Основи використання Google Analytics відповідно до GDPR

Гугл-аналітика є інструментом моніторингу, який ще дуже популярний. Невідомо, як саме Google використовує дані, які збираються із вебсторінки із встановленою _Analytics.

Для Google Analytics існують різні версії:

• Google Analytics 4 (recht neu)[1]
• Глобальна метка сайту для Google Analytics 4
• Гугл Універсальний Аналітикас (актуально), на яку посилаються викладені в цьому документі вказівки, якщо не вказано інше
• Глобальна метка сайту для Google Universal Analytics
• Legacy Analytics (alt)
• Urchin Analytics (uralt)
• Гугл Тег Менеджер як контейнер для вищезгаданих самостійних аналітичних варіантів

Залежно від реалізації та налаштувань, Google Analytics може зібрати більше чи менше даних про користувачів, але завжди багато. Наявність деяких налаштувань, наприклад передача даних для Google-продуктів та послуг, є обов'язковою щодо отримання згоди. Інші налаштування не зовсім зрозумілі щодо обробки, якщо вважати, що Google не використовує дані інших користувачів для власних цілей. Такий саме враження виникає після прочитання документів про угоду (якщо це стосується захисту даних, умов використання тощо) компанії Google. ([1])

Google зберігає для кожного користувача – з метою зменшення анонімності користувачів – унікальну ідентифікацію за розмірами Браузер та Пристрій, яка в Google Analytics називається Ідентифікатор клієнта. З цією допомогою можна не прямо ідентифікувати людину. Однак можна легко зберегти IP-адресу користувача разом із Client ID від Google на власному сервері і зберігати її. При необхідності експортувати з практичної функції експорту в Google Analytics Client IDs та порівняти їх зі своїми записаними IP-адресами. Таким чином, навіть відбувається De-Duplikation користувачів.

У варіанті без cookies та із найбільш дружнім щодо захисту даних налаштуванням Google Analytics міг би – без ідентифікатора клієнта та без відчуття, що Google сам використовує дані, зібрані іншими – працювати без згоди користувача (якщо тільки не було проблем зі сервером розташування). Однак тоді виникне питання: який вигідний для нього перевагу має цей інструмент порівняно з іншими, значно більш правовірними та з меншою кількістю необхідних заходів безпеки. У варіанті без cookies та із налаштуваннями, дружніми щодо захисту даних Google Analytics у панелі управління показує дві користувачів, які здійснили два прямого поспіль відвідування сторінки. Інші інструменти можуть зробити це краще, не порушуючи питань захисту даних. Це, проте, в цілому без видимої вигоди для більшості власників вебсайтів 4, можливо ж для Google.

Перед тим, як Google Analytics використовувала третій-сторонні cookie, вона була вважана обов'язковою до згоди. Тепер Google Analytics використовує перший-сторонній cookie, але використовує його саме так само, як і попередній:

Як бачити, вебсайт, який використовує Google Analytics, має доступ до не меншої інформації за допомогою першого партнерського Google-кукі ніж при використанні третього партнерського Google-кукі. А також Google потенційно має такі ж можливості доступу – тут потрібно зробити це підрахунок на основі пояснень (політика конфіденційності, умови використання тощо) компанії Google, якщо Google Analytics працює в найбільш захищеній від даних конфігурації. Однак відповідальність за законність обробки лежить на власнику вебсайту, який використовує Google Analytics – йому потрібно довести правомірність обробки даних.[2]

Мій експериментальний тест показав, що налаштування щодо надання даних у Google Analytics можна було розширити для вже зібраних даних користувачів пізніше. Це означає, що такий процес можливий:

1. Google Analytics налаштовується з максимальною відповідністю GDPR
2. Користувацькі дані збираються за допомогою Google Analytics
3. Дані, що надаються для Google Analytics до інших послуг Google, будуть розширені, зокрема на Google-Продукти та -Служби (це спричинить згідно з вимогами Google спільну відповідальність, раніше це було DPA)
4. Дані користувачів, зібрані відповідно до пункту 2 до передачі, потенційно будуть зловживатися, порушуючи їх початкове призначення
5. При необхідності можна знову строго налаштувати Google Analytics за допомогою однієї кліки (з спільної відповідальності виникає DPA)

Нове Google Analytics 4 має наступні збір даних попередньо встановлені [3]:

• Перегляди сторінок
• Завантаження файлів
• Scrolls
• Натискання на зовнішні посилання
• Залучення до відео

Ця замовна налаштування найімовірніше призведе до обов'язкового отримання згоди на трекінг.

