Obowiązki administratorów stron internetowych wynikające ze stosowania Google Analytics
Wiele stron internetowych korzysta z narzędzi do analizowania danych statystycznych strony internetowej, a jednym z najbardziej popularnych jest Google Analytics, które stworzyło Google. W ramach praktyki Kancelarii i z uwagi na jej specjalizację – wielokrotnie pojawiało się pytanie ze strony klientów – czy stosując to narzędzie jako właściciele strony internetowej – mamy określone obowiązki w kontekście Rozporządzenia RODO , a jeżeli tak to jakie? A co najważniejsze w jaki sposób prawidłowo i zgodnie z prawem korzystać z Google Analytics ?
Poniżej postaramy się odpowiedzieć na powyższe pytania.
1. Jak działa Google Analytics ?
Google Analytics można zainstalować on-line przez pobranie kodu śledzenia (kod JavaScript) i wklejenie go na stronie (przy czym wymagane jest założenie konta Google). Zadaniem narzędzia śledzącego jest generowanie raportów dotyczących zbierania danych o ruchu internetowym na stronie internetowej. Za pomocą kodu JavaScript pobierane są dane o użytkowniku w chwili jego wejścia na stronę i dane te przesyłane są do Google Analytics. To z kolei służy do wykonywania statystyk użytkowników strony z podziałem na różne kryteria, np. przez wykorzystanie danych o źródle ruchu lub zachowania się danego użytkownika w sieci.
Google Analytics można ogólnie potraktować jako rodzaj pliku cookies. Większość plików cookies jest zapisywanych przez podmioty trzecie, przeważnie przez wtyczki wklejane na stronie, co też ma miejsce przy funkcjonowaniu Google Analytics.
2. W jaki sposób użytkownik może sprawdzić, czy strona wykorzystuje Google Analytics ?
Każdy z użytkowników może samodzielnie sprawdzić czy dana strona wykorzystuje narzędzia śledzące, w tym produkt Google. Należy wybrać znak „kłódki” przy adresie strony w wyszukiwarce, gdzie zostanie pokazane czy i ile plików cookies jest wykorzystywanych. Wśród nich z dużym prawdopodobieństwem pojawi się także informacja o wtyczce Google Analytics.
3. Jakie dane zbiera Google Analytics ?
Jeżeli Rozporządzenie RODO ma dotyczyć opisywanego narzędzia śledzącego powstaje pytanie jakie dane gromadzi Google Analytics i czy są to dane osobowe.
Według informacji pochodzących oficjalnie od Google – kod śledzący gromadzi identyfikatory online, w tym identyfikatory plików cookie, adresy protokołów internetowych, identyfikatory urządzeń. adresy IP, identyfikatory klientów.
Za pomocą takich danych Google Analytics sporządza statystyki strony internetowej, z których można się dowiedzieć, m.in. o:
- lokalizacji geograficznej użytkownika odwiedzającego stronę,
- w jaki sposób użytkownicy znaleźli się na stronie (np. bezpośrednio wpisując adres w wyszukiwarkę, przez przekierowanie z innej strony lub z mediów społecznościowych),
- jakie strony jeszcze przeglądają,
- ile czasu spędzili na stronie i ile konkretnych podstronach (w tym czy wyszli od razu po wejściu na stronę główną czy zaglądali na inne podstrony),
- z jakich urządzeń korzystają (rodzaj wyszukiwarki, system operacyjny, urządzenie stacjonarne lub mobilne),
- ilu użytkowników ma strona w danym momencie i ilu w okresie wskazywanego czasu,
- czy są to użytkownicy odwiedzający stronę po raz pierwszy czy kolejny.
Wszystkie te statystyki mogą być wykorzystywane dla polepszenia atrakcyjności strony i „ściągnięcia” większej liczby użytkowników – Google Analytics to jedno z wielu narzędzi niezbędnych dla branży SEO zajmującej się pozycjami strony w wyszukiwane, co ma bezpośrednie przełożenie na intratność biznesu. Warto pamiętać, że Google Analytics cały czas się rozwija i dodawane są nowe funkcje, przez co zamieszczony opis rodzaju statystyk może nie być wyczerpujący.
