Zastanawiali się Państwo kiedyś, jak wiele informacji o użytkownikach pozostaje w sieci po każdym ich kliknięciu? W dzisiejszym, zdominowanym przez dane cyfrowym świecie, analityka internetowa jest jak tlen dla biznesu – niezbędna do przetrwania i wzrostu. Z drugiej strony mamy jednak żelazne zasady prywatności, na straży których stoi unijne Ogólne Rozporządzenie o Ochronie Danych (RODO). Zderzenie tych dwóch światów często budzi niepokój wśród właścicieli stron internetowych. Czy gromadzenie danych analitycznych i poszanowanie prywatności to ogień i woda? Jak w świetle prawa prezentuje się gigant z Mountain View?
W tym kompleksowym artykule eksperckim przyjrzymy się krok po kroku, w jaki sposób zoptymalizować analitykę internetową w Państwa firmie. Odpowiemy na palące pytanie: czy Google Analytics jest zgodny z RODO? Przeanalizujemy również, w jaki sposób najnowsza odsłona narzędzia – Google Analytics 4 (GA4) – zmienia reguły gry w zakresie prywatności użytkowników w Unii Europejskiej oraz samego procesu przetwarzania danych. Przygotujcie się Państwo na głębokie zanurzenie w meandry prawne i techniczne, podane w przystępny i zrozumiały sposób.
Jakie ryzyka dla prywatności stwarza korzystanie z Google Analytics?
Wdrażając narzędzia śledzące na swojej stronie, zapraszają Państwo do cyfrowego domu potężnego analityka. Należy jednak pamiętać, że ten analityk niezwykle skrupulatnie notuje zachowania każdego gościa. Z punktu widzenia europejskich przepisów prawa rodzi to określone ryzyka, z których każdy administrator danych musi zdawać sobie sprawę.
Jakie dane osobowe gromadzi Google Analytics i czy to przetwarzanie jest zgodne z przepisami RODO?
Google Analytics, działając w tle Państwa witryny, to istny odkurzacz informacji. Chociaż na pierwszy rzut oka statystyki wydają się być po prostu zbiorczymi wykresami i tabelkami, pod maską narzędzie to opiera się na mikroskopijnych, wysoce zindywidualizowanych danych. Narzędzie gromadzi między innymi informacje o przeglądarce, typie urządzenia, lokalizacji przybliżonej, a także zachowaniu użytkownika – jakie podstrony odwiedził, w co kliknął, ile czasu spędził w witrynie. Aby połączyć te rozproszone akcje w jedną spójną sesję, Google wykorzystuje pliki cookie (ciasteczka) oraz specjalne identyfikatory, znane jako Client ID.
Zgodnie z art. 4 pkt 1 RODO, danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Czy te techniczne ciągi znaków można podpiąć pod tę definicję? Odpowiedź brzmi: tak. Mimo że Państwo jako właściciele stron nie znają imienia i nazwiska danego użytkownika (chyba że sam je poda w formularzu), z punktu widzenia prawa unijnego te cyfrowe okruszki pozwalają na wyodrębnienie konkretnej jednostki z tłumu. Przetwarzanie takich danych może być zgodne z RODO, jednak wymaga bezwzględnego spełnienia określonych warunków, takich jak uzyskanie świadomej, dobrowolnej zgody użytkownika przed uruchomieniem skryptów śledzących. Jeśli o tym zapomnimy, balansujemy na krawędzi prawa.
Czy adres IP i identyfikator użytkownika w analytics stanowią dane osobowe?
Wyobraźcie sobie Państwo adres IP jako cyfrowy adres zameldowania. Choć sam ciąg liczb (np. 192.168.1.1) na pierwszy rzut oka nic nam nie mówi, to w połączeniu z innymi informacjami – na przykład logami dostawcy internetu – może bezbłędnie wskazać konkretnego Kowalskiego. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) już w przełomowym wyroku w sprawie Patricka Breyera (C-582/14) orzekł, że dynamiczne adresy IP stanowią dane osobowe, o ile administrator ma prawne możliwości pozwalające na identyfikację osoby.
W kontekście identyfikatora użytkownika (User-ID) lub identyfikatora klienta (Client-ID) w Google Analytics, RODO w motywie 30 wprost wskazuje, że „osobom fizycznym mogą zostać przypisane identyfikatory internetowe”. Google wykorzystuje te identyfikatory do śledzenia poczynań na różnych urządzeniach (cross-device tracking). Ponieważ umożliwiają one kategoryzowanie użytkowników i śledzenie ich nawyków online, unijne organy nadzorcze kategorycznie uznają je za dane osobowe. To nie są tylko niewinne statystyki – to unikalne cyfrowe odciski palców, które Państwo, jako administratorzy, macie obowiązek chronić.
