从 5 月 25 日开始,Google 将更改数据保留的默认设置,这意味着如果您不采取行动,一些早于截止日期的数据将被自动删除。
您可以在Krista Seddon 的个人博客上阅读有关此次变更的更多详细信息(Krista 在 Google 工作,但本文是以她个人身份撰写的)。
我之所以说这严格来说不是 GDPR 的事情,是因为它与 Google 在其端所做的改变有关,以确保其履行作为数据处理者的义务。它为您提供了您可能需要的工具,但与您的 GDPR 合规性并不严格相关。对于根据 GDPR 需要/被允许将这些数据存储在 GA 中多长时间的问题,没有具体的“正确”答案,但从我的理解来看,鉴于它不应该是 PII(见下文),对于大多数组织来说,这实际上不是一个 GDPR 问题。特别是,没有特别的理由认为 Google 的默认设置是您在 GDPR 下可以选择的正确/强制/唯一设置。
行动:审查您的法律团队做出的承诺和新的隐私政策,以了解适合您组织的正确时间表设置。在没有得到用户明确承诺的情况下,我的理解是,您可以保留您之前被授权获取的任何数据,直到您收到针对该数据的删除请求。因此,虽然大多数组织至少会对隐私政策做出一些更改,但大多数GA 用户可以切换回无限期保留这些数据。
结论 2:Google 正在删除 GA 帐户以获取 PII。
在 Google Analytics 中存储个人身份信息 (PII) 长期以来一直违反服务条款。不过,最近谷歌似乎在检查 PII 是否存在方面变得更加勤勉,并且 WS电话列表 在处理发现 PII 的帐户方面也变得更加强大。更简单地说,如果 Google 发现 PII,他们就会删除您的帐户。
目前无法确定这是否与 GDPR 有关,但如果有必要,能够向监管机构证明他们正在对任何违反其 PII 相关条款的人采取强有力的行动,这是谷歌降低其作为数据处理者所面临的风险的明确一步。在大多数账户都是免费账户的地区,这一点尤其有意义。就像上一点一样,我之所以这么说,是因为与谷歌对 GDPR 实施的回应有关,完全有可能让你 最佳付费搜索 KPI 是什么? 的用户允许他们在 GA 等第三方服务中记录他们的数据,同时仍然完全遵守法规。无论您的用户授予您多少权限,Google 的 GDPR 打击(以及已经实施一段时间的相关条款的严格执行)意味着这是一个比以前更大的新威胁。
措施:审核您的 GA 个人资料并针对 PII 风险采取行动:
- 您可以通过多种方式在 GA 内部找到可识别个人身份的数据,例如页面标题、URL、自定义数据等。(查看这两个优秀的 指南)
- 您还可以通过查看标签管理器中的规则和/或查看关键页面上的代码来审核您的实施情况。潜在嫌疑人是人们登录、在您的网站上采取重要行动、向您提供额外的个人信息或退出的地方。
不要听取美国大型科技公司的欧盟法律建议。
谷歌作为数据处理者,为了“仅仅”遵守规定,需要付出巨大的内部努力和协调。不幸的是,有强有力的论据表明,这种对消费者友好的监管将给小 购买线索 公司带来巨大的合规负担,巩固谷歌和 Facebook 的双头垄断和主导地位,并使他们能够将成本和合规负担转移到已经陷入困境的行业。
无论监管的预期或非预期后果如何,在我看来,我们不应该将我们企业(以及我们的客户)的合规性建立在科技巨头的自私建议和行动之上。无论他们自身的遵守程度多么令人印象深刻,他们提供的指导材料都给我留下了极为深刻的印象。例如,看看谷歌的 GDPR“清单” ——这并不完全是我所希望的: