożsamość administratora.

Czy właściciel serwisu jest jedynym administratorem?

Twórca narzędzia, Google odpowiada za cele przetwarzania oraz sposób działania, zakres danych, miejsce ich przechowywania itd.. Dlatego on również jest administratorem.

Przykłady podania tożsamości administratorów przed udzieleniem zgody 

“Wykorzystujmy pliki cookies w celu prawidłowego jego działania, korzystania z narzędzi analitycznych (z Google)”

W tym przypadku baner z cookies wyświetlił się tak, że było widoczne logo firmy, która była administratorem tego serwisu. Oprócz tego jest wymieniony Google, czyli drugi administrator.
W polityce prywatności i cookies były już pełne nazwy administratorów.

“Administratorem Twoich danych osobowych jest podmiot z Grupy RAS Polska”

onet.pl

W tym przypadku wchodząc do portalu onet.pl nie mogę się domyśleć, kto jest administratorem, za to w treści zgody administratorzy są już podani kawa na ławę.

Podaj dane kontaktowe

Zgodnie z RODO mamy podać dane kontaktowe administratorów danych lub ewentualnie ich przedstawicieli, a jeśli w organizacjach są powołani inspektorzy ochrony danych, to ich dane. 

Dane kontaktowe właściciela serwisu najlepiej podać na początku polityki prywatności i cookies.

Dane kontaktowe administratora Google 

Dodatkowo w polityce prywatności i cookies przy informacjach o korzystaniu z narzędzi analitycznych podaj pełne dane drugiego administratora:

Google Ireland Limited („Google”), Gordon House, Barrow Street, Dublin 4, Irlandia.

Podaj informacje o odbiorcach danych lub o kategoriach odbiorców

Odbiorca to podmiot, któremu ujawnia się dane osobowe.

Niektórzy w ramach tego punktu piszą o Google, jako odbiorcy danych. Google są administratorem, o czym pisałam powyżej.

Jeśli udostępniasz konto w Google Analytics komuś spoza swojej firmy np. agencji marketingowej, to jest ona odbiorcą danych. Wtedy należy podać, kto jest tym odbiorcą lub podać kategorię. Najlepiej w polityce prywatności i cookies.

Przykłady kategorii odbiorców

“podmiot świadczący usługi pomocy technicznej udzielanej Administratorowi”

“Podmioty przetwarzające dane na zlecenie administratora danych, w tym agencje marketingowe“

Podaj informacje o zamiarze przekazania danych osobowych do państwa trzeciego

Zgodnie z RODO trzeba podać:

informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony

RODO, art. 13

Po pierwsze narzędzie Google przechowuje dane w USA, czyli państwie trzecim.
Po drugie Google współpracuje z różnymi podmiotami, które również mogą być z państw trzecich. Na tej liście można sprawdzić aktualną listę tych podmiotów i ich lokalizacje: https://privacy.google.com/businesses/subprocessors/

Google przystąpiło do programu EU-US-Privacy Shield. Stwierdzenie stopnia ochrony znajdziemy tutaj:
https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active

Jednakże 16 lipca 2020 TSUE unieważnił decyzję wykonawczą Komisji Europejskiej w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA. Od dnia publikacji tego wyroku Tarcza Prywatności nie może już stanowić podstawy prawnej do przekazywania danych osobowych do USA.

Przykład informacji o zamiarze przekazania danych osobowych do państwa trzeciego

“Z uwagi na to, że Google posiada siedzibą w USA i wykorzystuje infrastrukturę techniczną znajdującą się w USA, korzysta z mechanizmów zgodności takich jak standardowe klauzule umowne.”

prakreacja.pl

Podaj okres przechowywania danych i cookies

Aby spełnić ten obowiązek, należy ustalić jak długo w narzędziu są przechowywane dane oraz kiedy wygasają cookies zapisywane na urządzeniach użytkowników.

Google Analytics umożliwia ustawienie czasu, po którego upływie dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics.
O co chodzi? W raportach Analyticsa możemy np. rozróżnić użytkowników nowych i powracajacych. Jeśli usuniemy dane użytkownika po 14 miesiącach, a on wejdzie ponownie na naszą stronę pierwszy raz dopiero po 15 miesiącach, to zostanie uznany za nowego użytkownika.

