Google Analytics ve GDPR: Uyumlu mu?

GDPR uygulamasından sadece bir ay uzaktayız. Yapacak çok şey var ve hala hakkında sorularımız var.

Büyük bir tane:

Google Analytics izlemenizin GDPR ile uyumlu olduğundan nasıl emin olabilirsiniz? Veya yaklaşan eGizlilik Düzenlemeleri mevzuatı?

Kısa cevap:

Pekala, kimse kesin olarak bilmiyor.

Saygılarımızla: şu anda, çerezler, anonimleştirilmiş izleme - çoğu, çok büyük bir şekilde değişmek üzere. Ancak tüm bunların arkasındaki “nasıl” tam olarak kesinleşmiş değil.

AMA bekleyin - gitmeden önce. Bu makaleden uzaklaşmadan önce: "Tanrım, ne kadar boş bir tıklama" - GDPR'nin neleri kısıtladığını biliyoruz (Mayıs 2018'de geliyor). Yeni e-Gizlilik Düzenlemeleri mevzuatının ne olabileceğine dair taslak yasalarımız da var.

Bu da bize, analitikte gerçekleşecek büyük değişikliklere kendinizi nasıl hazırlamaya başlayabileceğiniz konusunda sağlam bir temel sağlıyor.

Bana hatırlat. GDPR. umurumda çünkü...?

Para!

Ve adalet ve şeffaflık ve verileri sorumlu bir şekilde kullanma ve depolamaya geçiş.

Ama aynı zamanda, evet—GDPR ile uyumsuzluk büyük para cezaları anlamına gelir.

Tabii ki, bu yeni bir şey gibi görünmüyor. Avrupa'nın her zaman vatandaşlarının verilerini nasıl işleyebileceğine dair kuralları olmuştur. Ama ülkeye göre değişiyorlardı. Ve sendika çapındaki veri düzenleme mevzuatının son parçası 1990'lardan beri güncellenmemişti.

GDPR, işleri daha net ve katı hale getirir ve yasama kapsamını genişletir. Şimdi, AB'de ikamet ediyorsanız, AB'de veri depoluyorsanız veya HERHANGİ BİR AB vatandaşından HERHANGİ BİR kişisel veri topluyorsanız, yeni kurallara uymanız gerekir.

Öyleyse analitik uyumluluğu hakkında konuşalım, olur mu?

Öncelikle, bazı iyi haberler:

GDPR'nin rıza ve kişisel veriler hakkında söyleyecek çok şeyi var. Ve çoğunlukla şu şekilde damıtılabilir: Birinin kişisel verilerini kullanacaksanız, sormalısınız ve o da size "tamam" vermelidir.

(Ve "tamam" diye bir redaksiyon yapabilmeleri gerekir. Ve terimler açık bir dille verilmeli. Ve size "tamam" hakkında verdikleri verileri görüntüleyebilmeliler ve…. bu bir süreç başka bir makale için).

Kişisel veriler artık bir bireyi tanımlamak veya yeniden tanımlamak için kullanabileceğiniz herhangi bir veri parçası anlamına gelir.

Peki bunun Google Analytics ile ne ilgisi var?

İdeal olarak, kişisel verileri zaten GA'da saklamamalısınız .

Hizmet şartlarına aykırı.

Bu, hesabınızın şunlardan uzak olması gerektiği anlamına gelir: sayfa URL'lerinde gönderilen kullanıcı adları, form tamamlamalarından alınan telefon numaraları, özel boyutlarda özel tanımlayıcılar olarak kullanılabilecek e-posta adresleri.

Posta kodları da ziyaret edilen sayfalarla birleştirildiğinde ve küçük gruplara bölündüğünde belirli kullanıcılara bağlanabilir. Bunlar da özel boyutlarınızın dışında kalmalıdır.

Gerçekten, bir veri öznesinin arkasındaki "kimin" kim olduğunu belirlemek için açıkça kullanılabilecek her şey - parçalarını bir araya getirmek zor olsa bile - kişisel verilerdir.

Yani hesabınız. Bunlardan belli mi?

Harika.

Şimdi (potansiyel olarak) zorlaştığı yer burasıdır.

Daha az iyi haber:

Google Analytics'inizde, Google için "harekete geçme" olarak kabul edilmeyen, ancak GDPR tarafından tanımlandığı gibi kesinlikle "kişisel veriler" olan birkaç potansiyel alan vardır.

