Google Analytics och GDPR – vad gäller?

Google har, precis som många andra, fått kämpa för att uppfylla GDPR. Men nu har de släppt nya funktioner för att du ska kunna fortsätta använda deras tjänster.

Sammanfattning för dig som är stressad

Du kan fortfarande använda Googla Analytics, men du bör se över vad du lagrar. Sluta samla in personuppgifter som du inte behöver. Om du anser att du har laglig grund att samla in vissa uppgifter, använd funktionen för automatisk rensning. Håll också koll på Googles sida för utvecklare, där de kommer släppa ett nytt verktyg för att kunna radera all information om en specifik person.

Så påverkar GDPR Google analytics

Här kommer hela inlägget för dig som har, eller tar dig, mer tid.

Se över vad det är du lagrar

Google Analytics bryter inte mot GDPR i sig, det är hur du använder det som påverkar. Så det första du måste göra är att se över vad det är du lagrar och för statistik över. De flesta av oss har länge fört statistik på allt, bara för att det går. Och det är just detta GDPR vill få oss att sluta med. Och ärligt talat, använder du dig verkligen av all statistik du samlar in?

De flesta av oss samlar in mer än vi hinner analysera och agera på, så se GDPR som en anledning att vårstäda i din statistik. Än en gång kan GDPR vara sparken i baken som får oss att ta fram en genomtänkt strategi – vad är det vi behöver ha reda på och på vilket sätt kommer det hjälpa oss?

För de allra flesta av oss går det bra att använda Analytics utan att spåra några personuppgifter. Det som är intressant är vad dina besökare gör, inte exakt vem som gör det. Du måste kanske inte veta ip-nummer eller andra uppgifter som kopplar data till en specifik person.

Så steg ett – rensa i vad du samlar in. Kom ihåg en av GDPR.s grunder: minimera data du samlar in. Om du samlar in personuppgifter, se till att du har en laglig grund för dessa och att informera de som berörs av det.

Automatisk radering av data

Om du kommer fram till att du ska lagra personuppgifter kan du numera ställa in en hur länge din statistik ska lagras. Efter din valda period raderas användar- och händelsedata kopplade till cookies, användaridentifierare (till exempel användar-ID) och annonsidentifierare (till exempel dubbelklickcookies, Androidannonserings-ID, Apples identifierare för annonsörer).

Du kan välja mellan följande perioder innan data raderas:

  • 14 månader
  • 26 månader
  • 38 månader
  • 50 månader
  • Att inte radera automatiskt alls.

En gång i månaden kommer all data som uppfyllt kriterierna raderas. Data som lagrats fram till och med 25 maj kommer inte att påverkas, så där måste du radera manuellt.

Om du byter från ett längre till ett kortare intervall kommer data som uppfyller det nya kriteriet raderas nästa gång den automatiska raderingen sker. Så om du ändrar från 26 till 14 månader, kommer all data som är äldre än 14 månader raderas nästa gång systemet raderar data. Ändringen sker alltså inte omgående.

Varje gång du gör en ändring tar det 24 timmar innan ändringen slår igenom. Det innebär att du har 24 timmar på dig att ändra dig utan att någon data har påverkats.

Så ställer du in tidsintervallet

  1. Gå in i adminvyn.
  2. Välj vilken egendom du vill göra inställningen för
  3. I kolumnen för egendom, välj spårningsinfo
  4. Välj Datalagring
  5. I Lagring av användar- och händelsedata, välj vilket tidsintervall du vill använda
bild på hur sidan för inställningar ser ut i Google analytics

Ett litet kryphål

Du kan välja att räkna om tiden från varje gång en person kommer in på er webbplats. Det innebär att om du har satt tiden på 14 månader, och en person kommer in efter sju månader igen, så räknas tiden om från det senare besöket. Om personen i fråga fortsätter komma in var sjunde månad kommer den personens data aldrig raderas.

Vi på 7minds ställer oss tvivlande till att detta kommer anses korrekt enligt GDPR. Det framgår inte av Googles information idag om den funktionen är automatiskt påslagen eller ej, så bäst är att du går in och kontrollerar. Den heter Reset on new activity, och du ska ställa in funktionen på off, om du vill att data ska raderas när den når tidsgränsen, oavsett om personen har varit inne igen eller ej.

Du slår på och av funktionen på samma sida som du ställer in tidsintervallet (nummer 6 i bilden ovan).

Funktion för att radera personuppgifter

Innan den 25 maj kommer Google också lansera ett verktyg som gör att du kan hantera och radera alla data kopplad till en individuell användare (till exempel en specifik webbplatsbesökare). Vi misstänker att denna funktion är till för att kunna leva upp till kravet att kunna radera alla uppgifter om en specifik person, om den ber om det.

Funktionen ska fungera i både Google Analytics och Analytics 360 properties. Mer information kommer komma på Googles sida för utvecklare under rubriken User Deletion API. Håll utkik där!

Uppdaterade avtal

Google har också uppdaterat sina avtal för att uppfylla kriterierna som personuppgiftsansvarig eller personuppgiftsbiträde. För både Analytics och Analytics 360 är Google personuppgiftsbiträde.

Google har också uppdaterat sina användarvillkor för annonsfunktioner för att uppfylla GDPR. Där står det att det är ditt ansvar för att upplysa slutanvändaren och få samtycke.

Läs mer om de nya villkoren på Googles sida om personuppgiftshantering

Den här texten bygger på information från Google själva och vårt eget konto. Eftersom det saknas praxis inom området kan rekommendationerna här komma att ändras framöver. Vi rekommenderar att ni även rådgör med den som är ansvarig för personuppgifter i er organisation eller med egen jurist.

Mer information om GDPR hittar du på Datainspektionens webbplats