Google Analytics و GDPR: هل هو متوافق؟

لم يتبق سوى شهر واحد على تطبيق القانون العام لحماية البيانات (GDPR). هناك الكثير لنفعله ، وما زال لدينا الكثير من الأسئلة حوله.

واحد كبير:

كيف يمكنك التأكد من أن تتبع Google Analytics الخاص بك متوافق مع GDPR؟ أو تشريعات لوائح الخصوصية الإلكترونية القادمة؟

الجواب القصير:

حسنًا ، لا أحد يعرف على وجه اليقين.

مع خالص التقدير: في الوقت الحالي ، ملفات تعريف الارتباط ، تتبع مجهول الهوية - الكثير منها على وشك التغيير ، بطريقة كبيرة جدًا. لكن "كيف" وراء كل ذلك ، لم يتم الانتهاء منه تمامًا.

لكن انتظر - قبل أن تذهب. قبل أن تندفع بعيدًا عن هذا المقال مفكرًا: "يا إلهي ، يا له من مضيعة للنقرة" - نحن نعرف ما الذي يقيده اللائحة العامة لحماية البيانات (قادم في مايو 2018). ولدينا مسودة تشريع بشأن ما يمكن أن يصبح التشريع الجديد للوائح الخصوصية الإلكترونية.

وهذا يمنحنا أساسًا متينًا لكيفية البدء في إعداد نفسك للتغييرات الكبيرة القادمة على التحليلات.

ذكرني. اللائحة العامة لحماية البيانات. أهتم لأن ...؟

مال!

والإنصاف والشفافية والتحول نحو استخدام وتخزين البيانات بمسؤولية.

ولكن أيضًا ، نعم - عدم الامتثال للائحة العامة لحماية البيانات يعني غرامات كبيرة.

بالطبع ، لا يبدو هذا شيئًا جديدًا. لطالما كان لدى أوروبا قواعد حول كيفية معالجة بيانات مواطنيها. لكنهم اختلفوا حسب البلد. ولم يتم تحديث آخر تشريع لتنظيم البيانات على مستوى الاتحاد منذ التسعينيات.

تجعل اللائحة العامة لحماية البيانات (GDPR) الأمور أكثر وضوحًا ، وأكثر صرامة ، وتوسع النطاق التشريعي. الآن ، إذا كنت مقيمًا في الاتحاد الأوروبي ، أو تخزن البيانات في الاتحاد الأوروبي ، أو تجمع أي بيانات شخصية ، من أي من مواطني الاتحاد الأوروبي - عليك اتباع القواعد الجديدة.

لذلك دعونا نتحدث عن الامتثال التحليلات ، أليس كذلك؟

أولاً ، بعض الأخبار الجيدة:

القانون العام لحماية البيانات (GDPR) لديه الكثير ليقوله عن الموافقة والبيانات الشخصية. ويمكن اختصارها في الغالب إلى هذا: إذا كنت ستستخدم البيانات الشخصية لشخص ما - عليك أن تسأل ، وعليهم أن يعطوك "حسنًا".

(ويجب أن يكونوا قادرين على تنقيح ذلك "حسنًا. ويجب تقديم المصطلحات بلغة واضحة. ويجب أن يكونوا قادرين على عرض البيانات التي أعطوكم" الموافقة "بشأنها ، و ... هذه عملية لمقال آخر).

تعني البيانات الشخصية الآن أي جزء من البيانات التي يمكنك استخدامها لتحديد هوية الفرد أو إعادة تعريفه.

إذن ما علاقة هذا بـ Google Analytics؟

حسنًا ، من الناحية المثالية ، لا يجب تخزين البيانات الشخصية في GA على أي حال .

إنه ضد شروط الخدمة الخاصة بهم.

وهذا يعني أن حسابك يجب أن يكون خاليًا من: أسماء المستخدمين المرسلة في عناوين URL للصفحة ، وأرقام الهواتف المأخوذة من عمليات استكمال النماذج ، وعناوين البريد الإلكتروني التي يمكن استخدامها كمعرفات مخصصة في الأبعاد المخصصة.

يمكن أيضًا ربط الرموز البريدية بمستخدمين محددين — عند اقترانها بالصفحات التي تمت زيارتها ، وتقسيمها إلى مجموعات صغيرة. يجب أن تظل هذه خارج أبعادك المخصصة أيضًا.

حقًا ، أي شيء يمكن استخدامه بوضوح لتحديد "من" وراء موضوع البيانات - حتى لو كان من الصعب تجميعها معًا ، فهي بيانات شخصية.

لذلك حسابك. من الواضح من هؤلاء؟

رائعة.

الآن هذا هو المكان الذي تصبح فيه (من المحتمل) صعبة.

