Google Analytics a GDPR: Zmluva a ochrana osobných údajov

Používanie Google Analytics na webových stránkach vyžaduje dôkladné zváženie z hľadiska ochrany osobných údajov, najmä s ohľadom na Všeobecné nariadenie o ochrane údajov (GDPR). Tento článok poskytuje komplexný pohľad na to, ako zabezpečiť súlad s GDPR pri používaní Google Analytics, vrátane zmluvných aspektov, povinností prevádzkovateľa a sprostredkovateľa, a práv dotknutých osôb.

Úvod do GDPR a ochrany osobných údajov

Všeobecné nariadenie o ochrane údajov (GDPR) je nariadenie Európskej únie, ktorého cieľom je chrániť osobné údaje občanov EÚ a harmonizovať zákony o ochrane údajov v celej Európe. GDPR sa vzťahuje na všetky organizácie, ktoré spracúvajú osobné údaje občanov EÚ, bez ohľadu na to, či sa nachádzajú v EÚ alebo mimo nej.

Podľa zákona o ochrane osobných údajov, pojem „osobné údaje“ označuje všetky informácie týkajúce sa konkrétnej alebo identifikovateľnej osoby. Osobné údaje sú spracúvané v súlade s príslušnými predpismi o ochrane údajov, predovšetkým GDPR a federálnym zákonom o ochrane údajov (BDSG). Údaje sú spracúvané iba na základe zákonného povolenia. Osobné údaje sú spracúvané len s vaším súhlasom (§ 15 ods. 3 TMG alebo čl. 6 ods. 1, písm. a) GDPR), na plnenie zmluvy, ktorej ste stranou, alebo na vašu žiadosť v rámci predzmluvných rokovaní (6 ods. 1, písm. b) GDPR), aby sme splnili zákonnú povinnosť (čl. 6 ods. 1, písm. c) GDPR), alebo ak je spracovanie nevyhnutné na ochranu oprávnených záujmov alebo oprávnených záujmov tretej strany, ak vaše záujmy alebo základné práva a slobody vyžadujú ochranu osobných údajov (čl. 6 ods. 1, písm.

Google Analytics a GDPR: Základné princípy

Google Analytics je služba webovej analýzy, pomocou ktorej je možné zhromažďovať a analyzovať údaje o správaní návštevníkov webových stránok. Za týmto účelom používa Google Analytics súbory cookie, ktoré umožňujú analýzu používania webových stránok. Niektoré z týchto dát sú informácie uložené v zariadení, ktoré používate. Použité súbory cookie sa navyše používajú na ukladanie ďalších informácií o zariadení, ktoré používate. Google Ireland bude spracúvať údaje zhromaždené týmto spôsobom v mene prevádzkovateľa za účelom vyhodnotenia užívateľskej návštevnosti na webových stránkach, zostavovania správ o užívateľských aktivitách a poskytovania ďalších služieb súvisiacich s používaním webových stránok a internetu.

Pri používaní Google Analytics je dôležité dodržiavať nasledujúce princípy:

Prečítajte si tiež: Vzor Spracovateľskej Zmluvy

• Zákonnosť spracúvania: Zabezpečiť, aby spracúvanie osobných údajov bolo zákonné, spravodlivé a transparentné.
• Obmedzenie účelu: Zhromažďovať osobné údaje len na konkrétne, explicitné a legitímne účely.
• Minimalizácia údajov: Zhromažďovať len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie stanoveného účelu.
• Presnosť: Zabezpečiť, aby osobné údaje boli presné a aktualizované.
• Obmedzenie uchovávania: Uchovávať osobné údaje len po dobu, ktorá je nevyhnutná na dosiahnutie stanoveného účelu.
• Integrita a dôvernosť: Zabezpečiť, aby osobné údaje boli spracúvané spôsobom, ktorý zaručuje ich bezpečnosť.