4. Czy Google Analytics zbiera dane osobowe ?
Identyfikatory urządzeń, które w sposób automatyczny zbiera Google Analytics na pierwszy rzut oka nie kojarzą się jednak z danymi osobowymi. Według art. 4 pkt 1 Rozporządzenia RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, czyli takie poszczególne dane lub zespół danych łącznie, które pozwolą zweryfikować, że mamy do czynienia z konkretną osobą X. Definicja danych osobowych jest zatem szeroka, co powoduje, że informacje gromadzone przez Google Analytics są także danymi osobowymi lub potencjalnie mogą nimi być. RODO w definicji danych osobowych wprost dodaje, że identyfikacja osoby fizycznej może nastąpić przez dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Wspomina o tym RODO w motywie 30, iż:
„osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób”.
Poprzednie przepisy o ochronie danych osobowych nie były nastawione na ochronę takich danych, ale wraz z postępem technologii słusznie dostrzeżono, że wykorzystywanie łącznie kilku informacji internetowych może stanowić zagrożenie dla ochrony danych traktowanych jako dane osobowe.
Teoria a praktyka
Po określeniu jakie statystyki sporządza narzędzie śledzące trzeba stwierdzić, że zestawienie danych z Google Analytics (lokalizacja, dane o innych przeglądanych stronach, źródle przejścia na stronę, adres, czas wejścia) powoduje, że dana osoba fizyczna mogłaby zostać zidentyfikowana przez sam fakt wejścia na stronę. Rzecz jasna nie jest to tak łatwe jak przy podaniu imienia i nazwiska, ale przez to, ze nie możemy wykluczyć rozpoznania danej osoby fizycznej, dane zbierane przez narzędzie musimy potraktować jako dane osobowe. Tym bardziej, że narzędzie Google jako powiązane z ogromną ilością innych danych z sieci, pozwala na stworzenie statystyk strony z wykorzystaniem kryterium płci, wieku, zainteresowań itp., dopasowując to do tematyki strony i analizując ruch w całej sieci.
5. Google Analytics a RODO
Podkreślić trzeba, że Google Analytics udostępniane jest przez Google Inc. i dane trafiają właśnie na serwery tego podmiotu. Wykorzystywanie więc narzędzia śledzącego tego podmiotu oznacza, iż właściciel strony akceptuje warunki na jakich jest ono udostępniane, w tym warunki prywatności określane przez Google.
Jednak to właściciel strony jest administratorem danych zbieranych za pośrednictwem strony, w tym danych gromadzonych przez Google Analytics jeżeli zostało dodane do strony. Google jako podmiot, który ma dostęp do tych danych zgodnie z RODO jest podmiotem przetwarzającym, który działa według umowy zawartej z właścicielem strony (de facto wzorzec umowy stosowany prze Google).
A zatem to na właścicielu strony internetowej ciążą obowiązki sprostania wymogom RODO w zakresie ochrony danych osobowych przy wykorzystywaniu mechanizmu Google Analytics i to właściciel ponosi ewentualne konsekwencje przez użytkownikami za niezgodne z prawem przetwarzanie danych. A te jak już wielokrotnie było podkreślane w przekazach medialnych, mogą być surowe.
6. Jakie czynności powinien podjąć właściciel strony dla zgodności z RODO
Czynności jakie powinien podjąć administrator danych w związku z Google Analytics można podzielić na (1) czynności faktyczne związane z zastosowaniem ustawień Google oraz (2) czynności informacyjne względem użytkowników.
a) Konfigurowanie narzędzia Google Analytics pod kątem RODO
Google chcąc dostosować swoje narzędzia do Rozporządzenia RODO wprowadziło kilka mechanizmów, które właściciel strony może wykorzystać z korzyścią dla spełniania obowiązków RODO. Poniżej podajemy przykładowe rozwiązania.
Okres przechowywania
Według art. 5 pkt 1 lit. e RODO dane osobowe powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dla Google Analytics można ustawić jak długo będą przechowywane dane na serwerach Google, np. przez okres X miesięcy, a kolejno dojdzie do automatycznego usunięcia, bez szkody dla raportów z zagregowanymi wartościami z tych okresów.
Zasada celowości
Właściciel strony powinien też przejrzeć zgromadzone już dane pod kątem ich niezbędności i dane, których przechowywać już nie może powinien usunąć.
Usuwanie danych po wykorzystaniu przez administratora strony lub w związku z prawem do „bycia zapomnianym”
Ponadto, Google pozwala na usuwanie poszczególnych użytkowników i danych z nimi powiązanych, przez przekazanie ich identyfikatorów do interfejsu Google Analytics User Deletion API. Ma to znaczenie przy okazji spełniania uprawnień użytkowników, np. do usuwania danych lub prawa do zapomnienia.