Вида ЛДА Баварії представляє трохи неоднозначну офіційну думку, що Google Analytics без згоди незаконне:

Незалежно від того, скорочується IP-адреса чи ні, необхідно отримати згоду.

Джерело: https://www.lda.bayern.de/de/faq.html

На мою запит до LDA Баварії з цього питання вони швидко відповіли і запитались, чи краще було б висловити це більш детально. Я підтвердив це і було б приємно, якби FAQ BayLDA відповідно було покращено. Однозначно позитивними є швидка відповідь та конструктивне запитання з боку органу влади!

У дослідженні [5] було встановлено, що виникнення неопределенності при збірці даних через включену IP-анонімізацію. Для 81% користувачів їх місцезнаходження було зібрано зі схожою точністю навіть після включення анонімізації.

За інформацією від Google 6, Google передає отримані за допомогою Google Analytics дані багатьом третім особам у багато інших країн, навіть в країни з нестабільною ситуацією.

Крім того, Google пояснює, як Google використовує дані з веб-сторінок або додатків, які інтегрують інструменти Google (посилання з джерела видалено):

Якщо ви відвідуєте вебсайт, на якому використовуються послуги реклами, такі як AdSense або інструменти аналізу, такі як Google Analytics, або відео-матеріали з YouTube вбудовані, ваш браузер автоматично відправляє певну інформацію до Google. Серед цієї інформації є адреса URL відвідуваної сторінки та ваша IP-адреса. У деяких випадках ми також встановлюємо куки у вашому браузері або читаємо наявні куки. Також через програми, в яких використовуються послуги реклами Google, дані відправляються до Google, наприклад назва програми та специфічна ідентифікаційна кількість для цілей реклами.

Виправлення даних та інформації, надісланої через вебсайти та програми, використовуємо для надання, обслуговування та вдосконалення наявних послуг, для розвитку нових послуг, для вимірювання ефективності певної реклами, захисту від шахрайства та зловживання, а також для особистого підходу до вмісту та рекламних повідомлень, які ви бачите як у Google, так і на наших партнерських вебсайтах та програмах.

Джерело: https://policies.google.com/technologies/partner-sites?hl=de

Гугл Аналітика зберігає, зокрема, дані з наступних джерел про користувачів:

• HTTP запит
• Інформація про браузер та систему
• Cookies (включаючи кукі DoubleClick)

З "Google" у німецьких правилах захисту даних щодо "Google" мається на увазі компанія "Google Ireland Limited" та її "пов'язані підприємства". "Пов'язані підприємства" згідно з цією джерелою (курсивний текст доданий власноруч)

Компанія, яка належить до групи компаній Google, тобто Google LLC та її дочірніх підприємств, зокрема таких підприємств, які надають послуги споживачам в ЄС: Google Ireland Limited, Google Commerce Ltd і Google Dialer Inc.

Джерело: https://policies.google.com/terms?hl=de&gl=de

Google LLC є підприємством із сідлом у США. З цим вантаження Google Analytics вже є критичний процес щодо захисту даних, оскільки дані можуть бути відправлені потенційно до американського підприємства чи на сервери у США або третім особам. Оновлення: Google навіть підтверджує, що всі дані Analytics завжди обробляються в США. ([1])

Представлення Google Analytics через Google як виконавця послуг неможливе, оскільки Google використовує дані, зібрані іншими вебсайтами за допомогою Google Analytics [7], та згідно зі своїми правилами про захист даних передає ці дані багатьом третім особам із потенційно нестабільними стандартами захисту даних [8].

Використання Google Analytics з однієї із наступних причин вважається мені обов'язковим отримання згоди: (Translation note: I kept "Google Analytics as is, considering it's a proper noun):

• налаштування явно вимагає згоди або
• налаштування відстеження ненавмисно відстежує більше, ніж потрібно або
• дані дозволяють потенційно відстежувати користувачів або
• розширення можливості передачі даних іншим сервісам Google може відбуватися згодом для вже зареєстрованих користувачів або
• Використовувані дії користувачів можуть бути потенційно зареєстрованими за допомогою Measurement Protocol або
• Google можна припускати, що використовує дані для власних цілей або
• сервер розташований у ненадійній третій країні.

