Google Analyticsin käyttöä koskevat tietyt GDPR:n (General Data Protection Regulation) vaatimukset. Tietosuoja ja Google Analytics ovat olleet ristiriidassa pitkään. Viimeistään EY:n tuomioistuimen seurantaa koskevan tuomion jälkeen Google Analyticsille on tarjottu osallistumismahdollisuus. Tässä yhteydessä kysymys Google Analyticsin evästeiden käsittelystä on tärkeä. Saat tukea suostumuksen hallinnan tarjoajilta (CMP) Google Analyticsin juridisesti turvalliseen integrointiin. Evästeen suostumusratkaisuilla myötävaikutat tietosuojaan Google Analyticsissa.
Google Analytics yhdellä silmäyksellä: tietosuojan tärkeys
Suurin osa suuremmista verkkosivustoista luottaa analyysityökaluihin tehdäkseen johtopäätöksiä kävijöiden käyttäytymisestä. Ylivoimaisesti suosituin käyttäjäanalyysityökalu on Google Analytics. Kuten useista tilastoista voidaan nähdä, tätä työkalua käytetään kyselystä riippuen noin puolella verkkosivustoista. Toisaalta tämä suosio johtuu siitä, että Googlella on pääsy erityisen suureen määrään käyttäjätietoja . Toisaalta suosio johtuu siitä, että laaja valikoima Google Analytics -toimintoja on ilmaisia kaikille käyttäjille .
Google Analytics käyttää evästeitä käyttäjätietojen arvioimiseen. Nämä pienet tiedostot tallennetaan vierailijan selaimeen. Käyttäjillä on lukuisia vaihtoehtoja kerätä erilaisia tietoja mukautettujen asetusten mukaan. Google Analyticsin avulla verkkosivuston ylläpitäjät voivat käsitellä ja arvioida tietoja eri parametrien mukaan. Tällä perusteella voidaan seurata arvokkaita tunnuslukuja, kuten sivujen katselukertoja, käyttäjien käyttäytymistä tai sivustolla oleskelun kestoa. Google Analytics mahdollistaa myös yksittäisten toimien tarkan seurannan , mukaan lukien uutiskirjeen tilaaminen tai tiettyjen tiedostojen lataaminen. Tulosseurantavaihtoehtojen avulla voidaan määrittää kohdat, joissa kävijöistä tulee asiakkaita. Tämä paljastaa optimointipotentiaalin ja myötävaikuttaa sivun suorituskyvyn jatkuvaan parantamiseen.
Tietosuojan näkökulmasta Google Analyticsin keräämiin ja arvioimiin valtaviin tietomääriin on suhtauduttava kriittisesti. Erityisesti tietosuojaviranomaiset valittavat vierailijoiden täydellisten IP-osoitteiden tallentamisesta ja lähettämisestä Googlelle (suoraan Yhdysvaltoihin). Lisäksi tietosuojavastaajat arvostelevat sitä, että Googlen tietosuojasäännökset eivät anna riittävästi tietoa siitä, mitä sivuston vierailijan tietoja todella kerätään, tallennetaan ja välitetään .
Koska pääsy moniin käyttäjätietoihin, tietosuoja Google Analyticsissa on ollut pitkään kiistanalainen. GDPR:n (myös GDPR: General Data Protection Regulation) voimaantulon myötä ja vielä enemmän sen jälkeen, kun Euroopan yhteisöjen tuomioistuin antoi evästeitä koskevan tuomion vuonna 2019, Google Analyticsin oikeudellisesti turvalliselle käytölle on asetettu tiettyjä vaatimuksia. Jos Google Analyticsia ei ole koordinoitu GDPR:n kanssa, sivuston ylläpitäjät voivat saada vakavia varoituksia tai sakkoja .
Google Analytics: Oikeudellinen tausta (GDPR ja Euroopan yhteisöjen tuomioistuimen tuomio)
Google Analyticsin yhteensovittaminen GDPR:n kanssa on tullut välttämättömäksi viimeistään viimeksi mainitun voimaantulon jälkeen. Tietosuojaviranomaiset ovat aiemmin uhanneet verkkosivujen ylläpitäjiä sakkoilla työkalun käytöstä. Ennen GDPR:ää Google Analyticsia voitiin käyttää myös ilman lupaa, jos vain muutama vaatimus täyttyi (esim. IP-anonymisointi ja AV-sopimus). GDPR liittyi toiveeseen, että suostumuskysymystä säännellään vain sähköisen viestinnän tietosuoja-asetuksen avulla. Siihen asti verkkosivustojen ylläpitäjät halusivat luottaa ”oikeutettuun etuun” artiklan 6 kohdan mukaisesti. 1 lit. f GDPR nimitetty.