بعض الأخبار الجيدة:

هناك عدد قليل من الحقول المحتملة في Google Analytics ، والتي لا تعتبر "محظورة" بالنسبة إلى Google - ولكنها بالتأكيد "بيانات شخصية" على النحو المحدد في اللائحة العامة لحماية البيانات (GDPR).

من بينهم ...

• عناوين URL الطويلة (إذا كان بإمكانك استخدامها لتحديد مستخدم معين)
• عناوين الانترنت بروتوكول

سنتناول كلا الأمرين ونناقش كيف يمكنك التأكد من تغطية القواعد الخاصة بك.

محددات / عناوين URL الطويلة

عادةً ، لا تكون عناوين URL الطويلة مدعاة للقلق. المرة الوحيدة التي من المحتمل أن ترى فيها عنوان URL الخاص بك يعمل كمعرف شخصي هو إذا كان يحتوي على مدخلات متعددة لبيانات المستخدم.

في بعض الأحيان ترى هذه في النماذج. يرسل المستخدم نموذجًا أو استطلاعًا ، يوضح بالتفصيل ، على سبيل المثال ، العمر والموقع والجنس. يتم توجيههم إلى عنوان URL مثل هذا:

[www.notcompliant.com/form؟gender=male&birthdate=31-12-1980&location=Iowa_City]

بعد ذلك ، في GA ، يمكن ربط هذه البيانات بالمستخدم الذي زار عنوان URL هذا - ويمكنك سحب "who" وراء الإدخال "مجهول".

لحسن الحظ ، هذه نادرة وسهلة الإدارة.

إن تقصير أي روابط مشكوك فيها هو أفضل رهان لتجنب المشكلة تمامًا.

ولكن قد يكون لديك أيضًا معلمات تلتقط البيانات الشخصية بشكل مباشر.

ماذا لو كان المكون الإضافي ، أو النموذج - يأخذ الاسم والبريد الإلكتروني ، ويستخدمه للتعبئة المسبقة للحقل؟ أو تخصيص الصفحة المقصودة؟ هل يتم تخزين ذلك — أو إنشاء عنوان URL مخصص يجد طريقه إلى Google Analytics؟

ثم تقوم بتخزين البيانات الشخصية.

القضاء على المعلمات

هناك بعض الطرق المضمنة التي تتيح لك GA لاستبعاد المعلمات.

استثناء على مستوى العرض:

بصفتك مشرفًا في GA ، يمكنك استبعاد المعلمات من خلال التوجه إلى عرض -> عوامل التصفية. هناك سترى خيارًا لـ: "استبعاد معامِلات طلب البحث لعنوان URL".

جرد أولاً المعلمات التي تستخدمها ("الاسم" ، "البريد الإلكتروني" ، إلخ) - وأدخل كل معلمة مفصولة بفاصلة. استمر في مراقبة المعلمات للإضافات الجديدة في المستقبل. هذه الطريقة يدوية - وتعمل فقط عند فهمك للمعلمات التي تخزنها.

شيء ما يجب ملاحظته هنا: إذا كان لديك معلمات ترسلها إلى الأبعاد - فلن يعمل هذا بعد الآن ، إذا كنت تستبعد هذه المعلمات. تتم معالجة إعداد "استبعاد معامِلات طلب البحث لعنوان URL" قبل الفلاتر.

استثناء على مستوى المرشح:

خيار آخر هو تصفية المعلمات ، باستخدام خيار البحث والاستبدال من: الإدارة -> عرض -> عوامل التصفية -> بحث واستبدال.

استخدم هذا على سبيل المثال عن طريق إضافة \؟. * بشكل أساسي إزالة أي استعلام قوي بعد عنوان URL الرئيسي.

(من المفترض أن يساعد هذا أيضًا في تصفية عناوين URL الطويلة المزعجة).

إذا كنت تستخدم فلاتر أخرى لإرسال أشياء إلى أبعاد ، فإن هذا الفلتر ، خيار "بحث واستبدال" ، يكون مفيدًا. عند وضعها في الجزء السفلي من قائمة عوامل التصفية ، يجب أن تستمر عوامل التصفية الأخرى في العمل. سيتم تنظيف معلماتك ، بعد تشغيل هذه الفلاتر القليلة الأولى.

هذه أيضًا طريقة جيدة للتعرف على المعلمات التي قد تكون كامنة حولك.

استخدم البحث والاستبدال -> طلب RUI -> بحث \؟. * ->

عند التحقق من الفلتر ، قد تجد الكثير من المفاجآت السيئة.

بمجرد الانتهاء من ذلك ، ستجد مرشح المعلمات الجديد الخاص بك في قائمة المرشحات في طريقة العرض الخاصة بك.

