Google Analytics w Europie: jak zapewnić zgodność z RODO

Reguły gry o prywatność danych stały się bezradne, wpływając na zdolność europejskich przedsiębiorstw do dokładnej oceny ich wyników i odpowiedniej oceny ich działań marketingowych. Wraz z pojawieniem się zakazów zwykłe sposoby pracy nie są już możliwe, co prowadzi do utraty cennych danych, które nigdy nie zostaną zastąpione.

Ogromna zmiana w analityce cyfrowej rozpoczęła się od zakazu korzystania z Google Analytics w niektórych krajach europejskich, a zakończyła na nowych ramach dotyczących prywatności danych między UE a USA. Zgodnie z niedawnymi decyzjami europejskich organów ochrony danych, Google Analytics stało się nielegalne dla operatorów witryn w kilku krajach. Odkąd wdrożenie Google Analytics jest obecnie postrzegane jako naruszenie rozdziału V RODO, europejskie firmy borykają się z kryzysem.

Jednak w marcu 2022 r. sytuacja uległa zmianie, więc spróbujmy wreszcie ustalić, jakie problemy pojawiły się z prywatnością danych i co europejskie firmy mogą zrobić, aby zabezpieczyć swoje analizy marketingowe.

W ciągu ostatnich kilku lat miało miejsce wiele wydarzeń w dziedzinie prywatności danych i Google Analytics. Dla europejskich firm te zmiany w gromadzeniu i stosowaniu danych oznaczały koniec złotej ery dostrojonych, zaawansowanych analiz marketingowych. Ograniczenia i zakazy w wykorzystaniu danych uniemożliwiają stosowanie ustalonych przepływów pracy. Zebraliśmy i zmapowaliśmy wszystkie informacje, które są nam potrzebne, aby zobaczyć, jak te wszystkie zmiany się zaczęły i gdzie jesteśmy teraz.

W 2020 r. organizacja non-profit NOYB złożyła 101 skarg na witryny Europejskiego Obszaru Gospodarczego (EOG), które stosowały Google Analytics lub Facebook Connect. Następnie organy ochrony danych EOG zaczęły wydawać orzeczenia zmuszające operatorów witryn EOG do zaprzestania korzystania z tych usług, ponieważ nie przestrzegają oni ogólnego rozporządzenia o ochronie danych (RODO).

Problem tkwił w sposobie zastosowania Google Analytics w Europie, ponieważ przechowuje zebrane dane o mieszkańcach UE (dane o zachowaniach użytkowników) w amerykańskiej usłudze w chmurze. Kwestią sporną było – i nadal jest – to, że zabezpieczenia zastosowane przez Google są niewystarczające, aby uniemożliwić amerykańskim służbom wywiadowczym dostęp do danych osobowych mieszkańców UE. Według europejskich organów ochrony danych takie zagraniczne transfery danych naruszają RODO.

Do tej pory odbyły się dwie sprawy sądowe. Pierwszą była sprawa austriacka (grudzień 2021 r.), a niecałe dwa miesiące później sprawa francuska (luty 2022 r.). Podsumowując te przypadki, nie ma odpowiedniej ochrony danych osobowych mieszkańców UE oraz nielegalnego przekazywania ich danych osobowych do usług z siedzibą w USA. Na przykład unikalne numery ID użytkownika, adresy IP i parametry przeglądarki nie są wystarczająco chronione przez standardowe klauzule ochronne oferowane przez Google.

Podobne przypadki w innych krajach europejskich mogą wywołać efekt domina, uniemożliwiając korzystanie z Google Analytics (i podobnych usług). Ponieważ istnieją już wymodelowane odpowiedzi i reakcje na te skargi dotyczące naruszenia prywatności danych, możliwe jest, że wkrótce więcej organów europejskich pójdzie w ich ślady, co spowoduje całkowity zakaz korzystania z Google Analytics (i innych narzędzi) w Europie.

Następnie, 25 marca 2022 r., po ponad rocznych negocjacjach, USA i UE ogłosiły „porozumienie co do zasady” w sprawie nowych ram prawnych dotyczących przesyłania danych osobowych z UE do Stanów Zjednoczonych zgodnie z RODO. Transatlantyckie Ramy Ochrony Danych są odpowiedzią na obawy zgłoszone przez Trybunał Sprawiedliwości Unii Europejskiej w orzeczeniu Schrems II z lipca 2020 r. i gwarantują najwyższe standardy prywatności i ochrony danych. Google z niecierpliwością czeka na certyfikację swoich procesów w ramach Trans-Atlantic Data Privacy Framework przy pierwszej nadarzającej się okazji. Mimo to pozostaje „umową co do zasady”, której szczegóły i terminy nie zostały jeszcze potwierdzone.

