RSS
2018/07/03 15:20

Wykonanie prawa do bycia zapomnianym w Google Analytics (Art. 17 RODO)

Co powinien zrobić sklep internetowy w Google Analytics w przypadku gdy klient zażąda usunięcia swoich danych osobowych?

Prawo do bycia zapomnianym

Zgodnie z artykułem 17 RODO, każda osoba ma prawo żądania od administratora usunięcia dotyczących jej danych osobowych. Uprawnienie to nazywane jest “prawem do bycia zapomnianym”, ponieważ polega na wymazaniu wszystkich posiadanych przez administratora danych. Co więcej, administrator musi również zadbać o usunięcie wszystkich kopii danych, zarówno upublicznionych jak i powierzonych do przetwarzania innym podmiotom.

Nie jest to prawo bezwzględne. W pewnych, określonych w art. 17 RODO przypadkach administrator może się uchylić od usunięcia wszystkich danych. Na przykład, przepisy podatkowe i o rachunkowości wymagają przechowywania dokumentów przez pewien okres, stąd do tego czasu żądania usunięcia danych nie można spełnić. Dokumentację przechowuje się również na wypadek wystąpienia roszczeń ze strony klienta – dlatego administrator powinien ją trzymać do czasu wygaśnięcia wszelkich zobowiązań z tytułu gwarancji, rękojmi itd.

RODO wskazuje też, że administrator powinien “podjąć racjonalne działania z uwzględnieniem dostępnych technologii i środków” w celu usunięcia wszystkich danych. Oznacza to, że w niektórych sytuacjach administrator nie będzie musiał usuwać danych, jeśli np. będzie to technicznie niewykonalne lub wiązałoby się to z nadmiernymi kosztami.

Niemniej, co do zasady, administrator jest zobowiązany usunąć dane. Fakt, że część danych będzie musiała pozostać u administratora (np. w dokumentacji księgowej), nie zwalnia go z obowiązku usunięcia pozostałych danych, np. przetwarzanych na podstawie zgody do celów marketingowych – a które nie są już administratorowi niezbędne.

administrator musi usunac dane osoby ktora tego zada

Przykładowo, adres e-mail nie jest potrzebny administratorowi do celów księgowych ani do zabezpieczenia roszczeń. W takiej sytuacji adres taki powinien zostać przez administratora skasowany.

Prawnicy podkreślają, że chodzi tu o fizyczne, bezpowrotne usunięcie z bazy, a nie tylko oznaczenie danego adresu e-mail informacją typu “brak zgody na wysyłkę mailingu”. Podobnie administrator powinien postąpić z pozostałymi danymi, które nie są mu niezbędne, a istnieje możliwość ich usunięcia.

Dane osobowe w Google Analytics

Warunki korzystania z usługi Google Analytics zabraniają przesyłania do firmy Google danych umożliwiających identyfikację osób. Inna sprawa, że użytkownicy czasem je tam przesyłają (najczęściej nieświadomie, o czym pisaliśmy w artykule o wyciekach danych przez stronę www).

Niemniej, u niektórych użytkowników w ich Google Analytics mogą być przetwarzane identyfikatory, które administrator może powiązać z danymi osobowymi w swojej bazie. Może to być np. identyfikator User ID służący do śledzenia zalogowanych użytkowników, czy też znacznie częściej stosowany identyfikator transakcji, który używany jest przez każdego użytkownika Google Analytics z włączonym śledzeniem e-commerce. Znając identyfikator transakcji, administrator może w prosty sposób określić dane osoby, która jej dokonała. Na gruncie RODO, taki identyfikator stanowi spseudonimizowane dane osobowe.

W przypadku zgłoszenia żądania usunięcia danych, dane związane z określonym identyfikatorem powinny zostać również skasowane z Google Analytics.

Jeśli nie stosujesz śledzenia e-commerce (czyli nie przesyłasz do Google Analytics identyfikatorów transakcji) ani nie stosujesz funkcjonalności User ID czy też w inny sposób (poprzez wymiary i zmienne niestandardowe) nie wprowadzasz do Google Analytics identyfikatorów powiązanych w innej Twojej bazie z danymi umożliwiającymi identyfikację osoby, to w Google Analytics z Twojego punktu widzenia nie są przetwarzane dane osobowe.

Jak usunąć dane?

Przede wszystkim, musisz wiedzieć, które dane trzeba usunąć. Do wyjątkowych będą należeć sytuacje, gdy osoba domagająca się usunięcia danych zgłosi się podając identyfikator cookie _ga: Dzień dobry, proszę o usunięcie z Państwa Google Analytics danych skojarzonych z identyfikatorami 544392489.1528718256 oraz 1730210385.1528977534).