Tärkeä muutos tuli EY:n tuomioistuimen vuonna 2019 antamasta tuomiosta Planet49-asiassa (viite: C-673/17). Tuomioon on liitetty selkeät tiedot suostumuksesta Google Analytics -evästeiden ja muiden evästeiden käyttöön. Suostumuksen tulee olla sellainen, että vierailijoiden on ensin nimenomaisesti hyväksyttävä Google Analytics -evästeiden käyttö. Siksi Google Analytics luottaa osallistumiseen : Käyttäjien on ensin suostuttava vapaaehtoisesti, ennen kuin operaattori saa edes kerätä ja käsitellä Google Analytics -evästeitä. Poikkeuksena on evästeet, jotka ovat ehdottoman välttämättömiä sivuston teknisen toiminnan kannalta.
Tuomiossaan yhteisöjen tuomioistuin huomautti, että sähköisen viestinnän tietosuoja-asetuksessa (5 artiklan 3 kohta) säädettiin jo suostumuksesta myös sellaisille evästeille, jotka eivät ole ehdottoman välttämättömiä. Euroopan yhteisöjen tuomioistuimen vastaavat lausunnot ovat jo tiedossa aikaisemmasta oikeuskäytännöstä.
Saksan tietosuojavalvontaviranomaisten (DSK) koordinointikomitea arvioi Google Analytics -evästeiden käyttöä koskevat lakisääteiset vaatimukset uudelleen 12.5.2020. Tällä päätöslauselmalla on myös lisäys telemedian tarjoajien perehdytysoppaaseen . Tämä perehdytysopas selittää Google Analyticsin käytön eri asetukset lainmukaisen käytön kannalta.
Google Analyticsin lainmukainen käyttö: Toimenpiteet verkkosivustojen ylläpitäjille
Jokaisen, joka luottaa edelleen Google Analyticsiin verkkosivuston ylläpitäjänä, esimerkiksi media -alalla tai verkkokaupassa , on suositeltavaa toteuttaa tiettyjä toimenpiteitä, jotka takaavat seurantatyökalun oikeusvarmuuden.
Tietosuojamääräysten läpinäkyvyyden varmistaminen
Verkkosivuston ylläpitäjien tulee antaa kattavat tiedot henkilötietojen käytöstä ja käsittelystä tietosuojasäännöissä. Tämä läpinäkyvyys on taattava GDPR:n artiklan 13 mukaisesti, jotta Google Analytics voidaan koordinoida GDPR:n kanssa.
Tietosuoja-asiantuntijat viittaavat tiedonantovelvollisuuden erityisvaatimuksiin Euroopan tietosuojaneuvoston avoimuutta koskeviin ohjeisiin. Tietosuojailmoitusta mukautettaessa on määritettävä ainakin seuraava tietosisältö ottaen huomioon DSGVO:n 12 ja 13 artiklan mukaiset DSK:n vaatimukset: Tiedonkeruun laajuus on ilmoitettava selkeästi. Tietosuojaselosteessa on lisäksi kerrottava, millä oikeusperustalla tiedot on kerätty. Samoin tietosuojakäytäntö on selitettävä järjestyksessä
kuinka kauan tietoja säilytetään. Tässä yhteydessä
Säilytysajan määrittämisen kriteerit esitetään. Tietosuojailmoituksessa olisi myös viitattava peruuttamisoikeuteen ja sen täytäntöönpanoon.
Lyhennä IP-osoitetta
Lisätoimenpiteenä Google Analyticsin koordinoimiseksi GDPR:n kanssa tätä seurantatyökalua käyttävien verkkosivustojen ylläpitäjien tulee järjestää IP-osoitteen lyhentäminen . Tämä voidaan toteuttaa lisäämällä ”_anonymizeIp()”-komento seurantakoodiin. Tämä tarkoittaa mitä tahansa verkkosivustoa, jossa on Google Analytics -integraatio. Tämän tyyppisen IP-osoitteen katkaisun tekniset tiedot löytyvät suoraan Googlen kehittäjät-sivun ohjeista.
IP-osoitteen lyhentäminen on tärkeä toimenpide käyttäjien suojelemiseksi artiklan 25 kohdan mukaisesti. 1 GDPR. Pelkkä IP-osoitteen lyhentäminen ei kuitenkaan riitä varmistamaan anonyymiä tietojenkäsittelyä. Puhtaan IP-osoitteen lisäksi Google Analyticsin käyttöön liittyy lukuisten muiden käyttötietojen kerääminen. Tämä sisältää henkilötiedot, kuten ne, joita käytetään käyttäjien tunnistamiseen (esim. olemassa olevaan Google-tiliin yhdistämisen yhteydessä).