Jakie są obawy dotyczące transferu danych do USA i dostępu firmy Google do danych?
Dochodzimy tu do absolutnego sedna problemu, czyli przesyłania danych za ocean. RODO stanowi jasne granice: dane Europejczyków można transferować do krajów trzecich tylko wtedy, gdy zapewniają one odpowiedni poziom ochrony (por. art. 44 i nast. RODO). Stany Zjednoczone przez długi czas były pod tym względem problematyczne. Głośny wyrok TSUE z 2020 roku (tzw. Schrems II) zburzył dotychczasowy porządek prawny (Tarcza Prywatności), zwracając uwagę, że amerykańskie prawo, takie jak ustawa FISA 702 (Foreign Intelligence Surveillance Act), umożliwia tamtejszym służbom wywiadowczym szeroki dostęp do danych przechowywanych przez amerykańskie firmy, w tym Google.
Zatem, gdy Państwa strona wysyłała numer IP lub identyfikator do serwerów Google Analytics w USA, istniało ryzyko, że amerykański rząd może położyć na nich rękę. Obecnie sytuacja uległa pewnej stabilizacji dzięki nowym Ramom Ochrony Danych (Data Privacy Framework), które w 2023 roku ułatwiły ten transfer. Niemniej jednak, obawy pozostają żywe. Pytanie brzmi: jak mocno Google chroni te dane, czy potrafi je skutecznie zaszyfrować i czy organy zza oceanu nie mają do nich niekontrolowanego dostępu? Jako administratorzy danych, musicie Państwo nieustannie trzymać rękę na pulsie tych geopolitycznych i prawnych zawirowań.
Jak wdrożyć Google Analytics zgodnie z RODO i ochroną danych?
Czy to wszystko oznacza, że należy całkowicie porzucić analitykę i działać w biznesie na oślep? Zdecydowanie nie! Wdrożenie Google Analytics w sposób zgodny z prawem przypomina po prostu odpowiednie ustawienie systemu alarmowego w firmie – należy wiedzieć, co wolno monitorować i pod jakimi warunkami.
Jak ustawić Google Analytics 4, aby ograniczyć przetwarzanie danych osobowych?
Google Analytics 4 (GA4) zostało zaprojektowane jako bezpośrednia odpowiedź na zaostrzające się przepisy prawa prywatności na świecie. W przeciwieństwie do swojego starszego brata, GA4 domyślnie i nieodwracalnie anonimizuje (a dokładniej maskuje) adresy IP użytkowników z Unii Europejskiej. To ogromny krok w stronę prywatności (tzw. privacy by design).
Aby jednak zminimalizować przetwarzanie danych osobowych, powinniście Państwo wdrożyć Consent Mode (Tryb uzyskiwania zgody Google). To mechanizm, który działa jak inteligentny dyplomata pomiędzy Państwa banerem cookies a skryptami Google. Jeśli użytkownik kliknie „Odrzucam”, Consent Mode zadba o to, by do Analytics trafiły jedynie anonimowe, bezciasteczkowe „pingi” sygnałowe, bez zapisywania identyfikatorów na urządzeniu. Dodatkowo, w panelu administracyjnym GA4 warto wyłączyć opcję „Zbieranie danych przez Google Signals” (chyba że mają Państwo na to wyraźną zgodę), gdyż to właśnie ta funkcja pozwala Google na łączenie profili osób zalogowanych na kontach Google, co bywa mocno kwestionowane przez europejskie urzędy.
Jakie zmiany w konfiguracji i przechowywaniu danych pomagają w zgodności z przepisami RODO?
Kolejnym kluczowym aspektem zgodności jest retencja, czyli czas przechowywania danych. Zgodnie z zasadą ograniczenia przechowywania określoną w art. 5 ust. 1 lit. e) RODO, dane osobowe należy przechowywać przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania.