Zmluvné aspekty: Prevádzkovateľ a sprostredkovateľ

V kontexte GDPR je dôležité rozlišovať medzi prevádzkovateľom a sprostredkovateľom osobných údajov.

• Prevádzkovateľ: Je fyzická alebo právnická osoba, ktorá určuje účely a prostriedky spracúvania osobných údajov. V prípade Google Analytics je prevádzkovateľom vlastník webovej stránky, ktorý používa túto službu na analýzu návštevnosti.
• Sprostredkovateľ: Je fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa. V prípade Google Analytics je sprostredkovateľom spoločnosť Google Ireland Limited.

Zmluva o spracúvaní osobných údajov (DPA)

Podľa čl. 28 GDPR je prevádzkovateľ povinný uzatvoriť so sprostredkovateľom písomnú zmluvu o spracúvaní osobných údajov (Data Processing Agreement - DPA). Táto zmluva musí obsahovať minimálne nasledujúce náležitosti:

• Predmet a trvanie spracúvania.
• Povaha a účel spracúvania.
• Typ osobných údajov a kategórie dotknutých osôb.
• Povinnosti a práva prevádzkovateľa.
• Povinnosti sprostredkovateľa, vrátane zabezpečenia primeraných technických a organizačných opatrení na ochranu osobných údajov.

Väčšina poskytovateľov online služieb, vrátane spoločnosti Google, ponúka štandardné zmluvy o spracúvaní osobných údajov, ktoré sú v súlade s GDPR. Je dôležité si túto zmluvu prečítať a uistiť sa, že spĺňa všetky požiadavky GDPR.

Povinnosti prevádzkovateľa

Ako prevádzkovateľ osobných údajov máte niekoľko povinností, ktoré musíte dodržiavať pri používaní Google Analytics:

• Získanie súhlasu: Ak používate Google Analytics na spracúvanie osobných údajov na základe súhlasu, musíte získať platný súhlas od návštevníkov vašej webovej stránky. Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný.
• Informovanie dotknutých osôb: Musíte informovať návštevníkov vašej webovej stránky o tom, že používate Google Analytics a ako spracúvate ich osobné údaje. Tieto informácie by mali byť uvedené v zásadách ochrany osobných údajov na vašej webovej stránke.
• Anonymizácia IP adries: Odporúča sa aktivovať anonymizáciu IP adries v Google Analytics, aby sa znížilo riziko identifikácie jednotlivých používateľov.
• Zabezpečenie prenosu údajov: Ak dochádza k prenosu osobných údajov do tretích krajín (mimo EÚ), musíte zabezpečiť, aby bol tento prenos v súlade s GDPR. To môže znamenať uzatvorenie štandardných zmluvných doložiek (Standard Contractual Clauses - SCC) so spoločnosťou Google.
• Práva dotknutých osôb: Musíte zabezpečiť, aby návštevníci vašej webovej stránky mohli uplatňovať svoje práva podľa GDPR, vrátane práva na prístup, opravu, vymazanie, obmedzenie spracúvania, prenosnosť a námietku.
• Bezpečnostné opatrenia: Musíte prijať primerané technické a organizačné opatrenia na ochranu osobných údajov pred náhodným alebo nezákonným zničením, stratou, zmenou, neoprávneným sprístupnením alebo prístupom.

Práva dotknutých osôb

GDPR priznáva dotknutým osobám (návštevníkom webových stránok) rozsiahle práva v súvislosti s ich osobnými údajmi:

Prečítajte si tiež: SEO pre webovú stránku

• Právo na prístup: Právo získať potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa ich týkajú, a ak áno, právo na prístup k týmto osobným údajom a informáciám o spracúvaní.
• Právo na opravu: Právo na opravu nepresných osobných údajov, ktoré sa ich týkajú.
• Právo na vymazanie (právo byť zabudnutý): Právo na vymazanie osobných údajov, ktoré sa ich týkajú, ak už nie sú potrebné na účel, na ktorý boli zhromaždené, alebo ak odvolajú svoj súhlas so spracúvaním.
• Právo na obmedzenie spracúvania: Právo na obmedzenie spracúvania osobných údajov, ak spochybňujú ich presnosť, alebo ak je spracúvanie nezákonné.
• Právo na prenosnosť údajov: Právo získať osobné údaje, ktoré sa ich týkajú a ktoré poskytli prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a právo preniesť tieto údaje inému prevádzkovateľovi.
• Právo namietať: Právo namietať proti spracúvaniu osobných údajov, ktoré sa ich týkajú, ak sa spracúvajú na základe oprávneného záujmu prevádzkovateľa, alebo na účely priameho marketingu.
• Právo podať sťažnosť: Právo podať sťažnosť dozornému orgánu, ak sa domnievajú, že spracúvanie osobných údajov, ktoré sa ich týka, je v rozpore s GDPR.

Prenos dát do tretích krajín a štandardné zmluvné doložky

Prenos osobných údajov do tretích krajín, t. j. krajín mimo Európskeho hospodárskeho priestoru (EHP), podlieha prísnym pravidlám podľa GDPR. Ak používate Google Analytics, je pravdepodobné, že dochádza k prenosu osobných údajov do USA, kde sídli spoločnosť Google LLC.

Na zabezpečenie súladu s GDPR pri prenose údajov do tretích krajín sa často používajú štandardné zmluvné doložky (Standard Contractual Clauses - SCC), ktoré vydala Európska komisia. Tieto doložky obsahujú zmluvné záruky, ktoré zabezpečujú, že osobné údaje budú v tretej krajine chránené v súlade s GDPR.

Je dôležité si uvedomiť, že platnosť SCC bola v minulosti spochybnená v súvislosti s prenosom údajov do USA, najmä s ohľadom na prístup amerických spravodajských služieb k osobným údajom. V súčasnosti prebiehajú rokovania medzi EÚ a USA o novom rámci pre prenos údajov, ktorý by mal nahradiť predchádzajúci režim Privacy Shield.

Používanie Google Tag Manager

Používame Google Tag Manager od spoločnosti Google Ireland Limited (Írsko, EÚ). Google Tag Manager sa používa na spravovanie kódov (tagov) webových stránok prostredníctvom rozhrania. Google Tag Manager je doména bez súborov cookie, ktorá nezhromažďuje ani neukladá žiadne osobné údaje. Google Tag Manager spúšťa iba ďalšie kódy (tagy), ktoré naopak môžu zhromažďovať údaje bez toho, aby sme k týmto údajom pristupovali sami.

Marketingové služby Google Ads

Používame marketingovú službu Konverzie Google Ads od spoločnosti Google Ireland Limited (Írsko, EÚ). Vďaka Google Ads môžeme v reklamnej sieti Google umiestňovať reklamy, ktoré sú relevantné pre používateľov (napr. vo výsledkoch vyhľadávania alebo na iných weboch), vylepšovať prehľady o výkone kampane a zabraňovať tomu, aby sa užívateľovi niekoľkokrát zobrazovali rovnaké reklamy. Každý zákazník Ads nastaví iné konverzné cookies, preto ich nie je možné sledovať na weboch rôznych zákazníkov služby Ads. ID cookie sa používa k záznamu toho ktoré reklamy sa zobrazujú v ktorom prehliadači. To môže zabrániť opakovanému zobrazeniu rovnakej kampane. Používanie marketingových služieb Google prebieha len s vaším súhlasom v súlade s § 15 ods. 3 TMG alebo čl. 6 ods. 1, písm. a) GDPR. v USA. Vezmite prosím na vedomie informácie v časti „Prenos dát do tretích krajín“.

