Používáte Google Analytics v souladu s předpisy o ochraně údajů? Stručný přehled právního stavu

Používání Google Analytics podléhá určitým požadavkům podle GDPR (obecné nařízení o ochraně osobních údajů). Ochrana dat a Google Analytics jsou již dlouho v konfliktu. Nejpozději od rozsudku Evropského soudního dvora o sledování byla poskytnuta možnost přihlášení ke službě Google Analytics. V této souvislosti je důležitá otázka zpracování souborů cookie Google Analytics. Pro právně bezpečnou integraci Google Analytics naleznete podporu od poskytovatelů správy souhlasu (CMP). S řešeními pro souhlas se soubory cookie přispíváte k ochraně údajů v Google Analytics.

Google Analytics ve zkratce: důležitost ochrany dat

Většina větších webových stránek se při vyvozování závěrů o chování návštěvníků spoléhá na analytické nástroje. Zdaleka nejpopulárnějším nástrojem pro analýzu uživatelů je Google Analytics. Jak je patrné z různých statistik, tento nástroj se v závislosti na průzkumu používá zhruba na polovině všech webových stránek. Na jedné straně je tato popularita způsobena tím, že Google má přístup k obzvláště velkému množství uživatelských dat . Na druhou stranu obliba pramení z toho, že velké množství funkcí Google Analytics je pro všechny uživatele zdarma .

Google Analytics používá k vyhodnocování uživatelských dat soubory cookie. Tyto malé soubory jsou uloženy v prohlížeči návštěvníka. Uživatelé mají mnoho možností, jak shromažďovat různá data podle vlastních nastavení. Google Analytics pak umožňuje provozovatelům webových stránek zpracovávat a vyhodnocovat data podle různých parametrů. Na tomto základě lze sledovat cenné klíčové údaje, jako je zobrazení stránek, chování uživatelů nebo délka pobytu na webu. Google Analytics také umožňuje přesné sledování jednotlivých akcí , včetně přihlášení k odběru newsletteru nebo stahování určitých souborů. Možnosti sledování konverzí lze použít k určení bodů, ve kterých se návštěvníci stávají zákazníky. To odhaluje potenciál optimalizace a přispívá k neustálému zlepšování výkonu stránky.

Z hlediska ochrany dat je třeba kriticky nahlížet na obrovské množství dat, která Google Analytics shromažďuje a vyhodnocuje. Úředníci na ochranu osobních údajů si stěžují zejména na ukládání a přenos úplných IP adres návštěvníků společnosti Google (přímo do USA). Ochránci dat dále kritizují, že předpisy na ochranu dat společnosti Google neposkytují dostatečné informace o tom, která data návštěvníka stránek jsou skutečně shromažďována, ukládána a přenášena .

Kvůli přístupu k velkému množství uživatelských dat je ochrana dat v Google Analytics dlouhodobě kontroverzní. Se vstupem GDPR v platnost (také GDPR: General Data Protection Regulation) a ještě více od rozhodnutí ESD o cookies v roce 2019 podléhá právně bezpečné používání Google Analytics určitým požadavkům. Pokud služba Google Analytics není koordinována s GDPR, mohou provozovatelé stránek čelit vážným varováním nebo pokutám .

Google Analytics: právní pozadí (GDPR a rozhodnutí ESD)

Koordinace Google Analytics s GDPR se stala nezbytnou nejpozději od doby, kdy toto nařízení vstoupilo v platnost. Úřady na ochranu osobních údajů již v minulosti hrozily provozovatelům webových stránek pokutami za používání tohoto nástroje. Před GDPR bylo možné Google Analytics používat i bez souhlasu, pokud bylo splněno jen několik požadavků (např. anonymizace IP a smlouva o AV). GDPR bylo spojeno s nadějí, že otázka souhlasu bude upravena pouze nařízením o soukromí a elektronických komunikacích. Do té doby se provozovatelé webových stránek chtěli spoléhat na „oprávněný zájem“ v souladu s čl. 6 odst. 1 písm. 1 lit. f GDPR jmenován.

Důležitá změna přišla s rozsudkem ESD z roku 2019 ve věci Planet49 (ref.: C-673/17). Rozsudek je doplněn jasnými informacemi o souhlasu s používáním souborů cookie Google Analytics a dalších souborů cookie. Návrh souhlasu by měl být takový, že návštěvníci musí nejprve výslovně souhlasit s používáním souborů cookie Google Analytics. Proto Google Analytics spoléhá na opt-in : Uživatelé musí nejprve dobrovolně souhlasit, než bude operátorovi vůbec povoleno shromažďovat a zpracovávat soubory cookie Google Analytics. Existuje výjimka týkající se souborů cookie, které jsou nezbytně nutné pro technické fungování stránek.

ESD ve svém rozsudku poukázal na to, že nařízení o ePrivacy (čl. 5 odst. 3) již stanovilo souhlas i pro soubory cookie, které nejsou nezbytně nutné. Obdobná vyjádření ESD jsou známa již z dřívější judikatury.

