Evästeettömän sekä palvelinpuolen analytiikan vertailu

Kyky analysoida verkkosivuston kävijöiden liikennettä on tärkeä osa jokaisen organisaation toimintaa. Koska yhä useammat selaimet estävät evästeet ja GDPR:n ja muiden tietosuojasäännösten noudattaminen on haaste, verkkosivustojen omistajat etsivät vaihtoehtoisia tapoja  tiedon saamiseksi. Meiltä kysytään usein, mitä eroja on palvelimen puolella tapahtuvalla merkinnällä (tai palvelimen puolella tapahtuvalla seurannalla) ja Snoobin evästeettömällä analytiikalla.
Palvelimen puolella tapahtuvassa merkinnässä tietojen kerääminen tapahtuu palvelimella, kun taas evästeettömässä analytiikassa selain käsittelee tietopyyntöjä. Tässä artikkelissa selitetään tärkeimmät erot sekä niiden yhteys GDPR:n vaatimusten noudattamiseen.

PALVELINPUOLEN MERKINTÄ tai -SEURANTA

Palvelinpuolen tiedonkeruu ei ole lähtökohtaisesti GDPR:n vastaista. Tapa, jolla se on usein toteutettu, herättää kuitenkin huolta vaatimusten mukaisuudesta.

• GDPR edellyttää, että organisaatioiden on saatava yksilöiltä nimenomainen suostumus henkilötietojen keräämiseen. Analytiikkaa käsitellään palvelimen puolella, mikä tarkoittaa sitä, että käyttäjät eivät aina ole tietoisia heistä kerättävistä tiedoista eivätkä ole antaneet suostumustaan siihen. Kyseinen palvelin ei myöskään välttämättä ole verkkosivuston omistajan suorassa valvonnassa vaan kumppanin tai muun kolmannen osapuolen. Yleisen tietosuoja-asetuksen mukaan henkilötietoja ei saa jakaa kolmansille osapuolille ilman asianmukaisia suojatoimia. Jos henkilötietoja jaetaan kolmansille osapuolille, on varmistettava, että myös ne noudattavat tietosuoja-asetuksen vaatimuksia.
• Palvelinpuolen tiedonkeruu voi myös vaikeuttaa käyttäjien mahdollisuuksia oikeuksiin, kuten pääsyn omiin henkilötietoihin, mahdollisuuden oikaista tai poistaa ne. Tietoja käsitellään usein palvelinpuolella ja lähetetään sieltä muille osapuolille, kuten Googlelle tai Facebookille. Tämä tarkoittaa sitä, että henkilöillä ei välttämättä ole suoraa pääsyä omiin tietoihinsa.  Yksi palvelinpuolen analytiikan niin sanotuista "hyvistä puolista"  on usein se, että se ohittaa mainosten estojärjestelmät tai vastaavat tekniikat, kuten Do-Not-Track -vaihtoehdon, jolloin palvelinpuolen tiedonkeruu poistaa käyttäjältä kontrollin.
• Jos palvelinpuolen merkintöjä tai seurantaa käytetään henkilötietojen keräämiseen ilman riittävää suostumusta tai antamatta vierailijoille mahdollisuutta käyttää tietosuojaan liittyviiä oikeuksia, se ei ole GDPR:n mukaista. Palvelinpuolen tiedonkeruu on mahdollista toteuttaa GDPR:n mukaisella tavalla varmistamalla, että asianmukainen suostumus on saatu ja että yksilöillä on mahdollisuus käyttää ja hallita henkilötietojaan. Tämä on kuitenkin monimutkaista ja edellyttää tietojenkäsittelysopimusta kaikkien palvelinpuolen seurantaa varten palveluja tarjoavien kolmansien osapuolten kanssa.

EVÄSTEETÖN ANALYTIIKKA

Tämä on helpompi toteuttaa, ja on GDPR:n mukainen, jos sitä käytetään tavalla, joka kunnioittaa käyttäjien yksityisyyden suojaa ja noudattaa muita GDPR:n vaatimuksia. Alla olevat tiedot kuvastavat tapaa, jolla Snoobi Analytics on toteuttanut evästeettömän analytiikan.

• GDPR edellyttää, että organisaatioiden on saatava tietoinen ja nimenomainen suostumus henkilöiltä ennen henkilötietojen käsittelyä. Evästeettömällä analytiikapalvelulla tietoja kerätään ja käsitellään ilman evästeitä, mikä on yksityisyyden suojaa edistävä vaihtoehto perinteiselle evästeisiin perustuvalle seurannalle. On kuitenkin tärkeää huomata, että tämä pätee vain silloin, kun tietojen keräämiseen ei käytetä muita yksilöllisiä tunnisteita, sillä GDPR:n vaatimukset ovat edelleen voimassa. Käytettäessä evästeetöntä seurantaa, Snoobi Analytics ei tallenna mitään yksilöllistä käyttäjätunnusta.
• Jotta evästeetöntä analytiikkaa käyttävät verkkosivut olisivat GDPR:n mukaisia, niiden on (muun muassa) varmistettava, että:
  • (1) Asianmukainen suostumus on saatu: Organisaatioiden on edelleen annettava yksilöille selkeää ja täsmällistä tietoa kerättävistä tiedoista ja niiden käytöstä sekä saatava yksilöiltä nimenomainen suostumus henkilötietojen keräämiseen. Snoobin evästeettömällä analytiikalla ei kerätä henkilötietoja, mutta kehotamme kuitenkin verkkosivujen omistajia tiedottamaan, miten tietoja kerätään ja miten niitä käytetään.
  • (2) Tiedonkeruu on rajallista: Organisaatioiden on kerättävä vain sellaisia tietoja, jotka ovat välttämättömiä niitä tarkoituksia varten, joita varten niitä käsitellään, eikä tietoja saa säilyttää pidempään kuin on tarpeen. Jos käytetään evästeetöntä seurantaa, Snoobi Analytics ei tallenna tai säilytä yksityisyyden suojaan liittyviä tietoja.
  • (3) Yksilöillä on oikeus päästä käsiksi tietoihinsa ja valvoa niitä: Organisaation on annettava yksilöille mahdollisuus tutustua henkilötietoihinsa, korjata tai poistaa ne. Jos käytetään evästeetöntä seurantaa, on mahdotonta yhdistää analytiikkatietoja yksilöön tai edes käytettyyn internet-selaimeen. Näin ollen kenestäkään henkilöstä ei säilytetä mitään tietoja, eikä tietoja voi käyttää, korjata tai poistaa.

Yhteenvetona voidaan todeta, että Snoobin evästeettömän analytiikan avulla GDPR-asetusten noudattaminen on helpompaa. Analytiikkatoteutuksesta riippumatta se pitäisi toteuttaa läpinäkyvällä, vastuullisella ja yksityisyyden suojaa kunnioittavalla tavalla, joka kunnioittaa käyttäjän oikeuksia ja noudattaa muita GDPR-vaatimuksia.

Jos haluat lisätietoja siitä, miten Snoobi toteuttaa evästeettömän analytiikan ja miten voit hyötyä siitä, ota yhteyttä.