W GA4 domyślny czas przechowywania danych na poziomie użytkownika (tych powiązanych z ciasteczkami lub identyfikatorami mobilnymi) wynosi zaledwie 2 miesiące. Można to zmienić na maksymalnie 14 miesięcy, co wciąż stanowi ogromny skok w stosunku do dawnych czasów (kiedy w Universal Analytics opcja ta mogła być ustawiona na „nigdy nie wygasają”). Najlepszą praktyką prawną jest pozostawienie ustawienia na poziomie 2 lub maksymalnie 14 miesięcy – jeśli Państwa cele biznesowe i analityczne potrafią tego dowieść w ocenie prawnie uzasadnionego interesu lub zebranej zgody. Zmiana tych konfiguracji to prosty klik w sekcji „Ustawienia danych” -> „Przechowywanie danych”, który zdejmuje z Państwa barków ogromne obciążenie prawne.
Jak wdrożenia Google Tag i serwera pośredniczącego wpływają na bezpieczeństwo danych?
Chcecie Państwo wskoczyć na absolutnie najwyższy poziom ochrony prywatności i całkowicie odciąć ryzyka transferowe? Odpowiedzią jest śledzenie po stronie serwera, znane jako Server-Side Tagging (SST). To rozwiązanie można z powodzeniem wdrożyć za pomocą Google Tag Manager na własnym, wynajętym serwerze zlokalizowanym na terytorium UE.
W klasycznym modelu (client-side), przeglądarka użytkownika wysyła pakiety danych bezpośrednio do amerykańskich serwerów Google. W przypadku serwera pośredniczącego (SST), dane najpierw trafiają na Państwa europejski serwer. Serwer ten działa jak rygorystyczny celnik. To na nim mogą Państwo całkowicie obciąć, zmodyfikować lub zahaszować adresy IP, numery portów i inne potencjalnie identyfikujące zmienne przed dalszym wysłaniem ich do Google Analytics. Google nigdy nie dowie się bezpośrednio, kto był nadawcą pierwotnego zapytania. W oczach organów regulacyjnych, takich jak francuskie CNIL, wdrożenie prawidłowo skonfigurowanego serwera proxy (pośredniczącego) jest jednym z najsolidniejszych rozwiązań gwarantujących zgodność w dobie surowych kontroli.
Jakie obowiązki prawne ma administrator korzystający z Google Analytics?
Instalacja skryptu śledzącego to jedno, ale rola Administratora Danych Osobowych to zupełnie inna bajka. Prawo nakłada na Państwa szereg proaktywnych działań. Nie można chować głowy w piasek i udawać, że analityka robi się „sama”.
Jakie informacje dla użytkownika trzeba udostępnić o przetwarzaniu danych w usłudze?
Kluczową zasadą RODO jest zasada przejrzystości przetwarzania (art. 5 ust. 1 lit. a). Oznacza to, że użytkownik odwiedzający Państwa stronę musi mieć absolutną pewność co do tego, co dzieje się z jego danymi. Musicie Państwo zaktualizować swoją Politykę Prywatności zgodnie z rygorystycznymi wytycznymi z art. 13 RODO.
W dokumencie tym należy wprost, prostym i jasnym językiem wskazać: kto jest dostawcą narzędzia analitycznego (w tym przypadku Google Ireland Limited), w jakim celu dane są zbierane (np. cele analityczne, optymalizacja działania strony, profilowanie marketingowe, jeśli takowe występuje), jakie kategorie danych wędrują do tych systemów, i na jakiej podstawie prawnej się to odbywa (prawie zawsze jest to zgoda użytkownika – art. 6 ust. 1 lit. a). Należy też poinformować o transferze danych do krajów trzecich (USA) oraz o prawach, jakie przysługują użytkownikom (m.in. prawie wycofania zgody w dowolnym momencie). Pisanie językiem prawniczym najeżonym paragrafami nie zawsze jest tu zalecane – komunikat musi być zrozumiały dla przeciętnego Kowalskiego.
Czy potrzebny jest aneks o przetwarzaniu danych lub umowa powierzenia z Google?
Jednym z najczęstszych pytań moich klientów jest: „Czy muszę fizycznie podpisywać jakieś papiery z Google?”. Choć czasy wysyłania umów tradycyjną pocztą mamy za sobą, obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych (Data Processing Agreement – DPA) z Google jak najbardziej istnieje (zgodnie z art. 28 RODO).
Na szczęście, odbywa się to drogą elektroniczną. W ustawieniach konta Google Analytics każdy administrator ma prawny obowiązek zaakceptować „Warunki przetwarzania danych”. Kliknięcie przycisku „Akceptuję” oznacza zawarcie wiążącej umowy, w której Google zobowiązuje się działać wyłącznie na Państwa wyraźne udokumentowane polecenie w stosunku do pewnych kategorii danych. Ważne jest, aby dokładnie zweryfikować zakładkę „Szczegóły zmiany umowy dotyczącej przetwarzania danych”, gdzie należy wskazać pełne dane prawno-rejestrowe Państwa firmy oraz wyznaczyć odpowiednie osoby kontaktowe z ramienia ochrony danych.
