后果 1:GA 的默认数据保留设置将删除您的数据
从 5 月 25 日开始,谷歌将更改数据保留的默认设置,这意味着如果您不采取行动,某些早于截止日期的数据将被自动删除。
您可以在Krista Seiden 的个人博客上阅读有关此次变更的更多详细信息(Krista 在 Google 工作,但本文是以她个人身份撰写的)。
我之所以说这严格来说不属于 GDPR 问题,是因为这与 Google 在其端所做的更改有关,以确保他们履行作为数据处理者的义务。它为您提供了您可能需要的工具,但与您的 GDPR 合规性并不严格相关。对于根据 GDPR 您需要/应该/被允许将这些数据存储在 GA 中多长时间的问题,没有特别的“正确”答案,但根据我的理解,鉴于它本来就不应该是 PII(见下文),对于大多数组织来说,这实际上并不是 GDPR 问题。特别是,没有特别的理由认为 Google 的默认设置是您在 GDPR 下可以选择的正确/强制/唯一设置。
行动:查看法律团队做出的承诺和新的隐私政策。在没有向用户做出明确承诺的情况下,我的理解是,除非收到删除请求,否则您可以保留最初被允许捕获的任何数据。因此,虽然大多数组织至少需要对隐私政策进行一些更改,但大多数GA 用户可以改回来无限期地保留这些数据。
后果 2:Google 删除用于获取 PII 的 GA 帐户
长期以来,在 Google Analytics 中存储任何个人身份信息 (PII) 都是违反服 克罗地亚手机号码数据 务条款的。不过,最近,谷歌似乎在检查 PII 是否存在方面变得更加勤勉,并且在处理发现包含 PII 的帐户时也更加严格。简而言之,如果谷歌发现 PII,他们会删除您的帐户。
虽然无法确定这是否与 GDPR 有关,但如果有必要,能够向监管机构证明他们正在对违反其 PII 相关条款的任何人采取严厉措施,这对 Google 来说显然是降低其作为数据处理者所面临的风险的举措。在绝大多数帐户都是免费帐户的领域,这尤其有意义。与上一点非常相似,我之所以说这与 Google 对GDPR 生效的回应有关,是因为完全有可能获得用户的许可,将他们的数据记录在 GA 等第三方服务中,并完全遵守法规。无论您的用户授予您何种权限,Google 与 GDPR 相关的打击(以及对存在一段时间的相关条款的更严厉执行)意味着这是一个比以前更大的新风险。
措施:审核您的 GA 配置文件和实施情况,以发现 PII 风险:
您可以使用多种方式在 GA 中搜索可以识别个人身份的数据,例如页面标题、URL、自定义数据等。(请参阅这两个出色的 指南)
您还可以通过查看标签管理器中的规则和/或查看关键页面上的代码来审核您的实施情况。最有可能的嫌疑人是人们登录、在您的网站上执行关键操作、向您提供其他个人信息或结帐的地方