Právní požadavky na používání souborů cookie Google Analytics byly dne 12. května 2020 znovu posouzeny koordinačním výborem německých orgánů pro dohled nad ochranou osobních údajů (DSK) . S tímto rozlišením je doplněn i orientační průvodce pro poskytovatele telemédií . Tento orientační průvodce vysvětluje různá nastavení při používání Google Analytics z hlediska používání v souladu se zákonem.

Použití Google Analytics v souladu se zákonem: Opatření pro provozovatele webových stránek

Každému, kdo se nadále spoléhá na Google Analytics jako provozovatele webových stránek, například v mediálním sektoru nebo v elektronickém obchodování , se doporučuje zavést určitá opatření, která zajistí právní jistotu nástroje pro sledování.

Zajištění transparentnosti předpisů o ochraně údajů

Provozovatelé webových stránek by měli poskytovat komplexní informace o používání a zpracování osobních údajů v předpisech o ochraně údajů. Tato transparentnost musí být zaručena v souladu s čl. 13 GDPR, aby bylo možné Google Analytics koordinovat s GDPR.

Pokud jde o konkrétní požadavky informační povinnosti, odborníci na ochranu údajů odkazují na pokyny pro transparentnost Evropské rady pro ochranu údajů. Při úpravě prohlášení o ochraně údajů musí být specifikován alespoň následující informační obsah s ohledem na požadavky DSK podle čl. 12 a 13 DSGVO: Rozsah shromažďování údajů musí být jasně sdělen. Kromě toho musí prohlášení o ochraně údajů poskytovat informace o právním základu, na kterém jsou údaje shromažďovány. Stejně tak musí být v pořádku vysvětleny zásady ochrany osobních údajů

jak dlouho jsou data uložena. V této souvislosti
Kritéria pro stanovení doby skladování jsou zveřejněna. Prohlášení o ochraně údajů by také mělo obsahovat odkaz na právo na odstoupení od smlouvy a jeho provádění.

Zkraťte IP adresu

Jako další opatření ke koordinaci Google Analytics s GDPR by provozovatelé webových stránek s tímto nástrojem pro sledování měli zajistit zkrácení IP adresy . To lze implementovat přidáním příkazu „_anonymizeIp()“ do měřicího kódu. To se týká jakékoli webové stránky, která má integraci Google Analytics. Technické podrobnosti o tomto typu zkrácení IP adresy naleznete přímo v pokynech na stránce Google Developers.

Zkrácení IP adresy je důležitým opatřením k ochraně uživatelů v souladu s čl. 25 odst. 1 písm. 1 GDPR. Pouhé zkrácení IP adresy však k zajištění anonymního zpracování dat nestačí . Kromě čisté IP adresy zahrnuje používání Google Analytics shromažďování mnoha dalších údajů o používání. To zahrnuje osobní údaje, jako jsou údaje používané k identifikaci uživatelů (např. ve smyslu propojení s existujícím účtem Google).

Proto i po zkrácení IP adresy je třeba dodržovat další požadavky na koordinaci Google Analytics s DSGVO. Stejně tak ve výše uvedeném prohlášení o ochraně údajů musí být uvedena poznámka, zda byla IP adresa zkrácena.

Stanovení doby uchovávání údajů

Aby bylo možné koordinovat Google Analytics s GDPR, je také nutné přesně specifikovat, jaká doba uchovávání údajů je poskytována. Google Analytics zahrnuje určité ovládací prvky uchovávání údajů . Výchozí nastavení je navrženo tak, aby automaticky ukládalo uživatelská data a data událostí po dobu 26 měsíců. Často je tlačítko „Resetovat při nové aktivitě“ ve výchozím nastavení zakázáno. Toto tlačítko by mělo být deaktivováno , aby bylo možné koordinovat Google Analytics s GDPR (srovnej článek 25: Ochrana dat již od návrhu). Doba uchovávání údajů by měla být omezena na 14 měsíců .

Chcete-li změnit dobu uchování údajů, je třeba na kartě „Správa“ vybrat vlastnost, kterou chcete upravit. V odpovídajícím sloupci „Vlastnost“ lze v části „Informace o sledování – ukládání dat“ provést nastavení doby uložení. Poté, co zde zvolíte jiné nastavení, nezapomeňte přizpůsobit prohlášení o ochraně údajů těmto změnám.

Výslovný souhlas s používáním cookies

Jedním z nejdůležitějších předpokladů pro právně konformní design používání Google Analytics je záruka dobře promyšleného souhlasu s cookies . Souhlas návštěvníka s používáním Google Analytics a cookies musí obsahovat určité informace: v první řadě musí být nadpis jasný a jednoznačný. Musí ukazovat, že uživatel po udělení souhlasu souhlasí se zpracováním údajů společností Google. Kromě toho musí být uživatelé informováni o tom, že osobní údaje a údaje o chování při používání na webových stránkách jsou v rámci zpracování údajů přenášeny do společnosti Google . Žádost o souhlas by také měla obsahovat přesné informace o typech dotčených údajů.

Je také důležité vědět, že shromážděná data zpracovává především Google . Je třeba zdůraznit, že provozovatel webu nemá v tomto ohledu žádný vliv na zpracování údajů. Google zpracovává údaje pro své vlastní účely (např. profilování).

