Exit

Masz już swoją stronę i chcesz monitorować wizyty użytkowników z Google Analytics, żeby móc ocenić efektywność strony i działań marketingowych i podejmować lepsze decyzje biznesowe? Z tego artykułu dowiesz się, jakie wziąć pod uwagę kwestie prawne i jak wdrożyć Google Analytics, zwłaszcza do strony na WordPressie (np. z użyciem wtyczki Cookie Notice for GDPR & CCPA by dFactory).

A może masz już zainstalowane statystyki, ale chcesz się upewnić, czy korzystasz z nich w sposób zgodny z wymaganiami prawnymi? Z pomocą tego artykułu dowiesz się, dlaczego należy wymagać zgody od użytkowników oraz sprawdzisz, czy spełniasz wszystkie obowiązki.
Znajdziesz też podstawy prawne i przykłady spełnienia obowiązków informacyjnych.

A może jesteś prawnikiem i chcesz poznać zwłaszcza techniczne szczegóły, żeby dobrze doradzić swoim klientom? W tym artykule znajdziesz wyjaśnienia wdrożenia i działania cookies oraz inne informacje dotyczące Google Analytics i jego twórcy niezbędne do poprawnego spełnienia obowiązków informacyjnych.

W tym artykule dowiesz się

Jak zainstalować statystyki Google Analyticsjak spełnić obowiązki prawne związane z cookies oraz przetwarzaniem danych osobowych

w sposób zgodny z RODO i Prawem telekomunikacyjnym.


Statystyki Google Analytics (GA) to najpopularniejsze, darmowe narzędzie do pomiaru i analizy ruchu na stronie.

Żeby zacząć z niego korzystać, potrzebujesz: 

  1. konto w Google
  2. konto w Google Analytics
  3. spełnić obowiązki prawne,
  4. umieścić kod do śledzenia na stronie.

Wiele poradników skupia się tylko na tym ostatnim, technicznym kroku, czyli wstawieniu kodu Google Analytics. Jeśli masz stronę na WordPresssie, to możesz sobie z tym poradzić nawet bez pomocy programisty. Z gotową procedurą zwykle uwijam się w kilka minut.

Jednak zanim zabierzemy się za monitorowanie statystyk, powinniśmy spełnić kilka obowiązków wynikających z przepisów prawnych, a to już takie proste nie jest.

Wskazana jest pomoc prawnika, ale może okazać się niewystarczająca. Może będziesz potrzebować skonsultować się z osobą, która dobrze wie jak działa Twoja strona, a jeśli już masz podłączone statystyki Google Analytics, to z osobą, która zarządza tą usługą.

Przeszukując internet w poszukiwaniu wiedzy lub przykładów wdrożeń, a nawet korzystając z pomocy prawnej, spotkałam się z różnymi interpretacjami. Niespójności wynikają ze zmian technologii oraz ustawodawstwa jej dotyczącego.

Najświeższe zmiany weszły w życie 4 maja 2019r. (ustawa wdrażająca RODO (Dz.U. z 2019 r. poz. 730).

Szczególnej uwagi będzie wymagało ustalenie jak uzyskiwać zgody użytkowników na monitorowanie statystyk i jak spełniać obowiązki informacyjne. 

Monitorowanie z Google Analytics NA PODSTAWIE ZGODY użytkownika

Zgoda na cookies

Google Analytics należą do tej grupy narzędzi, które do działania potrzebują zapisywać na urządzeniach użytkowników cookies, czyli takie małe pliki tekstowe. Dzięki nim narzędzia te mogą identyfikować wizyty użytkowników i np. mierzyć ich czas trwania, powracalność, itd. 

Pobieranie zgód na stosowanie cookies reguluje prawo telekomunikacyjne (PT).
Art. 173. pkt. 1 pozwala na przechowywanie cookies, pod warunkiem, że użytkownik końcowy wyrazi na to zgodę.

Zgoda na przetwarzanie danych osobowych

Monitorując odwiedzających stronę powinniśmy również zapewnić ochronę ich danych osobowych zgodnie z RODO. Wg RODO dane osobowe są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 

Niezależnie od tego jak Ty będziesz wykorzystywać dane, Google jako dostawca przyznaje sobie prawo do wykorzystywania danych do własnych celów (tu znajdziesz informacje jak Google używa danych). Korzystając z narzędzia bierzesz na siebie odpowiedzialność za spełnienie wymagań RODO.

Jakie dane osobowe przetwarza GA? W domyślnej konfiguracji to np. lokalizacja (określana na podstawie IP).

Czy te dane można powiązać z konkretnym człowiekiem? W niektórych okolicznościach da się i to całkiem prosto.
Kilka przykładów podaję w ramce.