W typowym przypadku użytkownik może nawet nie mieć świadomości, że w Google Analytics są przechowywane informacje na temat jego aktywności na stronie www, na której dokonał transakcji. To Ty musisz odnaleźć te informacje w Google Analytics, które przetwarzasz i możesz powiązać ze swoimi klientami. W tym celu z systemu księgowego lub CRM należy uzyskać identyfikatory transakcji dokonanych przez osobę, która chce wymazania jej danych. Warto wpierw odszukać te transakcje w sekcji Ecommerce i upewnić się, czy transakcje te faktycznie znajdują się w Google Analytics.

Nasza przykładowa transakcja ma numer 60125. Z Google Analytics możemy dowiedzieć się np. z jakiej kampanii pozyskano klienta, jaka była jego lokalizacja, z jakiej sieci lub urządzenia korzystał klient podczas zakupu, a także co wchodziło w skład koszyka zakupów:

kondrat koszyk

Mając ten identyfikator, jesteśmy w stanie stworzyć segment w Google Analytics obejmujący dane tej transakcji, odfiltrować nim dane eksploratora użytkownika i znaleźć identyfikator klienta Google Analytics związany z tą transakcją:

wyszukiwanie transakcji ecommerce google analytics

Po wejściu w szczegóły identyfikatora zobaczymy przechowywane w Google Analytics dane dotyczące wizyt na stronie oraz zakupów.

informacje o uzytkowniku analytics ecommerce

W panelu danych wybranego identyfikatora klienta Google Analytics znajdziesz opcję Usuń konto użytkownika. Po jej wybraniu zostaniesz poproszony o potwierdzenie zamiaru skasowania danych i poinformowany o czasie usunięcia danych – może to zająć do 72 godzin, a całkowite wymazanie z serwerów Analytics nastąpi w ciągu 63 dni.

usuwanie konta uzytkownika google analytics ecommerce

Potwierdzasz i… to wszystko – dane usunięte. Jak widać, nie wiąże się to z niewspółmiernym wysiłkiem czy kosztami. Administratorzy przetwarzający wiele żądań usunięcia danych mogą usuwać dane z Google Analytics wykorzystując API.

Dane usuwane są stopniowo, w omawianym przypadku pierwsze zniknęły dane z Raportu użytkownika. Następnie zniknęły informacje o koszyku zakupów.

Usunięcie konta użytkownika i skojarzonych z nim danych, nie modyfikuje danych zbiorczych. Po 72 godzinach transakcja będzie wciąż widoczna w raporcie e-commerce, ale nie będą już dostępne dane w żadnym z dodatkowych wymiarów. W odniesieniu do danego użytkownika nie będą już przetwarzane żadne inne dane niż te, które przetwarzane są np. w systemie księgowym (wartość transakcji, data zakupu).

Analogiczną procedurę należy przeprowadzić dla identyfikatorów User ID, jeśli są stosowane, a także innych niestandardowych identyfikatorów przesyłanych do Google Analytics.

Czy to jest konieczne?

Google udostępnia tę funkcjonalność w związku z dostosowaniem systemu do wymogów RODO, gdyż podmiot, któremu powierzono do przetwarzania dane osobowe musi umożliwić ich usunięcie na żądanie.

Można się oczywiście zastanawiać, jakie mogłyby być realne konsekwencje niedopełnienia tego obowiązku przez właściciela sklepu (administratora danych). Osoby postronne nie mają dostępu do Google Analytics. Prawdopodobnie mogłaby go zażądać inspekcja, która musiałaby wcześniej posiadać również informację, że takie żądanie “bycia zapomnianym” ze strony określonej osoby zostało zgłoszone i mieć podejrzenie, że nie zostało wykonane. No i musieliby wiedzieć, jakich informacji i jak szukać Google Analytics. Czas pokaże, jak to będzie wyglądało w praktyce.

Podziękowania dla radcy prawnego Tomasza Palaka za konsultację artykułu. Przykład opublikowany za zgodą zainteresowanych osób. Dokonano niewielkich korekt zrzutów ekranu celem ukrycia niektórych danych. 



Autor

Witold Wrodarczyk

Dyrektor Operacyjny Adequate Interactive Boutique Google Analytics & AdWords Qualified Professional

Adequate - Agencja interaktywna

Adres:
ul. Okopowa 47/23
01-059 Warszawa
Telefon:
(+48) 22 299 50 28

Sprawdź naszą Politykę Prywatności. Są tam WAŻNE INFORMACJE o używanych tu cookies i przetwarzaniu Twoich danych.