Google Analytics 4 in GDPR
Je GA4 kompatilen z GDPR oz. ali je uporaba GA4 v EU sploh še legalna?
Pet let je minilo, odkar je v veljavo stopila regulacija GDPR. Očitno to ni bilo dovolj, da bi se z omenjeno regulacijo uskladil tudi Google.
- Marca 2020 je Švedska kaznovala Google LLC zaradi kršenja člena 17.1(a) GDPR, ket ta ni izbrisal Google iskanj. Kazen je znašala 7 mio €.
- 31. decembra 2021 je francoski podatkovni regulator CNIL kaznoval Google s skupno 150 milijoni evrov kazni, ker uporabniki google.fr in youtube.com piškotkov niso mogli tako enostavno zavrniti kot sprejeti. Google Ireland je bil obtožen 60 milijonov evrov kazni, Google LLC pa 90 milijonov evrov.
- Francija je zavrnila tudi funkcijo anonimizacije IP-naslova Google Analytics 4 kot ustrezen ukrep za zaščito prenosa podatkov iz Evrope v ZDA.
- Avstrijski, nizozemski in norveški organi za varstvo podatkov so prav tako ugotovili, da Google Analytics ni v skladu z GDPR in krši DGPR, in nameravajo sankcionirati tudi Google ali vsaj omejiti uporabo storitve Google Analytics.
- Poleg tega je Sodišče EU julija 2020 izključilo pravni okvir za urejanje izmenjave osebnih podatkov med EU in ZDA ter Švico in ZDA, da bi podjetjem na obeh straneh Atlantika zagotovil osnovo za izpolnjevanje zahteve glede varstva podatkov. Google ne more več pošiljati podatkov uporabnikov v ZDA, kjer se nahaja večina Googlovih podatkovnih centrov.
Kot odgovor na tako zapleteno razmerje med storitvijo Google Universal Analytics in GDPR je Google izdal Google Analytics 4, ki naj bi nadomestil Universal Analytics in rešil vprašanja zasebnosti GDPR.
Kaj je Google Analytics 4
Google Analytics 4 (GA4) je najnovejša Googlova analitična storitev, ki vam omogoča merjenje prometa in interakcij uporabnikov z vašimi spletnimi mesti in aplikacijami. GA4 je bil izdan 14. oktobra 2020 in naj bi nadomestil Universal Analytics. 1. julija 2023 bo tako standardni Universal Analytics prenehal delovati, GA 4 pa bo postal privzeta analitika Googla.
GA4 ponuja tržnikom in upraviteljem spletnih mest številne prednosti, ki jih lahko uporabijo za razumevanje vedenja uporabnikov in optimizacijo kampanj v digitalnem marketingu:
- Boljše sledenje med napravami, ki omogoča sledenje uporabnikov med napravami (cross device).
- Boljše sledenje med aplikacijami (cross app), ki zbira podatke o spletnih mestih in aplikacijah za sledenje interakcijam med spletnimi mesti in mobilnimi aplikacijami.
- Uporablja dogodke namesto podatkov na podlagi seje.
- Boljša natančnost podatkov, ki omogoča sledenje celovitejšim in kompleksnejšim interakcijam uporabnikov z vašo spletno stranjo.
- Direktne integracije v medijske platforme, ki omogočajo takojšnje spodbujanje dejanj.
- Strojno učenje, ki omogoča samodejne vpoglede in napovedne zmogljivosti.
- Močno osredotočen na zasebnost podatkov.
Funkcije zasebnosti v storitvi Google Analytics 4
Najpomembneje pa je, da se GA4 osredotoča na zasebnost podatkov in zagotavlja posodobljene funkcije zasebnosti, ki naj bi uporabnikom pomagale pri lažjem spoštovanju večine zakonov o zasebnosti podatkov. GA4 je uvedel številne funkcije nadzora zasebnosti za skladnost z večino zakonov o zasebnosti, predvsem GDPR.
IP anonimizacija
Prejšnja različica Google Analytics (GA) je privzeto zbirala naslove IP uporabnikov. To je kršilo zakonodajo GDPR, saj se IP naslov šteje za osebno določljiv podatek (personally identifiable information oz. PII), ki je zaščiten z zakonom. Google Analytics je dovolil aktiviranje funkcije anonimizacije IP-ja, tako da je anonimiziral zadnje 3-4 števke. To pa smo morali uporabniki oz. skrbniki nastaviti ročno, postopek pa ni bil ravno enostaven.
