Univerzal (Google) Analytics és társai
Gyakori, hogy a honlapunk üzemeltetéséhez valamilyen analitikai bővítményt alkalmazunk, amely részletes információkat gyűjt a látogatókról. Míg ez számunkra az ismert előnyökkel jár, a látogatók szempontjából a kép már nem ennyire egyértelmű, mivel ezek az „ingyenes” bővítmények előszeretettel követik a látogatókat és az összegyűjtött információkat célzott reklámtevékenységhez vagy más még kevésbé tisztességes dolgokhoz használják fel.
Az interneten sok vitát szült ezen analitikai eszközök és a GDPR kapcsolata, néhányan az analitikai eszközök végét vizionálták, míg mások úgy gondolták, hogy semmi nem változik. Most röviden összefoglaljuk, hogy mi a helyes alkalmazási módja ezeknek, majd röviden értekezünk arról, hogy miért van ez így.
Elsőként, meg kell különböztetni a saját rendszerünkön futó analitikai eszközöket a harmadik fél által nyújtottól. A saját rendszerünkön futó szoftvert a szervereinkre telepítjük, az általuk gyűjtött információt nem osztjuk meg harmadik féllel. Ilyen lehet a Matomo vagy Piwik.
A harmadik fél által nyújtott analitikai eszközök ezen harmadik fél felé küldenek adatokat a látogatóinkról, egyúttal a holnap látogatók által gyanútlanul elfogadott sütikben olyan egyedi azonosítókat tesznek, ami alapján valamennyire tudják követni az internetes aktivitásukat. Nem véletlen, hogy ha meglátogatunk egy webshopot, ahol megnézzük az aktuális tévé kínálatot, akkor hetekig mindenhol az ilyen hirdetések fognak szembe jönni.
Itt és most
Jelen pillanatban a saját és a harmadik fél által adott analitikai eszközök között nincs különbség, ugyanaz vonatkozik mindkettőre. (A következő fejezetben már jelentős!)
A mostani szabályok szerint, a felhasználó gépén nem helyezhet el az analitikai rendszer sütiket a felhasználó hozzájárulása nélkül. Bővebben értekezünk ennek hátteréről és helyes megvalósításáról a süti szabályozással foglalkozó leírásban.
Egyes analitikák (pl. Google) a felhasználó IP címét is elküldi az analitikát adó szolgáltatónak. Ez önmagában nem személyes adat, de a modern adatvédelmi szemlélet szerint aggályos gyakorlat. Erre a Google kínál olyan megoldást, amelynek megfelelő beállítása esetén az IPv4 cím utolsó oktetjét maszkolja, amely valamennyire segít a felhasználói anonimitás megőrzésében. Ezt több adatvédelmi biztos is javasolja, mi is úgy gondoljuk, hogy csekély erőfeszítés és érdemes beállítani.
Végezetül, ugyancsak adatvédelmi biztos ajánlása szerint, helyes megközelítés, ha kínálunk a felhasználóknak leiratkozást (opt-out) az analitikai adatgyűjtésből. Ez szerencsére elég egyszerű feladat lehet. Például a Google által készített analitika esetén elérhető egy böngésző bővítmény, amelyet installálva a felhasználó aktivitása az Univerzal Analyticsben nem kerül rögzítésre. Az ilyen leiratkozási lehetőségről az adatkezelési tájékoztatóban informálhatjuk a látogatókat.
A nem túl távoli jövőben
Megváltozik a helyzet, ha a GDPR-t kiegészítő E-Privacy Regulation elfogadásra kerül. (Eredetileg ezt is 2018-ra tervezték, vélhetőleg nemsokára életbe lép.)
Az E-Privacy (jelenlegi, 2020. szeptember tervezete) szerint, saját rendszereinken belül üzemelő analitikai bővítmény hozzájárulás nélkül helyezhet el sütiket a felhasználónál [1]. Viszont a harmadik fél által adott analitika által készült sütikhez nem csak hogy hozzájárulásra lesz szükségünk, hanem GDPR kompatibilis hozzájárulást kell beszereznünk. Ennek mikéntjét a sütikkel foglalkozó fejezetben bővebben tárgyaljuk.