הכניסה המרעישה של GDPR או: קיצור תולדות רגולציית ההגנה על הפרטיות

   שחר בלום |  מאי 2018

הדרמה בשיאה: הפיצ'ר החדש של גוגל ימחוק מידע היסטורי מחשבונות האנליטיקס

אמרו יפה שלום ל – General Data Protection Regulation, או בראשי התיבות הכי חמים לאחרונה: GDPR , התקנות החדשות של האיחוד האירופי שמנסות לעשות סדר בשמירה על פרטיות הנתונים האישיים של יוזרים. התקנות ייכנסו לתוקפן ב-25 במאי, 2018, ויקבעו כללים חדשים בכל הנוגע לאיסוף מידע על משתמשים אונליין. בין היתר, התקנות החדשות מחייבות חברות שפועלות בתחומי האיחוד האירופי לבצע שינויים שיגנו על פרטיותם של משתמשים ובכללן, גם את גוגל.

אז מה הקטע?

התקנות החדשות מתבססות על "הזכות להישכח" שעוגנה בתקנות האיחוד האירופי וקובעת שלנושא המידע (כלומר, זה שנאספו עליו מידע או נתונים) יש הזכות לבקש שנתוניו האישיים והמידע האישי שלו יימחקו. מכיוון שכך, גם על גוגל חלה החובה לאפשר מחיקה של דאטה מהסוג הזה. אלא שכאן מתעורר הקושי – גוגל הרי שומרת את כל המידע האישי לבקשתם של המשווקים או בעלי אתרים ומספקת אותו כשירות. לכן, נוצר מצב של אחריות משותפת וגוגל איננה יכולה להחליט לבדה על מחיקת הדאטה. הפתרון? המידע יישמר לזמן מוגבל ולאחר מכן יימחק מהאנליטיקס. לשם ניהול השימור והמחיקה של דאטה, יצרה גוגל את הפיצ'ר החדש שנקרא Data Retention.

הפיצ'ר החדש בנבחרת

היכולת של משווקים לשמור נתונים עם הפיצ'ר החדש תלויה בהגדרות שלו. הדבר החשוב הראשון שצריך לקבוע ב- Data Retention הוא לכמה זמן יישמרו הנתונים שלכם. חשוב להבין שמי שלא יעשה כלום, יאבד את המידע שלו בתוך 26 חודשים כי זאת ברירת המחדל שגוגל קבעה. אבל, כמו שאמרנו, אפשר גם להגדיר את תקופת שמירת הנתונים. האפשרויות שגוגל נותנת הן 14, 26, 38 ו-50 חודשים, או בכלל לא. אז רגע, בעצם אפשר בכלל להתעלם מהשינוי הדרמתי הזה ולהמשיך בעסקים כרגיל? ובכן, על פניו כן, אבל אם החברה שלכם פועלת בתחומי האיחוד האירופי, כולל פרסום לקהל האיחוד האירופי גם אם הוא נמצא מחוץ לגבולותיוזה ממש לא מומלץ.

הקנס המקסימלי לחברות ולבעלי אתרים שלא יעמדו בתקנות החדשות עומד על עד 4% מהמחזור או 20 מיליון יורו, הגבוה מביניהם. לא סיכון ששווה לקחת.

הגדרה נוספת שאפשר לבחור ב- Data Retention נקראת Reset on new activity. אם ההגדרה הזאת נבחרה, ברגע שיוזר חוזר לבקר באתר שלכם, הספירה תתאפס ותתחיל מחדש. לדוגמה, אם יוזר נכנס לאתר שלכם בפעם הראשונה בחודש פברואר 2018 הוא מזוהה כיוזר חדש ומתויק במערכת. עכשיו, תתחיל ספירת טווח הזמן שהוגדר, נאמר 14 חודשים, עד למחיקת המידע שלו. אבל, אם היוזר יבקר שוב באתר במרץ 2018, הספירה של טווח הזמן שהוגדר תתחיל שוב ומחיקת המידע תתבצע רק כשיחלפו 14 חודשים ממרץ 2018. במילים אחרות, אם תבחרו באופציה הזאת (שמוגדרת כברירת מחדל בפיצ'ר), מחיקת הדאטה שלכם תתחיל רק 14 חודשים מהפעם האחרונה שבה ביקר היוזר באתר שלכם. לזה קוראים כסת"ח וככה הצליחה גוגל לענות על דרישות האיחוד האירופי, אבל הצליח להם.