GA nie służy do identyfikowania osób i nie można do niego przesyłać żadnych informacji, które Google mogłoby do tego wykorzystać (zabraniają tego w swoich warunkach korzystania z usługi).
Jeśli monitorujesz stronę na WordPress z dodatkami (motywem i wtyczkami) napisanymi wg standardów bezpieczeństwa i ochrony danych, to z samych raportów GA nie dowiesz się, kto odwiedził serwis.
Jednak technicznie jest możliwe zidentyfikowanie osoby, np. jeśli dane zalogowanego użytkownika są przekazywane w adresie url lub poprzez tzw. zdarzenia.
Wystarczyłby już sam identyfikator użytkownika lub transakcji zakupowej, żeby sobie łatwo powiązać dane osobowe ze strony (np. z profilu użytkownika lub z zamówienia) z danymi z GA.

Jeśli masz zwykłą stronę firmową i najprostszą domyślną konfigurację Google Analytcis, to zaglądając do statystyk w czasie rzeczywistym w trakcie rozmowy z klientem przeglądającym stronę też możesz zidentyfikować jego dane.

Rezygnacja ze zbierania i przetwarzania szczegółowych danych osobowych

Jak już pisałam wcześniej, w domyślnej konfiguracji GA odczytuje i przetwarza IP użytkowników, które może umożliwić dość dokładne określenie lokalizacji. Możemy temu zapobiec poprzez niewielką zmianę kodu śledzenia. W poniższej procedurze podaję szczegółowo jak to zrobić. 

W celu uniknięcia przetwarzania szczegółowych danych użytkowników trzeba też upewnić się, że nie są aktywowane dodatkowe raporty np. z danymi demograficznymi, zainteresowaniami, remarketingiem, wymiarami i danymi niestandardowymi, funkcjami reklamowymi, ID użytkowników, mierzeniem wszystkich interakcji użytkownika na różnych urządzeniach itd.

Zgoda na przetwarzanie danych, które nie są niezbędne do świadczenia usługi drogą elektroniczną

Ustawa o świadczeniu usług drogą elektroniczną wskazuje wprost, że jedyną możliwą podstawą przetwarzania danych jest zgoda:

Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów (…), badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Ustawa o świadczeniu usług drogą elektroniczną, art. 18, pkt.4

Z czego „inne dane” odnosi się do zamkniętej krótkiej listy danych niezbędnych do zawarcia i realizacji usługi wymienione w punkcie 1. tegoż artykułu i w jej skład nie wchodzą dane przetwarzane przez Google Analytics.


Podsumowując:

Zanim zacznie się monitorować wizyty należy zapytać się o zgodę każdego użytkownika na stosowanie cookies i przetwarzanie danych osobowych.

Co powinno się znaleźć w treści zgody na cookies Google Analytics?

W 2019 weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, która do uzyskania zgody na cookies nakazuje stosować przepisy RODO (mówi o tym dodany art. 174. Prawa telekomunikacyjnego). 

RODO szczegółowo określa zasady pobierania zgody i nakazuje spełnić szereg obowiązków informacyjnych przy pozyskiwaniu zgody. 

W praktyce niektóre serwisy realizują je od razu wszystkie w okienku ze zgodą w formie długiego tekstu.

Ustawa pozwala jednak przekazać informacje warstwowo, czyli najpierw w krótkiej formie przed udzieleniem zgody:

Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

motyw 42. RODO

Ponadto mamy poinformować o:

możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za  pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi

Prawo telekomunikacyjne art. 173. pkt. 1 lit. b)

Poniżej w części dotyczącej obowiązków informacyjnych zebrałam szczegółowe interpretacje powyższych zapisów.

Sposób wyrażenia zgody na monitorowanie

Poprawne rozwiązanie polega na udostępnieniu strony bez kodu do monitorowania statystyk i wyświetleniu pytania o zgodę na monitorowanie. Kod statystyk, który odpowiada za zapisywanie cookies i śledzenie użytkowników można użyć na stronie dopiero po udzieleniu zgody.

Projektując pytanie o zgodę należy wziąć pod uwagę, że ma umożliwić

konkretne i świadome dobrowolne okazanie woli. 

RODO art.4

Właścicielom strony i analitykom będzie zależało na tym, żeby pytanie zostało zauważone i rozpatrzone pozytywnie.
Dlatego najczęściej stosuje się popup lub wysuwany element, którego nie da się przeoczyć.

Należy zadbać o jasny przekaz informacji i jasne wezwanie do udzielenia zgody.

Użytkownik ma mieć możliwość wyrażenia zgody w sposób czynny

Dodatkowo należy zadbać o równie łatwe nie wyrażenie zgody, 

oraz – uwaga! – równie łatwą zmianę decyzji.

Jeśli stosujesz przełącznik lub checkboxy, nie mają być domyślnie zaznaczone.

Nie wprowadzaj rozwiązania, które by służyło do czynnego wyrażenia sprzeciwu.

Zapytanie o zgodę ma nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy (!!!) 

Z tą ustawową wytyczną mam problem. Klikanie w każdym serwisie zgód na cookies poprzedzonych krótszymi lub dłuższymi informacjami zakłóca mi korzystanie z usług. Chyba nie jestem w tym odczuciu osamotniona. Nie mam pojęcia, jak autor RODO wyobrażał sobie jego realizację.