Aralarında…

• Uzun URL'ler (belirli bir kullanıcıyı tanımlamak için kullanabiliyorsanız)
• IP Adresleri

Bunların her ikisini de gözden geçireceğiz ve üslerinizin kapsandığından nasıl emin olabileceğinizi tartışacağız.

Uzun URL'ler / Parametreler

Genellikle, uzun URL'ler çok fazla endişe kaynağı değildir. URL'nizin kişisel tanımlayıcı olarak hizmet ettiğini görebileceğiniz tek zaman, birden çok kullanıcı veri girişi içermeleridir.

Bazen bunları formlarda görürsünüz. Bir kullanıcı, örneğin yaşını, konumunu ve cinsiyetini ayrıntılandıran bir form veya anket gönderir. Bunun gibi bir URL'ye yönlendirilirler:

[www.not Compatible.com/form?gender=male&birthdate=31-12-1980&location=Iowa_City]

Ardından, GA'da bu veriler, o URL'yi ziyaret eden kullanıcıyla ilişkilendirilebilir ve potansiyel olarak "anonim" girdinin arkasındaki "kim"i çıkarabilirsiniz.

Neyse ki bunlar nadirdir ve yönetimi oldukça kolaydır.

Şüpheli bağlantıları kısaltmak, sorunu tamamen önlemek için en iyi seçeneğinizdir.

Ancak, kişisel verileri doğrudan yakalayan parametreleriniz de olabilir.

Eklentiniz veya formunuz adı ve e-postayı alır ve bir alan ön doldurma için kullanırsa ne olur? Veya bir açılış sayfası kişiselleştirmesi mi? Bu saklanıyor mu yoksa Google Analytics'e giden yolu bulan özel bir URL mi oluşturuyor?

O zaman kişisel verileri saklıyorsunuz.

parametreleri ortadan kaldırmak

GA'nın parametreleri hariç tutmanıza izin verdiği birkaç yerleşik yol vardır.

Görünüm Düzeyinde Hariç:

Bir GA Yöneticisi olarak Görünüm -> Filtreler'e giderek parametreleri hariç tutabilirsiniz. Orada bir seçenek görmelisiniz: "URL Sorgu Parametrelerini Hariç Tut".

Önce kullandığınız parametreleri ("ad", "e-posta" vb.) envanterleyin ve her birini virgülle ayırarak girin. Gelecekteki yeni eklemeler için parametreleri izlemeye devam edin. Bu yöntem manueldir ve yalnızca sakladığınız parametreleri anladığınız ölçüde çalışır.

Burada dikkat edilmesi gereken bir nokta: Boyutlara gönderdiğiniz parametreleriniz varsa, bu parametreleri hariç tutuyorsanız bu artık çalışmayacaktır. "URL Sorgu Parametrelerini Hariç Tut" ayarı filtrelerden önce işlenir.

Filtre Düzeyinde Hariç:

Diğer bir seçenek de, Ara ve Değiştir seçeneğini kullanarak parametreleri filtrelemektir: Yönetim -> Görünüm -> Filtreler -> Ara ve Değiştir.

Bunu, örneğin \?.* ekleyerek, temel olarak ana URL'den sonra güçlü olan herhangi bir sorguyu kaldırarak kullanın.

(Bu aynı zamanda sinir bozucu uzun URL'lerinizi filtrelemenize yardımcı olacaktır).

Boyutlara bir şeyler göndermek için başka filtreler kullanırsanız, bu filtre “Ara ve Değiştir” seçeneği kullanışlıdır. Filtre listenizin en altına yerleştirildiğinde, diğer filtreleriniz çalışmaya devam etmelidir. Bu ilk birkaç filtre çalıştırıldıktan sonra parametreleriniz temizlenecektir.

Bu, aynı zamanda, etrafta gizlenen parametrelerle başa çıkmanın iyi bir yoludur.

Ara ve Değiştir -> RUI İste -> Ara \?.* ->

Filtreyi doğrularken, birçok kötü sürprizle karşılaşabilirsiniz.

Tamamlandığında, yeni parametre filtrenizi görünümünüzdeki filtreler listesinde bulacaksınız.