Анонімізація IP-адрес під час відстеження події

При завантаженні скрипту Google Analytics вже змушено передається IP-адреса користувача на сервер Google згідно з протоколом Інтернету. Також при відправці подій, які здійснює цей інструмент, безумовно передається мережева адреса користувача.

З метою анонімізації IP-адреси для Google Maps передбачається, що під час трекінгових подій як параметр події передаватиметься не справжня IP-адреса користувача (хоча це обов'язково передаються дані про трафік трекінгової події). Ця анонімізація повинна бути здійснена обов'язково, або вже активована у стандартній конфігурації Analytics. Це можна перевірити, розглянувши джерельний код сторінки, яка включає Google Analytics. Там повинен бути вказаний параметр anonymizeIp. Неправильним є таке:

Після запуску Google Analytics за допомогою команди send, тут включає anonymisierung. Важливо мати команду anonymizeIp раніше ніж команда send.

Виправте інструмент за допомогою Google Tag Manager або подібного, вигляд коду буде різним. У цьому випадку відкрийте в браузері Firefox (або інших) розробницьку консоль натиснувши клавішу F12 та відкрийте список мережевої аналітики. Потім відкрийте сторінку, на якій встановлено Google Analytics. Тепер шукайте запит collect над доменом google-analytics.com ([1]) :

Параметр aip=1 вказує, що анонімізація адреси IP включена.

Вимірювання ефективності Google Ads за допомогою Google Analytics

Google Analytics може бути використаний для вимірювання ефективності розміщених на платформі Google рекламних оголошень. Багато хто вважає, що це (включаючи використання файлів cookie для відстеження) є необхідним для деяких підприємств, оскільки вони в іншому випадку не змогли б працювати фінансово ефективно. На це варто відповісти:

• У Google Умови використання для рекламних матеріалів явно вказано, що жодних особистих даних не можна передавати до Google на рекламні цілі3. Зокрема щодо Google Analytics мають на увазі «онлайн-ідентифікації (включаючи ідентифікатори файлів cookie), інтернет-адреси та ідентифікації пристроїв, призначені клієнтом»,3.
• Гугл Адрс можна оптимізувати без Гугл Аналітики за допомогою інших засобів Google. Google пише тут: “Tracking конверсій може допомогти вам побачити, як ефективно кліки на вашу рекламу приводять до цінної діяльності користувачів на сайті, наприклад, покупок, реєстрацій та відправлення форм.” ([1])
• Охорона даних Google Analytics Основи GDPR Google Analytics_ є інструментом відстеження(/tracking), який ще дуже популярний. Напевно, цей інструмент майже непідконтрольний у питаннях захисту даних, бо невідомо, чи й як Google використовує дані, які збирає вебсайт із допомогою Analytics. Перехід на сторінку оптимальної конверсії або розпізнавання повторних відвідувань може відбутися навіть без використання Google Analytics, наприклад, шляхом логіки, яка працює на власному сервері. У цьому випадку навіть рекламна оголошення, з якої відвідувач прийшов, можуть бути враховані – цілком без допомоги Google інструментів
• _Ремаркетингові функції, які здійснюються засобами третіх сторін, підлягають обов'язку отримання згоди ще більше, ніж інші механізми відстеження (порівн.: рішення суду Баварії щодо Facebook Custom Audiences від 08.05.2018 року – B 1 S 18.105 або рішення ЄСПЛ щодо Fashion ID від 29.07.2019 року – C-40/17)
• Гугл Адрс можна оптимізувати лише разом із Гугл Аналітикою, якщо у обліковому записі Гугл Аналітики активовано надання даних для Гугл Продуктів та Сервісів. Для цього необхідна згода, оскільки Гугл виступає як спільний виконавець, щоб діялися умови використання Гугл (, які вимагають згоди при використанні файлів cookie або подібних технологій) та його клієнти (власники сайтів) навіть самостійно перевіряють .
• Ці рекламні кампанії можуть бути ефективними лише з обмеженим успіхом завдяки засобам, які надає Google, і вже самі по собі досить ефективні (або неефективні, залежно від того, як людина сприймає досить низькі показники конверсії). Правильне інтересу стає на другий план саме тому. Опитування онлайн-агентств виконав автор, яке показало, що жодна з вибраних 15 осіб не змогла підтвердити можливість створення ефективної реклами за допомогою Google Analytics.