Jednym sposobem na zmniejszenie dyskomfortu związanego z udzieleniem zgody widzę wdrożenie mechanizmu, który polega na zapamiętaniu decyzji użytkownika dla tej i kolejnych wizyt tak, aby nie pytać o zgodę na każdej podstronie i przy kolejnych wizytach.

Przy okazji – ten mechanizm też wykorzystuje cookies.  Co do ich użycia zakładam, że podlegają zwolnieniu z pytania o zgodę (o przepisie, który zwalnia z pytania o zgodę na cookies możesz przeczytać poniżej).

Gdyby ktoś miał wątpliwości czy do zgody na cookies stosować przepisy RODO, może zajrzeć do wyroku TSUE:

zgoda na przechowywanie informacji lub dostęp do informacji za pośrednictwem plików cookie zainstalowanych w urządzeniach końcowych użytkownika strony internetowej nie jest ważna, jeżeli jest ona efektem umieszczenia na stronie domyślnie zaznaczonego okienka wyboru, i to niezależnie od tego, czy owe informacje stanowią dane osobowe.  Zgoda wymaga w szczególności wyrażenia woli w formie „wyraźnego aktu potwierdzającego” i którego motyw 32 wyraźnie wyklucza wyrażenie zgody poprzez „milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania

wyrok TSUE z dnia 1 października 2019 r. w sprawie C‑673/17

Projektując zgody na monitorowanie statystyk weź pod uwagę stosowanie innych, zwłaszcza niefunkcjonalnych cookies np. reklamowych, pixel Facebooka, itp.
Będą wymagały udzielenia odrębnych zgód.

Monitorowanie z Google Analytics BEZ WYRAŹNEJ ZGODY użytkownika???

Czy możemy więc podpiąć GA do strony od razu i zbierać dane o ruchu wszystkich, którzy tą stronę odwiedzą i ich tylko o tym informować? 

Kiedyś było to możliwe. Można było korzystać z wyłączenia ze zgody na stosowanie cookies do monitorowania wynikające z PT art. 173, argumentując, że cookies do monitorowania statystyk są konieczne do dostarczania usługi świadczonej drogą elektroniczną żądanej przez użytkownika.

Teraz narzędzie Google wykorzystuje dane do własnych celów (czyli jest odrębnym administratorem) i choćby z tego względu musimy uzyskiwać zgodę użytkownika.

Dodatkowo zgoda na cookies nie może być domyślna, wyrażona poprzez skrolowanie strony ani przez wyłączenie okienka z informacją o stosowaniu cookies.

Takie rozwiązanie znajduje się jeszcze na wielu stronach. Moim zdaniem nie jest w pełni zgodne z aktualnymi przepisami prawnymi, które przytaczam w tym artykule.

Aczkolwiek są i tacy, którzy podważają poprawność polskich przepisów, a dokładniej chodzi o art. 18 ustawy o świadczeniu usług drogą elektroniczną (uśude), ze względu na niezgodność z RODO. Wg uśude przetwarzanie możliwe jest tylko na podstawie zgody. Natomiast RODO pozwala powołać się na uzasadniony interes administratora.

OBOWIĄZKI INFORMACYJNE przy stosowaniu statystyk GA

Obowiązki informacyjne, które powinny być udzielone jeszcze przed udzieleniem zgody:

  • Cele przetwarzania danych i stosowania cookies
  • Tożsamość administratorów

Pozostałe obowiązki informacyjne:

  • Dane kontaktowe
  • Informacje o odbiorcach danych lub o kategoriach odbiorców
  • Informacje o zamiarze przekazania danych osobowych do państwa trzeciego
  • Okres przechowywania danych i cookies
  • Inne prawa osób, których dane dotyczą
  • Informacja o prawie cofnięcia zgody
  • Czy zgoda jest dobrowolna
  • Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
  • Informacje o stosowaniu cookies

Wszystkie obowiązki warto spełnić w polityce prywatności i cookies. Link do niej należy umieścić na stałe w widocznym miejscu, np. na dole strony.

Poniżej podaję podstawy prawne obowiązków informacyjnych wynikające z RODO i przypominam, że wg nowego art. 174. prawa telekomunikacyjnego do uzyskania zgody na cookies również stosuje się przepisy o ochronie danych osobowych. 

Na podstawie tego artykułu domniemywam, że stosując cookies należy też spełnić obowiązki informacyjne zgodne z RODO.

Spodziewam się, że znajdą się tacy, którzy będą to interpretować inaczej.

Podaj cele przetwarzania danych osobowych i stosowania cookies

Zgodnie z RODO trzeba podać cele przetwarzania danych osobowych, a zgodnie z Prawem telekomunikacyjmym: cel stosowania cookies. 

Cel należy podać jeszcze przed udzieleniem zgody.

Uwaga – wg RODO trzeba również podać podstawę prawną celu przetwarzania (wystarczy ją uwzględnić w polityce prywatności i cookies):

  • Przy pobieraniu zgody podstawą będzie art. 6 RODO ust. 1 lit.a. 