V GA4 je anonimizacija IP privzeto omogočena in je ni mogoče izklopiti. To pomeni, da GA4 ne bo shranjeval naslovov IP uporabnikov in ne bo mogel slediti osebnim podatkom uporabnikov. Z vidika GDPR se to šteje za najpomembnejšo spremembo v GA4, ki uporabnikom pomaga pri zagotavljanju skladnosti z GDPR.
Trajanje shranjevanja podatkov
Druga pomembna lastnost, ki jo zagotavlja GA4, je krajši rok hranitve podatkov. V prejšnji različici GA ste se lahko odločili za shranjevanje zbranih podatkov do 64 mesecev.
V GA4 imate samo dve možnosti shranjevanja osebnih podatkov: 2 meseca ali 14 mesecev, odvisno od vaših analitičnih aktivnosti.
Ta funkcija bo uporabnikom pomagala pri izpolnjevanju načela omejitve shranjevanja GDPR, saj je v skladu z zakonom podatke treba hraniti le toliko časa, kolikor je to nujno potrebno. Če pa podjetje potrebuje daljše obdobje shranjevanja podatkov, pa je mogoče podatke shranjevati za daljše obdobje z uporabo »podatkovnega skladišča«, kot je BigQuery, ki ga zagotavlja Google.
Lokacija strežnika in omejen prenos podatkov
Obdelava podatkov Google Analytics poteka na več strežnikih, ki se nahajajo po vsem svetu, večina jih je v ZDA. Pred letom 2020 je bil prenos podatkov urejen v skladu z okvirom zasebnostnega ščita (Privacy Shield framework). Julija 2020 je Sodišče EU to izključilo (pravni okvir za urejanje izmenjave osebnih podatkov med EU in ZDA ter Švico in ZDA), da bi se podjetja na obeh straneh Atlantika bila primorana izpolnjevati skladnost z varstvom podatkov. (Prej smo se lahko sklicevali na Ameriško zakonodajo)
Universal Analytics in GA4 uporabnikom kljub vsemu ne omogočata izbire, kje bodo shranjeni njihovi podatki.
To pomeni, da če ima vaše spletno mesto sedež v EU ali ima uporabnike iz EU, morate sprejeti dodatne ukrepe v zvezi z zahtevami glede prenosa podatkov GDPR. Po GDPR se pošiljanje osebnih podatkov iz EU ali Združenega kraljestva v ZDA šteje za omejen prenos.
Zato morate z Googlom podpisati pogodbo o obdelavi podatkov glede omejenega prenosa podatkov. Shraniti morate tudi kopijo podpisane pogodbe. Poleg tega mora vaše spletno mesto imeti Politiko zasebnosti , ki jasno razkriva delovanje mednarodnih prenosov podatkov.
Če le podpišete pogodbo o obdelavi podatkov, vaš prenos podatkov v ZDA po GDPR ni zakonit.
Način privolitve
Googlov način soglasja (Google consent mode) je funkcija zasebnosti, ki omogoča spreminjanje vedenja Googlovih oznak na vašem spletnem mestu na podlagi uporabnikovih nastavitev soglasja. Z novo implementacijo soglasja GA4 lahko orodju naročite, naj sledi vedenju uporabnikov glede na nastavitve soglasja uporabnikov.
Izbris osebnih podatkov uporabnikov
Večina zakonov o zasebnosti , vključno z GDPR, daje potrošnikom pravico zahtevati izbris osebnih podatkov. Kot odgovor na to GA4 omogoča brisanje podatkov posameznega uporabnika v določenem časovnem obdobju. Ta funkcija bo uporabnikom pomagala pri zagotavljanju skladnosti z GDPR.
Pravila glede osebno določljivih podatkov (PII)
Zaradi skladnosti z večino zakonov o zasebnosti, vključno z GDPR, Google uporabnikom ne dovoljuje zbiranja osebno določljivih podatkov (PII) v GA4. Zbiranje osebnih podatkov z uporabo GA4 se šteje za kršitev Googlovih pogojev storitve in ima ta pravico izbrisati vse podatke uporabnika, če najde osebne podatke.
4. člen GDPR opredeljuje osebne podatke:
»Osebni podatek pomeni vsako informacijo v zvezi z določeno ali določljivo fizično osebo; določljiva fizična oseba je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikator, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali na enega ali več dejavnikov, značilnih za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali družbeno identiteto te fizične osebe.«
Osebni podatki vključujejo tudi podatke kot so:
- Verski pogledi
- Etnični izvori in identitete
- Genetski podatki
- Biometrični podatki
- Filozofska prepričanja
- Zdravstveni kartoni
- Spolne usmerjenosti
- Politična mnenja
- Članstva.