וביום הדין, מה בדיוק יימחק?

זהו, שכאן העניין הופך מעט פחות ברור, אבל בכל זאת נעשה סדר בפרטים:

נאמר שבחשבון גוגל אנליטיקס שלכם הוגדר שהדאטה תמחק בתום 26 חודשים. בבוא הזמן, תמחוק גוגל מהמערכת את כל המידע שהצטבר לפני 26 חודשים ובחשבון יישאר רק המידע שנאגר מהיום ועד 26 חודשים אחורה. אבל, גוגל הסבירה שהמידע שיימחק יהיה רק ה-User level data וה-Event level data, כאשר הנתונים המצטברים (Aggregated data) יישארו שלמים ובריאים. מה?! טוב, כדי להסביר אבל לא להעיק עם יותר מדי פרטים טכניים לא הכי מעניינים, נפשט את הסיפור.

באופן כללי, המידע שנשמר בגוגל נחלק לשני סוגים:

  • מידע Raw – דאטה של משתמש יחיד שמכילה את כל הנתונים האפשריים, ביניהם גם מידע רגיש כמו User ID ו-Client ID.
  • מידע מעובד – מידע מצטבר שעבר עיבוד כדי לאפשר למשווקים לשלוף נתונים במהירות ובאפקטיביות. נתונים אלה אינם מכילים מידע רגיש כלל.

לפי גוגל, המידע המעובד יישמר כאשר המידע מסוג Raw יימחק. מה זה אומר? נאמר שהגדרתם שמירת מידע לטווח של 26 חודשים. חלפו 26 חודשים ועכשיו אתם רוצים לשלוף דאטה מלפני 30 חודשים? אין בעיה, המידע עדיין יופיע במערכת, אבל רק הנתונים המצטברים. ברגע שתנסו להיעזר בסגמנטים מתקדמים ולבדוק נתוני יוזרים בודדים, תגיעו למבוי סתום. הנתונים המצטברים הם בהחלט חשובים, אבל אין אפשרות להרחיב את הזווית ולצלול לעומקים ללא טבלת ה-Raw, שתמחק מההיסטוריה.

איך ממשיכים מכאן?

  • הגדרת תוקף שמירת הנתונים – החל מתאריך ה-25.5.2018, בעלי חשבון האנליטיקס יידרשו להגדיר במדויק את תוקף ואופן שמירת הנתונים שנצברו על ידי גוגל אנליטיקס בשרתים של גוגל (כלומר, משך הזמן שאותו בעל החשבון מעוניין לשמור נתונים – האם לתקופה של חצי שנה, 3 שנים וכן הלאה).שימו לב שברירת המחדל החדשה (במקרה שבעל החשבון לא יגדיר תקופה מסוימת) היא שמירת נתונים לתקופה של 26 חודשים. גוגל הצהירה שמעבר ל-26 החודשים, מידע יישמר באופן אגרגטיבי ואין אינדיקציה ברורה לאיכות ולהיקף המידע הנשמר. אפשר לשנות את ברירת המחדל בהתאם לאפשרויות המופיעות בצילום המסך:

 

 

 

  • Google Tag Manager – בעקבות השינוי הרגולטורי גוגל עדכנו את ה-Terms & Conditions של השירות ויש לאשר אותם מחדש.תנאי השירות נקראים Data Processing Amendment והם תואמים את תקנות GDPR. תמצאו אותם כאן.

הדבר החשוב הוא, שברגע שתקבלו ותסכימו לתנאי השימוש החדשים של Google Tag Manager, יהיה עליכם גם לספק את הפרטים הבאים:

  • ישות משפטית: ישות משפטית היא השם הרשום של הארגון שמשמש בעניינים פיננסיים ומשפטיים. ייתכן שיש לכם יותר משם אחד
  • פרטי איש קשר: איש הקשר שאליו יישלחו הודעות הקשורות ל-Google Ads Data Processing Terms
  • מנהל הגנת המידע: האדם האחראי על עמידה בתנאי ה-GDPR

לאחר מכן, כדי שתוכלו לשמר את המידע ההיסטורי בחשבון האנליטיקס שלכם כדאי שתתייעצו עם המחלקה המשפטית בחברתכם. זה הכל.

אין לראות במאמר זה כתחליף לייעוץ משפטי

<   |   >