Результат: Google Analytics не можна використовувати без згоди для підтримки оптимізації Google Ads. У окремому статті я детальніше поясню вимогу щодо згоди на використання даних.

Альтернативи

Для Google Analytics існують різні способи, що відповідають вимогам захисту даних. Ці способи, ймовірно, вистачатимуть для 99% веб-майстрів!

У окремому матеріалі описуються додаткові альтернативи для різних інструментів Google.

Є відомий представник послуг аналізу, що дотримуються політики захисту даних – Matomo. Матомо навіть можна використовувати без згоди користувача, якщо інструмент належним чином налаштований.

Для порівняння між Google Analytics 4 та Google Universal Analytics дивіться https://support.google.com/analytics/answer/9964640?hl=de ([1])

2 Візьміть також рішення ЄСПЛ від 11.11.2020 – C-61/19, зокрема пункт 42. Спільна відповідальність із Google існує лише тоді, коли дані звільнення в Google Analytics для Google-продуктів та послуг активовано – тоді би була обов'язкова згода користувача у будь-якому разі.

[3] Дивіться https://support.google.com/analytics/answer/9216061?hl=de&utm_id=ad та Google Analytics Dashboard

4 Лише як сигнал Google щодо того, скільки часу користувач залишався на вебсторінці, міг бути якийсь користь.

Повний текст: https://www.conversionworks.co.uk/blog/2018/04/16/ip-anonymization-ga-impact-assessment/ (адрес не доступний) ([1])

6 У https://support.google.com/analytics/answer/3379636?hl=de Google підтверджує, що попередній АВВ для Google Analytics більше не діє (якщо такий існував – ймовірно, англійською мовою – і був правомочним) та замість нього діє цей АВВ: https://privacy.google.com/businesses/processorterms/. Дивіться там зокрема розділи 10 (Передача даних) та 11 (Підпорядковані виконавці). Дивіться також примітку 27 та відповідний розділ, які вказують на те, що з Google не може бути укладено АВВ щодо Google Analytics.

https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/google-analytics-datenuebermittlung-verstoesst-gegen-dsgvo/ та заяву Google на https://marketingplatform.google.com/about/analytics/terms/de/ („Ви погоджуєтесь, щоб Google або його пов'язані компанії зберігали інформацію про використання Вами цього послуги (включаючи та обмежуючи дані клієнтів) і використовували її для надання послуг аналізу веб-трафіку та відстеження…“)

8 Дивіться https://policies.google.com/privacy?hl=de, де Google визнає, що поєднує дані з Google Analytics із даними інших осіб та дозволяє третім особам (як наприклад рекламним партнерам) користуватися цим. Якщо ці умови не застосовуються через DPA (дивіться https://privacy.google.com/businesses/processorterms/, розділ 4.2), то згідно з розділами 10 та 11 цього ж DPA Google може передавати дані до американської материнської компанії Google LLC, що суперечить GDPR без згоди користувача (дивіться також FISA Act, примітка 39).

Ключові тези цього посту

Google Analytics є проблематичним через непевну обробку даних та передачу їх Google, і часто не відповідає вимогам законодавства про захист даних.

Хоча Google Analytics тепер відповідає вимогам GDPR, він все ще може призвести до проблем з конфіденційністю, оскільки може бути використаний для зловживання даними користувачів.

Google Analytics не можна використовувати без згоди користувачів, оскільки дані передаються Google та, можливо, компаніям у США.

Google Analytics є проблематичним, оскільки він збирає дані користувачів та може передавати їх третім сторонам без попереднього інформування користувачів.

Google Analytics не можна використовувати для оптимізації реклами без згоди.

Використання Google Analytics може порушувати вимоги Загального регламенту з захисту даних (GDPR), оскільки Google передає дані до США та поєднує їх з даними інших компаній.

Переклад: Про ці основні твердження