Nikt nie jest w stanie przewidzieć przyszłości, a ponieważ krajobraz cyfrowy szybko się zmienia, firmy powinny być przygotowane do ochrony przepływu pracy w zakresie przetwarzania danych.

Ze względu na skargi ze strony NOYB wiele organów ochrony danych Europejskiego Obszaru Gospodarczego (EOG) chce zmusić operatorów witryn z EOG do całkowitego zaprzestania korzystania z Google Analytics. Ci, którzy cierpią z powodu takich decyzji, to europejskie firmy, które chcą wdrażać technologie internetowe w celu zwiększenia przychodów z działalności i poprawy ogólnych wyników.

W tej chwili firmy te mają słabą pozycję, ponieważ czekają, aż politycznie gorący temat międzynarodowych transferów danych zostanie rozwiązany za pomocą logicznych rozwiązań. Nie zapominajmy, że pomimo problemów z przesyłaniem danych, na całym świecie występują inne niebezpieczne zagrożenia dla prywatności danych, takie jak cyberataki i oprogramowanie ransomware.

W chwili obecnej problemy jakie występują przy korzystaniu z Google Analytics są następujące:

• Witryny, które nie są zgodne z RODO, będą płacić wysokie grzywny, jeśli będą nadal przesyłać poufne dane użytkownika do usług w Stanach Zjednoczonych.
• Marketerzy obawiają się, że bez zastosowania Google Analytics nie będą w stanie ocenić ich skuteczności marketingowej.
• Aby zmienić swoje rozwiązanie do analizy marketingowej, firmy wydadzą dużo na naukę i wdrażanie nowego produktu.

Zobaczmy, co można zrobić, aby rozwiązać te problemy i jak firmy mogą uniknąć jeszcze większych problemów w przyszłości.

Uwaga: Projekt NOYB zawiera wytyczne dla firm. Zwłaszcza dla mniejszych firm z UE, które nie mają pewności co do amerykańskich przepisów dotyczących nadzoru lub których amerykański partner podlega tym przepisom, na stronie noyb.eu dostępne są bezpłatne wytyczne i prośby o modele .

Oczywiście taki stan rzeczy jest dla wielu firm nieprzyjemny i narusza długo budowane procesy pracy. Nie ma jednak powodów do rozpaczy, bo to na pewno nie koniec świata, a wyjścia są.

Przede wszystkim powinniśmy zacząć od nadmienienia, że ​​Google Analytics można zaimplementować na dwa sposoby. W związku z tym sposób jego wdrożenia wpływa na jego zgodność z RODO. Dwie metody to:

Serwisy zazwyczaj stosują tryb po stronie klienta , co oznacza wykorzystywanie kodu JavaScript na stronach serwisu, ustawianie plików cookies, generowanie identyfikatorów klienta oraz przekazywanie uzyskanych danych do Google Analytics w celu tworzenia statystyk serwisu.

Zobaczmy, jakie kroki należy podjąć, korzystając z Google Analytics w trybie po stronie klienta. Należy sprawdzić zarówno kwestie techniczne, jak i prawne, aby zapewnić zgodność z RODO.

1. Zacznij od uzyskania odpowiedniej zgody użytkownika. Należy poinformować użytkowników, że ich dane (informacje o urządzeniu, identyfikatory śledzenia, adresy IP itp.) będą nie tylko gromadzone, ale także przesyłane do usług w USA. Ponadto należy zaznaczyć, że użytkownicy mogą w każdej chwili wycofać swoją zgodę.
2. Zaimplementuj anonimizację adresów IP. (W przypadku usług Google Analytics 4 anonimizacja adresów IP jest domyślnie włączona).
3. Sprawdź, czy zarówno opcja udostępniania danych, jak i opcja sygnałów w Google Analytics są wyłączone.
4. Jeśli używasz zastrzeżonych identyfikatorów użytkownika, upewnij się, że nie masz uprawnień do identyfikacji użytkownika.

Ważny! Nie zapomnij sprawdzić stanu prawnego. Sprawdź wszystkie podpisywane umowy, ponieważ wszystkie umowy podpisywane przez firmy z regionu EMEA powinny być zawierane z Google Ireland Limited, a nie z Google LLC. Następnie sprawdź TIA obejmującą transfer danych między Google Ireland Limited a Google LLC.

