Käytä Google Tag Managerin GDPR-yhteensopivuutta – näin sanoo oikeudellinen tilanne

Käytä Google Tag Managerin GDPR-yhteensopivaa – mikä on oikeudellinen tilanne? Tässä artikkelissa kerrotaan Google Tag Managerin toiminnasta, oikeudellisesta suhteesta GDPR:ään ja toimivista evästeiden suostumusratkaisuista.

Google Tag Manager ja evästeet – näin työkalu toimii

Google Tag Manager toimii työkaluna evästeiden, tulospikseleiden tai seurantakoodien hallintaan ja hallintaan ohjelmista, kuten Google Analytics tai Bing Ads. Sovellus itse toimii tunnisteiden ja triggerien kanssa ja – kuten usein oletetaan – välittää verkkosivustolle kerätyt tiedot evästeiden avulla suoraan asianmukaisiin työkaluihin jatkokäsittelyä varten. Itse koodeja, joita käytetään verkkosivustolla eri tarkoituksiin (mainontaan, seurantaan…), ei tallenneta sivuston lähdekoodiin, vaan erityiseen säiliöön.

Tunnistehallinnan kanssa työskentely on tehokasta ja yksinkertaistaa seurannan ja evästeiden hallintaa. Jopa ihmiset, joilla on vähän IT-kokemusta, pystyvät upottamaan vaaditut koodit. Tämä koskee myös tag Managerin käyttöä yksinkertaisesti suunnitellun ja intuitiivisen verkkokäyttöliittymän kautta, mikä ei myöskään vaadi asiantuntemusta. Lisäksi lähes kaikki tarvitsemasi tunnisteet ja pikselit ovat yleensä saatavilla mallina . Käyttäjät eivät voi hyötyä vain (melkein) pakollisista sovelluksista, kuten Google Analyticsista, vaan myös Bing Adsista, Google Adsista tai testaustyökaluista, kuten AB Tasty.

Ilman tag-hallintaa yksittäiset koodinpätkät olisi lisättävä verkkosivuston lähdekoodiin vastaavan ajan kuluessa. Tämä edellyttää kuitenkin asianmukaista ohjelmointiosaamista, jotta sivusto toimisi oikein ”intervention” jälkeen.

Google Tag Managerin tietosuojakäytäntö

Tag Managerin mutkaton työ varmistaa, että markkinointi on pitkälti riippumatonta IT:stä . Tämä ei ainoastaan säästä yritysten aikaa, vaan mahdollistaa myös arvokkaiden IT-resurssien kohdistamisen muualle. Google Tag Managerin lukuisat mallit ovat yhtä hyödyllisiä. GTM tarjoaa malleja ohjelmille, kuten Google Analytics, Google Ads Remarketing, Hotjar tai Tradedoubler, jotka voit lisätä nopeasti ja helposti. Tarkemmin sanottuna hyödyt seuraavista eduista:

  • helppokäyttöinen verkkokäyttöliittymän kautta
  • Esikatselutila virtaviivaistaa tunnisteiden testausta
  • useita malleja saatavilla
  • erilaisia tageja, triggereitä ja muuttujamalleja
  • integroituu saumattomasti Googlen kosmokseen

Tee Google Tag Managerista GDPR-yhteensopiva

Google Tag Manageria on pidetty ongelmallisena sen jälkeen, kun Euroopan yhteisöjen tuomioistuin (ECJ) kumosi Privacy Shield -sopimuksen heinäkuussa 2020 (” Schrems II ”). Privacy Shield -sopimuksessa määrättiin alun perin, että eurooppalaiset kuluttajat voivat luottaa samantasoiseen tietosuojaan siirtäessään tietoja lammesta toiseen kuin EU:ssa. Ongelma: Yhdysvaltain oikeudellisen tilanteen vuoksi viranomaiset voivat päästä käsiksi Yhdysvaltain jättiläisten, kuten Microsoftin, Googlen tai Amazonin, tietoihin valtion valvontalain kautta. Google Tag Managerille ja siihen liitetyille sovelluksille tämä tarkoittaa sitä, että tiedonsiirto voidaan teoriassa toteuttaa parhaimmillaan hyvin kapeaa lakiteknistä käytävää pitkin. Käytännössä kuitenkin: Schrems II:n mukaan Google Analytics & Co:n kaltaisia sovelluksia ei voida pakottaa lainmukaisella tavalla .