IP adresleri:

IP adreslerinizi Google Analytics gibi programlarda anonimleştirmek, uzun süredir katı veri koruma yasalarına sahip ülkelerde (Almanya gibi) en iyi uygulama olmuştur. Şimdi, analitik GDPR uyumluluğunuzu korumanın anahtarıdır.

Buradaki sorun teknik bir sorundan kaynaklanmaktadır. Müşteri IP adresleri, GA veritabanınızda depolanmaz ve bunlara özel olarak herhangi bir istemci tarafından erişilemez. Ancak, bir Google çalışanı tarafından erişilebilirler ve kişisel tanımlayıcı bilgiler olarak nitelendirilirler. Bu nedenle, ziyaretçilerinizin IP adreslerine erişiminiz olmasa bile, anonim olduklarından emin olmanız gerekir.

IP Adreslerinin Ortadan Kaldırılması:

Neyse ki, Google'ın bununla ilgili birçok belgesi var. Ve sitede bulunduğu her yerde izleme kodunuza eklemeniz gereken kullanışlı bir eklenti.

Bu _anonymizeIP işlevi, kullanıcının IP'sini alır ve son birkaç basamağı sıfıra ayarlayarak onu maskeler. Bu süreç, veriler Google Analytics Toplama Ağı tarafından alınır alınmaz başlar, yani kişisel veriler asla saklanmaz.

Bir uyarı: Bu, coğrafi raporlamanızın biraz daha az doğru olmasına neden olabilir. Ancak bu ağır uyumsuzluk cezalarından kaçınmayı umuyorsanız, ödemeye değer bir bedeldir.

Kurabiye:

Avrupa'daysanız (veya bir Avrupa web sitesini ziyaret ediyorsanız) - muhtemelen her yerde bulunan çerez açılır pencerelerini görmüşsünüzdür.

Biliyorsunuz: “ Bu web sitesi, en iyi deneyimi yaşamanızı sağlamak için çerezleri kullanır. Devamını oku. ”

Buna soft-opt deniyor. Bu, "size söyledik ve siz hâlâ göz atıyorsunuz, bu nedenle rıza gösteriyorsunuz" yolu.

Ve GDPR'ye göre, yazılımsal tercihler artık masada değil. Zımni rıza sayılmaz.

Rızanın olumlu ve açık olması gerekir. Kişisel veriler söz konusuysa, kullanıcıların bu kutuyu işaretlemesi veya "Bununla bir sorunum yok" yazan düğmeyi tıklaması gerekir.

Bu nedenle, geleceğin çerez açılır pencereleri, ionetrust.com'dan alınan bu örneğe biraz daha fazla benzeyebilir.

Ve yalnızca biri "Etkinleştir ya da izin veriyorum" dediğinde, çerezleri eklemeye başlayabilirsiniz.

GDPR'ye göre, tanımlayıcılara sahip analitik çerezler kişisel verilerdir. Ancak tüm çerezler eşit oluşturulmaz. Bazılarının kullanıcı onayı gerektirmesi, bazılarının ise gerektirmemesi mümkün olabilir. Ayrıntılar, onaylandıktan sonra yeni eGizlilik Düzenlemeleri tarafından belirlenecektir. Şimdilik, web analitiği yazılımı için bir istisnası olan 15333 taslağımız var.

“Çerezler ayrıca, örneğin bir web sitesini ziyaret eden son kullanıcıların sayısını, bir web sitesinin belirli sayfalarını veya sayıyı ölçmeye yardımcı olarak sunulan bir bilgi toplumu hizmetinin etkinliğini değerlendirmede meşru ve yararlı bir araç olabilir. bir uygulamanın son kullanıcılarının sayısı.”

Google Analytics gibi analiz programları, "sağlanan bir bilgi toplumu hizmetinin etkinliğini değerlendirir." ancak aynı zamanda diğer Google hizmetlerine veri iletmek için birçok üçüncü taraf sistemine bağlıdır ve bu nedenle eGizlilik Düzenlemeleri güncellemeleri şu anda hala taslak halindeyken, Google Analytics'in temizlenmiş bir sürümü için onay gerekmeyebilir.

(Kesinlikle Uyumlu Olmayan) Çerezlerin Ortadan Kaldırılması:

Google Analytics'in Kullanıcı Kimliği özelliğini kullanıyorsanız, durun ve verilerinizi temizleyin. Kullanıcı Kimliği özelliği (cihazlar ve oturumlar arasında bireysel kullanıcıları izleyen) gibi benzersiz tanımlayıcılar, açıkça kişisel veriler olarak kabul edilir ve bu istisnaya tabi değildir.