Drugi wariant to implementacja trybu po stronie serwera . Jest to bardziej dyskretne, ponieważ ten tryb pozwala przenieść tagi ze strony (zarówno reklamowe, jak i pomiarowe) i przenieść je do bezpiecznego kontenera na serwerze. Ponadto, stosując śledzenie po stronie serwera, adresy IP użytkowników są automatycznie anonimizowane przed udostępnieniem informacji narzędziom Google do raportowania. Krótko mówiąc, oznacza to brak bezpośredniej komunikacji między użytkownikiem a Google. Informacje są gromadzone przez serwer wydawcy, a następnie przesyłane do Google w celu analizy.

Chociaż wiele firm może odnieść wrażenie, że brak Google Analytics oznacza w ogóle brak analiz, to nieprawda. Istnieją inne sposoby wdrażania zaawansowanej analityki marketingowej, a zespół OWOX BI dostarcza bezpieczne rozwiązania zarówno do gromadzenia, jak i przechowywania danych.

Co to jest OWOX BI?

OWOX BI to rozwiązanie do analityki marketingowej, które automatyzuje dostarczanie danych z wyodrębnionych źródeł do miejsca docelowego analiz, zapewniając, że dane są zawsze dokładne i aktualne.

Wśród głównych zalet pracy z danymi przy użyciu OWOX BI są:

• Wszystkie dane są przechowywane w Google BigQuery z pełną zgodnością z RODO. Śledzenie po stronie serwera OWOX BI zapewnia bezpieczne gromadzenie danych z pierwszej strony w Twojej osobistej domenie. Proces śledzenia jest zgodny ze Schrems II i RODO.
• Znajomy schemat danych Google Analytics. Otrzymujesz dobrze znany uniwersalny schemat danych Google Analytics dla działań i transformacji sesji. Proste skonfigurowanie śledzenia przy użyciu bieżących ustawień Google Analytics zajmuje tylko kilka minut.
• Zbieranie danych wysokiej jakości. Pozostań niezależny od programów blokujących reklamy i uzyskaj pełne nieprzetworzone dane o możliwej do wyjaśnienia jakości. Zbieraj każde trafienie w swojej pamięci Google BigQuery w UE w czasie zbliżonym do rzeczywistego i bez próbkowania.
• Skuteczny marketing i analiza danych. W 2023 r. znaczna część informacji o skuteczności kanałów reklamowych nie będzie już dostępna ze względu na zanik plików cookie stron trzecich i skrócenie czasu życia plików cookie. Możesz zminimalizować straty dzięki śledzeniu po stronie serwera OWOX BI, zbierać dane własne i łączyć je z danymi marketingowymi w swojej pamięci.

Jakie kroki możesz podjąć z OWOX BI, aby zapisać swoje analizy marketingowe?

Ponieważ większość firm woli, aby zarówno gromadzenie, jak i przechowywanie danych odbywało się w regionie UE, OWOX BI unika korzystania z Google Analytics. Szczegółowo przepływ danych OWOX BI wygląda tak:

1. Zbieraj dane ze strony w klasycznym formacie Google Analytics. Ponieważ ten format danych jest znany, możliwe jest ponowne wykorzystanie tysięcy istniejących zapytań SQL.
2. Zbieraj nieprzetworzone dane do pamięci Google BigQuery w czasie rzeczywistym. Uzyskane dane należą do Ciebie i są przechowywane w wybranej przez Ciebie strefie UE.

Podsumowując, OWOX BI pozwala każdemu marketerowi i analitykowi kontynuować pracę i stosować rozwiązania analityczne, które zadowalają dział prawny firmy:

• Zapewnij zgodność z RODO podczas pracy z danymi wrażliwymi.
• Unikaj tracenia czasu i zasobów na ponowne przetwarzanie danych lub uczenie się i przyjmowanie nowego stosu technologicznego.
• Zachowaj istniejące znaczniki swojej witryny, ponieważ czas wdrożenia wraz z okresami wartości jest naprawdę krótki.

Sytuacja z zakazem Google Analytics i nadchodzącym Trans-Atlantic Data Privacy Framework wciąż wymaga wyjaśnienia. Jednak niezależnie od wyników, najlepiej chronić swoją firmę już teraz, nie czekając na lepszy czas w przyszłości. Istnieją oczywiste kroki, które możesz podjąć, aby zminimalizować ryzyko, od przygotowania prawnego i zapewnienia zgody użytkownika po odejście od dostawców usług będących własnością USA.

Śledzenie po stronie serwera OWOX BI zapewnia bezpieczne gromadzenie danych z pierwszej strony, które jest zgodne ze Schrems II i RODO. A wisienką na torcie jest możliwość zminimalizowania strat wynikających z zaniku plików cookie stron trzecich i skrócenia czasu życia plików cookie.