Jakie role mają organy ochrony danych i jakie są konsekwencje niezgodności?
To nie jest tylko czcza gadanina. Organy ochrony danych (w Polsce jest to Urząd Ochrony Danych Osobowych – UODO) bacznie przyglądają się rynkowi analitycznemu. Mają one pełne prawo do wszczęcia kontroli – często po skardze niezadowolonego użytkownika lub aktywisty (takiego jak organizacja NOYB założona przez Maxa Schremsa).
Jakie są kary za lekkomyślność w tym obszarze? Według przepisów RODO organy nadzorcze dysponują potężnym orężem. Naruszenie zasad przetwarzania lub braku należytych zabezpieczeń może skutkować nałożeniem gigantycznych administracyjnych kar pieniężnych sięgających do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (w zależności od tego, która kwota jest wyższa). Jednak kary finansowe to nie wszystko. Organ może po prostu zakazać Państwu dalszego przetwarzania danych, co z dnia na dzień „zabije” widoczność Państwa działań marketingowych. Utrata wizerunku marki, postrzeganej od tej pory jako firmy nieszanującej prywatności klientów, jest stratą o wiele dotkliwszą, trudną do naprawienia jakąkolwiek kwotą.
Czy warto przejść z Universal Analytics na Google Analytics 4 z punktu widzenia RODO?
Klamka właściwie już zapadła. Stary Universal Analytics oficjalnie przestał przetwarzać nowe dane. Niemniej jednak, dla wielu spóźnialskich lub tych, którzy wciąż opierają się na historycznych pakietach, warto zestawić obie te technologie pod kątem dbałości o naszą prywatność. Czy to tylko zmiana kosmetyczna, czy może nowa era?
Jakie różnice w przetwarzaniu danych i przechowywaniu ma Google Analytics 4 vs Universal Analytics?
Fundamentalną różnicą między tymi dwoma systemami jest sama filozofia budowy. Universal Analytics (UA) oparty był o model sesji i odsłon. Ściśle polegał na tradycyjnych plikach cookie i przetrzymywał ogromne ilości informacji w nieskończoność, co mocno uwierało europejskim urzędom nadzorczym. Co gorsza, w UA anonimizacja numeru IP była opcjonalna – trzeba było pamiętać o dopisaniu odpowiedniego skrawka kodu.
Google Analytics 4 to zupełnie inny organizm, oparty na zdarzeniach (Event-Based Model). Co to oznacza dla Państwa w praktyce? Przede wszystkim GA4 domyślnie skraca przechowywanie danych do wspomnianych wcześniej maksymalnie 14 miesięcy. Ponadto wbudowano tam wymuszoną anonimizację adresów IP, której absolutnie nie da się wyłączyć w opcjach. System o wiele lepiej zarządza też zgłaszanymi sygnałami odConsent Mode, będąc w stanie wyliczać statystyki behawioralne w oparciu o modele uczenia maszynowego (Machine Learning) w przypadku, gdy użytkownik nie wyrazi zgody. GA4 jest ewidentnie krokiem w stronę standardów Privacy-First, o ile oczywiście odpowiednio je skonfigurujemy.
Jak migracja konta analytics wpływa na dane historyczne i zgodność z ochroną prywatności?
Wielu z Państwa martwi się o swoje cenne dane historyczne wypracowane przez lata ciężkiej pracy w Universal Analytics. Z prawnego punktu widzenia przechowywanie tak potężnego i potencjalnie identyfikującego zbioru informacji (do którego zbierania może nie dysponujemy dzisiejszym standardem zgody) stanowi kulę u nogi w kontekście RODO.
Migracja do GA4 w zasadzie wymusza zapoczątkowanie nowej czystej bazy danych. To doskonały moment na „prywatnościowy restart”. Państwa historyczne dane zebrane w Universal Analytics po określonym przez Google czasie i tak ulegną permanentnemu skasowaniu. Jeśli jednak chcą Państwo zachować część statystyk do celów porównawczych np. analiz rok do roku, mogą Państwo wyeksportować archiwalne raporty zbiorcze (np. w postaci plików CSV lub do chmury BigQuery). Kluczem do zgodności prawnej w takim eksporcie jest upewnienie się, że w pobranych zbiorach nie ma żadnych identyfikatorów, które pozwoliłyby na „odkodowanie” prywatności poszczególnych klientów. Zatem migracja to wręcz błogosławieństwo w zakresie oczyszczenia Państwa środowiska cyfrowego.