Do wyboru mamy opcje:

  • 14 miesięcy
  • 26 miesięcy
  • 38 miesięcy
  • 50 miesięcy
  • Nie wygasa automatycznie.

Poniżej w procedurze podaję, gdzie to można ustawić w GA. Następnie zgodnie z tym ustawieniem możemy poinformować użytkowników o okresie przechowywania danych.

Niezależnie od tego ustawienia okres ważności cookies wynosi do 2 lat. Szczegółowe informacje o okresie wygasania cookies z Anatytisca znajdziesz tutaj: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Zwróć uwagę, że w Twoim serwisie mogą być stosowane różne cookies w zależności od rodzaju wdrożenia (kiedyś był używany ga.js, później analytics.js, a teraz polecany jest gtag.js).

Jeśli Cię to ciekawi, możesz sprawdzić tutaj, jakie dane są zapisywane w cookies z Google Analytics (np. identyfikator użytkownika, czas aktualnej i poprzednich wizyt).

Jeśli chcesz się upewnić jakie cookies są stosowane w Twoim serwisie i kiedy wygasają: wejdź na swoją stronę, zgódź się na cookies i sprawdź w przeglądarce.
Najprościej można to zrobić w Chrome: kliknij w pasku adresu na ikonkę przed adresem (kłódkę lub i), poszukaj cookie _ga lub __utma (te są przechowywane najdłużej), sprawdź kiedy wygasa i odejmij aktualny czas.

Monitorowanie wizyt użytkowników - wdrożenie Google Analytics zgodnie z RODO
Przykład: takie dane zobaczyłam 10.01.2020 po wejściu na stronę o 19:04:09, co oznacza, że plik cookie o nazwie _ga wygaśnie za 2 lata, o ile go sobie wcześniej nie usunę.

Przykład określenia okresu przechowywania danych i cookies

“cookies na Twoim urządzeniu wygasają po 2 latach, natomiast dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics po 50 miesiącach;”

Podaj informację o prawie cofnięcia zgody 

Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, należy umożliwić wycofanie zgody. W polityce prywatności należy podać informacje jak to zrobić.

Podaj inne prawa osób, których dane dotyczą 

Dobrze je znamy z RODO:

  1. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, 
  2. a także o prawie do przenoszenia danych;
  3. informacje o prawie wniesienia skargi do organu nadzorczego.

Jeśli chodzi realizację prawa do ograniczenia przetwarzania lub wniesienia sprzeciwu: w serwisie powinna być możliwość nie udzielenia zgody na monitorowanie.
Ponadto użytkownik może ustawić przeglądarkę, żeby nie akceptowała cookies (co w praktyce wielu użytkowników realizuje rozszerzeniami do przeglądarek). Może też sobie usunąć wybrane lub wszystkie cookies z przeglądarki. O tej metodzie też można poinformować użytkowników, jednak weź pod uwagę, że nie jest zbyt wygodna.

O tych możliwościach powinniśmy informować również na podstawie Prawa Telekomunikacyjnego. 

Jeśli chodzi o prawo do przenoszenia danych, to w odniesieniu do cookies fizycznie użytkownik ma taką możliwość, bo to są pliki tekstowe zapisane na jego urządzeniu.

BTW – jeśli zastanawiasz się, czy ktoś w ogóle może mieć ochotę skorzystać z prawa do wniesienia skargi, to powiem, że to już się wydarzyło, zapadł wyrok w takiej sprawie, a orzekał Trybunał Sprawiedliwości Unii Europejskiej. Sprawa dotyczyła obowiązków informacyjnych i formy zgody na cookies (wyrok w tej sprawie jest dostępny tutaj: http://curia.europa.eu/juris/celex.jsf?celex=62017CJ0673&lang1=pl&type=TXT&ancre=).