Koskeeko tämä myös Google Tag Manageria? Periaatteessa se tarkoittaa, että Google Tag Manager ei itse aseta evästeitä ja hallitsee vain AdSensen tai Google Analyticsin evästeitä säilössä. GDPR:n näkökulmasta ongelmana tässä on tietojenkäsittelyä koskeva lisäys (12.4.2021):

”Jos ilmoitit tiliäsi luodessasi, että olet Euroopan talousalueella (ETA), olet jo hyväksynyt tietojenkäsittelyä koskevan muutoksen osana käyttöehtoja.”

Google Tag Managerin lisäys tietojen käsittelyyn

Tietosuoja-asetus edellyttää kuitenkin avoimuutta, kun taas tieto hakukonejättiläisen tietojenkäsittelystä on hämärää ja epämääräistä:

”Käytämme Google Tag Manager -tietoja
Saatamme kerätä tietoja, kuten kuinka palvelua käytetään ja miten ja mitä tunnisteita otetaan käyttöön. Saatamme käyttää näitä tietoja palvelun parantamiseen, ylläpitämiseen, suojaamiseen ja kehittämiseen tietosuojakäytännössämme kuvatulla tavalla, mutta emme jaa näitä tietoja minkään muun Google-tuotteen kanssa ilman suostumustasi.”

Googlen tietosuoja

Google väittää tässä, ettei se linkitä mitään tietoja muihin Googlen palveluihin ilman lupaa; Tämä ei kuitenkaan millään tavalla estä paljastamista kolmansille osapuolille. On myös epäselvää, onko tiedon kerääminen ehdottoman välttämätöntä vai ylittääkö se pelkän (teknisen) välttämättömyyden.

Näiden epävarmuustekijöiden vuoksi Google Tag Manageria ei pitäisi koskaan käyttää ilman käyttäjän lupaa . Varsinkin, koska ilmeisesti Google Tag Manager itse asettaa evästeet ohjaus- ja hallintatyökaluksi, vaikka yleiset lausunnot osoittaisivatkin eri suuntaan. Väitetään, että GTM lähettää tietoja vain verkkosivustolta vastaavasti yhdistettyihin työkaluihin.

Tämän lukeman mukaan evästeiden hallinta, eli asettaminen, muuttaminen ja poistaminen, tapahtuu vain sovelluksissa, kuten Google Analytics. Tämä mahdollistaa GTM:n työskentelyn käsi kädessä evästeiden suostumushallintaohjelmien kanssa. Jos sivuston vierailija voi alusta alkaen estää tunnisteet ja triggerit, ei-välttämättömiä evästeitä ei enää aseteta. Tärkeiden markkinointityökalujen keskitetyn hallinnan etu on kuitenkin poissa, koska yksikään sovellus ei saa kerätä tietoja ollenkaan.

Tässä yhteydessä blogit kuitenkin huomauttavat, että tiedot (IP-osoite, selaintiedot, kieli jne.) ja mahdollisesti evästeet siirretään jo, kun Google Tag Manager ladataan ennen kuin Google Analytics ja Co. pelataan. Schrems II:n kannalta tilanne on kyseenalainen, koska tietoja lähetetään lammen toiselle puolelle Yhdysvaltoihin, joka on Schrems II:n jälkeen ”turvattomaksi kolmantena maana” lukuisten tietoskandaalien vuoksi. Toinen ongelma on tarve selittää kaikki käytetyt työkalut, mukaan lukien GTM, GDPR:n artiklan 13 mukaisesti, koska nämä työkalut tulisi selittää ainakin tietosuojailmoituksessa .

Pysyä ajan tasalla!

tilaa uutiskirje

Google Tag Manager ja osallistumistoiminto

Google Tag Manager osoittautuu GDPR-yhteensopivammaksi, kun on kyse osallistumisesta. Tausta: EY:n tuomioistuimen 1. lokakuuta 2019 antamasta evästesuostumuksesta lähtien käyttäjien on aktiivisesti hyväksyttävä evästeiden käyttö ja joko klikattava vastaavia valintaruutuja itse tai ei. Estä evästeiden asettaminen ilman aktiivista suostumusta ottamalla käyttöön Google Tag Managerin kautta. Tämä varmistaa tietosuojan Google Tag Managerissa.