Siksi myös IP-osoitteen lyhentämisen jälkeen on noudatettava lisävaatimuksia Google Analyticsin koordinoinnista DSGVO:n kanssa. Samoin edellä mainitussa tietosuojaselosteessa on mainittava, onko IP-osoitetta lyhennetty.
Tietojen säilytysajan määrittäminen
Jotta Google Analytics voidaan koordinoida GDPR:n kanssa, on myös tarpeen määrittää tarkasti, mikä säilytysaika tiedoille on annettu. Google Analytics sisältää tiettyjä tietojen säilytystoimintoja . Oletusasetus on suunniteltu tallentamaan käyttäjätiedot ja tapahtumatiedot automaattisesti 26 kuukauden ajan. Usein ”Palauta uusi toiminta” -painike on poistettu käytöstä oletusasetuksissa. Tämä painike on poistettava käytöstä , jotta Google Analytics voidaan koordinoida GDPR :n kanssa (vertaa Art. 25: Data Protection by Design). Tietojen säilytysaika olisi rajoitettava 14 kuukauteen .
Tietojen säilytysajan muuttaminen edellyttää, että muokattava omaisuus valitaan Hallinta-välilehdeltä. Vastaavassa ”Ominaisuus” -sarakkeessa ”Seurantatiedot – tietojen tallennus” -kohdassa voidaan tehdä tallennusajan asetuksia. Kun tässä on valittu eri asetus, sinun tulee muistaa mukauttaa tietosuojaseloste näihin muutoksiin.
Ilmainen suostumus evästeiden käyttöön
Yksi tärkeimmistä edellytyksistä Google Analyticsin käytön lainmukaiselle suunnittelulle on huolella harkitun evästesuostumuksen takaaminen . Vierailijan suostumuksensa Google Analyticsin ja evästeiden käyttöön tulee sisältää tiettyjä tietoja: ennen kaikkea otsikon on oltava selkeä ja yksiselitteinen. Sen on osoitettava, että käyttäjä suostuu Googlen suorittamaan tietojenkäsittelyyn suostumuksensa saatuaan. Lisäksi käyttäjille on kerrottava, että osana tietojenkäsittelyä henkilötietoja ja tietoja verkkosivuston käyttökäyttäytymisestä välitetään Googlelle . Suostumuspyynnön tulee sisältää myös tarkat tiedot siihen liittyvistä tietotyypeistä.
On myös tärkeää tietää, että kerätyt tiedot käsittelee pääasiassa Google . On syytä korostaa, että sivuston ylläpitäjällä ei ole tässä suhteessa vaikutusta tietojen käsittelyyn. Google käsittelee tietoja omiin tarkoituksiinsa (esim. profilointiin).
On myös tärkeää tietää, voidaanko kerättyä tietoa linkittää myös muista lähteistä peräisin olevaan tietoon. Lisäksi on lisättävä tiedot siitä, säilytetäänkö tietoja Yhdysvalloissa ja onko valtion viranomaisilla pääsy näihin tietoihin.
Suostumuksen ja peruuttamisen tekniset vaatimukset
Lisäksi suostumusvaihtoehto ei saa edustaa kaikkea kattavaa suostumusta evästeiden käytölle. Tärkeä tekninen suostumuksen vaatimus on käyttäjän aktiivinen osallistuminen. Käyttäjällä tulee olla mahdollisuus hyväksyä aktiivisesti tietojen käyttö. Tämä ei sisällä valmiiksi valittuja ruutuja tai valintaruutuja !
Tämä liittyy vaatimukseen, jonka mukaan seurantatyökalu ja vastaavat Google Analytics -evästeet voivat aktivoitua vasta, kun käyttäjät ovat antaneet aktiivisen suostumuksensa. Google Analytics -evästeitä ei saa asettaa etukäteen.
Tietoja voidaan kerätä vasta, kun käyttäjät ovat aktiivisesti rastittaneet ruutuun. Lisäksi tämän suostumuksen on oltava vapaaehtoinen. Tämä liittyy myös käyttäjien mahdollisuuteen kieltäytyä suostumuksesta milloin tahansa.
