Linkrövidítő és a GDPR — mit érdemes tudnod, mielőtt linket teszel egy hírlevélbe

Egyetlen kattintás egy rövidített linken átlagosan négy adat kerül csendben rögzítésre: IP-cím, böngésző, rendszer, bemeneti forrás. Négyször. Most pedig szorozd meg ezt a hírlevél 3000 feliratkozójával, akik vasárnap reggel rákattintanak az ajánlatod linkjére. Hirtelen több ezer olyan adatbázisod lesz, amiket még soha nem láttál a szemeddel.

És ez pontosan az a pillanat, amikor a linkrövidítő és a GDPR már nem az ügyészek elméleti problémája, hanem a tiéd lesz.

Mert az IP-cím az EU-ban személyes adat. Nem „szinte”, nem „bizonyos esetekben”. Személyes adat. Ha egy rövidített linket használsz egy céges kampány során, mint adminisztrátor felelős vagy azért, ami történik az arra kattintó emberek IP-címével.

Mit lát valójában egy rövidítő, amikor valaki rákattint

A lista rövidebb, mint amilynek tűnik, de elég sűrű:

• A látogató IP címe (azaz az im выше említett személy),
• user agent, azaz a böngésző és a rendszer,
• referer — honnan érkezett a látogatás,
• becsült helyszín, amely az IP cím alapján számolt.

Ennyi elég ahhoz, hogy szép kattintási statisztikákat érjünk el. Ennyi elég arra is, hogy beleesünk olyan obowiąlatokba, amikről a legtöbb ember nem gondol, amikor gyorsan illesztesz egy linket a küldés előtt.

Hová kerülnek ezek az adatok (és miért fontosabbak, mint magán a statisztikák)

Itt van a valódi csapda. Sok ismert rövidítő szoftver nem európai, leggyakrabban amerikai cég. Megnyomod a „skróć” gombot, beilleszted a hírlevél linkjét, a megosztásról, hogy ki, mikor és honnan kattintott, az adatok pedig átúsznak az óceánon keresztül.

Két probléma, egymás után.

Első: az EU outside történő adatátvitelnek jogalap van szüksége, és maga az átviteli alap is változó lehet. A szabályozás már többször megváltozott, és semmi sem utal arra, hogy ez lenne a vége.

Második: az adatok egy másik jogi szabályozás alá esnek. Európai adminisztrátorként egyszerűen nem tudod kontrollálni őket. Az, hogy a szerver fizikailag hol áll, már nem a dokumentáció unalmas részlete marad. Elem trởássá válik egy döntéssé arról, hogy megfelelsz-e a GDPR-nak vagy sem.

Mi csökkenti valójában a kockázatot

Három dolog. Magia nélkül.

Szerver az EU-ban. A kattintási adatok nem távolodnak el Európából, így a transzatlanti átutalás kérdése egyszerűen kiesik a képből. Kevesebb fordítandó, kevesebb felügyelni való.

Kevesebb gyűjtött adat. Minél kevesebbet tart meg az eszköz, annál kevesebb gondod van. Jó, ha az IP-t hashált formában tárolják a tiszta szöveg helyett — ilyenkor látod a statisztikákat, de nem tárolod egy konkrét személy nyers címét. Ez pont az a funkció, amelyet beépítettünk a cutty.dev oldalra, mert nélküle az egész többi dolog félmegoldás.

Nincs szolgáltatásközi nyomon követés. Egy olyan szoftver, amely nem kapcsolja össze a látogató profilját és nem adja tovább az adatokat, egy problémával kevesebb a listán.

A gyakorlatban, azaz mit tegyünk hétfő reggelen

Nem arról van szó, hogy ne rövidítenél tovább linkeket. Rövidíts! Csak arról van szó, hogy válaszd tudatosan a eszközt, és ne az elsőt, amit a kereső talál.

1. Ellenőrizd, hol áll a szerver, és ki vezeti azt egyáltalán.
2. Ellenőrizd, mit tárol, és milyen ideig.
3. Ha gyűjtöd a látogatók adatait, írj hozzá egy rövidítő linket az adatvédelmi szabályzatodhoz. Egyetlen mondat. Valóban nem fájdalmas.

Ennyi az egész. Ez nem jogi tanács (nem vagyok az Ön ügyvédi), de ez az alap, amelyre a megfelelőség sokkal könnyebben felépíthető, mint amikor az adatok az első kattintástól kezdve elmennek az óceán túlra.

És ha csak egy mondat maradna meg ezből: mielőtt bemásolod a hírlevél linkjét, ellenőrizd, hová fog érkezni az olvasóid IP-címe. Ez egy olyan kérdés, amely megmenthet sok későbbi idegességet.