Je Google Analytics v pořádku co se týče GDPR?
Asi moc ne a kdo tomu moc nerozumí, tak ať si raději zaplatí právníka a dobrého webového vývojáře, kteří mu s tím jeho webem pomohou. Google Analytics rozhodně není „na takové to domácí žvýkání“ a dovoluji si tvrdit, že by se na tuto službu mohl vydávat zbrojní průkaz, protože ve spojení s webem, který věsí cookies bez souhlasů, je to dost nebezpečná hračka, u které když nevíte co se má vše nastavit, vás může dostat celkem do pěkného průšvihu, tedy můžete za to dostat pokutu, ale to ostatně i samotné provozování webových stránek, protože jsou prostě daná pravidla, která by se měla dodržovat.
Předem upozorňuji, že nejsem právník, mé texty mohou obsahovat chyby a pochopení problematiky nemusí být správné, berte to prosím na vědomí.
Mocný Google Analytics
Pojďme se podívat na Google Analytics, mocný nástroj pomocí něhož můžete šmírovat návštěvníky vašeho webu a jeho zákoutí, která neznáme. Přestože data pomocí Google Analytics vy sami třeba ani nijak zásadně nezpracováváte, ale dali jste si ho na svůj web, protože ho tam má prostě každý a všude se o něm píše a i vy se chcete koukat kolik lidí přišlo v jakém období na váš web, plynou z toho pro vás nějaké povinnosti.
Jaká data z Google Analytics reálně využíváme?
Co zajímá asi většinu běžných majitelů webů/eshopů? Informace o zdroji návštěvnosti, tedy odkud k nám návštěvník přišel, info o stránce na kterou stránku přišel, o událostech, co tam návštěvník dělal, na co třeba kliknul a v případě e-commerce bude majitele eshopů asi zajímat informace, zda si zboží/službu návštěvník zakoupil. V těchto případech potřebujeme analytické cookies, abychom se mohli dívat na návštěvnost webu, dříve se hodně schovávali analytické cookies pod funkční cookies, ke kterým nepotřebujeme souhlas, ale od 1.1.2022 došlo ještě více ke zpřísnění a již toto praktikovat moc nelze, samozřejmě to část majitelů webů stále obchází, ale kdo tak činí, ať tak činí, ale jde jde to na jeho vlastní triko a zajímavé bude jak si to pak v případě kontroly dokáže obhájit, nemělo by se to tečka.
Co vyplývá ze zákona
Ze zákona jasně vyplývá, že se cookies mají nějakým způsobem třídit, tedy běžně je rozdělujeme na funkční, preferenční, analytické, marketingové a je potřeba souhlas návštěvníka webu, jinak tyto cookies kromě funkčních nelze spustit, ojediněle lze, ale jen anonymně a dopočítaně, tedy rozumějte nějak vycucané z prstů od Google Analytics (prostě science fiction data, vypočítaná pro ty, co souhlas nedali, dle nějakého chytrého vzorce, který pozná pravidelné chování běžných zákazníků, kteří souhlas dali a pak to dopočítá k těm co souhlas nedali. Ale reálně se nesmí analytické a marketingové cookies návštěvníkovi webu stáhnout a uložit na jeho zařízení, takže reálná data můžeme sbírat pouze a jen se souhlasem.
Chcete vědět co se mění od 1.1.2022 pro weby a eshopy? Podívejte na článek: Změna pravidel cookies od 1.1.2022, co se mění pro web a eshop
Používáte remarketing?
