Linkkien lyhentäjä ja GDPR — mitä sinun tulee tietää ennen kuin lisäät linkin uutiskirjeeseen

Yksi klikkaus lyhennettyä linkkiä on keskimäärin neljä hiljaisesti tallennettua tietoa: IP-osoite, selain, käyttöjärjestelmä, tulolähde. Neljä. Kerro nyt tämä 3000 uutiskirjeen tilaajalla, jotka klikkaavat tarjouksesi linkkiä sunnuntaiaamuna. Sinulla on yhtäkkiä tuhansien tietueiden tietokanta, joita et ole edes nähnyt.

Ja tämä on juuri se hetki, jolloin linkkien lyhentäjä ja GDPR lakkaavat olemasta lakimiesten teoreettinen ongelma ja alkavat olla sinun ongelmasi.

IP-osoite EU:ssa on henkilötieto. Ei ”melkein”, ei ”tietyissä tapauksissa”. Henkilötieto. Jos käytät lyhennettyä linkkiä yrityskampanjassa, ylläpitäjänä olet vastuussa siitä, mitä ihmisten IP-osoitteille tapahtuu, kun he klikkaavat sitä.

Mitä leikkuri todellisuudessa näkee, kun joku klikkaa

Lista on lyhyempi kuin miltä se näyttää, mutta riittävän tiheä:

• IP-osoite (eli edellä mainittu henkilö),
• user agent, eli selain ja käyttöjärjestelmä,
• referer — mistä sivustosta saapuminen tapahtui,
• arvioitu sijainti, laskettu kyseisestä IP-osoitteesta.

Tämä riittää tekemään hyvää klikkaustilastoa. Tämä riittää myös ajautumaan velvollisuuksiin, joita useimmat ihmiset eivät ajattele, kun he luovat linkin nopeasti ennen lähettämistä.

Minne nämä tiedot päätyvät (ja miksi se on tärkeämpää kuin itse tilastot)

Tässä on varsinainen koukku. Monet tunnetut lyhentimet ovat Euroopan ulkopuolisia yrityksiä, useimmiten amerikkalaisia. Klikkaat ”lyhennä”, liität linkin uutiskirjeeseen, ja tiedot siitä, kuka, milloin ja mistä klikkasi, lähtevät valtameren taakse.

Kaksi ongelmaa, peräkkäin.

Ensimmäinen: tietojen siirto EU:n ulkopuolelle tarvitsee oikeudellisen perustan, ja itse tämän siirron perusta voi olla epävakaa. Säännökset ovat muuttuneet jo useita kertoja, eikä mikään viittaa siihen, että tämä olisi loppu.

Toinen: tiedot siirtyvät toisen oikeusjärjestelmän piiriin. Eurooppalaisena ylläpitäjänä et yksinkertaisesti hallitse sitä. Siitä, missä palvelin fyysisesti sijaitsee, tulee muutakin kuin tylsä yksityiskohta dokumentaatiossa. Se muuttuu päätökseksi siitä, oletko GDPR:n mukainen vai et.

Mikä todellisuudessa vähentää riskiä

Kolme asiaa. Ilman taikaa.

Palvelin EU:ssa. Klikkaustiedot eivät poistu Euroopasta, joten koko transatlanttisen siirron kysymys jää pois. Vähemmän käännettävää, vähemmän valvottavaa.

Vähemmän kerättävää tietoa. Mitä vähemmän työkalu tallentaa, sitä vähemmän sinulla on huolenaiheita. On hyvä, jos IP-osoite on hashattu sen sijaan, että se olisi selkokielisenä — silloin näet tilastot, mutta et säilytä tietyn henkilön raakaa osoitetta. Tämä on juuri se ominaisuus, jonka olemme sisäänrakennettu cutty.dev -palveluun, sillä ilman sitä kaikki muu jää puolivaltaiseksi.

Ei palveluiden välistä seurantaa. Leikkuri, joka ei yhdistä kävijän profiilia eikä myy tietoja eteenpäin, on yksi ongelma vähemmän listalla.

Käytännössä, eli mitä tehdä maanantaiaamuna

Kyse ei ole siitä, että pitäisi lopettaa linkkien lyhentämistä. Lyhennä. Kyse on vain siitä, että valitsee työkalun tietoisesti, eikä vain ensimmäistä hakukoneesta löytyvää.

1. Tarkista, missä palvelin sijaitsee ja kuka sitä oikeastaan ylläpitää.
2. Tarkista, mitä se tallentaa ja kuinka pitkään.
3. Jos keräät kävijöiden tietoja, lisää linkkien lyhentäjä tietosuojakäytäntöösi. Vain yksi lause. Se ei todella satu.

Ja siinä se. Tämä ei ole oikeudellinen neuvo (en ole lakimiehäsi), mutta se on perusta, jonka päälle vaatimustenmukaisuuden rakentaminen on paljon helpompaa kuin silloin, kun tiedot karkaavat valtameren taakse heti ensimmäisestä klikkauksesta lähtien.

Ja jos sinun pitäisi muistaa tästä vain yksi lause: ennen kuin lähetät linkin uutiskirjeeseen, tarkista, mihin lukijoidesi IP-osoitteet päätyvät. Tämä on kysymys, joka säästää paljon myöhempää hermoja.