Ayrıca, Google Analytics'te isteğe bağlı bir izleme özelliği olan Müşteri Kimliğini kapatmak da sizin yararınıza olabilir. IP adreslerine benzer şekilde, yeni site ziyaretçilerini tekrar edenleri saymak için "tarayıcı örneklerini" anonim olarak izler.

Bu süreçle ilgili gerçekten güzel haberler var.

GDPR, yalnızca 25 Mayıs'tan sonra topladığınız tüm veriler için değil, emrinizde olan tüm veriler için geçerlidir.

Bu, teknik olarak, daha önce Kullanıcı Kimlikleri topladıysanız, başınız belada demektir. Çünkü GA platformunda kullanıcı verilerini seçici olarak silmenin kolay bir yolu yoktu. Tümüyle silinmesi gerekirdi.

Ancak yakın zamanda, GDPR öncesi bir ürün sürümü bunu değiştiriyor.

Takımdan:

“25 Mayıs'tan önce, Google Analytics ve/veya Analytics 360 mülklerinizden tek bir kullanıcıyla (ör. site ziyaretçisi) ilişkili tüm verilerin silinmesini yönetmenize olanak tanıyan yeni bir kullanıcı silme aracı da sunacağız. Bu yeni otomatik araç, Analytics Müşteri Kimliğine (yani standart Google Analytics birinci taraf çerezi), Kullanıcı Kimliğine (etkinleştirilmişse) veya Uygulama Örneği Kimliğine (Firebase için Google Analytics kullanılıyorsa) gönderilen ortak tanımlayıcılardan herhangi birine dayalı olarak çalışır.

Bu güncellemeyle ilgili haberleri buradaki geliştirme sayfalarında yayınlayacaklar. Yapacak bir silme işleminiz varsa, bir göz atın.

İzinler:

Bu nedenle, veri koleksiyonunuzun uyumlu olduğundan nasıl emin olacağınızı gözden geçirdik.

Ama şimdi yapmanız gereken bazı veri korumalarınız var.

GA izinlerini düzenli olarak ajanslara, yüklenicilere veya artık eski çalışanlara veriyorsanız, hesabınıza kimlerin erişimi olduğunu düzenli olarak kontrol etmek en iyisidir.

Burada bazı sağduyu kuralları geçerlidir.

Bir süre sonra [email protected]'un kim olduğunu hatırlıyor musunuz? Hesabınız için "yalnızca iş e-postası" erişim politikası oluşturmak daha iyi olabilir.

Google Analytics Kuruluşu, tam da bunu yapmak için sağlam bir altyapı oluşturur. İlişkili tüm GA hesaplarını tek bir çatı altında bağlamanıza olanak tanır ve kuruluş yöneticisine bazı ek yetkiler sunar. Politikalar oluşturabilir, kimlerin giriş yaptığını görebilir ve ürün kullanıcılarını ve izinlerini kolayca yönetebilirsiniz.

GA Organizasyonunu açmak oldukça basit bir işlemdir. Google burada nasıl yapılacağını ayrıntılarıyla anlatıyor. İlk ayarın nasıl bulunacağına ilişkin ekran görüntüsünün altında.

Özetlersek:

Google Analytics, kişisel verilerin depolanmasını kısıtlayan katı bir gizlilik politikası uygulayarak bize şimdiden birçok iyilik yaptı.
Bu nedenle, Google'ı mutlu etmek ve GDPR ile uyumlu analizlerinizi sürdürmek el ele gidiyor gibi görünüyor.

Yine de rahat nefes almak için IP'lerimizi anonim hale getirebilir, Uzun URL'lerimizi iki kez kontrol edebilir, parametrelerimizi silebilir ve kayıtlı Kullanıcı Kimliklerimizi kaldırabiliriz. Ve kullanıcı yolculuğumuzun her aşamasında GDPR'yi aklınızda bulundurun.

Kaynaklar:

Google Analytics Kullanım Şartları

Analytics.js anonim IP Google yardımı

GA.js anonimizeIP Google yardımı

iOS anonimleştirmeIP Google yardımı

Android anonimleştirmeIP Google yardımı