عناوين الانترنت بروتوكول:

لطالما كان إخفاء هوية عناوين IP الخاصة بك في برامج مثل Google Analytics من أفضل الممارسات في البلدان التي لديها قوانين صارمة لحماية البيانات (مثل ألمانيا). الآن ، من الضروري الحفاظ على تحليلاتك متوافقة مع إجمالي الناتج المحلي.

المشكلة هنا تنشأ من التقنية. لا يتم تخزين عناوين IP الخاصة بالعميل في قاعدة بيانات GA الخاصة بك ، ولا يمكن لأي عميل الوصول إليها على وجه التحديد. لكن - يمكن الوصول إليها بواسطة أحد موظفي Google ، وهي مؤهلة لتكون معلومات تعريف شخصية. لذلك حتى إذا لم يكن لديك وصول إلى عناوين IP الخاصة بالزائرين ، فأنت بحاجة إلى التأكد من أنها مجهولة الهوية.

إزالة عناوين IP:

لحسن الحظ ، لدى Google الكثير من الوثائق حول هذا الموضوع. ومكوِّن إضافي مفيد - يجب عليك إضافته إلى شفرة التتبع الخاصة بك ، في كل مكان يوجد فيه في الموقع.

تأخذ وظيفة _anonymizeIP هذه عنوان IP الخاص بالمستخدم وتخفيه ، وتعيين الأرقام القليلة الأخيرة إلى الصفر. تبدأ هذه العملية بمجرد تلقي البيانات بواسطة شبكة تجميع Google Analytics - مما يعني أنه لا يتم تخزين البيانات الشخصية مطلقًا.

تنبيه: هذا قد يجعل تقاريرك الجغرافية أقل دقة قليلاً . ولكن هذا هو الثمن الذي يستحق أن تدفعه إذا كنت تأمل في تجنب غرامات عدم الامتثال الباهظة.

بسكويت:

إذا كنت في أوروبا (أو تزور موقعًا أوروبيًا) - فمن المحتمل أنك رأيت النوافذ المنبثقة لملفات تعريف الارتباط في كل مكان.

أنت تعلم: " يستخدم هذا الموقع ملفات تعريف الارتباط لضمان حصولك على أفضل تجربة. اقرأ أكثر. "

يُطلق على هذا الاشتراك السهل. إنه طريق "قلنا لك ، وما زلت تتصفح ، لذا فأنت توافق" على طريق الموافقة.

ووفقًا للائحة العامة لحماية البيانات (GDPR) ، لم تعد خيارات الاشتراك المرن مطروحة على الطاولة. الموافقة الضمنية لا تحسب.

يجب أن تكون الموافقة إيجابية ولا لبس فيها. إذا كانت البيانات الشخصية متضمنة ، فيجب على المستخدمين تحديد هذا المربع ، أو النقر فوق الزر الذي يقول "أنا موافق على هذا".

لذلك قد تبدو النوافذ المنبثقة لملفات تعريف الارتباط في المستقبل أقرب إلى هذا المثال ، من موقع ionetrust.com.

وفقط عندما يقول شخص ما "تنشيط أو أوافق" ، يمكنك البدء في إضافة ملفات تعريف الارتباط.

وفقًا لـ GDPR ، فإن ملفات تعريف الارتباط التحليلية ذات المعرفات هي بيانات شخصية. لكن لم يتم إنشاء جميع ملفات تعريف الارتباط على قدم المساواة. قد يكون من الممكن أن يطلب البعض موافقة المستخدم ، في حين أن البعض الآخر لا يتطلب ذلك. سيتم تحديد التفاصيل من خلال لوائح الخصوصية الإلكترونية الجديدة - بمجرد الموافقة عليها. في الوقت الحالي ، لدينا مسودة 15333 ، والتي لديها استثناء لبرنامج تحليلات الويب.

"يمكن أن تكون ملفات تعريف الارتباط أيضًا أداة مشروعة ومفيدة ، على سبيل المثال ، في تقييم فعالية خدمة مجتمع المعلومات المقدمة ، على سبيل المثال من خلال المساعدة في قياس عدد المستخدمين النهائيين الذين يزورون موقعًا إلكترونيًا أو صفحات معينة من موقع ويب أو الرقم من المستخدمين النهائيين للتطبيق ".

تقوم برامج التحليلات مثل Google Analytics "بتقييم فعالية خدمة مجتمع المعلومات المقدمة". ولكن أيضًا متصلة بالعديد من أنظمة الجهات الخارجية لتمرير البيانات إلى خدمات Google الأخرى ، وبالتالي ، بينما لا تزال تحديثات لوائح الخصوصية الإلكترونية قيد المسودة في الوقت الحالي ، هناك احتمال ألا تكون الموافقة مطلوبة للحصول على إصدار محسّن من Google Analytics.