Ota käyttöön Google Tag Manager luomalla muuttuja, triggeri ja TAG. Aseta laukaisin ja estä analytiikka evästeen asettamisen jälkeen. Ota lopuksi käyttöön ennalta määritetty HTML-linkki verkkosivuston paino- tai tietosuojasivulle. Jos CMS estää linkin toteuttamisen, lataustapahtuma vaaditaan muuttamalla tagin koodia ja säätämällä triggeriä vastaavasti.

Opt-in-toiminnon määrittäminen Google Tag Managerin kautta on suhteellisen mutkatonta verkossa olevien helposti ymmärrettävien ohjeiden vuoksi, eikä se välttämättä vaadi syvällistä IT-osaamista.

Google Tag Manager – GDPR- ja evästesuostumustyökalut

Vain jos jätät huomioimatta ongelma-alueet GDPR:n ja Schrems II:n, voit silti mainita Google Tag Managerin perusmukavuuden etuna. Tämä johtuu evästeiden suostumusratkaisujen yksinkertaisesta ja mutkattomasta integroinnista Google-sovellukseen. Evästeen suostumusbanneri toimii välittäjänä GTM:ssä määriteltyjen osallistumisvaihtoehtojen ja verkkosivuston vierailijan välillä, ja hänen tulee voida vapaasti päättää, hyväksyykö hän evästeet tai osan niistä vai hylkääkö kaikki evästeet.

Näin ollen tietosuojasäännökset johtavat työnjakoon ja yhteistyöhön evästesisältöratkaisujen ja Google Tag Managerin välillä. Google Tag Manager riittää oletusasetuksiin. Jotta Google Tag Manager DSGVO olisi yhteensopiva, evästeiden suostumusratkaisut ovat välttämättömiä, koska ne näyttävät sivuston vierailijalle valintaikkunan evästeiden hyväksymistä tai hylkäämistä varten. Niin kauan kuin käyttäjä ei anna suostumustaan, Google Tag Manager estää evästeiden asettamisen. Vasta kun sivuston vierailija on aktiivisesti antanut suostumuksensa evästeiden käyttöön, vastaavat evästeet tallennetaan käyttäjän päätelaitteelle.

Onko verkkosivustosi yhteensopiva? Ota selvää tarkistuslistallamme

Lataa tarkistuslista

Evästeiden suostumusratkaisut turvallisuuden ja mukavuuden vuoksi

Markkinat tarjoavat useita erilaisia ratkaisuja GDPR:n sekä evästeisiin ja seurantaan liittyvien sähköisen tietosuojadirektiivien noudattamisen varmistamiseksi. On olemassa ratkaisuja, jotka periaatteessa estävät kaikki evästeet ja seurantalaitteet ja vapauttavat ne vasta heti, kun sivuston vierailija suostuu. Tässä tapauksessa osallistumista ei teoriassa tarvitse määrittää Google Tag Managerissa.

Muut evästesisällön hallintaratkaisut tarjoavat laajoja palveluita ajamalla kaikki Googlen palvelut verkossa verkkosivuston käyttöliittymän alla ja luomalla valintaikkunan sivuston vierailijalle. Näin tuet evästeiden suostumusratkaisuja tehdessään Google Tag Manager DSGVO -yhteensopivan. Vallitsevan oikeudellisen tilanteen vuoksi Google Tag Managerin oletettu mukavuus on muuttumassa miinoitettuksi alueeksi. Ainoa ratkaisu olisi vähemmän kätevä: miksi et käyttäisi tunnistehallintaa, joka toimii paikallisesti omalla palvelimellasi ulkoisen palvelimen sijaan?

