Přejít na obsah
cutty.dev
All posts

Zkracovač odkazů a GDPR — co musíte vědět, než vložíte odkaz do newsletteru

Zkracovače odkazů sbírají údaje o kliknutích — a to je již téma GDPR. Vysvětlujeme, co zkracovač vidí, kam tyto údaje směřují a proč má poloha serveru význam, když působíte v EU.

Jedno kliknutí na zkrácený odkaz znamená v průměru čtyři data uložená potichu: IP adresa, prohlížeč, systém, zdroj vstupu. Čtyři. A nyní to vynásobte 3000 odběratelů newsletteru, kteří v neděli ráno klikají na odkaz ve vaší nabídce. Najednou máte databázi několika tisíc záznamů, které jste na vlastní oči ani neviděli.

A právě toto je přesně ten okamžik, kdy zkracovač odkazů a GDPR přestává být teoretickým problémem právníků a začíná být tvým.

Protože IP adresa v EU je osobní údaj. Ne „téměř“, ne „v některých případech“. Osobní údaj. Pokud do firemní kampaně vložíte zkrácený odkaz, jako administrátor zodpovídáte za to, co se děje s IP adresami lidí, kteří na něj kliknou.

Co tak naprawdę vidí skracovač, když někdo klikne

Seznam je kratší, než se zdá, ale dostatečně hustý:

  • IP návštěvníka (tedy tato konkrétní osoba, o které bylo výše uvedeno),
  • user agent, tedy prohlížeč a systém,
  • referer — ze které stránky přišel vstup,
  • přibližná lokalita, vypočítaná z tohoto IP.

Tolik stačí k tomu, aby vytvořit pěkné statistiky kliknutí. Tolik stačí také k tomu, abyste se zapletli do povinností, o kterých většina lidí neuváží, když rychle vkládají odkaz před odesláním.

Kde se tato data ukládají (a proč je to důležitější než samotná statistika)

Tady je ten háček. Mnoho známých zkracovačů jsou firmy mimo Evropu, nejčastěji americké. Kliknete na „zkrátit“, vložíte odkaz na newsletter a údaje o tom, kdo, kdy a odkud kliknul, letí přes oceán.

Dva problémy, jeden po druhém.

První: přenos údajů mimo EU vyžaduje právní základ a samotný základ pro tento přenos bývá nestabilní. Předpisy se již několikrát změnily a nic neukazuje na to, že by to byl konec.

Druhý: údaje podléhají jinému právnímu řádu. Jako evropský správce jej prostě nekontrolujete. To, kde fyzicky stojí server, přestává být nudným detailem v dokumentaci. Stává se rozhodnutím o tom, zda jste v souladu s GDPR, nebo ne.

Co skutečně snižuje riziko

Tři věci. Bez magie.

Server v EU. Data z kliknutí neopouštějí Evropu, takže celá otázka transatlantického transferu prostě vypadává. Méně k překladu, méně k hlídání.

Méně sbíraných dat. Čím méně nástroj drží, tím méně máš na starostech. Je dobře, když je IP hashovaná místo toho, aby byla uložena v čisté podobě — pak vidíš statistiky, ale neukládáš surovou adresu konkrétní osoby. To je právě ta funkce, kterou jsme do cutty.dev zabudovali, protože bez ní je vše ostatní jen poloviční.

Žádné sledování mezi službami. Prohlížeč, který nespojuje profily návštěvníků a dále neprodává jejich data, je o jeden problém méně na seznamu.

V praxi, tedy co dělat v pondělí ráno

Nejde o to, abyste přestali zkracovat odkazy. Zkráčejte. Jde jen o to, abyste si nástroj vybrali vědomě, a ne ten první, který vám vyjede ve vyhledávači.

  1. Zjistěte, kde server stojí a kdo ho vůbec spravuje.
  2. Zjistěte, co ukládá a jak dlouho.
  3. Pokud sbíráte údaje návštěvníků, přidejte do svých zásad ochrany osobních údajů zkracovač odkazů. Jedna věta. Opravdu to nebolí.

A to všechno. Toto není právní poradenství (nejsem váš právník), ale je to základ, na kterém se shoda buduje mnohem snáze, než když data od prvního kliknutí utíkají přes oceán.

A pokud si máš z toho zapamatovat jednu jedinou větu: než vložíš odkaz na newsletter, ověř si, kde skončí IP adresa tvých čtenářů. Je to otázka na později, která ušetří mnohem více budoucích nervů.