Jakie ustawienia w Analytics 4 pomagają ograniczyć przekazywanie danych do usług reklamowych Google?
Potęgą ekosystemu Google jest to, że Analytics łatwo potrafi zintegrować się z Google Ads, co służy m.in. budowaniu list remarketingowych (aby wyświetlać trafne reklamy użytkownikom, którzy porzucili koszyk w Państwa sklepie). Z perspektywy RODO to bardzo czuły punkt – wchodzimy tu bowiem na terytorium profilowania pod kątem reklamy spersonalizowanej.
Aby mieć na tym pełną kontrolę, GA4 oddaje do dyspozycji ustawienie pozwalające na zablokowanie przekazywania danych do zewnętrznych usług. W zakładce „Łączenie usług” -> „Ustawienia gromadzenia danych”, możecie Państwo sterować opcją Personalizacji Reklam na poziomie poszczególnych krajów. Przykładowo, jako dobrą praktykę z zakresu compliance, mogą Państwo domyślnie dezaktywować tę funkcjonalność dla użytkowników logujących się z terytorium Unii Europejskiej, opierając wyświetlanie kampanii Google Ads tylko na tych danych, w przypadku których uzyskali Państwo wyraźną zgodę i z którymi nie ma ryzyka naruszania zasad profilowania.
Jakie techniczne i organizacyjne środki bezpieczeństwa wdrożyć przy korzystaniu z Google Analytics?
Artykuł 32 RODO wymaga od administratora wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający określonemu ryzyku. Prawo nie daje Państwu gotowej check-listy, lecz wymaga proaktywnego myślenia. Jak zatem zabezpieczyć środowisko Google Analytics w praktyce biznesowej?
Jak zabezpieczyć dostęp do danych analytics i konta Google, aby chronić dane osobowe?
Nawet najlepiej skonfigurowane konto nie będzie zgodne z RODO, jeśli byle kto będzie miał do niego dostęp. Pierwszym i najłatwiejszym krokiem jest rygorystyczne stosowanie zasady najmniejszego uprzywilejowania (Principle of Least Privilege). Należy zadać sobie proste, retoryczne pytanie: czy stażysta działu marketingu potrzebuje praw „Administratora”, by jedynie odczytać, jak działa najnowsza kampania banerowa? Nie! Należy nałożyć restrykcyjne role na konta (np. przypisując role Czytelnika czy Analityka).
Niezwykle ważne jest również zabezpieczenie wszystkich kont e-mail posiadających dostęp do konsoli. Obligatoryjne z technicznego punktu widzenia staje się zastosowanie uwierzytelniania dwuskładnikowego (2FA, znane też jako MFA – Multi-Factor Authentication) na każdym połączonym profilu Google. Brak 2FA to jak pozostawienie otwartych drzwi do sejfu z dokumentacją Państwa firmy na ulicy. Dodatkowo, regularne audyty dostępu do kont – czyli wyłączanie uprawnień byłym pracownikom i agencjom – uchronią Państwa przed bolesnym naruszeniem poufności danych.
Jak długo przechowywać dane w usługach Google i jakie polityki przechowywania ustawić?
Jak już wcześniej wspomniałem, retencja danych to klucz do serca każdego audytora. Nie mogą Państwo trzymać surowych, połączonych z identyfikatorami danych w nieskończoność. Aby zastosować się do rygorystycznych wymogów „Privacy by Default”, konieczne jest wdrożenie formalnej polityki retencji (Data Retention Policy).
W samym narzędziu Analytics należy ustawić okres przechowywania odpowiednio np. na 2 miesiące. Jednakże, polityka retencji powinna być zapisana i opisana w wewnętrznej dokumentacji firmy (Polityka Bezpieczeństwa Informacji). Dokument powinien jasno stwierdzać, dlaczego wybrano taki, a nie inny okres przechowywania w ujęciu np. weryfikacji powrotów w lejku zakupowym, analiz kwartalnych B2B, i kiedy te dane są rutynowo usuwane.
Jak monitorować i dokumentować przetwarzanie danych w celu wykazania zgodności z RODO?
