Pređi na vsebino
cutty.dev
All posts

Skrajševalnik povezav in GDPR — kaj morate vedeti, preden vstavite povezavo v e-novice

Skrajševalci povezav zbirajo podatke o klikih — kar že vključuje temo GDPR. Razložimo, kaj skrajševalnik vidi, kje ti podatki končajo in zakaj je lokacija strežnika pomembna, ko delate v EU.

Enega klika na skrajšano povezavo pomeni v povprečju štiri tiho zabeležene podatke: IP naslov, brskalnik, sistem, vir vstopa. Štiri. Zdaj to pomnožite s 3000 prejemnikov novice, ki nedeljsko zjutraj kliknejo na povezavo do vaše ponudbe. Nenadoma imate bazo nekaj tisoč zapisov, ki jih niste niti videli.

In to je natanko tisti trenutek, ko skrajševalec povezav in GDPR ne postane več teoretične težave pravnikov, temveč postane tvoja.

IP v Uniji je osebni podatek. Ne »skoraj«, ne »v nekaterih primerih«. Osebni podatek. Če v podjetniški kampanji uporabite skrajšano povezavo, kot administrator odgovarjate za to, kaj se zgodi z IP naslovom ljudi, ki kliknejo nanjo.

Kaj dejansko vidi skrajševalec, ko nekdo klikne

Seznam je krajši, kot se zdi, vendar dovolj gost:

  • IP obiskovalca (torej ta določena oseba, ki jo omenjamo zgoraj),
  • user agent, torej brskalnik in sistem,
  • referer — s katere strani je prišel obisk,
  • približna lokacija, izračunana iz tega IP.

To je dovolj, da dobite lepe statistike klikov. To je dovolj tudi za to, da se zapletete v obveznosti, o katerih večina ljudi ne razmišlja, ko hitro pripravlja povezavo pred pošiljanjem.

Kje se ti podatki shranijo (in zakaj je to pomembneje od samih statistik)

Tukaj je prava past. Veliko znanih kratic je podjetja izven Evrope, najpogosteje ameriška. Kliknete »skrajšaj«, prilepite povezavo do novice, podatki o tem, kdo, kdaj in od kod je kliknil, pa odpotujejo čez ocean.

Dve težavi, ena za drugo.

Prvi: prenos podatkov izven EU potrebuje pravno podlago, sama osnova za ta prenos pa je lahko nestalna. Predpisi so se že večkrat spremenili in nič ne kaže na to, da bi to bil konec.

Drugi: podatki padejo pod druge pravne okvire. Kot evropski administrator jih preprosto ne nadzoruješ. To, kje fizično stoji strežnik, ne postane več dolgočasna podrobnost v dokumentaciji. Postane odločitev o tem, ali si skladan z GDPR ali ne.

Kaj dejansko zmanjšuje tveganje

Tri stvari. Brez magije.

Strežnik v EU. Podatki o klikih ne izhajajo iz Evrope, zato celotna zadeva s transatlantskim prenosom preprosto izpade. Manj za prevajanje, manj za nadzorovanje.

Manj zbranih podatkov. Čim manj orodje shranjuje, čim manj skrbi. Dobro je, ko je IP hashiran namesto v čistem obliki — takrat vidite statistiko, vendar ne shranjujete surovega naslova posameznika. To je prav ta funkcija, ki smo jo vključili v cutty.dev, saj brez nje vse ostalo ni polovično.

Brez sledenja med storitvami. Brskalnik, ki ne povezuje profila obiskovalca in ne prodaja podatkov dalje, pomeni en problem manj na seznamu.

V praksi, ali kako postopati v ponedeljek zjutraj

Ne gre za to, da bi nehali skrajšati povezave. Skrajšujte. Gre le za to, da izberete orodje zavestno, ne pa prvega, ki ga najdete v iskalniku.

  1. Preverite, kje stoji strežnik in kdo ga sploh upravlja.
  2. Preverite, kaj shranjuje in kako dolgo.
  3. Če zbirate podatke obiskovalcev, v svojo politiko zasebnosti dodajte kraticnik URL-jev. Le ena stavnica. Res ni boleče.

In to je vse. To ni pravni nasvet (nisem vaš pravnik), vendar je temelj, na katerem se skladnost gradi veliko lažje, kot ko podatki že ob prvem kliku pobegnejo čez ocean.

In če bi si moral zapomnati le en stavek: preden objavite povezavo do e-novic, preverite, kje bo pristala IP naslov vaših bralcev. To je vprašanje za prihodnost, ki vam bo prihranilo veliko več živčnih momentov pozneje.