کوتاهکننده لینک و GDPR — آنچه باید قبل از قرار دادن لینک در خبرنامه بدانید
کوتاهکنندههای لینک دادههای مربوط به کلیکها را جمعآوری میکنند — و این موضوع مستقیماً با قوانین GDPR در ارتباط است. ما توضیح میدهیم که کوتاهکننده چه چیزهایی را مشاهده میکند، این دادهها کجا ذخیره میشوند و چرا وقتی در اتحادیه اروپا فعالیت میکنید، موقعیت مکانی سرور اهمیت دارد.
یک کلیک بر روی یک لینک کوتاه شده، به طور متوسط چهار داده را بیصدا ذخیره میکند: آدرس IP، مرورگر، سیستمعامل و منبع ورودی. چهار مورد. حالا این را در ۳۰۰۰ مخاطب خبرنامه ضرب کنید که صبح یکشنبه روی لینک پیشنهاد شما کلیک میکنند. ناگهان با پایگاه دادهای از چندین هزار رکورد روبرو هستید که حتی آنها را ندیدهاید.
و این دقیقاً همان لحظهای است که کوتاهکننده لینکها و GDPR دیگر یک مشکل حقوقی تئوریک برای وکیلان نیست، بلکه شروع مشکل شما میشود.
زیرا آدرس IP در اتحادیه اروپا یک داده شخصی است. نه «تقریباً»، نه «در برخی موارد». یک داده شخصی. اگر در یک کمپین شرکتی از یک لینک کوتاه شده استفاده میکنید، به عنوان مدیر مسئول آنچه برای IP افرادی که روی آن کلیک میکنند اتفاق میافتد هستید.
یک کوتاهکننده واقعاً چه چیزی را میبیند وقتی کسی کلیک میکند
لیست کوتاهتر از آن چیزی است که به نظر میرسد، اما به اندازه کافی متراکم است:
- IP بازدیدکننده (یعنی همان شخص مذکور که در بالا ذکر شد)،
- user agent، یعنی مرورگر و سیستم عامل،
- referer — اینکه ورودی از کدام صفحه آمده است،
- موقعیت مکانی تقریبی، محاسبه شده از روی این IP.
این مقدار برای ایجاد آمارهای کلیک زیبا کافی است. همچنین این مقدار کافی است تا درگیر وظایفی شوید که بیشتر مردم هنگام چسباندن سریع یک لینک قبل از ارسال، به آنها فکر نمیکنند.
این دادهها کجا فرود میآیند (و چرا این مهمتر از خودِ آمار است)
اینجاست که قلاب اصلی نهفته است. بسیاری از کوتاهکنندههای معروف، شرکتهایی خارج از اروپا هستند، که اغلب آمریکایی هستند. شما روی «کوتاه کن» کلیک میکنید، لینک خبرنامه را پیست میکنید و دادههای مربوط به اینکه چه کسی، چه زمانی و از کجا کلیک کرده است، به آن سوی اقیانوس فرستاده میشوند.
دو مشکل، یکی پس از دیگری.
اولین مورد: انتقال دادهها به خارج از اتحادیه اروپا نیاز به یک مبنای قانونی دارد، و خودِ زمینهی این انتقال میتواند متغیر باشد. مقررات چندین بار تغییر کردهاند و هیچ نشانهای وجود ندارد که این پایان ماجرا باشد.
دوم: دادهها تحت یک نظام حقوقی دیگر قرار میگیرند. به عنوان یک مدیر اروپایی، شما به سادگی آن را کنترل نمیکنید. اینکه سرور از نظر فیزیکی کجا قرار دارد، دیگر یک جزئیات خستهکننده در مستندات نیست؛ بلکه به تصمیمی تبدیل میشود مبنی بر اینکه آیا با GDPR مطابقت دارید یا خیر.
چه چیزی واقعاً خطر را کاهش میدهد
سه چیز. بدون جادو.
سرور در اتحادیه اروپا. دادههای مربوط به کلیکها از اروپا خارج نمیشوند، بنابراین تمام بحث انتقال فرا-اتلانتیک به سادگی منتفی است. ترجمه کمتر، نظارت کمتر.
دادههای کمتر جمعآوریشده. هرچه ابزار دادههای کمتری نگه دارد، دردسر کمتری خواهید داشت. بهتر است که IP به جای ذخیره شدن به صورت خام، هش (hash) شود — در این صورت شما آمار را میبینید، اما آدرس خام یک فرد خاص را ذخیره نمیکنید. این دقیقاً همان ویژگیای است که ما در cutty.dev گنجاندهایم، زیرا بدون آن، بقیه موارد ناقص هستند.
عدم ردیابی بین سرویسها. یک مرورگر که پروفایل بازدیدکننده را متصل نمیکند و دادهها را به جای دیگری نمیفروشد، یک مشکل کمتر در لیست است.
در عمل، یعنی چه کار باید کرد صبح دوشنبه
مسئله این نیست که کوتاه کردن لینکها را متوقف کنید. کوتاه کنید. مسئله فقط این است که ابزار را آگاهانه انتخاب کنید، نه اولین چیزی که در موتور جستجو پیدا میکنید.
- بررسی کنید که سرور کجاست و اصلاً چه کسی آن را مدیریت میکند.
- بررسی کنید که چه چیزی را ذخیره میکند و برای چه مدت.
- اگر دادههای بازدیدکنندگان را جمعآوری میکنید، یک کوتاهکننده لینک (shortener) را به سیاست حریم خصوصی خود اضافه کنید. فقط یک جمله. واقعاً درد ندارد.
و تمام. این یک مشاوره حقوقی نیست (من وکیل شما نیستم)، اما این بنیادی است که بر اساس آن، انطباق بسیار آسانتر از زمانی ساخته میشود که دادهها از اولین کلیک به آن سوی اقیانوس فرار میکنند.
و اگر قرار باشد تنها یک جمله از این مطلب به یاد داشته باشید: قبل از اینکه لینک خبرنامه را منتشر کنید، بررسی کنید که آیپی (IP) خوانندگان شما کجا فرود میآید. این سوالی است که پاسخ آن در آینده اهمیت زیادی خواهد داشت و از استرسهای بسیار بیشتری در آینده جلوگیری میکند.