Poinformuj, czy zgoda jest dobrowolna

Zgodnie z RODO należy podać:

“informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podaniajakie są ewentualne konsekwencje niepodania danych

RODO, art. 13

W  tym kontekście użytkownikowi należy udzielić absolutnie jednoznacznej informacji, czy aktywność prowadzona przez niego na stronie jest uzależniona od wyrażenia zgody na cookies. 

Czyli jako właściciel serwisu musisz podać informację, czy użytkownik może przeglądać serwis lub korzystać z usługi bez wyrażenia zgody na cookies czy też nie, albo z jakim ograniczeniem.

Czyli jeszcze dosłowniej: czy pozwolisz użytkownikom przeglądać serwis, nawet jeśli nie wyrażą zgody na monitorowanie.

Podaj informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczaniu się

RODO, art 4. pkt 4.

Zakładam, że profilowanie w rozumieniu ustawy miałoby dotyczyć konkretnych osób, a nie zagregowanych danych o wszystkich użytkownikach. Nie znalazłam żadnej informacji o profilowaniu przez Google poprzez użycie Google Analytics.
Nie potrafię sobie także wyobrazić samodzielnego profilowania przy użyciu Google Analytics.

W związku z tym uznaję, że można poinformować, że w związku z monitorowaniem z użyciem GA w odniesieniu do osób fizycznych nie są podejmowane zautomatyzowane decyzje.

Aczkolwiek Google Analytics może być łączone z narzędziami reklamowymi. W nietypowych wdrożeniach rozważ indywidualnie, czy zachodzi profilowanie.

Podaj informacje o stosowaniu cookies

Ustawa Prawa telekomunikacyjnego pozwala stosować cookies pod warunkiem, że użytkownicy otrzymają informację o:

“możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;”.

Prawo telekomunikacyjne  art. 173. pkt. 1 lit. b)

Przekładam to na polski tak: “poinformuj, że cookies można zablokować lub usunąć w ustawieniach przeglądarki”.

Przykłady informacji o stosowaniu cookies

“Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij w przycisk „Rozumiem i akceptuję”. Jeżeli chcesz edytować ustawienia plików cookies, kliknij w przycisk „Ustawienia”.”

prakreacja.pl

“W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki.” 

www.gov.pl

“ W każdej chwili możesz usunąć i zablokować dalsze umieszczanie plików cookie zmieniając ustawienia przeglądarki.“

mzbkancelaria.pl

“Możesz zmienić ustawienia przeglądarki w zakresie korzystania z plików cookie. Instrukcję znajdziesz w naszej polityce prywatności.”

prawo.gazetaprawna.pl

INNE OBOWIĄZKI administratora 

Zawrzyj umowy powierzenia

Na podstawie ustawy:

Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.59), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:
1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174

Jak upoważnić?

  1. W konfiguracji usługi Google Analytics potwierdź “Aneks o przetwarzaniu danych”.
    Poniżej w procedurze podaję, gdzie go znaleźć.
  2. Jeśli udostępniasz swoje konto w Google Analytics swojemu pracownikowi, to nadaj mu upoważnienie.
  3. Jeśli współpracujesz z zewnętrznym podmiotem np. freelancerem lub agencją interaktywną lub marketingową, która opiekuje się serwisem lub wspiera Cię w reklamowaniu, SEO itd. zawrzyj umowę powierzenia.

Zabezpiecz dostęp do danych

Dalej w art. 174 doczytamy o środkach ochrony, które obowiazują dostawców usług telekomunikacyjnych:

2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174

Niezależnie od tego, czy uznasz, że ten przepis dotyczy Ciebie, czy też nie, przy korzystaniu z usługi Google Analytics należy stosować podstawowe zasady bezpieczeństwa, czyli:

  • nie użyczać nikomu swojego hasła dostępowego, tym bardziej, że w Google Analytics logujesz się na swoje konto Googlowe, czyli to, które identyfikuje Cie w wyszukiwarce Google i na którym możesz korzystać z innych usług np. kalendarza, poczty, dokumentów Google;
  • jeśli chcesz komuś dać dostęp do raportów w Google Analytics – daj mu najmniejsze uprawnienia i na najniższym poziomie, jakich będzie potrzebować.