Samo zachowanie bezpieczeństwa nie wystarczy, trzeba to jeszcze umieć udowodnić. Zasada rozliczalności (art. 5 ust. 2 RODO) bezlitośnie obnaża braki w tym zakresie. W tym celu niezbędne jest, aby narzędzie jakim jest Google Analytics i cel jego przetwarzania (tzw. analityka) były wyraźnie i poprawnie wpisane do Rejestru Czynności Przetwarzania (RCP), którego prowadzenie jest w większości przypadków obowiązkowe zgodnie z art. 30 RODO.
Poza tym, w sytuacjach, gdy przetwarzanie danych może wiązać się z dużym stopniem ryzyka dla użytkowników (np. łączenie danych o lokalizacji na ogromną skalę przez gigantyczne platformy e-commerce), zalecane jest wykonanie DPIA, czyli Oceny Skutków dla Ochrony Danych (Data Protection Impact Assessment). Regularne audyty i formalne wdrożenie RODO w firmie pozwolą spać spokojnie bez obaw o prawnicze niespodzianki. Dokumentacja wdrożonych starań to Wasza pierwsza tarcza na wypadek pytań od UODO.
Podsumowanie
Korzystanie z narzędzi do analityki sieciowej takich jak Google Analytics absolutnie nie musi oznaczać walki z europejskim porządkiem prawnym. To system naczyń połączonych, gdzie transparentność, minimalizacja gromadzonych informacji oraz inteligentne rozwiązania techniczne (jak Consent Mode, GA4 czy serwer proxy) pracują wspólnie dla jednego nadrzędnego celu: dostarczenia Państwu kluczowych i użytecznych danych o biznesie, z poszanowaniem cyfrowej sfery intymnej Waszych użytkowników. Zadbajcie o umowę powierzenia, przemyślane banery cookie oraz szczelne procedury bezpieczeństwa wewnątrz firmy, a Analytics pozostanie potężnym, stabilnym orężem w osiągnięciu sukcesu Państwa przedsiębiorstwa w sieci.
Najczęściej zadawane pytania (FAQ)
- Czy samo używanie Google Analytics jest prawnie nielegalne na terenie Unii Europejskiej?
Nie, Google Analytics sam w sobie nie jest nielegalny. Legalność zależy całkowicie od sposobu jego konfiguracji na Państwa stronie. Jeżeli pozyskują Państwo wyraźną zgodę od użytkowników na wykorzystanie cookies statystycznych oraz wprowadzicie minimalizację danych w GA4, system jest w 100% używalny z zachowaniem wymogów RODO. - Czy każdy użytkownik musi kliknąć w banerze cookies przed uruchomieniem śledzenia Google?
Tak. Zgodnie z dyrektywą ePrivacy i wytycznymi unijnymi skrypty mogące zainstalować ciasteczko śledzące (marketingowe lub statystyczne) z użyciem identyfikatorów zależą od zgody opt-in. Zgoda ta musi być pozyskana, zanim skrypt Google Analytics odpali się na Państwa stronie, dlatego Consent Mode i poprawne wdrożenie banerów jest niezbędne. - Czy mogę zostawić w Google Analytics 4 retencję danych na 14 miesięcy zamiast domyślnych 2 miesięcy?
Tak, jest to możliwe pod warunkiem, że posiadają Państwo rozsądne uzasadnienie biznesowe poparte wewnętrzną dokumentacją (np. do przeprowadzania rocznych analiz zachowania i konwersji). Ustalenia te muszą zostać rzetelnie odzwierciedlone w Polityce Prywatności. - Czym właściwie jest Server-Side Tracking i dlaczego chroni przed transferem danych?
To technologia, w której Państwa strona wysyła zdarzenia analityczne najpierw na Państwa własny, kontrolowany serwer znajdujący się w Europie, a nie bezpośrednio do Google w USA. Umożliwia to zablokowanie lub zanonimizowanie „ryzykownych” danych osobowych zanim w ogóle opuszczą one granice Unii, co jest najbardziej zgodnym z prawem RODO podejściem dla analityki. - Gdzie w swoim panelu muszę zaakceptować RODO-wską umowę z Google?
Umowę z Google, zwaną „Warunkami Przetwarzania Danych”, można znaleźć w panelu Administracyjnym Google Analytics. Wystarczy przejść do sekcji „Szczegóły Konta” i na dole widoku zlokalizować odpowiednią sekcję o nazwie aneks lub umowa powierzenia przetwarzania danych, zapoznać się z nią i kliknąć przycisk „Akceptuję”.