Prečítajte si tiež: SEO a reakcie na recenzie Google

Toto sledovanie slúži na sledovanie konverzií. Tieto dáta udalostí sú z časti informácie, ktoré sú uložené v používanom zariadení. Sledované konverzie môžeme použiť na meranie efektivity našich reklám, na nastavenie vlastného publika pre zacielenie reklám, na dynamické reklamné kampane a na analýzu účinnosti konverzných ciest na našom webe. K tomu dochádza iba vtedy, ak ste vopred udelili súhlas. 6 ods. 1, písm. a) GDPR. že sme zodpovední za to, aby sme vám poskytli všetky informácie v súlade s čl. Spracovanie osobných údajov na účely prípravy analýz a správ o kampani prebieha len ak ste na to vopred udelili súhlas. Právnym základom pre toto spracovanie osobných údajov je čl. 6 ods. 1, písm. v USA. Právny základ pre tento prenos tvorí štandardné zmluvné ustanovenie o prenose osobných údajov spracovateľom v tretích krajinách.

Súbory Cookies

Na našich webových stránkach používame súbory cookie a porovnateľné technológie („súbory cookie“). Cookies sú malé textové súbory, ktoré váš prehliadač ukladá pri návšteve webových stránok. Vedia identifikovať použitý prehliadač a webový server ho rozpozná. Nad používaním cookies prostredníctvom vášho prehliadača máte plnú kontrolu. Súbory cookie môžete kedykoľvek zmazať v nastavení zabezpečenia vášho prehliadača. Používanie cookies je čiastočne technicky potrebné na prevádzku našej webovej stránky a je preto povolené bez súhlasu používateľa. Súbory cookie používame aj na ponúkanie špeciálnych funkcií a obsahu, ako aj k analytickým a marketingovým účelom. Patria sem aj súbory cookie od poskytovateľov tretích strán (takzvané súbory cookie tretej strany). Technicky nadbytočné cookies avšak používame len s vaším súhlasom v súlade s § 15 ods. 3 TMG alebo čl. 6 ods. 1, písm.

Sociálne siete

Ak navštívite náš profil na sociálnych sieťach alebo ak jeho prostredníctvom s nami komunikujete, vaše osobné údaje môžu byť spracúvané. Informácie, ktoré máte vyplnené na profile sociálnych sietí, takisto predstavujú osobné údaje. Patria sem aj správy a vyhlásenia urobené pomocou profilu. „prehľady stránok“), vďaka čomu môžeme optimalizovať náš web. Právnym základom pre toto spracovanie je čl. 6 ods. 1, písm. f) GDPR. 45 GDPR, alebo na základe vhodných záruk podľa čl. Za spracovanie osobných údajov pri návšteve nášho kanála YouTube v zásade zodpovedá spoločnosť Google Ireland Limited (Írsko, EÚ). Spracúvame tiež informácie, ktoré ste nám poskytli prostredníctvom nášho firemného profilu na príslušnej platforme sociálnych médií. Takýmito informáciami môžu byť použité užívateľské meno, kontaktné údaje, alebo nám odoslaná správa. Za toto spracovanie nesieme výhradnú zodpovednosť. Tieto údaje spracúvame na základe nášho oprávneného záujmu o kontakt s dotazujúcimi sa osobami. Právnym základom pre spracovanie údajov je čl. 6 ods. 1, písm. f) GDPR. K ďalšiemu spracovaniu údajov môže dôjsť, ak ste na to dali súhlas (čl. 6 ods. 1, písm. a) GDPR), alebo ak je to nevyhnutné na splnenie zákonnej povinnosti (čl. 6 ods. 1, písm. Ak ste nám poskytli informácie o účasti v súťaži, budeme ich spracúvať iba preto, aby sme vám mohli v prípade potreby zaslať výhernú cenu. Po doručení výhernej ceny, alebo ak ste nevyhrali, údaje zmažeme. Právnym základom pre spracovanie je čl. 6 ods. 1, písm.

tags: #google #analytics #gdpr #zmluva