Deljenje podatkov z drugimi Googlovimi izdelki
Google spodbuja, da svoje podatke delite z drugimi Googlovimi izdelki, kot sta Google Signals ali Google Ads, saj to predstavlja določene prednosti in izboljšuje rezultate oglaševalskih kampanj.
Vendar pa izmenjava podatkov povečuje tveganje za kršitev zakonov o zasebnosti, zlasti GDPR, če ni pravilno nastavljena.
V skladu z GDPR morate od uporabnikov spletnega mesta pridobiti izrecno soglasje za izmenjavo podatkov med drugimi Googlovimi izdelki, kot sta Google Signals ali Google Ads. Soglasje mora biti podano, preden se začne souporaba podatkov izvajati. Poleg tega mora pravilnik o zasebnosti vašega spletnega mesta jasno razkriti dejstvo, da se zasebni podatki uporabnikov lahko delijo z drugimi Googlovimi izdelki.
V primeru, da niste prepričani, se lahko odjavite od skupne rabe podatkov.
Ali je Google Analytics 4 (GA4) skladen z GDPR?
Potem ko ste implementirali vse funkcije GA4 glede zasebnosti uporabnikov, ali je GA4 skladen z GDPR?
Žal ne.
Odločitev o razveljavitvi okvira zasebnostnega ščita EU-ZDA
Zasebnostni ščit EU –ZDA je začel veljati 12. julija 2016 in je bil pravni okvir za urejanje čezatlantskih izmenjav osebnih podatkov zaradi izpolnjevanja zahtev glede varstva podatkov. Vendar pa je zasebnostni ščit EU-ZDA 16. julija 2020 postal neveljaven.
Septembra 2020 je švicarski zvezni pooblaščenec za varstvo podatkov in informacije (FDPIC) obvestil, da so tudi švicarsko-ameriški okviri zasebnostnega ščita postali neveljavni.
Nova predlagana uredba o prenosu podatkov, Trans-Atlantic Data Privacy Framework (TADPF), je v fazi pogajanj in bo predvidoma na voljo do konca leta 2022. Trenutno ni dogovorjenih predpisov o prenosu podatkov med EU in ZDA.
Od konca leta 2022 GA4 ni v celoti skladen z GDPR. Kljub temu, da je dodal vse zgoraj omenjene funkcije, usmerjene v zasebnost, GA4 še vedno ni dosegel soglasja z evropskimi regulatorji. Po razveljavitvi okvira Privacy Shield leta 2020 Google še ni uredil varstva podatkov med EU in ZDA. Podjetje trenutno ne ščiti dovolj podatkov državljanov in prebivalcev EU pred zakoni ZDA o nadzoru. GA4 nima mehanizma za zagotavljanje shranjevanja podatkov znotraj EU ali celo za izbiro določene regionalne lokacije za shranjevanje. Google tudi ne obvešča uporabnikov o lokacijah shranjevanja podatkov ali prenosih podatkov izven EU.
Pogodba o obdelavi podatkov z Googlom glede omejenega prenosa podatkov problema omejenega prenosa osebnih podatkov ne rešuje v celoti.
Ali potrebujem obvestilo o piškotkih, če uporabljam GA4?
Z uporabo GA4 na vašem spletnem mestu se standardni sledilni piškotki naložijo v naprave vaših uporabnikov. Uporaba sledilnih in drugih piškotkov je urejena z zakoni o piškotkih v državah, iz katerih prihajajo uporabniki.
Če do spletne strani dostopajo uporabniki iz EU, potem uporabo piškotkov in s tem GA4 ureja GDPR.
Predpisi glede zahtev glede soglasja za piškotke se razlikujejo za vsako državo, tudi znotraj EU. Vendar pa morate praviloma pridobiti izrecno soglasje za uporabo piškotkov na vaši spletni strani.
Če uporabljate GA4 z anonimizacijo IP in podatkov o uporabnikih ne delite z drugimi Googlovimi izdelki, vam ni treba prejeti izrecnega soglasja za piškotke .
Vendar, če ne uporabljate anonimizacije IP ali delite podatke GA4 z Google Ads ali Google Signals, potem morate pridobiti soglasje aktivnih uporabnikov.
Upoštevajte, da morate, ko delite podatke GA4 s programom Google Ads ali Google Signals, posodobiti tudi svoj pravilnik o zasebnosti in vanj vključiti te podatke.
Povzetek
Google je 14. oktobra 2020 izdal Google Analytics 4 (GA4), ki naj bi nadomestil Universal Analytics in bo svojim uporabnikom pomagal pri izpolnjevanju zahtev GDPR.
