Prejsť k obsahu
cutty.dev
All posts

Skracovač odkazov a GDPR — čo musíte vedieť, predtým ako vložíte odkaz do newslettera

Skracovače odkazov zbierajú údaje o kliknutí — a to je už téma GDPR. Vysvetľujeme, čo skracovač vidí, kde tieto údaje končia a prečo má poloha servera význam, keď pôsobíte v EÚ.

Jedno kliknutie na skrátený odkaz znamená v priemere štyri údaje zapísané v tichosti: IP adresa, prehliadač, systém, zdroj vstupu. Štyri. A teraz to vynásobte 3000 odberateľov newslettera, ktorí v nedeľu ráno klikajú na odkaz na vašu ponuku. Máte náhle databázu niekoľkých tisíc záznamov, ktoré ste ani nevidel na očiach.

A toto je presne ten moment, kedy skracovač odkazov a GDPR prestáva byť teoretickým problémom právnikov, a začína byť tvojím.

IP adresa v Európskej únii je osobný údaj. Nie „takmer“, nie „v niektorých prípadoch“. Osobný údaj. Ak v firemnom kampani použijete skrátený odkaz, ako administrátor zodpovedáte za to, čo sa deje s IP adresami ľudí, ktorí naň kliknú.

Čo skutočne vidí skracovač, keď niekto klikne

Zoznam je kratší, než sa zdá, ale dostatočne hustý:

  • IP návštevníka (teda táto konkrétna osoba, o ktorej je vyššie uvedené),
  • user agent, teda prehliadač a systém,
  • referer — z ktorej stránky prišiel vstup,
  • približná lokalita, vypočítaná z tohto IP.

Toľko stačí na to, aby sa vytvorila pekná štatistika kliknutí. Toľko je tiež dosť na to, aby ste sa zapletli do povinností, o ktorých väčšina ľudí nepremýšľa, keď si rýchlo vložia odkaz pred odoslaním.

Kde sa tieto údaje ukladajú (a prečo je to dôležitejšie než samotná štatistika)

Tu je ten skutočný háčik. Mnohé známe skracovače sú firmy spoza Európy, najčastejšie americké. Kliknete na „skráť“, vložíte odkaz na newsletter a údaje o tom, kto, kedy a odkiaľ klikol, odletia cez oceán.

Dva problémy, jeden po druhom.

Prvý: prenos údajov mimo EÚ potrebuje právny základ a samotný základ pre tento prenos býva nestabilný. Predpisy sa už niekoľkokrát menili a nič neindikuje, že toto je koniec.

Druhý: údaje padajú pod iný právny poriadok. Ako európsky správca ho jednoducho nekontroluješ. To, kde fyzicky stojí server, prestáva byť nudným detailom z dokumentácie. Stáva sa rozhodnutím o tom, či si v súlade s GDPR, alebo nie.

Čo reálne znižuje riziko

Tri veci. Bez mágie.

Server v EÚ. Dáta z kliknutí neopustia Európu, takže celá téma transatlantického transferu jednoducho vypadáva. Menej na preklad, menej na dohliadanie.

Menej zhromažďovaných údajov. Čím menej nástroj drží, tým menej máš na starostiach. Dobré je, keď je IP hashovaná namiesto toho, aby bola v surovej forme — vtedy vidíš štatistiky, ale neukladáš si surovú adresu konkrétnej osoby. To je práve tá funkcia, ktorú sme zabudovali do cutty.dev, pretože bez nej je všetko ostatné len polovičné.

Žiadne sledovanie medzi službami. Prehliadač, ktorý nespojuje profily návštevníkov a nepredáva údaje ďalej, je o jeden problém menej na zozname.

V praxi, teda čo urobiť v pondelok ráno

Nejde o to, aby ste prestali skracovať odkazy. Skracujte. Ide len o to, aby ste si vybrali nástroj uvedomele, a nie prvý, ktorý nájdete vo vyhľadávači.

  1. Skontroluj, kde beží server a kto ho vôbec vedie.
  2. Skontroluj, čo uchováva a ako dlho.
  3. Ak zbierate údaje o návštevníkoch, dopíšte skracovač do svojej zásady ochrany osobných údajov. Jedna veta. Naozaj to nebolí.

A to je všetko. Toto nie je právne poradenstvo (nie som váš právnik), ale je to základ, na ktorom sa zhoda buduje oveľa jednoduchšie, než keď údaje od prvého kliknutia unikajú za oceán.

A ak by si si z toho mal zapamätať jednu vetu: skôr než vložíš odkaz do newslettera, skontroluj, kde skončí IP tvojich čitateľov. Je to otázka na päť minút, ktorá uštede tímu oveľa viac neskorších nervov.