Podsumowując:

Czy wystarczy założyć konto Google Analytics, żeby mierzyć zachowanie swoich użytkowników?

Nie.
Oprócz tego należy na stronie wdrożyć mechanizm pytający odwiedzających o zgodę na cookies dot. monitorowania i umieszczający kod śledzenia po jej udzieleniu, spełnić obowiązki informacyjne np. w polityce cookies, a w GA potwierdzić Zasady przetwarzania danych i podać dane administratora w swojej organizacji.


Jeśli udało Ci się przebrnąć przez meandry wymagań prawnych, masz już ustalony sposób pobierania zgodyprzygotowane teksty dla spełnienia obowiązków informacyjnych możesz skorzystać z poniższej procedury, według której możesz zainstalować statystyki na swojej stronie i spełnić obowiązki, jakie nakłada ustawa RODO o ochronie danych osobowych oraz Prawo telekomunikacyjne, które reguluje sposób korzystania z plików cookies.

Google często zmienia swoje narzędzia, dlatego w kilku miejscach w poniższej procedurze podaję odesłania do ich instrukcji, bo są większe szanse, że będą aktualne.

PROCEDURA wdrożenia podstawowych statystyk Google Analytics

Dashboard Google Analytics dla strony WWW

Jak wdrożyć standardowe statystyki Google Analytics (Universal Analytics) i spełnić obowiązki prawne?

  1. Załóż konto w Google

    Jeśli jeszcze nie masz konta w Google załóż je. W razie potrzeby skorzystaj z pomocy https://support.google.com/accounts/answer/27441?hl=pl

  2. Zaloguj się w Google Analytics

    https://google.com/analytics – pod tym adresem kliknij w prawym górnym rogu w Sign in to Analytics.
    Jeśli nie masz: załóż konto w Google Analytics, klikając w Start for free.

  3. Skonfiguruj usługę

    Dla swojej strony WWW skonfiguruj usługę wg instrukcji.
    Jeśli jeszcze nie masz założonej osobnej usługi dla danego serwisu to zacznij od Tworzenia konta Analytics. Następnie załóż usługę Google Analytics 4.

    Usługa się założy i wyświetlą Ci się informacje o niej, m.in. Globalny tag witryny, a w nim kod śledzenia. 

  4. Skopiuj kod śledzenia

    np. do notatnika.
    Jeśli ten krok Ci umknął przy zakładaniu usługi, to ta instrukcja podpowiada, gdzie szukać tego Globalnego tagu witryny: https://support.google.com/analytics/answer/1008080

  5. Zawrzyj umowę powierzenia przetwarzania danych

    Dalej w Google Analytics przejdź do Administracji.
    Dla zawarcia umowy powierzenia przetwarzania danych:
    w kolumnie KONTA (Account)Ustawienia konta (Account settings) potwierdź “Aneks o przetwarzaniu danych” (Data Processing Amendment).
    Ten aneks bywa aktualizowany i wtedy w tym miejscu może się wyświetlić prośba o potwierdzenie zmian.
    Ponadto poniżej kliknij w ZARZĄDZAJ SZCZEGÓŁAMI DPA i podaj swojego administratora, czyli najczęściej nazwę swojej firmy i osoba kontaktową.

  6. Ustaw okres przechowywania danych

    W kolumnie USŁUGA (Property):
    1. kliknij Informacje o śledzeniu (Tracking info)
    2. i dalej w Przechowywanie danych (Data retention)
    3. w “Przechowywanie danych o użytkownikach i zdarzeniach” (User and event data retention) – wybierz okres przechowywania plików cookies.

  7. Opcjonalnie: zmodyfikuj kod śledzenia

    Włącz anonimizację IP
    Opcjonalnie, aby monitorować statystyki, ale bez dokładnej lokalizacji użytkowników – włącz anonimizację IP.
    W tym celu w kodzie śledzenia znajdź linijkę:
    gtag('config', 'UA-XXXXXXX-YY');gdzie UA-XXXXXXX-YY to identyfikator Twojej usługi

    Dopisz do niej po przecinku to, co w nawiasie klamrowym tak, żeby to razem wyglądało tak:
    gtag('config','UA-XXXXXXX-YY', { 'anonymize_ip': true});

    Wyłącz korzystanie z cookies
    wg instrukcji wdrożenia trybu udzielania zgody

  8. Umieść kod śledzenia na każdej stronie, którą chcesz monitorować na samym początku w elemencie <HEAD>

    Jeśli używasz WordPressa to zajrzyj poniżej na osobne instrukcje.