GA4 je uvedel različne funkcije zasebnosti , vključno s privzeto anonimizacijo IP-ja, krajšim trajanjem shranjevanja podatkov, lokacijo strežnikov, načinom privolitve, brisanjem osebnih podatkov uporabnikov in pravili glede PII. Najpomembnejša izboljšava zasebnosti je privzeta funkcija anonimizacije IP-ja, kar pomeni, da Google Analytics 4 »po defaultu« ne bo shranjeval IP naslovov.
Vendar od leta 2022 izvajanje vseh funkcij zasebnosti GA4 še ne pomeni, da je spletno mesto samodejno skladno z GDPR. Zahteve glede zasebnosti se razlikujejo za vsako državo, tudi znotraj EU, odločitve vsake evropske države glede skladnosti GA4 z GDPR pa naj bi sledile v bližnji prihodnosti.
Če želite izboljšati skladnost z GDPR med uporabo GA4, naredite naslednje:
- Uporabite GA4 samo s privzeto anonimizacijo;
- Podatkov GA4 ne delite z Googlovimi izdelki, kot sta Google Signals ali Google Ads;
- Podpišite pogodbo o obdelavi podatkov z Googlom glede omejitve prenosa podatkov;
- Onemogočite funkcijo prilagajanja oglaševanja v GA4;
- Anonimizirane podatke uporabljajte samo za namene zbirnega statističnega poročanja;
- Za uporabo piškotkov Google Analytics pridobite izrecno soglasje končnih uporabnikov.
Ne odlašajte s prehodom na Google Analytics 4!
Ne čakajte do julija, da preidete na GA4: tudi če GA4 od danes ni v celoti skladen z GDPR, ima naprednejše funkcije zasebnosti v primerjavi z Google Universal Analytics.
Pogosto zastavljena vprašanja
Od leta 2020 GA4 ni v celoti skladen z GDPR, kljub implementaciji dodatnih funkcij za zasebnost. GA4 še vedno ni dosegel soglasja z evropskimi regulatorji glede prenosa podatkov med EU in ZDA. Obstajajo tudi druge izbrane funkcije, kot je deljenje podatkov med drugimi Googlovimi izdelki, ki bi kršile zakon GDPR.
GA4 ni v celoti skladen z GDPR. Ko uporabljate GA4 na svojem spletnem mestu, uporabite anonimizacijo IP, ne delite zbranih podatkov GA4 z drugimi Googlovimi izdelki ali pridobite izrecno soglasje končnih uporabnikov za uporabo piškotkov Google Analytics na vašem spletnem mestu, prav tako pa posodobite pravilnik o zasebnosti svojega spletnega mesta.
Google Analytics 4 (GA4) je najnovejša Googlova analitična storitev, ki vam omogoča merjenje prometa in interakcije uporabnikov z vašimi spletnimi mesti in aplikacijami. Izdan je bil 14. oktobra 2020 in naj bi nadomestil Universal Analytics 1. julija 2023, ko bo standardni Universal Analytics prenehal delovati.
Predpisi glede zahtev glede soglasja za piškotke se razlikujejo za vsako državo, tudi znotraj EU. V večini primerov, če uporabljate GA4 z anonimizacijo IP in podatkov o uporabnikih ne delite z drugimi Googlovimi izdelki, vam ni treba prejeti izrecnega soglasja za piškotke. Vendar, če ne uporabljate anonimizacije IP ali delite podatke GA4 z Google Ads ali Google Signals, potem morate pridobiti soglasje aktivnih uporabnikov s pomočjo obvestila, še preden se podatki posredujejo..
Google Universal Analytics bo prenehal delovati 1. julija 2023, Googlova privzeta analitična storitev pa bo postala Google Analytics 4 (GA4).
GA4 je predstavil različne funkcije zasebnosti, vključno s privzeto anonimizacijo IP-ja , krajšim trajanjem shranjevanja podatkov, lokacijo strežnikov in omejenim prenosom podatkov, načinom privolitve, brisanjem osebnih podatkov uporabnikov in pravili glede PII. Najpomembnejša med njimi je privzeta funkcija anonimizacije IP-ja, kar pomeni, da Google Analytics ne bo več shranjeval naslovov IP vaših naprav.
GA4 uporablja lastne piškotke za ločevanje edinstvenih uporabnikov in edinstvenih sej od enega uporabnika. GA4 ne zahteva, da na svojem spletnem mestu nastavite piškotke za prejemanje podatkov in njihov prenos v Google Analytics.