Przykłady określenia celu przetwarzania danych i stosowania cookies przy zgodzie

“w celu korzystania z narzędzi analitycznych”

“do prowadzenia statystyk dla witryny x”

“by analizować ruch w tej witrynie”

„badać statystyki dotyczące ruchu na stronie oraz sprawdzać źródła ruchu (kierunki przekierowania),
wykrywać różnego rodzaju nadużycia np. sztuczny ruch internetowy (boty),
ograniczyć niektóre działania marketingowe m.in. aby ochronić użytkowników wielokrotnym wyświetlaniem tej samej reklamy,
mierzyć – bez identyfikowania danych osobowych – skuteczność akcji prowadzonych na rzecz banku, np. w sieci reklamowej Google, w programach partnerskich, na zewnętrznych stronach internetowych,
rozliczać się z partnerami biznesowymi za usługi reklamowe w oparciu o zarejestrowane akcje świadczone na życzenie użytkowników np. za wysłania formularza internetowego o otwarcie konta osobistego.”

www.ing.pl

Podaj tożsamość administratorów

Należy podać tożsamość administratorów danych lub ewentualnie ich przedstawicieli.

Tożsamość należy podać jeszcze przed udzieleniem zgody.

Kto jest administratorem danych?

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych i cookies.

RODO art.4.

O użyciu narzędzia i sposobie korzystania z danych i ich udostępnianiu decyduje właściciel strony, czyli on jest administratorem i powinniśmy podać jego dane.

Nie musi on być jakoś specjalnie “mianowany” na administratora czy gdzieś zgłaszany (jak to było za czasów GIODO).

Jeśli informacja przedstawiana przed udzieleniem zgody jest wyświetlona w taki sposób, że widać jakiego serwisu dotyczy (nie zasłania całej strony) i nazwa serwisu jest tożsama z administratorem, to można by się podeprzeć punktem 4. art. 13 RODO, który mówi, że obowiązki informacyjnie nie mają zastosowania, gdy “osoba, której dane dotyczą, dysponuje już tymi informacjami”.

W polityce prywatności i cookies bezwzględnie podajemy pełną tożsamość administratora.

Czy właściciel serwisu jest jedynym administratorem?

Twórca narzędzia, Google LLC odpowiada za cele przetwarzania oraz sposób działania, zakres danych, miejsce ich przechowywania itd.. Dlatego i on jest administratorem.
Tożsamość twórcy narzędzia większość umieszcza dopiero w polityce cookies.

Przykłady podania tożsamości administratorów przed udzieleniem zgody 

“Blog wykorzystuje pliki cookies w celu prawidłowego jego działania, korzystania z narzędzi analitycznych (Google Analytics)”

prakreacja.pl

Interpretuję to tak, że administratorem jest właściciel bloga prakreacja.pl i Google Analytics, w polityce prywatności mogę to łatwo potwierdzić.

“Administratorem Twoich danych osobowych jest podmiot z Grupy RAS Polska”

onet.pl

Tu po nazwie serwisu nie mogę się domyśleć, kto jest administratorem, za to w treści zgody administratorzy są podani kawa na ławę.

Podaj dane kontaktowe

Zgodnie z RODO mamy podać dane kontaktowe administratorów danych lub ewentualnie ich przedstawicieli, a jeśli w organizacjach są powołani inspektorzy ochrony danych, to ich dane. 

Dane kontaktowe właściciela serwisu najlepiej podać na początku polityki prywatności i cookies.

Dane kontaktowe administratora Google LLC 

Dodatkowo w polityce prywatności i cookies przy informacjach o korzystaniu z narzędzi analitycznych podaj dane drugiego administratora:

Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Podaj informacje o odbiorcach danych lub o kategoriach odbiorców

Odbiorca to podmiot, któremu ujawnia się dane osobowe.

Niektórzy w ramach tego punktu piszą o Google, jako odbiorcy danych. Moim zdaniem Google są administratorem, o czym pisałam powyżej.

Jeśli udostępniasz konto w Google Analytics komuś spoza swojej firmy np. agencji marketingowej, to jest ona odbiorcą danych. Wtedy należy podać, kto jest tym odbiorcą lub podać kategorię.

Przykłady kategorii odbiorców

“podmiot świadczący usługi pomocy technicznej udzielanej Administratorowi”

“Podmioty przetwarzające dane na zlecenie administratora danych, w tym agencje marketingowe “

Podaj informacje o zamiarze przekazania danych osobowych do państwa trzeciego

Zgodnie z RODO trzeba podać:

informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony

RODO, art. 13

Po pierwsze narzędzie Google przechowuje dane w USA, czyli państwie trzecim.
Po drugie Google współpracuje z różnymi podmiotami, które również mogą być z państw trzecich. Na tej liście można sprawdzić aktualną listę tych podmiotów i ich lokalizacje: https://privacy.google.com/businesses/subprocessors/

Stwierdzenie odpowiedniego stopnia ochrony znajdziemy tutaj:
https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active

Przykład informacji o zamiarze przekazania danych osobowych do państwa trzeciego

“Z uwagi na to, że Google LLC posiada siedzibą w USA i wykorzystuje infrastrukturę techniczną znajdującą się w USA, przystąpił do programu EU-US-Privacy Shield w celu zapewnienia odpowiedniego poziomu ochrony danych osobowych wymaganego przez przepisu europejskie. W ramach umowy pomiędzy USA a Komisją Europejską ta ostatnia stwierdziła odpowiedni poziom ochrony danych w przypadku przedsiębiorstw posiadających certyfikat Privacy Shield.”

prakreacja.pl

Podaj okres przechowywania danych i cookies

Aby spełnić ten obowiązek, należy ustalić jak długo w narzędziu są przechowywane dane oraz kiedy wygasają cookies zapisywane na urządzeniach użytkowników.