  9. Sprawdź czy działa

    Wejdź do https://google.com/analytics upewnij się, że jesteś na statystykach swojej strony: w lewym górnym rogu jest podany adres aktualnie raportowanej strony  (jeśli masz już kilka kont, to możesz się przełączać):
    W menu po lewej kliknij w raport Czas rzeczywisty (realtime) (a w starych statystykach Universal analytics wejdź Czas rzeczywisty >Przegląd);
    Wejdź na swoją stronę WWW, wyraź zgodę na monitorowanie;
    Wróć do Analyticsa i zobacz, czy na wykresie pojawi się przesuwający się słupek z Twoją wizytą.
    Jeśli nic nie widzisz, upewnij się, że kod śledzenia znajduje się bezpośrednio za tagiem <head> na każdej stronie witryny: wejdź na swoją stronę i wyświetl jej źródło (w Windows wybierz opcję prawym przyciskiem myszy).

  10. Założ stronę polityki prywatności i cookies lub zaktualizuj jej treść.

    Upewnij się, że zawiera elementy wymienione powyżej w części dotyczącej obowiązków informacyjnych przy stosowaniu statystyk GA.

  11. Dodaj link do strony Polityki Prywatności i Cookies

    Najlepiej w stopce (w WordPressie sprawdź, czy możesz to zrobić w ustawieniach motywu lub przez widget).

Jak umieścić kod śledzenia od Google Analytics w WordPress?

Jeśli używasz WordPressa to masz kilka opcji umieszczenia kod śledzenia, w zależności od tego, czy wymagasz jednej czy kilku osobnych zgód lub czy chcesz korzystać z trybu udzielania zgody.

Jeśli będziesz korzystać ze standardowego wdrożenia GA i wymagać tylko jedną zgodę (tylko na monitorowanie)

Skorzystaj z wtyczki Cookie Notice & Compliance for GDPR / CCPA dostarczanej przez Hu-manity.co.
W niej ustaw:

  • Wiadomość: tu wpisz treść zgody. 
  • Tekst przycisku: tu wpisz tekst przycisku zgody, np. “Zgadzam się”
  • Polityka prywatności: włącz (ewentualnie wyłącz, ale dodaj link np. w wiadomości, czyli w treści zgody np. <a href=”https://twojadomena.pl/polityka-prywatnosci-i-cookies/” target=”_blank”>Polityka prywatności i cookies</a>
  • Odmowa (Refuse consent):
    • włącz Zezwól użytkownikowi na odmowę używania nie funkcjonalnych ciasteczek
    • i wpisz tekst przycisku odmowy, np. “Nie zgadzam się”
  • Zmiana decyzji (Revoke consent): 
    • włącz, 
    • wpisz tekst linku zmiany decyzji (Enter the revoke message.) np. “Zmieniam decyzję co do cookies”
    • ustaw sposób jego wywołania na automatyczny lub ręczny
  • Blokowanie skryptów: tu wklej kod śledzenia (globalny tag witryny z poprawkami wg punktu 7.)
  • Przeładowuję:
    włączone (wtedy po udzieleniu zgody strona się przeładuje, co będzie widoczne jako mignięcie, użytkownik będzie od tego momentu użytkownik będzie monitorowany)
    lub wyłączone (strona nie mignie, ale użytkownik będzie monitorowany dopiero po przejściu do następnej strony).
  • Przewijanie: nie zaznaczaj
  • Po kliknięciu: nie zaznaczaj
  • Wygasanie ciasteczka ze zgodą: wg własnego uznania
  • Pozycja skryptów: w stopce
  • Deaktywacja: proponuję wyłączyć

Wygląd dostosuj wg własnego uznania.  W razie potrzeby lepszego dopasowania wyglądu albo dla zrealizowania kreatywnych pomysłów można dodać własne style w CSS.

