עבור לתוכן
cutty.dev
All posts

מקוצר קישורים ו-GDPR — מה עליך לדעת לפני שאתה מכניס קישור לניוזלטר

מקצרי קישורים אוספים נתונים על לחיצות — וזה כבר נושא של GDPR. אנחנו מסבירים מה מקצר הקישורים רואה, לאן הנתונים הללו מגיעים, ומדוע למיקום השרת יש חשיבות כאשר פועלים באיחוד האירופי.

קליק אחד בקישור מקוצר הוא בממוצע ארבעה נתונים שנשמרים בשקט: כתובת IP, דפדפן, מערכת הפעלה, מקור כניסה. ארבעה. ועכשיו תכפיל את זה ב-3000 קוראי הניוזלטר, שלוחצים בבוקר יום ראשון על הקישור להצעה שלך. פתאום יש לך מאגר של כמה אלפי רשומות, שמעולם אפילו לא ראית בעיניך.

וזה בדיוק הרגע שבו מקצר הקישורים וה-GDPR מפסיקים להיות בעיה משפטית תיאורטית של עורכי דין, ומתחילים להיות שלך.

כי כתובת IP באיחוד האירופי היא מידע אישי. לא "כמעט", לא "בחלק מהמקרים". מידע אישי. אם אתה משתמש בקישור מקוצר בקמפיין של החברה, כמנהל אתה אחראי למה שקורה ל-IP של האנשים שלוחצים עליו.

מה הקיצור באמת רואה כשמישהו לוחץ

הרשימה קצרה יותר ממה שנראה, אך דחוסה מספיק:

  • IP המבקר (כלומר אותו אדם שהוזכר לעיל),
  • user agent, כלומר הדפדפן והמערכת,
  • referer — מאיזו דף הגיעה הכניסה,
  • מיקום משוער, המחושב לפי כתובת ה-IP הזו.

זה מספיק כדי ליצור סטטיסטיקות קליקים יפות. זה גם מספיק כדי להיקלע למחויבויות שרוב האנשים לא חושבים עליהן, כשמדביקים קישור במהירות לפני השליחה.

איפה הנתונים האלה נוחתים (ולמה זה חשוב יותר מהסטטיסטיקה עצמה)

כאן נמצאת התכונה המרכזית. הרבה מקיצורי הקישורים הידועים הם חברות מחוץ לאירופה, לרוב אמריקאיות. אתה לוחץ על "skróć", מדביק קישור לניוזלטר, והנתונים לגבי מי, מתי ומאיפה לחץ, נשלחים מעבר לאוקיינוס.

שתי בעיות, אחת אחרי השנייה.

ראשון: העברת נתונים מחוץ לאיחוד האירופי זקוקה לבסיס משפטי, והבסיס עצמו להעברה זו עשוי להיות משתנה. התקנות השתנו כבר מספר פעמים ושום דבר לא מעיד על כך שזה הסוף.

שני: הנתונים נכנסים תחת סדר משפטי אחר. כנווד אירופאי, אתה פשוט לא שולט בו. המקום שבו השרת ממוקם פיזית מפסיק להיות פרט משעמם בתיעוד. הוא הופך להחלטה לגבי השאלה האם אתה עומד בתקנות ה-GDPR או לא.

מה באמת מפחית את הסיכון

שלושה דברים. בלי קסמים.

שרת באיחוד האירופי. נתוני הקליקים אינם יוצאים מאירופה, כך שכל נושא ההעברה הטרנס-אטלנטית פשוט מתבטל. פחות מה לתרגם, פחות מה לשמור עליו.

פחות נתונים שנאספים. ככל שהכלי מחזיק פחות מידע, כך יש לך פחות דאגות. זה טוב כאשר ה-IP עובר hashing במקום להישמר בצורה גולמית — אז אתה רואה סטטיסטיקות, אך לא מאחסן את הכתובת הגולמית של אדם ספציפי. זו בדיוק הפונקציה שהטמענו ב-cutty.dev, כי בלעדיה כל השאר הוא חלקי.

אין מעקב בין שירותים. חוסם פרסומות שאינו מחבר בין פרופיל המבקר ואינו מוכר את הנתונים הלאה, הוא בעיה אחת פחות ברשימה.

בפועל, כלומר מה לעשות ביום שני בבוקר

לא מדובר בכך שצריך להפסיק לקצר קישורים. תקוצר. העניין הוא רק לבחור בכלי באופן מודע, ולא בראשון שמופיע בתוצאות החיפוש.

  1. בדוק איפה השרת ממוקם ומי בכלל מנהל אותו.
  2. בדוק מה הוא שומר וכמה זמן.
  3. אם אתה אוסף נתונים של מבקרים, הוסף מקצר קישורים למדיניות הפרטיות שלך. משפט אחד. זה באמת לא כואב.

וזה הכל. זה אינו ייעוץ משפטי (אני לא עורך הדין שלך), אך זהו הבסיס שעליו בניית תאימות קלה הרבה יותר מאשר כאשר נתונים בורחים מעבר לאוקיינוס כבר מהלחיצה הראשונה.

ואם היית צריך לזכור משפט אחד מזה: לפני שאתה מפרסם קישור לניוזלטר, בדוק לאן תנחת כתובת ה-IP של הקוראים שלך. זו שאלה של חמש דקות, שחוסכת הרבה יותר עצבים בהמשך.