Lisäksi on teknisesti varmistettava, että käyttäjille ei aiheudu haittaa suostumusta jättämisestä. Käyttäjille on tarjottava selkeät ja käyttäjäystävälliset tekniset ratkaisut suostumuksen varmistamiseksi ja toteuttamiseksi. Suostumustyökalut tarjoavat tähän yhden mahdollisuuden. Niiden olisi tarjottava mahdollisuus peruuttaa tämä suostumus milloin tahansa, vaikka suostumus olisi jo annettu. Kaikissa sovelluksissa tai evästeiden suostumusratkaisuissa on myös oltava helposti saatavilla oleva vaihtoehto tehokkaalle peruuttamiselle .
Periaatteessa Google tarjoaa selaimen lisäosan, joka poistaa Google Analyticsin käytöstä. On huomattava, että ei riitä, että käyttäjiä ohjataan tähän lisäosaan. Tämä ei tarjoa käyttäjille riittävää peruutusmahdollisuutta. Artiklan 7 kohdan mukaan 3 p.4 GDPR:n mukaan suostumuksen peruuttamisen on oltava yhtä yksinkertaista kuin suostumuksen antamisen. Google-lisäosa ei täytä näitä vaatimuksia, koska se vaatii ensin käyttäjän lataamaan ohjelman lisäosan muodossa.
Osallistumismenettelyn merkitys
Aktiivinen ja nimenomainen suostumus Google Analytics -evästeiden käytölle tunnetaan myös opt-in-menettelynä. Käyttölupa on suunniteltava todelliseksi Google Analytics -opt-in -periaatteeksi viimeistään EY:n tuomioistuimen evästeitä koskevan tuomion jälkeen. Periaatteessa EU:n tietosuojaohjeista 2009 lähtien on säädetty, että verkkosivujen käyttäjiltä pyydetään heidän suostumustaan. Toistaiseksi monet operaattorit ovat kuitenkin tulkinneet tämän suostumuksen opt-outiksi. Käytännössä tämä tarkoittaa, että evästeitä kerätään ilman, että käyttäjän tarvitsee tehdä mitään. Vierailijoilla on vain mahdollisuus estää evästeiden kerääminen. EY:n tuomioistuimen evästeitä koskevan tuomion mukaan verkkosivusto ei saa enää asettaa evästeitä ennen kuin vierailija on antanut nimenomaisen ja aktiivisen suostumuksensa . Tämä tarkoittaa, että Google Analytics -evästeet voidaan asettaa vasta, kun vierailija on valinnut ne (opt-in).
CMP: Web-sivustojen suostumuksen hallintaratkaisut ja niiden edut
Verkkosivustojen ylläpitäjien ja yritysten on tärkeää ryhtyä varotoimiin hyvissä ajoin saadakseen Google Analyticsin käyttöön tehokkaan suostumuksen. Yhtäältä suostumuksenhallintabannerit antavat käyttäjille kattavaa tietoa tietojen käytöstä ja samalla pyytävät heitä antamaan suostumuksensa.
Lainmukaisen evästeenhallinnan tekninen toteutus hyötyy niin sanotusta suostumuksesta
Ratkaisut. Hyvä suostumuspäällikkö ottaa huomioon GDPR:n ja Euroopan yhteisöjen tuomioistuimen tuomion vaatimukset sekä positiivisen käyttäjäkokemuksen. Positiivisen käyttökokemuksen tärkeimpiä puolia ovat pitkä viipymäaika ja korkea hyväksymisaste . Tästä syystä poistumisprosentti tulee pitää mahdollisimman alhaisena. Hyvät suostumuksen hallintaratkaisut auttavat lisäämään hyväksymisastetta ja samalla minimoimaan poistumisprosenttia. Tällä tavalla he varmistavat, että verkkosivusto toimii hyvin ja antavat oman panoksensa asiakashankinnassa ja asiakasuskollisuudessa.
Hyvin harkittu suostumuksen hallintaratkaisu antaa reaaliaikaisen yleiskatsauksen hyväksymis- ja poistumisprosentteista. Tämän avulla voidaan tehdä arvokkaita johtopäätöksiä verkkosivuston nykyisestä toimivuudesta ja vastaavista parannusmahdollisuuksista.
Suostumusratkaisut ovat kansainvälisesti suuntautuneita. Näytössä oleva banneri ilmestyy automaattisesti sen maan vastaavalla kielellä GDPR-alueella, josta verkkosivustolle pääsee. Kaiken kaikkiaan suostumuksen hallinnan tarjoaja näyttää tiedot 29 kielellä. Samoin responsiivinen suunnittelu ja mukauttaminen on sanomattakin selvää modernissa suostumusratkaisussa. Suostumusratkaisu ottaa huomioon päätelaitteen, käyttöjärjestelmän ja näytön koon ja näyttää suostumusbannerin optimoidulla tavalla.