Jeśli stawiasz na ręczną zmianę decyzji wstaw shortcode [cookies_revoke] w wybranym miejscu np. w stopce.

Jeśli strona będzie używana w kilku wersjach językowych, to w konfiguracji wtyczki teksty należy wpisać w podstawowym języku w jakim jest motyw (np. po angielsku), a tłumaczenie na pl i inne języki wykonaj osobno. Jeśli korzystasz z WPML, to przetłumacz przez moduł tłumaczenie wyrażeń > Kontekst=Cookie Notice (nie plugin cookie-notice!!!)

Jeśli chcesz zapisywać cookies wymagających osobnych zgód

Będziesz potrzebować rozwiązania, które będzie umieszczać skrypt śledzenia niezależnie od pozostałych.

Możesz użyć darmowe wtyczki:

GDPR Cookie Compliance (CCPA, PIPEDA ready) dostarczana przez Moove Agency

Wtyczka w darmowej wersji pozwala dodać 2 osobne zgody np. na monitorowanie i remarketing.

Tą wtyczkę polecam, gdy zależy Ci na zapewnieniu dostępności cyfrowej: pozwala łatwo obsługiwać przyciski przy użyciu klawiatury (działa tabulacja i wyłączanie przez klawisz ESC).

W ustawieniach wtyczki:

  1. Banner SettinngsCookie Banner Content wpisz treść zgody.
  2. Włacz Floating Button, który umożliwia użytkownikom zmianę decyzji.
  3. Privacy Overview możesz podać więcej ogólnych informacji (to się wyświetli przy zmianie decyzji co do cookies i przy ustawianiu osobnych zgód).
  4. Wejdź do zakładki 3rd party cookies i tam zmień nazwę tej grupy cookies w Tab title np. Monitorowanie.
  5. Default status ustaw Disabled, żeby użytkownikom skrypt się instalował dopiero po udzieleniu zgody.
  6. Tab content wpisz informacje wynikające z obowiązków informacyjnych, czyli o celu, administratorach i dodatkowe informacje jeśli korzystasz ze szczegółowych raportów np. dotyczących demografii, zainteresowań, itd.
  7. Pod Paste your codes and snippets below. They will be added to all pages if user enables these cookies.Head Section wklej kod śledzenia (globalny tag witryny z poprawkami wg punktu 7.)
  8. W kolejnej zakładce Additional Cookies możesz ustawić drugą zgodę, analogicznie jak w punktach 4-7.

Jeśli korzystasz z Google Tag Manager

Podepnij Google Analytics przez GTM.

Jeśli GTM służy Ci tylko do tego celu, to skrypt GTM dodaj przez wtyczkę Cookie Notice for GDPR & CCPA dostarczanej przez dFactory tak, jak w punkcie dotyczącym pojedynczej zgody, tylko zamiast skryptu GA dodaj skrypt GTM.

Jeśli jednak serwis korzysta z wielu narzędzi wykorzystujących różne kategorie cookies i potrzebujesz zbierać zgody na wiele różnych celów przetwarzania danych osobowych i cookies, to najwygodniej będzie skorzystać z narzędzi ułatwiających spełnienie obowiązków informacyjnych przez automatyczne skanowanie serwisu i rozpoznawanie cookies.

W tym przypadku lub gdy chcesz monitorować ruch bez korzystania z cookies (i bez wyraźniej zgody użytkowników) wykorzystaj Cookiebot | GDPR/CCPA Compliant Cookie Consent and Control By Cybot A/S.

Jak uzyskać więcej zgód?

Możesz umieścić mały baner z info o cookies i spełnić rzetelnie wszystkie wymagania prawne. Jednak szkopuł w tym, że taką zgodę na cookies wyrazi zaledwie 20 do 40% wszystkich użytkowników odwiedzających witrynę.

Mały baner z info o cookies mało przeszkadzający w korzystaniu ze strony, zwłaszcza na desktopach.

