Blog

Защо и как Google Analytics събира лични данни по смисъла на GDPR?

Време за четене: 10 минути 

Автор: Александър Марков

В последните няколко седмици след проведени десетки разговори с клиенти установихме, че много от брандовете, които имат уебсайт, не са наясно какви cookies (бисквитки) имат инсталирани на сайта, как те работят, каква информция събират и как това, че събират тези cookies, се отразява на тяхната политика и подготовка спрямо GDPR.

Днес ще се опитаме да дадем максимално ясно обосновани отговори на всичко, касаещо темата Google Analytics и GDPR, а в следващите няколко статии ще разгледаме детайлно какво представляват бисквитките (cookies) и кои други инструменти и мрежи в дигиталния маркетинг събират такива.

Тази поредица от статии ще ви даде насоки за това трябва ли да искате изрично позволение от потребителите за това, че събирате бисквитки (cookies) в сайта си.

Най-честото питане, което получаваме, е: "Имаме Google Analytics на сайта, трябва ли да направим нещо спрямо GDPR?"

Всъщност има няколко различни сценария в Google Analytics, които трябва да се разгледат, за да можете да прецените дали трябва да инсталирате coockie policy, чрез която да искате позволение от потребителите да събирате този тип информация за тях. Описваме ги накратко тук и после ще разгледаме детайлно всеки един от случаите.

Според регламента GDPR трябва да искаме позволение от потребителите, когато в Google Analytics събираме и изпращаме данни, които са класифицирани под термина "Personally Identifiable Information (PII)", а това са следните типове информация, която събирате нарочно или неволно, без да знаете (защото например сте наследили акаунт от вече бившите си колеги в компанията):

  • User ID
  • Transaction ID
  • Page URLs & Titles
  • PII данни, добавени от потребителите
  • Data Import
  • Географска локация
  • Google AdSense
  • Хеширана и шифрована информация
  •  Advertising features

Сега ще разгледаме всеки един случай поотделно и задълбочено.

User ID

Чрез тази опция в Google Analytics, която се настройва персонално към всеки GA код, се позволява възможността за свързване на една и повече потребителски сесии (и всички дейности, извършвани от тези сесии) с уникален и постоянен идентификационен номер, който изпращате на Google Analytics.

Пример: потребител влиза от телефона си през банер реклама, след 5 дни влиза отново, но през текстова реклама, показвана в Google търсачката на настолен компютър, и след още 3 дни влиза отново през телефона си и прави поръчка на сайта. Чрез правилна настройка на User ID номер, може да се направи взаимовръзка между тези три отделни сесии и така да се идентифицира даден потребител. Този тип данни изглеждат така в Google Analytics:

C:\Users\alexa\Desktop\d6a7eea3-046e-45c9-85ed-3ba55add2359.png

Transaction ID

Тази функция става активна след правилна настройка на Enhanced Ecommerce Tracking в Google Analytics за онлайн магазините. Чрез нея може да се анализират данни или различни релевантни метрики, касаещи онлайн покупките в магазина. 

По-важното е, че след като имаме извлечени конкретните цифри (ID номера), можем чрез същите номера да проверим в админ панела на онлайн магазина си кой точно потребител стои зад това Transaction ID и да го идентифицираме чрез различните лични данни, които той е дал при регистрацията и завършването на покупката от онлайн магазина. 

Точно поради тази причина, ако имате настроена функционалността на Google Analytics, която се казва Enhanced Ecommerce Tracking, то вие трябва да искате съгласие според GDPR за събирането на този тип данни, а именно - аналитичните.

A screenshot of a computer

Description generated with very high confidence

Page URL & Page Titles

Според нас това е най-интересният случай, ако можем така да го наречем. :)

Идеята е, че когато имаш регистрация за потребители в сайта си и същите имат профилна лична страница, чрез която могат да настройват различни опции в профила си в даден сайт, понякога тези страници и техните заглавия изглеждат така: http://mywebsite.bg/peter_petroff.

На базата на този URL в Google Analytics може да се вижда това:

Досещате се, че това отново влиза в графата PII (Personally identifiable information), която попада под сянката на GDPR, защото чрез тези данни може да се идентифицира посетител на сайта ви през Analytics.