حذف ملفات تعريف الارتباط (غير المتوافقة بالتأكيد):

إذا كنت تستخدم ميزة معرّف المستخدم في Google Analytics ، فتوقف وامسح بياناتك. تعتبر المعرّفات الفريدة ، مثل ميزة User ID (التي تتعقب المستخدمين الفرديين عبر الأجهزة والجلسات) - بيانات شخصية بشكل صريح ، ولا تخضع لهذا الاستثناء.

قد يكون من مصلحتك أيضًا إيقاف تشغيل Client ID - وهي ميزة تتبع اختيارية في Google Analytics. إنه ، على غرار عناوين IP ، يتتبع بشكل مجهول "طبعات المتصفح" - لإحصاء زوار الموقع المتكررين مقابل زوار الموقع الجدد.

هناك بعض الأخبار الجيدة حقًا بخصوص هذه العملية.

ينطبق القانون العام لحماية البيانات (GDPR) على جميع البيانات الموجودة تحت تصرفك - وليس فقط جميع البيانات التي تجمعها بعد 25 مايو.

مما يعني ، من الناحية الفنية ، أنك إذا اعتدت على جمع معرفات المستخدم - فأنت في مشكلة. لأنه لم تكن هناك طريقة سهلة لحذف بيانات المستخدم بشكل انتقائي في نظام GA الأساسي. لا بد من محوها في جميع المجالات.

لكن إصدار منتج حديث قبل اللائحة العامة لحماية البيانات يغير ذلك.

من الفريق:

"قبل 25 أيار (مايو) ، سنقدم أيضًا أداة جديدة لحذف المستخدم تتيح لك إدارة حذف جميع البيانات المرتبطة بمستخدم فردي (مثل زائر الموقع) من Google Analytics و / أو مواقع Analytics 360. ستعمل هذه الأداة التلقائية الجديدة استنادًا إلى أي من المعرفات الشائعة المرسلة إلى Analytics Client ID (مثل ملف تعريف الارتباط القياسي للطرف الأول في Google Analytics) أو معرف المستخدم (إذا تم تمكينه) أو معرف مثيل التطبيق (في حالة استخدام Google Analytics for Firebase). "

سيصدرون أخبارًا بخصوص هذا التحديث على صفحة التطوير الخاصة بهم هنا. إذا كان لديك بعض الحذف ، فاحترس.

أذونات:

لذا فقد راجعنا كيفية التأكد من أن جمع البيانات الخاص بك متوافق.

لكن الآن لديك بعض البيانات لحماية القيام بها.

إذا كنت تقوم بانتظام بتوزيع أذونات GA - للوكالات أو المتعاقدين أو الموظفين السابقين حاليًا - فمن الأفضل أن تتحقق بانتظام ممن لديه حق الوصول إلى حسابك.

تنطبق بعض قواعد الفطرة السليمة هنا.

هل تتذكر من [email protected] بعد فترة؟ قد يكون من الأفضل إنشاء سياسة وصول "البريد الإلكتروني للنشاط التجاري فقط" لحسابك.

تنشئ منظمة Google Analytics بنية أساسية قوية للقيام بذلك. يسمح لك بربط أي حسابات GA مرتبطة تحت سقف واحد - ويوفر بعض الصلاحيات الإضافية لمسؤول المؤسسات. يمكنك إنشاء سياسات ومعرفة من قام بتسجيل الدخول وإدارة مستخدمي المنتج والأذونات بسهولة.

يعد تشغيل GA Organization عملية مباشرة إلى الأمام. تفاصيل جوجل كيف هنا. أدناه لقطة الشاشة حول كيفية العثور على الإعداد الأولي.

ليتم تلخيصه:

لقد قدم لنا Google Analytics الكثير من الخدمات من خلال الحفاظ على سياسة خصوصية صارمة - سياسة تقيد تخزين البيانات الشخصية.
لذا يبدو أن الحفاظ على تحليلات Google الخاصة بك سعيدًا ، ومتوافقًا مع اللائحة العامة لحماية البيانات (GDPR) ، يسيران جنبًا إلى جنب.

للتنفس بسهولة ، يمكننا جميعًا أن نجعل عناوين IP الخاصة بنا مجهولة ، والتحقق مرة أخرى من عناوين URL الطويلة ، وحذف معلماتنا ، وإزالة معرفات المستخدم المخزنة لدينا. وتذكر القانون العام لحماية البيانات (GDPR) - طوال كل مرحلة من مراحل رحلة المستخدم.

موارد:

شروط استخدام Google Analytics

Analytics.js anonymizeIP مساعدة Google

GA.js anonymizeIP مساعدة Google

مساعدة جوجل IP

مساعدة جوجل IP