Cùng tìm hiểu ý nghĩa của việc sử dụng GA4 tuân thủ GDPR và cách vượt qua các thách thức. Khám phá các tính năng của GA4, hiểu về hoạt động chuyển dữ liệu sang US, đảm bảo việc thu thập, chuyển đổi, chia sẻ và lưu giữ dữ liệu phù hợp. Tìm giải pháp thay thế GDPR và khám phá giải pháp biểu ngữ cookie.
Google Analytics 4 là phiên bản kế thừa của Universal Analytics mà Google đã giới thiệu là công cụ thân thiện với quyền riêng tư để theo dõi dữ liệu người dùng trên website.
Các doanh nghiệp tuân thủ GDPR ở EU tự hỏi rằng liệu cuối cùng họ có thể yên tâm sử dụng công cụ theo dõi này không.
Bài viết này sẽ giải thích chi tiết về vấn đề đó.
Phải có Khung bảo mật dữ liệu EU-US, thì mới có thể sử dụng cookies với sự đồng ý của người dùng. Bạn sẽ tìm hiểu về:
- Google Analytics 4 có tuân thủ GDPR không?
- Cách sử dụng GA4 tuân thủ GDPR
- Cách sử dụng Nền tảng phân tích Website tuân thủ GDPR
- Cách quản lý các yêu cầu tuân thủ GDPR cho GA4
Mục lục bài viết
- Google Analytics 4 có tuân thủ GDPR không?
- Cách làm cho Google Analytics tuân thủ GDPR
- Thu thập dữ liệu Google Analytics tuân thủ GDPR
- Chuyển dữ liệu Google Analytics tuân thủ GDPR sang US
- Chia sẻ dữ liệu Google Analytics tuân thủ GDPR
- Lưu giữ dữ liệu Google Analytics tuân thủ GDPR
- Cách sử dụng nền tảng phân tích Website tuân thủ GDPR
- Biểu ngữ chấp thuận cookie tuân thủ GDPR đối với Google Analytics 4
Google Analytics 4 có tuân thủ GDPR không?
Công cụ Google Analytics là trung lập. Nó vốn không tuân thủ GDPR. Tùy thuộc vào bạn chọn sử dụng tuân thủ luật bảo mật dữ liệu hoặc không.
Google Analytics cung cấp công cụ phân tích để theo dõi tương tác của khách hàng truy cập website, cung cấp insight về mô hình sử dụng có giá trị. Tuy nhiên, nó thực hiện bằng cách xử lý thông tin nhận dạng cá nhân (PII), điều đó cho thấy GDPR có sức ảnh hưởng.
GA4 có thể được sử dụng kết hợp với các sản phẩm khác của Google, như Google Ads advertising và công cụ remarketing. Họ sử dụng dữ liệu GA để tìm hiểu những gì khách truy cập đã thấy trên website hoặc app, sau đó phân phối cho họ những quảng cáo liên quan đến nội dung họ tìm kiếm.
GA4 là phiên bản mới nhất của Google Analytics, đi kèm với một vài tính năng bảo mật giúp phiên bản này thân thiện với quyền riêng tư hơn so với phiên bản trước đó. Một số tính năng cho phép chủ sở hữu website có thể thực hiện được, bao gồm:
- Sử dụng ẩn danh IP
- Hạn chế thu thập dữ liệu trên các website cụ thể
- Đặt thời gian lưu giữ dữ liệu ngắn hơn
- Xóa dữ liệu theo yêu cầu xóa dữ liệu
Điều đó có nghĩa là bạn không thể sử dụng GA4 một cách tự do mà không có sự đồng ý của người dùng.
Các điều khoản xử lý của Google nêu rõ rằng các dịch vụ GA thu thập dữ liệu như “online identifiers, bao gồm cookie indentifiers, inter protocol addresses, và device identifiers; client identifiers”. Đó là dữ liệu cá nhân theo GDPR và được pháp luật bảo vệ.