За да не променяте URL структурата на сайта си, а за да промените просто начина, по който тези параметри се визуализират в Google Analytics, трябва да направите промени по analytics.js кода си, както е описано от google-ци на тази страница или пък да прочетете още похвати за промяна на този тип данни в тази статия от Помощен център на Google AdSense

PII entered by users

Това е този тип PII (Personally identifiable information), която се добавя от потребителите в търсачките на сайтовете, в полетата за контакти или друг тип форми за попълване, които изпращат този тип информация към Google Analytics.

Този тип данни може да бъдат: имена / email / телефонен номер / адрес / данни за банкова карта / други.

Повече информация за това как може да замаскирате този тип данни в Google Analytics ще откриете в статията на колегите от LittleData.

Data Import

Чрез Data import в Google Analytics можете да комбинирате данни от трети страни (инструменти / CMS) с данните от Google Analytics и по този начин да имате някакво съответно ниво на идентифициране на потребителите. Повече информация за това какво представлява тази функция може да намерите тук

Географска локация

Уверете се, че не приемате прецизна информация за местоположението на потребителите от GPS системи, която да е по-малка от 1 миля, както е по политика на Google. Както и данни за географска ширина/дължина. 

Google AdSense

Относно рекламната платформа AdSense, Google са много ясни в становището си. Просто отидете на този линк и следвайте стъпките. 

Advertising Features

Това е опция, която се намира в админ панела на Google Analytics и не е активирана по подразбиране, когато направите първоначалната инсталация на инструмента в сайта си. Тоест трябва да се активира допълнително, а след това тя се използва за визуализиране на данни от докладите за демографски данни, потребителски интереси, данни за импресиите в Google дисплейната мрежа в отчетите за многоканалните фунии, така и за интегрирането с платформата DoubleClick.

Всъщност точно тази последна опция е ключовият елемент, който попада под обхвата на GDPR, а не останалите функции, до които ще имате достъп, защото те не показват лични данни по смисъла на GDPR.

Питате се защо точно тази последна функция (интеграцията с платформата DoubleClick)?

Ами защото, от така сложно написаната информация в самия регламент, колеги от Германия са успели да тълкуват информацията, която касае онлайн идентификаторите на потребителите по следния начин:

"Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them." 

А точно поради тази причина, след като активирате тази функция "Advertising Features" в Google Analytics, вие започвате да споделяте данните за потребителите в сайта си с third-party инструмент в лицето на DoubleClick, като тази информация включва точно IP адресите (които вие не виждате, но не значи, че те не са там). 

Също много важна част от настройката в Google Analytics трябва да бъде проверката дали изпращате някакъв вид PII данни през следните настройки и опции в Google Analytics:

  • User ID override
  • Всички custom величини
  • Кампанийни величини: Source, Medium, Keyword, Campaign, Content
  • Бъдете сигурни, че не записвате PII данни чрез custom URL параметрите като: utm_source, utm_medium, utm_term, utm_campaign, and utm_content.
  • Величини на търсене в сайта: Site Search Term and Site Search Category
  • Величини на събития: Event Category, Event Action, Event Label

Анонимизация на IP адресите в Google Analytics и защо е необходима?

Google Analytics събира така наречените IP адреси на посетителите на сайта. Въпреки че ние като администратори в Google Analytics не можем да виждаме тези IP адреси под чистата им и ясна форма (пр. 192.999.999.999), това не означава, че Google Analytics не събира този тип данни.

Благодарение на това, че Google Analytics има тези данни, вие виждате в докладите си данни като:

  • demographics report
  • geolocation
  • display features
  • interests
  • custom dimensions

Има възможност да анонимизирате данните от IP адресите, като от Google много подробно са описали този процес тук

В крайна сметка, ако не използвате нито една от посочените горе функционалности и не събирате лични данни по смисъла на GDPR, то вие нямате нужда да настройвате вашата cookie policy да иска разрешение за събиране на този вид бисквитки от потребителите.

Нашата препоръка е да обсъдите детайлно с вашите администратори какво и как е настроено в Google Analytics, за да няма изненади и за да сте спокойни, че можете да не искате разрешение от потребителите за събирането на бисквитки, ако използвате само Google Analytics без съответните събирани данни, описани в тази статия.

За всички, които се интересуват от анализ на Google Analytics по горепосочените точки и най-вече от настройване на новата cookie policy спрямо стандартите на GDPR, Xplora предлага услуга по консултация и настройка на избрани подобни инструменти за клиентите си.

Очаквайте следващите статии от поредицата ни за GDPR - за социалните мрежи, за Google AdWords, email маркетинг и други. Както и още за бисквитките. Cookies fans :)