Remarketing znamená jednoduše řečeno, že se chcete uživateli, který k vám přišel na váš web, koukl se na produkt/službu a odešel, znovu připomenout a to v podobě vaší reklamy napříč internetem. Remarketingová reklama se bude zobrazovat na jiných stránkách a uživatele můžete znovu dostat zpět na váš web a znovu ho můžete na webu ponoukat, aby u vás nakoupil. V tomto případě potřebujete nejen analytické cookies, ale také marketingové cookies, protože si potřebujete tyto návštěvníky webu nějak označkovat. Pro označení návštěvníků webu potřebujete, aby se cookies uložili na návštěvníkovo zařízení. Poté můžete uživatele nějak poznat, třídit je a reklamy již zobrazovat jen určitým lidem. To znamená například nechcete zobrazovat reklamu studentům, kteří jsou pravděpodobně ve věku třeba 18 – 25 let a přišli si na váš web stáhnout jen nějaký obrázek pro nějakou svoji práci do školy a víte že u vás nakupují hlavně maminky s dětmi ve věku třeba 30 – 45 let, takže návštěvníky roztřídíte a omezíte reklamu jen na určitý typ lidí a reklamu necháte zobrazovat jen ženám ve věku 30 – 45 let.
Analytický nástroj Google Analytics
Je to nástroj pro analyýzu dat od firmy z USA, tento nástroj můžete používat zdarma, je skvělý, jen není skvělé to, že na ta data můžete koukat jak vy, tak ale i Google a nějaká třetí strana v USA, protože Google ta data používá a posílá si je k sobě na servery do USA a tam platí jiné zákony, proto v USA se na ta data mohou nějaké instituce podívat. To je zásadní problém, protože to GDPR platné pro EU nepovoluje a proto Google dostává neustále nějaké pokuty. Takže vlastně teoreticky bychom Google Analytics možná ani neměli vůbec na svůj web vkládat, protože Google Analytics porušuje GDPR, ale není to tak jednoznačné zatím.
Problém s Googlem a daty je velký
Webů co používají Google Analytics je většina a byl by asi problém, kdyby byl přímo zakázán, spousta firem jej používá velice aktivně a na analytických datech a remarketingu visí jejich byznys, takže EU si toho je samozřejmě vědoma a zatím tak nějak stále striktně Google Analytics nezakázala ač to z těch různých rozhodnutí vyplívá. Spíše chtějí donutit Google, aby změnil pravidla a neposílal data do USA, ale měl ta data jasně jen v rámci EU na EU serverech, kde platí EU pravidla. Google to nějak nakonec docela vyřešil, částečně nechává data v EU a nějakou část dat stále posílá do USA a ještě je problém v tom, že ta data on sice nějak anonymizuje, ale není zřejmé kdy je anonymizuje, zda ještě před zasláním do USA nebo až pak a také je problém, že ty instituce, jsou oprávněny si od Googlu vyžádat i dešifrovací klíč a ta data si odšifrovat, takže se k nim prostě stejně dostanou. Donutit Google, aby s tím něco udělal je samozřejmě jednodušší řešení, než miliónům majitelů web stránek zakázat Google Analytics, ale je to stále v řešení.
Sankce za web, který nesplňuje požadavky pro sběr cookies
Jsou případy kdy už i majitel webu dostal sankce za to, že nehleděl na souhlasy od návštěvníků jeho webu, neměl funkční cookie lištu a ta data sbíral i bez souhlasů a to je samozřejmě problém na straně majitele webu, toto si on musí pohlídat sám. To že Google data pak posílá do USA to je jiný problém a řeší to úřady s Googlem a zatím tedy vyplívá, že to je problém Googlu. Ale nastavit si web, tak aby data sbíral až když je to od návštěvníka webu povoleno za to si ručí majitel nebo provozovatel webu sám, může si to nastavit a ohlídat, je to zcela v kompetenci samotného provozovatele webu, aby web šlapal podle GDPR. A za to může samozřejmě dostat majitel webu sankce. Navíc pokud si instalujete Google Analytics, tak sepisujete s Googlem smlouvu, kde se zavazujete, že budete data sbírat jen se souhlasem.
Raději něco zainvestujte a mějte na webu pořádnou funkční cookie lištu
Takže pokud používáte Google Analytics, určitě doporučuji si dát na web cookie lištu, ale pořádnou, ne jen na oko a poraďte se s právníkem jak formulovat text o cookies a o tom jak osobní data zpracováváte, protože skutečnost, že web návštěvníkům webu i přes nesouhlas nebo ignoraci s cookie lištou zavěšuje cookies na jejich konečná zařízení lze snadno zjistit a jde to na triko provozovatele webu.