wtorek, lipca 01, 2008

Używanie Google Analytics może być niezgodne z europejską dyrektywą o ochronie danych osobistych

Na stronach internetowych i blogach coraz więcej różnych narzędzi do analizy statystycznej ich oglądalności. Oczywiście każdy bloger czy administrator webowego serwisu jest bardzo zainteresowany frekwencją na danej stronie, chce wiedzieć ilu odwiedzających i skąd do niego przybyło, jak długo zostali, co obejrzeli i co tam jeszcze da się wycisnąć z analizy danych o odwiedzających.

Te statystyczne narzędzia zbierają gorliwie różnorakie informacje o odwiedzających i magazynują je na swym serwerze, z reguły w dalekiej USA. I tu zaczyna się problem. Bo te dane to są dane osobowe i przesyłanie ich do krajów poza europejskich wymaga zgody osoby o której dane te są gromadzone. Dane o rozmowach telefonicznych czy internetowych (jak na przykład adres IP) są również danymi osobowymi i są chronione prze nacjonalne prawo i na dodatek dyrektywę EU.


Oczywiście bloger czy administrator danej strony sam nie zbiera i nie wysyła tych danych do statystycznej analizy. On jedynie umożliwia to zamieszczając na swej stronie niewidoczny
dla odwiedzającego skrypt (to znaczy można go zobaczyć zaglądając do kodu źródłowego strony), który w większości przypadków instaluje cookies na komputerze użytkownika i niejako poprzez te cookies "śledzi" jego zachowanie na danej stronie. Odwiedzający może zakazać instalacji tego cookies, ale większość z nas tego nie robi, bo w takim przypadku dana strona czy serwis nie funkcjonują właściwie.

Zasadniczo jest to naszym obowiązkiem jako administratora strony internetowej poinformowanie odwiedzającego, że dane o nim będą zbierane i wysyłane na serwer poza Europą. W tej sytuacji odwiedzający, który chce tego uniknąć, może zablokować cookies tego statystycznego narz
ędzia.

Większość blogerów i administratorów serwisów webowych nie czyni tego, bo zapewne sami nie wiedzą,
(1) jakie to dane zbiera użyte przez nich narzędzie, (2) gdzie dane te są zbierane i jak długo magazynowane na serwerze poza Europą, (3) że przesyłanie danych o połączeniach internetowych wymaga wedle prawa europejskiego zgody odwiedzających.

Faktem też jest, że większość tych narzędzi statystycznych w ogóle nie informuje swych użytkowników jakie to dane są zbierane i gdzie i jak długo są one przechowywane. Zerknąłem do Mybloglog, ale nie znalazłem tam żadnej informacji na ten temat, a przecież Mybloglog oferuje też narzędzia do statystycznej analizy oglądalności.

Google, chyba największy archiwista wszelakich danych i właściciel bardzo popularnego serwisu statystyki oglądalności - Google Analytics, przynajmniej w swych "Warunkach korzystania z Google Analytics" zobowiązuje wręcz każdego użytkownika aby poinformował o tym fakcie odwiedzających jego stronę internetową. Oto dokładny fragment tej umowy zobowiązujący administratora strony internetowej czy blogera (Google określa taką osobę jako "Użytkownik"):
Użytkownik będzie przestrzegał wszystkich właściwych przepisów prawa dotyczących ochrony danych i ochrony prywatności, związanych z korzystaniem przez niego z Usługi oraz zbieraniem informacji od odwiedzających jego witryny internetowe. Na Witrynie Internetowej Użytkownika w widocznym miejscu zostaną umieszczone odpowiednie zasady ochrony prywatności, których Użytkownik będzie przestrzegał. Użytkownik podejmie również uzasadnione starania w celu podania do wiadomości odwiedzających witryny internetowe informacji o treści zgodnej we wszystkich istotnych aspektach z poniższą:

Niniejsza witryna internetowa korzysta z Google Analytics, usługi analizy oglądalności stron internetowych udostępnianej przez Google, Inc. (“Google”). Google Analytics używa “cookies”, czyli plików tekstowych umieszczanych na komputerze użytkownika w celu umożliwienia witrynie przeanalizowania sposobu, w jaki użytkownicy z niej korzystają. Informacje generowane przez cookie na temat korzystania z witryny przez użytkownika (włącznie z jego adresem IP) będą przekazywane spółce Google i przechowywane przez nią na serwerach w Stanach Zjednoczonych. Google będzie korzystała z tych informacji w celu oceny korzystania z witryny przez użytkownika, tworzenia raportów dotyczących ruchu na stronach dla operatorów witryn oraz świadczenia innych usług związanych z ruchem na witrynach internetowych i korzystaniem z internetu. Google może również przekazywać te informacje osobom trzecim, jeżeli będzie zobowiązana to uczynić na podstawie przepisów prawa lub w przypadku, gdy osoby te przetwarzają takie informacje w imieniu Google. Google nie będzie łączyła adresu IP użytkownika z żadnymi innymi danymi będącymi w jej posiadaniu. Użytkownik może zrezygnować z cookies wybierając odpowiednie ustawienia na przeglądarce, jednak należy pamiętać, że w takim przypadku korzystanie z wszystkich funkcji witryny może okazać się niemożliwe Korzystając z niniejszej witryny internetowej użytkownik wyraża zgodę na przetwarzanie przez Google dotyczących go danych w sposób i w celach określonych powyżej.
Powiedzmy uczciwie, kto z nas blogerów przeczytał tę umowę? Zapewne prawie nikt.

A jeszcze mniej z nas zastosowało się do jej wymogów. No bo czy ktoś widział już stronę internetową z powyższą informacją dla odwiedzających? Ja jeszcze nigdy!

Linki:
- Zasady zachowania prywatności Google
-
Warunki korzystania z GOOGLE ANALYTICS
- Mybloglog - Polityka prywatności

7 komentarzy:

andsol pisze...

Czytać umowy?! Myję ręce przed jedzeniem i przed gotowaniem. I po ściągnięciu butów. I wiem, że czytanie umów jest też ważne, ale już na to nie mam czasu. I niestety nie przewiduję naprawy moich niewłaściwych obyczajów. Wolałbym zrezygnować z komputera.

Krzysztof pisze...

@Andsol, ja też normalnie nie czytam umów. Chyba, że muszę płacić, w takiej sytuacji je z grubsza przeglądam.

Tutaj jednak nie chodzi tylko o układ między Tobą i Serwisem z którego korzystasz, ale o odwiedzających Twojego bloga.

Nie przejmuj się jednak. Nikt nie czyta, więc jesteśmy w zdecydowanej większości. ;)

Anonimowy pisze...

Wlasnie chcialam napisac, ze malo ko czyta umowy programow z jakich w necie korzysta, ale napisales o tym pod koniec postu.
A ja pamietam jaka w Polsce byla wojna o te numery IP, które kazdy z uzytkownikow miał, korzystajac z internetu na poczatku kiedy nie bylo innych poza TPSA dostarczycieli i ich sztywne łącze SDI. A każdy chciał być anonimowy...

marga pisze...

niestety niektorzy zboczency wykorzystuja dane ze statystyk na prywatne pogrozki, tutaj mozesz takiego, ktory prywatnie przetwarza Twoje dane podac do sadu, w Polsce nie ma jeszcze prawa regulujacego cyber stalking

Anonimowy pisze...

Wow! Naprawdę jest takie prawo? jestem zszokowana. Serio, nic o tym nie wiedziałam ... i faktycznie nigdy nie widziałam strony, która informowałaby o śledzeniu i przesyłaniu informacji ... Pewnie skończy się jakimś spektakularnym procesem sądowym, który unaoczni sprawę innym.

doodge pisze...

Zaiste wnikliwe to przemyślenia, jednakże autor pominął kilka drobnych faktów:
a) GA nie zbiera informacji o IP, ani innych danych osobowych, zatem są to jedynie dane statystyczne i jako takie nie podlegają ustawom o ochronie danych osobowych,
b) o wiele więcej informacji o odwiedzających znajduje się w logach serwera (każdy serwer www takie logi tworzy), tam zapisywany jest m. in. adres IP, z którego się łączymy, treść zapytań oraz strony, na które wchodzimy (na danym serwerze) - ciekawe dlaczego te dane nie budzą wątpliwości autora posta?

Ogólnie bardzo ciekawy post idealnie wpisujący się w panikę związaną z ochroną danych osobowych, z którą mamy ostatnio do czynienia. Szkoda jedynie, że panika ta zazwyczaj jest zupełnie bezpodstawna, gdyż paradoksalnie to nie w internecie nasze dane są najbardziej zagrożone. Nie wierzycie? A co robicie np. z pismami z banku lub innymi, zawierającymi równie poufne dane (np. faktury za telefon)?

Krzysztof pisze...

@Doodge, Co do punktu a). to po pierwsze nikt tak naprawdę nie wie jakie dane są zbierane, a po drugie to Google zaleca czy wręcz zobowiązuje użytkowników Analytics do informowania odwiedzających i fakcie zbierania danych.

A co do punktu b) to zgadzam się z Tobą, o czym zresztą w notce jest mowa.