Google Analytics umożliwia ustawienie czasu, po którego upływie dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics.
O co chodzi? W raportach Analyticsa możemy np. rozróżnić użytkowników nowych i powracajacych. Jeśli usuniemy dane użytkownika po 14 miesiącach, a on wejdzie ponownie na naszą stronę pierwszy raz dopiero po 15 miesiącach, to zostanie uznany za nowego użytkownika.

Do wyboru mamy opcje:

  • 14 miesięcy
  • 26 miesięcy
  • 38 miesięcy
  • 50 miesięcy
  • Nie wygasa automatycznie.

Poniżej w procedurze podaję, gdzie to można ustawić. Następnie zgodnie z tym ustawieniem możemy poinformować użytkowników o okresie przechowywania danych.

Niezależnie od tego ustawienia okres ważności cookies wynosi do 2 lat. Szczegółowe informacje o okresie wygasania cookies z Anatytisca znajdziesz tutaj: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

Zwróć uwagę, że w Twoim serwisie mogą być stosowane różne cookies w zależności od rodzaju wdrożenia (kiedyś był używany ga.js, teraz analytics.js i gtag.js).

Jeśli ciekawi Cię, jakie dane są zapisywane w cookies z Google Analytics, to szczegóły też znajdziesz na tej stronie (np. identyfikator użytkownika, czas aktualnej i poprzednich wizyt).

Jeśli chcesz się upewnić jakie cookies są stosowane w Twoim serwisie i kiedy wygasają: wejdź na swoją stronę, zgódź się na cookies i sprawdź w przeglądarce.
Najprościej można to zrobić w Chrome: kliknij w pasku adresu na ikonkę przed adresem (kłódkę lub i), poszukaj cookie _ga lub __utma (te są przechowywane najdłużej), sprawdź kiedy wygasa i odejmij aktualny czas.

Monitorowanie wizyt użytkowników - wdrożenie Google Analytics zgodnie z RODO
Przykład: takie dane zobaczyłam 10.01.2020 po wejściu na stronę o 19:04:09, co oznacza, że plik cookie o nazwie _ga wygaśnie za 2 lata, o ile go sobie wcześniej nie usunę.

Przykład określenia okresu przechowywania danych i cookies

“cookies na Twoim urządzeniu wygasają po 2 latach, natomiast dane na poziomie użytkownika zostaną automatycznie usunięte z serwerów Analytics po 50 miesiącach;”

Podaj inne prawa osób, których dane dotyczą 

Dobrze je znamy z RODO:

  1. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, 
  2. a także o prawie do przenoszenia danych;
  3. informacje o prawie wniesienia skargi do organu nadzorczego.

Jeśli chodzi o dane osobowe i cookies, te pierwsze dwa obowiązki są już tak abstrakcyjne, że nie spotkałam się z tym, żeby ktoś je rozróżniał osobno na potrzeby korzystania z narzędzi analitycznych.

Na potrzeby tego opracowania wysiliłam mózgownicę i mam taki pomysł, że z prawa do wniesienia sprzeciwu można skorzystać nie zgadzając się na cookies w danym serwisie lub w przeglądarce. Można sobie usunąć wybrane lub wszystkie cookies z przeglądarki.

O tym powinniśmy informować również na podstawie PT. 

Jeśli chodzi o prawo do przenoszenia danych, to w odniesieniu do cookies fizycznie użytkownik ma taką możliwość, bo to są pliki tekstowe zapisane na jego urządzeniu.

BTW – jeśli zastanawiasz się, czy ktoś w ogóle może mieć ochotę skorzystać z prawa do wniesienia skargi, to powiem, że to już się wydarzyło, a nawet zapadł wyrok w takiej sprawie, a orzekał Trybunał Sprawiedliwości Unii Europejskiej. Sprawa dotyczyła obowiązków informacyjnych i formy zgody na cookies (wyrok w tej sprawie jest dostępny tutaj: http://curia.europa.eu/juris/celex.jsf?celex=62017CJ0673&lang1=pl&type=TXT&ancre=).

Podaj informację o prawie cofnięcia zgody 

Zgodnie z RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, należy podać informacje o prawie do cofnięcia zgody w dowolnym momencie.

