Početna Blog Rješava li Google Analytics (GA) 4 sve naše probleme oko ˝zabrane˝ prijenosa podataka?

Rješava li Google Analytics (GA) 4 sve naše probleme oko ˝zabrane˝ prijenosa podataka?

Svi članci
25.03.2022.

SCHREMS II odluka unijela je puno pomutnje u svijet marketingaša, ali i svih drugih koji koriste pružatelje usluga sa sjedištem u SAD-u, osobito onih koji koriste GA. 

Takvih je mnogo, zar ne?

Od donošenja odluke SCHREMS II do zadnjih odluka nadzornih tijela u EU, osobito onih u vezi neadekvatno zaštićenih prijenosa osobnih podataka u SAD, Google Analytics došao je pod povećalo europske javnosti i pokušao riješiti problem.

Jedno od rješenja koje je ponudio Google je GA4 verzija koja će od iduće godine biti jedina verzija GA dostupna korisnicima. 

Donosi li GA4 promjene u smislu zaštite privatnosti korisnika?

Tehnička perspektiva

GA alat je za analizu prometa i načina korištenja web sadržaja te mobilnih i desktop aplikacija od strane krajnjih korisnika. Sve verzije GA alata oslanjanju se na tzv. kolačiće odnosno cookie-je „prve strane“ koje se postavljaju na domeni vlasnika web stranice. Ostale Google usluge poput Google Ads / reklama koriste i cookie-je treće strane. Teško je sa sigurnošću reći koliko Google podatke iz takvih različitih servisa koristi za svoje interne potrebe razvitka sustava oglašavanja.

Klasični GA cookie-ji sadrže identifikatore koji se postavljaju odnosno generiraju u pregledniku korisnika i u pravilu ostaju na njemu dok se ne izbrišu ručno ili automatski nakon 2 godine (uz automatsko produljivanje tog roka kod svakog posjeta istoj stranici). Na temelju tog ID-a pohranjenog putem cookie-ja korisnici, točnije preglednici/browseri korisnika se mogu pratiti u više navrata i kroz dulje vrijeme. Podaci koji se prikupljaju variraju ovisno o verziji GA i postavkama vlasnika stranice odnosno aplikacije. Google dodatno može povezati te podatke sa konkretnim korisnikom i kroz različite uređaje i preglednike ako je taj korisnik prijavljen u svoj Google račun i ima uključenu opciju „Personalizacija oglasa“.

Novina koju donosi GA4 je mogućnost da vlasnici stranica i aplikacija povrh navedenog sami postave identifikator putem GA4 skripte – tzv. „custom ID“. Prednost toga je što se sada uz jedinstveni preglednik, ili Google račun (velik dio korisnika neće biti prijavljen u Google računi), trgovci i vlasnici web usluga mogu sortirati svoje korisnike putem određenog ID-a koji može biti isti za sve usluge nekog društva/kompanije. Ako ista kompanija koristi mobilnu aplikaciju i web stranicu za pružanje svojih usluga, u postavkama GA4 mogu odrediti da aplikacija i stranica koriste isti ID za svoje korisnike. To može biti neki unutrašnji ID korisnika, npr. broj korisničkog računa neke web trgovine.

To omogućava korisniku GA4 usluge da umjesto različitih preglednika ili korisnika Google računa, sada prati konkretnog korisnika svojih usluga bez obzira koji preglednik on/ona koristio i bez obzira je li isti prijavljen u Google račun ili ne. Na prijašnjim verzijama GA isti korisnik usluge koji koristi različite uređaje (mobilni telefon i laptop računalo) u sustavu je bio zabilježen kao 2 različita korisnika, ako nije koristio Google račun i ako vlasnik web stranice nije sam implementirao zasebno praćenje korisnika.

Također, korisnicima se putem GA4 uvijek dodjeljuje opći identifikator (pseudo ID). Ako korisnik pregledava stranicu bez prijave, pa se naknadno prijavi putem sustava vlasnika stranice (npr. u svoj račun web trgovine), GA4 putem pseudo ID-a može povezati radnje tog korisnika prije prijave sa onima nakon prijave, jer radnje nakon prijave sadrže custom ID, ali i prethodni pseudo ID tog korisnika.

IP adrese se u GA4 anonimiziraju automatski i obvezno, dok je ranije to bio slučaj samo ako je uključena ta opcija.

GA4 također koristi AI algoritam za interpretaciju i popunjavanje podataka putem GA4 sustava, što obuhvaća predviđanje radnji korisnika putem strojnog učenja, što potencijalno predstavlja novi problem privatnosti korisnika i širu obradu njihovih podataka.

Pravna perspektiva

Starije verzije GA podržane su do lipnja 2023. godine, nakon čega će postojati samo GA4. S pravnog aspekta zaštite podataka, mogli bismo reći da neće doći do značajnih promjena prelaskom na GA4.

Anonimizacija IP adresa ne otklanja problema drugih jedinstvenih identifikatora koji postaju dostupni Google-u i Voditelju obrade, kao što je „custom ID“ i „pseudo ID“. Takvi identifikatori predstavljaju osobni podatak u smislu Uredbe (EU) 2016/679 (Opća uredba o zaštiti podataka), iako u pseudonimiziranom obliku.

Iako je Google zabranio korištenje custom ID-a koji sami po sebi predstavljaju osobni podatak (npr. mail adrese s imenom i prezimenom), to samo donekle umanjuje odgovornost Voditelja obrade. Sve obveze postupanja s osobnim podacima primjenjuju se i dalje, jer se pseudonimizirani identifikatori mogu nedvosmisleno povezati sa konkretnim osobama uz korištenje dodatnih podataka.

Štoviše, povećana mogućnost praćenja neovisno o korištenom uređaju/pregledniku čak i povećava rizike povreda osobnih podataka ispitanika. Veliki oglašivači „iza kulisa“ mogu međusobno dijeliti velike baze podataka korisnika, uključujuću i podatke o korisnicima iz GA4 i mnogih drugih sustava, a AI algoritmi mogu razviti vrlo detaljne profile korisnika. Podaci se i dalje mogu obrađivati u trećim državama putem povezanih usluga i Google servera.

Koje korake trebate poduzeti

Voditelji obrade trebali bi dobro (jasno i razumljivo) upoznati svoje korisnike o svemu iznad navedenom putem izmjena svojih Pravila privatnosti i skočnih prozora kako bi ispitanici bili detaljno upoznati sa rizicima takve obrade, mjestima gdje njihovi osobni podatci i privatni marketinški profili mogu završiti.

Uz navedeno nužno je revidirati i pregledati DPIA-e (procjene učinka zaštite podataka), TIA-e (procjene rizika prijenosa), ugovore o obradi i dijeljenju podataka te evidencije aktivnosti obrade. 

Službenici za zaštitu podataka imaju puno posla

Da zaključimo, GA4 neće riješiti pravne probleme s kojima se do sada susrećete u odnosu na prijenos podataka jer i dalje do prijenosa dolazi, i neće vas osloboditi obveza koje imate, a vezane su uz poduzimanje mjera zaštite privatnosti i osobnih podataka koje propisuje Opća uredba o zaštite podataka.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.