Anonimizacja w Google Analytics
Można także włączyć anonimizację adresów IP w Google Analytics, co pozwoli na ograniczenie ilości przetwarzanych danych (brak zapisu pełnego kodu IP), jak i przejrzeć czy identyfikatory zbierane przez Google Analytics nie są powiązane bezpośrednio z adresami e-mail czy loginami.
b) Obowiązki informacyjne wobec użytkowników (odwiedzających) stronę internetową
Część informacyjna obowiązków dotyczy uzyskania zgody użytkowników na korzystanie z plików cookies, czyli prawidłowego skonstruowania Polityki cookies, jak i poinformowania użytkowników o stosowaniu funkcji śledzenia, jej konsekwencjach i prawach użytkowników, co powinno być dodatkowo odzwierciedlone w Polityce prywatności.
Jeżeli chodzi o wymagania stawiane przez RODO to używanie Google Analytics wymaga, aby poinformować o tym użytkowników w stosowanej na stronie Polityce prywatności. W ten sposób właściciel strony wywiąże się z obowiązku nałożonego na niego w art. 13 RODO.
Każda strona ma swój charakter, zatem nie można podawać jednego konkretnego postanowienia, które należy wpisać do Polityki przy stosowaniu Google Analytics. Właściciel strony powinien przemyśleć w jaki sposób wykorzystuje Google Analytics, na jakie zdecydował się funkcje zgodnie z umową zawartą z Google, a dopiero później sformułować rzetelny przekaz dla użytkownika – dodaje Kamila Wasilewska radca prawny z kancelarii prawnej obsługującej podmioty z branży e-commerce.
Przykładowo można podać, że niezbędne jest poinformowanie o tym:
- że strona wykorzystuje kod śledzący Google Analytics,
- jakie dane zbierane są w związku z tym,
- w jakim celu zbierane są te dane,
- że podmiotem przetwarzającym dane jest Google Inc. Z siedzibą w Stanach Zjednoczonych (a więc przetwarzanie odbywa się poza granicami UE),
- czy dane będą przekazywane jeszcze jakimś podmiotom zewnętrznym, np. reklamodawcom,
- możliwości zablokowania cookies Google Analytics (wraz ze wskazaniem sposobu) i zastrzeżenia, że niektóre funkcje strony przestaną działać (jakie).
Warto przy tym odwołać się do polityki prywatności stosowanej przez Google, aby użytkownik miał łatwy dostęp do tych zasad.
Jeżeli właściciel strony korzysta przy okazji Google Analytics nie tylko z podstawowej funkcji śledzenia, ale dodaje funkcje reklamowe, wymagane jest dostosowanie zapisów informacyjnych na rzecz użytkowników.
7. Google Analytics a prawo telekomunikacyjne
Zgodnie z art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne wykorzystywanie plików cookies jest możliwe po uprzednim poinformowaniu użytkownika o stosowaniu plików cookies, rodzajów plików i określeniu zasad zmiany ustawień plików cookies na stronie. W praktyce stosuje się wyskakujące okienka „pop-up” z wstępną informacją o stosowaniu cookies i przekierowaniu do szerszej informacji np. w Polityce prywatności czy odrębnej Polityce cookies – wyjaśnia Marcin Staniszewski z kancelarii Staniszewski i Wspólnicy. Pop-up powinien zawierać opcję akceptacji lub braku akceptacji polityki cookies przez użytkownika wraz z ostrzeżeniem, że brak akceptacji może spowodować wyłączenie niektórych funkcjonalności strony.
Rzecz jasna informujemy w treści Polityki cookies o stosowaniu plików narzędzi śledzących i że użytkownik może nie wyrazić na to zgody (np. usunąć dane z bazy Google Analytics, zablokować przez wgranie dodatku blokującego kod Google).
Pomocne przy konstruowaniu komunikatu do użytkowników mogą być informacje zawarte w oficjalnych komunikatach ze strony Google Inc dotyczących zasad funkcjonowania Google Analytics (lub innego narzędzia analitycznego), co po skonfrontowaniu z przepisami RODO pozwoli na pełne i prawidłowe wdrożenie i korzystanie z narzędzi Google .
Należy w tym momencie podkreślić, że zgoda na cookies powinna być udokumentowana, a więc „kliknięcia” w pop-up o cookies trzeba skrupulatnie archiwizować.
***
Marcin Staniszewski
Radca Prawny specjalista w zagadnieniach dotyczących funkcjonowania spółek z branży internetowej, w szczególności e – commerce i marketingu internetowego (SEO).
Kancelaria Prawna RPMS Staniszewski & Wspólnicy z Poznania
Spis treści: Obowiązki administratorów stron internetowych wynikające ze stosowania Google Analytics