Poinformuj, czy zgoda jest dobrowolna

Zgodnie z RODO należy podać:

“informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podaniajakie są ewentualne konsekwencje niepodania danych

RODO, art. 13

W  tym kontekście użytkownikowi należy udzielić absolutnie jednoznacznej informacji, czy aktywność prowadzona przez niego na stronie jest uzależniona od wyrażenia zgody na cookies. 

Czyli jako właściciel serwisu musisz podać informację, czy użytkownik może przeglądać serwis lub korzystać z usługi bez wyrażenia zgody na cookies czy też nie, albo z jakim ograniczeniem.

Podaj informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczaniu się

RODO, art 4. pkt 4.

Zakładam, że profilowanie w rozumieniu ustawy miałoby dotyczyć konkretnych osób, a nie zagregowanych danych o wszystkich użytkownikach. Nie znalazłam żadnej informacji o profilowaniu przez Google poprzez użycie Google Analytics.
Nie potrafię sobie także wyobrazić samodzielnego profilowania przy użyciu Google Analytics.

W związku z tym uznaję, że można poinformować, że w związku z monitorowaniem z użyciem GA w odniesieniu do osób fizycznych nie są podejmowane zautomatyzowane decyzje.

Podaj informacje o stosowaniu cookies

Ustawa Prawa telekomunikacyjnego pozwala na stosować cookies pod warunkiem, że użytkownicy otrzymają informację o

“możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;”.

Prawo telekomunikacyjne  art. 173. pkt. 1 lit. b)

Interpretuję to tak: “poinformuj, że cookies można zablokować lub usunąć w ustawieniach przeglądarki”.

Przykłady informacji o stosowaniu cookies

“Jeżeli wyrażasz zgodę na wykorzystywanie plików cookies, kliknij w przycisk „Rozumiem i akceptuję”. Jeżeli chcesz edytować ustawienia plików cookies, kliknij w przycisk „Ustawienia”.”

prakreacja.pl

“W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki.” 

www.gov.pl

“ W każdej chwili możesz usunąć i zablokować dalsze umieszczanie plików cookie zmieniając ustawienia przeglądarki.“

mzbkancelaria.pl

“Możesz zmienić ustawienia przeglądarki w zakresie korzystania z plików cookie. Instrukcję znajdziesz w naszej polityce prywatności.”

prawo.gazetaprawna.pl

INNE OBOWIĄZKI administratora 

Zawrzyj umowy powierzenia

Na podstawie ustawy:

Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.59), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:
1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174

Jak upoważnić?

  1. W konfiguracji usługi Google Analytics potwierdź “Aneks o przetwarzaniu danych”. Poniżej w procedurze podaję, gdzie go znaleźć.
  2. Jeśli udostępniasz swoje konto w Google Analytics swojemu pracownikowi, to nadaj mu upoważnienie.
  3. Jeśli współpracujesz z zewnętrznym podmiotem np. freelancerem lub agencją interaktywną lub marketingową, która opiekuje się serwisem lub wspiera Cię w reklamowaniu, SEO itd. zawrzyj z nią umowę powierzenia.

Zabezpiecz dostęp do danych

Dalej w art. 174 doczytamy o środkach ochrony, które obowiazują dostawców usług telekomunikacyjnych:

2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO, Art. 174

Niezależnie od tego, czy uznasz, że ten przepis dotyczy Ciebie, czy też nie, przy korzystaniu z usługi Google Analytics należy stosować podstawowe zasady bezpieczeństwa, czyli:

  • nie użyczać nikomu swojego hasła dostępowego, tym bardziej, że w Google Analytics logujesz się na swoje konto Googlowe, czyli to, które identyfikuje Cie w wyszukiwarce Google i na którym możesz korzystać z innych usług np. kalendarza, poczty, dokumentów Google.
  • jeśli chcesz komuś dać dostęp do raportów – daj mu najmniejsze uprawnienia i na najniższym poziomie, jakich będzie potrzebować.

Jeśli udało Ci się przebrnąć przez meandry wymagań prawnych, masz już ustalony sposób pobierania zgodyprzygotowane teksty dla spełnienia obowiązków informacyjnych możesz skorzystać z poniższej procedury, według której możesz zainstalować statystyki na swojej stronie i spełnić obowiązki, jakie nakłada ustawa RODO o ochronie danych osobowych oraz Prawo telekomunikacyjne, które reguluje sposób korzystania z plików cookies.

Google często zmienia swoje narzędzia, dlatego w kilku miejscach w poniższej procedurze podaję odesłania do ich instrukcji, bo są większe szanse, że będą aktualne.

PROCEDURA wdrożenia podstawowych statystyk Google Analytics

Jak wdrożyć podstawowe statystyki Google Analytics i spełnić obowiązki prawne?

  1. Załóż konto w Google

    Jeśli jeszcze nie masz konta w Google załóż je. W razie potrzeby skorzystaj z pomocy https://support.google.com/accounts/answer/27441?hl=pl

  2. Zaloguj się w Google Analytics

    https://google.com/analytics – pod tym adresem kliknij w prawym górnym rogu w Sign in to Analytics.
    Jeśli nie masz: załóż konto w Google Analytics, klikając w Start for free.