Yksilöllisesti räätälöity ratkaisu jokaiselle verkkosivuston ylläpitäjälle

Suostumusbanneri on valintaikkuna, jonka evästeen suostumusratkaisu näyttää sivuston vierailijalle salliakseen tai kieltääkseen evästeiden tallennuksen. Nämä ikkunat vaihtelevat käyttäjäystävällisyydeltään, mukautuvat usein verkkosivuston ulkoasuun ja ovat vuorovaikutuksessa Google Tag Managerin kanssa varmistaakseen GDPR:n noudattamisen. Koska Tag Manager peruuttaa osallistumisen vain, jos sivuston vierailija hyväksyy evästeiden tallentamisen.

Markkinat tarjoavat laajan valikoiman tehokkaita evästeiden suostumusratkaisuja, jotka tunnetaan myös nimellä suostumuksen hallintapalveluntarjoajat (CMP). Joissakin tapauksissa voit mukauttaa ratkaisut optimaalisesti yrityksesi tai verkkosivustosi vaatimuksiin. Tämä sisältää olemassa olevien analyysityökalujen integroinnin, osallistumisikkunan yksilöllisen suunnittelun tai evästevalinnan esiasetuksen sivuston vierailijaa varten.

Yrityksenä sinulla on mahdollisuus valita ilmaisten ja maksullisten ratkaisujen välillä. Etenkin pienemmät yritykset valitsevat usein ilmaisia ratkaisuja ensimmäisenä askeleena. Varmista kuitenkin, että valittu CMP täyttää luotettavasti GDPR:n vaatimukset.

GDPR-vaatimukset suostumuksen hallinnan tarjoajille

GDPR ei koske vain Google Tag Manageria, vaan myös suostumusbannerin sisällön suunnittelua koskevia vaatimuksia. Nämä seikat vahvistettiin myös yhteisöjen tuomioistuimen tuomiolla, ja ne ovat siksi sitovia.

  • Tietojen vastaanottajat on esitettävä selkeästi
  • selkeä esittely tietojenkäsittelyn, markkinoinnin, analyysin jne. toiminnasta.
  • Sivuston vierailijan on voitava valita kukin luokittelu tai poistaa valinta erikseen
  • ei vastaanottajien ja toimintojen ennakkovalintaa
  • kaikki evästeet on estettävä, kunnes käyttäjä hyväksyy

Muita tärkeitä kohtia, jotka tehokkaan suostumusratkaisun on täytettävä ja jotka sinun tulee ehdottomasti pitää mielessä ennen kuin päätät palveluntarjoajan tuotteesta:

  • Suostumuksen tallennuspaikka – paikallisesti käyttäjän laitteessa tai tietokannassa (tärkeää sivuston ylläpitäjän tiedonantokyvyn kannalta)
  • Mitä vaihtoehtoja käyttäjällä on peruuttaa suostumuksensa tai tarkistaa oman suostumuksensa tila?
  • Evästeiden käyttöiän pituus
  • Onko yksityiskohtaista tietoa tietojen käsittelystä?
  • Onko evästeen tarkoitus selvästi tunnistettavissa?

Riippumatta siitä, käytätkö maksullista vai ilmaista työkalua: valitse vain nämä vaatimukset täyttävän suostumuksen hallintapalvelun tarjoajan evästesuostumusratkaisu.

Johtopäätös

Tietenkin: Google Tag Manager yksinkertaistaa huomattavasti yleisten työkalujen integrointia erityisesti markkinointitarkoituksiin. Integraatio on kuitenkin osoittautunut ongelmalliseksi viimeistään heinäkuussa 2020 annetulla Euroopan yhteisöjen tuomioistuimen tuomiolla, jota kutsutaan nimellä Schrems II. Data päätyy Yhdysvaltoihin GTM:n (ja muiden siihen liittyvien työkalujen) kautta ja tarjoaa siten kohteita oikeudenkäynneille ja sakoille. Myös GDPR:n näkökulmasta Google Tag Manager toimii kaikkea muuta kuin GDPR-yhteensopivaa tietojenkäsittelyä koskevien epäselvien lausuntojen vuoksi. GTM:n laillisesti virheetön integrointi on siksi lähes mahdotonta. Ainoa tällä hetkellä jäljellä oleva näkökulma on ladata se vasta sen jälkeen, kun suostumuksensa on saatu evästeen suostumuksen tarjoajan, kuten suostumusmanagerin , kautta varotoimenpiteenä. Tämä ei kuitenkaan tarkoita, että olet turvallisella puolella.