Je také důležité vědět, zda lze shromážděná data propojit také s informacemi z jiných zdrojů. Dále je třeba doplnit informaci, zda jsou data uložena v USA a zda k těmto datům mohou mít přístup státní orgány.

Technické požadavky na souhlas a odvolání

Možnost souhlasu dále nesmí představovat všezahrnující souhlas s používáním souborů cookie. Důležitým technickým požadavkem souhlasu je aktivní zapojení uživatele. Uživatel musí mít možnost aktivně souhlasit s použitím údajů. To nezahrnuje předem zaškrtnutá políčka nebo zaškrtávací políčka !

To je spojeno s požadavkem, že sledovací nástroj a odpovídající soubory cookie Google Analytics mohou být aktivní pouze poté, co uživatelé dají svůj aktivní souhlas. Soubory cookie Google Analytics nesmí být nastaveny předem.

Údaje mohou být shromažďovány pouze poté, co uživatelé aktivně zaškrtli políčko. Dále musí být tento souhlas dobrovolný. S tím souvisí i možnost uživatelů kdykoli odmítnout souhlas.

Dále musí být technicky zajištěno, aby uživatelé nebyli v případě nesouhlasu znevýhodněni. Uživatelé musí mít k dispozici jasná a uživatelsky přívětivá technická řešení k zajištění a implementaci souhlasu. Nástroje pro souhlas k tomu nabízejí jednu možnost. Ty by měly nabízet možnost tento souhlas kdykoli odvolat, a to i poté, co byl souhlas již udělen. Ve všech aplikacích nebo řešeních pro souhlas se soubory cookie musí být v nastavení také snadno dostupná možnost účinného odvolání .

Google v zásadě nabízí doplněk prohlížeče, který deaktivuje Google Analytics. Je třeba poznamenat, že nestačí odkázat uživatele na tento doplněk. To uživatelům nenabízí dostatečnou možnost odvolání. Podle čl. 7 odst. 1 písm. 3 str.4 GDPR, odvolání souhlasu musí být stejně jednoduché jako souhlas. Doplněk Google tyto požadavky nesplňuje, protože nejprve vyžaduje, aby si uživatel stáhl program v podobě doplňku.

Důležitost procedury opt-in

Aktivní a výslovný souhlas s používáním souborů cookie Google Analytics je také známý jako postup přihlášení. Návrh souhlasu s používáním musí být navržen jako skutečné přihlášení ke službě Google Analytics nejpozději od rozsudku ESD o cookies. V zásadě je od pokynů EU o ochraně údajů z roku 2009 stanoveno, že uživatelé webových stránek jsou požádáni o souhlas. Dosud si však mnoho operátorů tento souhlas vykládalo jako opt-out. V praxi to znamená, že cookies jsou shromažďovány, aniž by uživatel musel cokoliv dělat. Návštěvníci mají pouze možnost zabránit shromažďování cookies. Podle rozhodnutí Evropského soudního dvora o cookies nesmí webová stránka nadále ukládat cookies, dokud návštěvník nedá svůj výslovný a aktivní souhlas . To znamená, že soubory cookie Google Analytics lze vůbec nastavit až poté, co se pro ně návštěvník rozhodl (opt-in).

CMP: Řešení pro správu souhlasu pro webové stránky a jejich výhody

Pro provozovatele webových stránek a společnosti je důležité, aby včas přijali opatření pro účinný souhlas s používáním Google Analytics. Bannery pro správu souhlasu na jedné straně poskytují uživatelům komplexní informace o použití dat a zároveň je žádají o udělení souhlasu.

Technická realizace správy souborů cookie v souladu se zákonem těží z takzvaného souhlasu

Řešení. Dobrý správce souhlasu bere v úvahu požadavky GDPR a rozsudku ESD a také pozitivní uživatelskou zkušenost. Mezi nejdůležitější aspekty pozitivní uživatelské zkušenosti patří dlouhá doba setrvání a vysoká míra přijetí . Míra okamžitého opuštění by proto měla být co nejnižší. Dobrá řešení pro správu souhlasu pomáhají zvýšit míru přijetí a zároveň minimalizovat míru okamžitého opuštění. Tímto způsobem zajišťují, že webová stránka funguje dobře, a přispívají k získávání zákazníků a jejich věrnosti.

Dobře promyšlené řešení správy souhlasu poskytuje v reálném čase přehled o míře přijetí a okamžitého opuštění. To umožňuje vyvodit cenné závěry o aktuálním výkonu webových stránek a odpovídajícím potenciálu pro zlepšení.

Řešení souhlasu jsou mezinárodně orientovaná. Zobrazený banner se automaticky zobrazí v příslušném jazyce země v oblasti GDPR, ze které se na web přistupuje. Celkově poskytovatel správy souhlasu zobrazuje informace ve 29 jazycích. Stejně tak je u moderního řešení souhlasu samozřejmostí citlivý design a přizpůsobení. Řešení souhlasu zohledňuje koncové zařízení, operační systém a velikost obrazovky a zobrazuje banner souhlasu optimalizovaným způsobem.