  3. Skonfiguruj usługę

    Dla swojej strony WWW skonfiguruj usługę wg instrukcji https://support.google.com/analytics/answer/1042508.
    Jeśli jeszcze nie masz założonej osobnej usługi dla danego serwisu to:
    1. Utwórz nową usługę;
    2. wybierz opcję Sieć, ocena witryny (jeśli będziesz monitorować ruch na stronie internetowej);
    3. jako nazwę witryny najlepiej podaj nazwę domeny;
    4. podaj URL witryny, czyli jeszcze raz nazwę domeny;
    5. możesz, ale nie musisz wybierać kategorii ani strefy czasowej.
    6. Kliknij Utwórz, żeby potwierdzić.

    Usługa się założy i wyświetlą Ci się informacje o niej, m.in. Globalny tag witryny, a w nim kod śledzenia. 

  4. Skopiuj kod śledzenia

    np. do notatnika.
    Jeśli ten krok Ci umknął przy zakładaniu usługi, to ta instrukcja podpowiada, gdzie szukać tego Globalnego tagu witryny: https://support.google.com/analytics/answer/1008080

  5. Potwierdź umowę powierzenia przetwarzania danych

    Dalej w Google Analytics przejdź do Administracji.
    Dla zawarcia umowy powierzenia przetwarzania danych:
    w kolumnie KONTA (Account) w Ustawienia konta (Account settings) potwierdź “Aneks o przetwarzaniu danych” (Data Processing Amendment).
    Ten aneks bywa aktualizowany i wtedy w tym miejscu może się wyświetlić prośba o potwierdzenie zmian.

  6. Ustaw okres przechowywania danych

    W kolumnie USŁUGA (Property)
    1. kliknij Informacje o śledzeniu (Tracking info)
    2. i dalej w Przechowywanie danych (Data retention)
    3. w “Przechowywanie danych o użytkownikach i zdarzeniach” (User and event data retention) – wybierz okres przechowywania plików cookies.

  7. Włącz anonimizację IP (opcjonalnie)

    Opcjonalnie, aby monitorować statystyki, ale bez dokładnej lokalizacji użytkowników – włącz anonimizację IP.
    W tym celu w kodzie śledzenia znajdź linijkę:
    gtag('config', 'UA-XXXXXXX-YY');gdzie UA-XXXXXXX-YY to identyfikator Twojej usługi

    Dopisz do niej po przecinku to, co w nawiasie klamrowym tak, żeby to razem wyglądało tak:
    gtag('config','UA-XXXXXXX-YY', { 'anonymize_ip': true});

  8. Umieść kod śledzenia na każdej stronie, którą chcesz monitorować na samym początku w elemencie <HEAD>

    Jeśli używasz WordPressa to zajrzyj poniżej na osobne instrukcje.

  9. Sprawdź czy działa

    Wejdź do https://google.com/analytics upewnij się, że jesteś na statystykach swojej strony: w lewym górnym rogu jest podany adres aktualnie raportowanej strony  (jeśli masz już kilka kont, to możesz się przełączać):
    W menu po lewej kliknij w raport Czas rzeczywisty > Przegląd;
    Wejdź na swoją stronę WWW;
    Wróć do Analyticsa i zobacz, czy na wykresie pojawi się przesuwający się słupek z Twoją wizytą.
    Jeśli nic nie widzisz, upewnij się, że kod śledzenia znajduje się bezpośrednio za tagiem <head> na każdej stronie witryny: wejdź na swoją stronę i wyświetl jej źródło (w Windows wybierz opcję prawym przyciskiem myszy).

  10. Założ stronę polityki prywatności i cookies lub zaktualizuj jej treść.

    Upewnij się, że zawiera elementy wymienione powyżej w części dotyczącej obowiązków informacyjnych przy stosowaniu statystyk GA.

  11. Dodaj link do strony Polityki Prywatności i Cookies

    Najlepiej w stopce (w WordPressie sprawdź, czy możesz to zrobić w ustawieniach motywu lub przez widget).

Jak umieścić kod śledzenia w WordPress?

Jeśli używasz WordPressa to masz kilka opcji umieszczenia kod śledzenia, w zależności od tego, czy wymagasz jednej czy kilku osobnych zgód.

Jeśli będziesz wymagać tylko jedną zgodę na cookies

Skorzystaj z wtyczki Cookie Notice for GDPR & CCPA dostarczanej przez dFactory.
W niej ustaw:

  • wiadomość: tu wpisz treść zgody. 
  • Tekst przycisku: tu wpisz tekst przycisku zgody, np. “Zgadzam się”
  • Polityka prywatności: włącz (ewentualnie wyłącz, ale dodaj link np. w wiadomości, czyli w treści zgody np. <a href=”https://twojadomena.pl/polityka-prywatnosci-i-cookies/” target=”_blank”>Polityka prywatności i cookies</a>
  • Odmowa ciasteczek (Refuse consent): tu wpisz tekst przycisku odmowy, np. “Nie zgadzam się”
  • Zmiana decyzji (Revoke consent): 
  • włącz, 
  • wpisz tekst linku zmiany decyzji (Enter the revoke message.) np. “Zmieniam decyzję co do cookies”
  • ustaw sposób jego wywołania na automatyczny lub ręczny
  • Blokowanie skryptów: tu wklej kod śledzenia (globalny tag witryny z poprawkami wg punktu 7.)
  • Przeładowuję:
    włączone (wtedy po udzieleniu zgody strona się przeładuje, co będzie widoczne jako mignięcie, użytkownik będzie od tego momentu użytkownik będzie monitorowany)
    lub wyłączone (strona nie mignie, ale użytkownik będzie monitorowany dopiero po przejściu do następnej strony).
  • Przewijanie: nie zaznaczaj
  • On click: nie zaznaczaj
  • Wygasanie cookie: wg własnego uznania
  • Pozycja skryptów: w stopce
  • Deaktywacja: proponuję wyłączyć

Wygląd dostosuj wg własnego uznania.  W razie potrzeby lepszego dopasowania wyglądu albo dla zrealizowania kreatywnych pomysłów można dodać własne style w CSS

jeśli stawiasz na ręczną zmianę decyzji wstaw shortcode [cookies_revoke] w wybranym miejscu np. w stopce 

Jeśli strona będzie używana w kilku wersjach językowych, to w konfiguracji wtyczki teksty należy wpisać w podstawowym języku w jakim jest motyw (np. po angielsku), a tłumaczenie na pl i inne języki wykonaj osobno. Jeśli korzystasz z WPML, to przetłumacz przez moduł tłumaczenie wyrażeń > Kontekst=Cookie Notice (nie plugin cookie-notice!!!)

Jeśli chcesz zapisywać cookies wymagających osobnych zgód

Będziesz potrzebować rozwiązania, które będzie umieszczać skrypt śledzenia niezależnie od pozostałych.
Możesz użyć wtyczki WP GDPR Compliance dostarczaną przez Van Ons.

Jeśli korzystasz z Google Tag Manager

Podepnij Google Analytics przez niego. Jeśli GTM służy Ci tylko do tego celu, to skrypt GTM dodaj przez wtyczkę Cookie Notice for GDPR & CCPA dostarczanej przez dFactory tak, jak w punkcie dotyczącym pojedynczej zgody, tylko zamiast skryptu GA dodaj skrypt GTM.
Pewnie jednak przez GTM wrzucasz jeszcze inne tagi np. marketingowe i potrzebujesz zbierać od użytkowników osobne zgody.
Wtedy w serwisie po zebraniu zgody trzeba zapisać cookie, a w GTM dopisać skrypt, który go odczyta i odpali dany tag.

Statystyki szczegółowe

Taką minimalną konfigurację statystyk możesz uzupełnić o mierzenie konwersji, pobrań plików,  segmentacje, wykluczenia, łączenie danych, filtrowania, statystyki e-commerce, dane demograficzne itp.


P.S.1

Nie jestem prawnikiem i nie traktuj podanych tu informacji jako wiążących. 

P.S. 2

Przykłady fragmentów spełnienia obowiązków informacyjnych cytuję z serwisów, w których są stosowane statystyki GA i administrator dołożył starań, żeby realizować obowiązujące przepisy prawne, ale też z takich, które nie stosują ani jednego ani drugiego.

P.S. 3

Jeśli masz uwagi lub pytania do tego opracowania, albo po prostu interesuje Cię ten temat – zostaw komentarz! Miło by mi było wiedzieć, że jest jeszcze ktoś, kto ma ochotę zgłębić ten temat:)

Jeśli nie Google Analytics, to co?

Jeśli masz stronę na osobnym koncie hostingowym (czyli gdzieś masz wykupioną usługę serwera, hostingu) to jest duże prawdopodobieństwo, że hostingodawca zapewnia Ci dostęp do podstawowych statystyk. Wystarczy, że zalogujesz się na swoje konto hostingowe i znajdziesz dostęp do statystyk.

Prawnie – jeśli masz dostęp do takich statystyk, bez ich samodzielnego uruchamiania, a w monitorowanych danych mogą się znaleźć dane osobowe, to uznałabym, że administratorem tych danych jest hostingodawca, a Ty jako wynajmujący miejsce na serwerze jesteś odbiorcą tych danych. 

W związku z tym:

  1. Z hostingodawcą zawrzyj umowę powierzenia przetwarzania danych osobowych (możesz to zrobić jeśli na serwerze umieszczasz inne dane osobowe np. nazwiska pracowników, niezależnie czy używasz statystyk czy nie).
  2. W Polityce Prywatności spełnij obowiązki informacyjne zgodnie z RODO art.14, jeśli przetwarzasz jakieś dane osobowe z tych statystyk.

 

Autorem tej porcji wiedzy i inspiracji jest

Szukam rozwiązań, projektuję i analizuję, aby tworzyć i rozwijać strony firmowe, które będą solidnym fundamentem marketingu online.

Close
Go top