Pređi na sadržaj
cutty.dev
All posts

Skraćivač linkova i GDPR — šta treba da znate pre nego što ubacite link u newsletter

Skraćivači linkova prikupljaju podatke o klikovima — a to je već tema GDPR-a. Objašnjavamo šta skraćivač vidi, gde ti podaci završavaju i zašto lokacija servera ima značaja kada poslujete u EU.

Jedan klik na skraćeni link u proseku znači četiri podaci upisana u tišini: IP adresa, pretraživač, operativni sistem, izvor ulaza. Četiri. A sada to pomnožite sa 3000 primalaca newslettera koji u nedelju ujutru klikću na link vaše ponude. Odjednom imate bazu od nekoliko hiljada zapisa koje niste ni videli.

I to je tačno onaj trenutak u kojem skraćivač linkova a GDPR prestaje da bude teorijski problem pravnika, a postaje tvoj.

IP adresa u Uniji je lični podatak. Ne „skoro", ne „u nekim slučajevima". Lični podatak. Ako koristite skraćeni link u kompanijskoj kampanji, kao administrator odgovarate za to šta se dešava sa IP adresama ljudi koji kliknu na njega.

Šta skraćivač zapravo vidi kada neko klikne

Lista je kraća nego što se čini, ali dovoljno gusta:

  • IP posetioca (odnosno ta osoba o kojoj je gore rečeno),
  • user agent, odnosno pretraživač i sistem,
  • referer — sa koje stranice je došlo do ulaska,
  • približna lokalizacija, izračunata na osnovu te IP adrese.

To je dovoljno da se dobiju lepe statistike klikova. To je takođe dovoljno da se upadne u obaveze o kojima većina ljudi ne razmišlja, dok brzo lepi link pre slanja.

Gde ovi podaci dospevaju (i zašto je to važnije od samih statistika)

Tu je prava zamka. Mnogi poznati skraćivači su firme van Evrope, najčešće američke. Kliknete „skrati“, nalepite link za newsletter, a podaci o tome ko, kada i odakle je kliknuo, odlaze preko okeana.

Dva problema, jedan po jedan.

Prvi: prenos podataka van EU zahteva pravni osnov, a sam temelj tog prenosa može biti nestabilan. Propisi su se već menjali nekoliko puta i ništa ne ukazuje na to da je ovo kraj.

Drugi: podaci potpadaju pod drugi pravni poredak. Kao evropski administrator, vi ga jednostavno ne kontrolišete. To gde se server fizički nalazi, prestaje da bude dosadna detalj iz dokumentacije. Postaje odluka o tome da li ste u skladu sa GDPR-om ili ne.

Šta realno smanjuje rizik

Tri stvari. Bez magije.

Server u EU. Podaci o klikovima ne izlaze iz Evrope, tako da cela tema transatlantskog transfera jednostavno otpada. Manje za prevod, manje za nadgledanje.

Manje prikupljenih podataka. Što manje alat zadržava, to manje brige imate. Dobro je kada je IP hešovan umesto da stoji u čistom obliku — tada vidite statistiku, ali ne skladištite sirovu adresu konkretne osobe. To je upravo funkcija koju smo ugradili u cutty.dev, jer bez nje sve ostalo dolazi samo do pola.

Nema praćenja između usluga. Alat koji ne povezuje profil posetioca i ne prodaje podatke dalje, to je jedna stvar manje na listi.

U praksi, odnosno šta uraditi u ponedeljak ujutru

Ne radi se o tome da prestanete da skraćujete linkove. Skraćujte. Radi se samo o tome da izaberete alat svesno, a ne prvi koji vam iskoči u pretraživaču.

  1. Proveri gde se nalazi server i ko ga uopšte vodi.
  2. Proveri šta čuva i koliko dugo.
  3. Ako prikupljaš podatke o posetiocima, dodaj skraćivač linkova u svoju politiku privatnosti. Samo jedna rečenica. Zaista ne boli.

I to je sve. Ovo nije pravni savet (nisam vaš advokat), ali to je temelj na kojem se usklađenost gradi mnogo lakše nego kada podaci od prvog klika odlaze preko okeana.

A ako bi trebalo da zapamtiš samo jednu rečenicu: pre nego što postaviš link ka newsletteru, proveri gde će se nalaziti IP adresa tvojih čitalaca. To je pitanje koje može sačekati pet minuta, a štedi mnogo više kasnijeg nerviranja.