5 tipů, jak splnit podmínky GDPR při sběru dat s pomocí Google analytics

GDPR – nahání vám husí kůži? Nový soubor pravidel pro ochranu dat zavedený celoplošně v celé Evropské Unii vstoupí již brzy v platnost. Přesněji řečeno, 25. května 2018. Čas zrevidovat vaše informační systémy a postupy nakládání s osobními daty se krátí. Kdo se novým nárokům nepřizpůsobí včas, tomu hrozí vysoká pokuta!

Pojďme si ve stručnosti připomenout, jaké jsou hlavní body sborníku pravidel s názvem General Data Protection Regulation.

• pojem osobní data jako takový se rozšíří – už to nebude jen jméno, adresa, kontaktní údaje uživatele a podobně, ale nově i údaje nashromážděné pomocí reklamních souborů cookies, IP adresy a GPS souřadnice, kde se uživatel nachází;
• pro sdílení osobních údajů je vyžadován vyložený uživatelův souhlas – pokud jste měli formulář o zpracování osobních informací nastavený tak rafinovaně, že uživatel nemusel aktivně nic odkliknout ani zaškrtnout a pouhá neaktivita byla vnímána jako souhlas s vašimi podmínkami, tak to nyní možné nebude;
• uživatelé mají právo v kterémkoli okamžiku vynést požadavek, abyste přestali využívat a vymazali všechny jejich osobní údaje;
• a tak dále.

Pokud používáte Google Analytics, tento nástroj vám pomůže se novým pravidlům přizpůsobit. Sám Google si totiž chce dát záležet, aby Evropské Unii co nejvíce vyhověl. Dá se čekat, že dávno před 25. květnem už bude k dispozici taková verze Google Analytics, která bude s GDPR plně kompatibilní.

Nejlepší ale bude, když nebudete čekat a podniknete několik kroků již teď. Nabízíme vám hned 5 užitečných rad.

Proveďte audit vašich nasbíraných dat a zjistěte, jestli neshromažďujete PII

PII neboli Personally Identifiable Information jsou údaje, na jejichž základě můžete jednoznačně identifikovat osobu. Jejich sběr je z hlediska GDPR zakázán. Zkontrolujte proto URL vašich stránek a všechny dostupné databáze, jestli tato data od svých návštěvníků nevycucáváte, byť třeba jen neúmyslně. Data sice můžete eliminovat pomocí filtrů v Google Analytics, jenže tento postup nestačí – musíte jít až na úroveň kódů stránek, abyste shromažďování těchto informací zamezili.

Umožněte anonymizaci IP adres

Jak jsme již naznačili, IP adresa je také podle nových pořádků chápána jako PII. Google Analytics má k dispozici nástroj, který převede jakoukoli IP adresu uživatele na adresu anonymní.

Prověřte databázi nicknamů vašich uživatelů

Většinou si uživatel vytváří unikátní přezdívku na webu prostřednictvím ID složené z velkých a malých písmen a alfanumerických znaků. E-mailová adresa uživatele má jen jednorázové použití pro potvrzení registrace a přístupu na stránky. Tento způsob je v pořádku. Ale doporučujeme, abyste zajistili, že vaše zásady ochrany osobních údajů budou aktualizovány podle účelu sběru dat, a abyste dohlédli na to, že sběr dat je podmíněn vysloveným souhlasem (prostřednictvím opt-in) od vašich uživatelů. Seznamte uživatele s vašimi podmínkami stručně a jasně, nezatěžujte je dlouhými technickými a právními podmínkami – pokud se chtějí zaregistrovat, musí vědět, jaké údaje od nich doopravdy potřebujete vyzvědět a na co budou použity.

Updatujte vaše Zásady ochrany osobních údajů

Musí být v rámci možností stravitelné pro čtenáře: přehledné, čistě napsané, komplexní. Někteří jednoduše kopírují tyto Zásady od své konkurence, to je ale špatný přístup. Někteří uživatelé totiž přece jen tyto Zásady čtou, ochrana osobních dat jim není lhostejná a vy tímto textem musíte nejen splnit podmínky GDPR, ale také si získat důvěru návštěvníků, kteří nechtějí o sobě sdělovat víc, než je třeba.

Aktivujte opt-in a opt-out režim

K zasílání obchodních sdělení je opět nutný návštěvníkův souhlas. Vyjádření zájmu – přihlášení můžeme označit jako opt in. Jednoduché opt-in (single opt-in) spočívá jen ve vyplnění formuláře na webových stránkách. Pak existuje i double opt-in, jež zahrnuje také zaslání potvrzovacího e-mailu. Až po potvrzení ze strany uživatele (kliknutí na potvrzovací link) je e-mailová adresa zahrnuta do databáze.

Opt-out režim pro změnu znamená právo uživatele kdykoli ukončit odběr. Jakmile váš zákazník projeví nesouhlas s pravidelným kontaktováním, neposílejte mu dále další e-maily.

Už jste připraveni?