Idi na sadržaj
cutty.dev
All posts

Skraćivač poveznica i GDPR — što morate znati prije nego što ubacite poveznicu u newsletter

Skraćivači poveznica prikupljaju podatke o klikovima — a to je već tema GDPR-a. Objašnjavamo što skraćivač vidi, kamo ti podaci odlaze i zašto lokacija poslužitelja ima značaja kada poslujete u EU.

Jedan klik na skraćenu poveznicu u prosjeku znači četiri podatka koja su tiho zabilježena: IP adresa, preglednik, sustav, izvor ulaska. Četiri. A sada to pomnožite s 3000 primatelja newslettera koji u nedjelju ujutro kliknu na poveznicu vaše ponude. Odjednom imate bazu od nekoliko tisuća zapisa koje niste ni vidjeli.

I to je točno onaj trenutak u kojem skraćivač poveznica i GDPR prestaju biti teoratski problem pravnika, a postaju tvoj.

IP adresa u EU je osobni podatak. Ne „skoro", ne „u nekim slučajevima". Osobni podatak. Ako koristite skraćeni link u poslovnoj kampanji, kao administrator odgovarate za ono što se događa s IP adresama ljudi koji kliknu na njega.

Što skraćivač zapravo vidi kada netko klikne

Lista je kraća nego što se čini, ali dovoljno gusta:

  • IP posjetitelja (odnosno osoba spomenuta iznad),
  • user agent, odnosno preglednik i sustav,
  • referer — s koje stranice je došlo ulazno mjesto,
  • približna lokacija, izračunata na temelju te IP adrese.

To je dovoljno da se dobiju lijepe statistike klikova. To je također dovoljno da upadnete u obaveze o kojima većina ljudi ne razmišlja, brzo lijepeći link prije slanja.

Gdje ti podaci završavaju (i zašto je to važnije od samih statistika)

Ovdje je prava zamka. Mnogi poznati skraćivači su tvrtke izvan Europe, najčešće američke. Kliknete „skrati“, zalijepite poveznicu na newsletter, a podaci o tome tko, kada i odakle je kliknuo, odlaze preko oceana.

Dva problema, jedan za drugim.

Prvi: prijenos podataka izvan EU zahtijeva pravnu osnovu, a sam temelj tog prijenosa zna biti nestalan. Propisi su se već nekoliko puta mijenjali i ništa ne ukazuje na to da je ovo kraj.

Drugi: podaci podležu drugom pravnom redu. Kao europski administrator ih jednostavno ne kontroliraš. To gdje se server fizički nalazi prestaje biti dosadna pojedinost iz dokumentacije. Postaje odluka o tome jesi li u skladu s GDPR-om ili ne.

Što stvarno smanjuje rizik

Tri stvari. Bez magije.

Poslužitelj u EU. Podaci o klikovima ne izlaze iz Europe, tako da cijela tema transatlantskog transfera jednostavno otpada. Manje za objašnjavanje, manje za nadziranje.

Manje prikupljenih podataka. Što manje alat zadržava, to manje brige imate. Dobro je kada je IP hashiran umjesto da stoji u čistom obliku — tada vidite statistiku, ali ne pohranjujete sirovu adresu konkretne osobe. To je upravo ona funkcija koju smo ugradili u cutty.dev, jer bez nje sve ostalo dolazi samo pola ispunjeno.

Nema praćenja između usluga. Skraćivač koji ne spaja profil posjetitelja i ne prodaje podatke dalje, to je jedna manje briga na popisu.

U praksi, odnosno što učiniti u ponedjeljak ujutro

Ne radi se o tome da prestanete skraćivati poveznice. Skraćujte. Radi se samo o tome da odaberete alat svjesno, a ne prvi koji vam padne na oči u tražilici.

  1. Provjeri gdje se nalazi poslužitelj i tko ga uopće vodi.
  2. Provjeri što pohranjuje i koliko dugo.
  3. Ako prikupljaš podatke posjetitelja, dodaj skraćivač u svoju politiku privatnosti. Samo jedna rečenica. Zaista ne boli.

I to je sve. Ovo nije pravni savjet (nisam vaš odvjetnik), ali to je temelj na kojem se usklađenost gradi puno lakše nego kada podaci od prvog klika odlaze preko oceana.

A ako bi trebao zapamtiti samo jednu rečenicu: prije nego što objaviš poveznicu na newsletter, provjeri gdje će završiti IP adresa tvojih čitatelja. To je pitanje za pet minuta koje štedi puno više kasnijih živaca.