Reszta odmówi lub nie podejmie żadnej decyzji. Ich zachowanie na stronie nie będzie uwzględnione w raportach Google Analytics. Jeśli również nie udzielą zgody na marketing, to stracisz możliwość dotarcia do nich z reklamami remarketingowymi (wyświetlanymi osobom, które odwiedziły Twoją stronę i wyraziły zgodę na marketing).

Jak temu zapobiec?

Bezpieczną (zgodną z prawem) metodą na skłonienie do podjęcia decyzji będzie wyświetlenie dużego baneru z info o cookies w sposób utrudniający korzystanie z witryny.

Organizacjom, którym bardzo zależy na uzyskaniu zgody wyświetlają baner w sposób uniemożliwiający korzystanie z witryny.

Duży baner z info o cookies mocno utrudniający korzystanie ze strony.

W takim przypadku trzeba zadbać o to, żeby polityka prywatności i cookies była dostępna przed podjęciem decyzji. Jeśli w serwisie są linki do przełączenia wersji językowej, to również powinny być dostępne od razu.

Takie rozwiązanie pozwoli zebrać 20 do 70% więcej zgód na cookies.

Niektóre organizacje ryzykują zgodność z przepisami i na banerze wyświetlają prominentny link do zgody, dzięki któremu użytkownikowi łatwo pozbyć się baneru, ale nie wyrażenie zgody wymaga od użytkownika większej determinacji (wyklikanie szczegółowych ustawień cookies, znalezienie małego znaczka do zamknięcia baneru). Takie rozwiązanie wraz z uniemożliwieniem korzystania z serwisu przed udzieleniem decyzji może dać 40-70% więcej zgód.

Opcjonalnie: skonfiguruj zbieranie szczegółowych danych w GA

Taką minimalną konfigurację statystyk możesz uzupełnić o mierzenie konwersji, pobrań plików,  segmentacje, wykluczenia, łączenie danych, filtrowania, statystyki e-commerce, dane demograficzne itp. Poszczególne raporty możesz włączyć w Google Analytics.


P.S.1

Nie jestem prawnikiem, nie traktuj podanych tu informacji jako wiążących. 

P.S. 2

Przykłady fragmentów spełnienia obowiązków informacyjnych cytuję z serwisów, w których są stosowane statystyki GA i administrator dołożył starań, żeby realizować obowiązujące przepisy prawne, ale też z takich, które nie stosują ani jednego ani drugiego.

P.S. 3

Jeśli masz uwagi lub pytania do tego opracowania, albo po prostu interesuje Cię ten temat – zostaw komentarz! Miło by mi było wiedzieć, że jest jeszcze ktoś, kto ma ochotę zgłębić ten temat:)

A może monitorujesz ruchu nie tylko z Google Analytics?

Jeśli masz stronę współdzielonym koncie hostingowym (czyli gdzieś masz wykupioną usługę serwera, hostingu) to jest duże prawdopodobieństwo, że hostingodawca zapewnia Ci dostęp do podstawowych statystyk. Wystarczy, że zalogujesz się na swoje konto hostingowe, to znajdziesz do nich dostęp.

A jeśli masz dostęp do takich statystyk, bo hostingodawca je prowadzi domyślnie dla Twojego konta i w monitorowanych danych mogą się znaleźć dane osobowe, to uznałabym, że administratorem tych danych jest hostingodawca, a Ty jako wynajmujący miejsce na serwerze jesteś odbiorcą tych danych. 

W związku z tym:

  1. Z hostingodawcą zawrzyj umowę powierzenia przetwarzania danych osobowych.
  2. W Polityce Prywatności spełnij obowiązki informacyjne zgodnie z RODO art.14, jeśli masz możliwość przetwarzać (czyli np. mieć dostęp) do jakiś dane osobowych z tych statystyk (np. adresów IP).

 

Autorem tej porcji wiedzy i inspiracji jest

Szukam rozwiązań, projektuję i analizuję, aby tworzyć i rozwijać strony firmowe, które będą solidnym fundamentem marketingu online. Znajdź mnie na LinkedIn.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Close
Go top