Trước khi tìm hiểu kỹ những gì cần làm để sử dụng cookie GA4 tuân thủ GDPR, điều quan trọng là phải hiểu quá trình chuyển dữ liệu của Google từ EU sang US.
GA xử lý dữ liệu cá nhân thay cho bạn. Google chuyển dữ liệu đó từ EU sang US để xử lý. Mặc dù họ có pháp nhân đã đăng ký ở Ireland, nhưng họ vẫn phải tuân theo luật pháp US, bao gồm FISA 702 và CLOUD Act.
Các luật này bắt buộc Google phải chuyển mọi dữ liệu cho các cơ quan thực thi của US mà họ kiểm soát được xử lý, bao gồm cả dữ liệu GA4.
Để hình dung nó trông như thế nào: hãy tưởng tượng rằng bạn điều hành một cửa hàng E-commerce bán áo sơ mi. Một người dùng truy cập vào website của bạn. Các nhà chức trách US theo dõi dữ liệu người đó vì họ có thể liên quan đến các hoạt động của tội phạm. Họ yêu cầu dữ liệu từ Google và họ phải cung cấp dữ liệu đó. Người truy cập website không dễ dàng tiếp cận cơ quan tòa án US để yêu cầu khắc phục, do đó, gần đây, EU xem US là một quốc gia không an toàn để chuyển dữ liệu.
Gần đây, thông qua quyết định về mức độ phù hợp đối với việc chuyển dữ liệu giữa EU và US, US đã trở thành một quốc gia hợp pháp và giờ đây bạn có thể tự do chuyển dữ liệu sang US cho mục đích xử lý.
Trong những tháng gần đây, cơ quan bảo vệ dữ liệu của Austrian, CNIL của Pháp và một số cơ quan khác đã phạt các doanh nghiệp chuyển dữ liệu cá nhân sang US thông qua Google Analytics. Theo các quyết định, việc chuyển nhượng là bất hợp pháp.
Cần lưu ý rằng Google Analytics không phải là bất hợp pháp, nhưng việc chuyển giao dữ liệu của nó là bất hợp pháp.
Và quyết định về mức độ thỏa đáng mới đã thay đổi tất cả và khiến Google Analytics trở nên hữu ích hơn.
Tuy nhiên, sử dụng dịch vụ GA đồng nghĩa với việc bạn thu thập và xử lý dữ liệu cá nhân.
Những điểm nổi bật của GA4:
- Google Analytics 4 và Universal Analytics có thể ẩn IP addresses, giúp giảm lượng dữ liệu cá nhân được xử lý.
- Tuy nhiên, Google không chỉ sử dụng IP address để theo dõi traffic website. Nó cũng sử dụng các loại dữ liệu cá nhân khác như online identifier và device identifiers để tạo ID user. Điều này có nghĩa là ngay cả khi bạn ẩn IP address, Google Analytics 4 vẫn đang xử lý dữ liệu cá nhân. Vì vậy, nếu ở EU, bạn cần hiển thị biểu ngữ cookie để nhận được sự đồng ý của người dùng đối với phân tích.
- Google chưa có thông báo về việc chuyển dữ liệu sang US.
Cuối cùng, bạn cần đảm bảo rằng cách bạn sử dụng Google Analytics tuân theo các quy tắc GDPR.
Cách làm cho Google Analytics tuân thủ GDPR
Để đảm bảo rằng bạn sử dụng Google Analytics 4 tuân thủ GDPR, bạn cần đảm bảo tuân thủ GDPR trong tất cả các giai đoạn xử lý dữ liệu, bao gồm:
- Thu thập dữ liệu
- Chuyển dữ liệu
- Chia sẻ dữ liệu
- Lưu trữ dữ liệu
Thu thập dữ liệu Google Analytics tuân thủ GDPR
Cookie Google Analytics 4 cần có sự đồng ý rõ ràng trước khi sử dụng. Bạn phải hỏi người dùng xem họ có đồng ý cho bạn sử dụng cookie hay không.
Hơn nữa, sự đồng ý phải là:
- Nắm được tin tức. Điều đó có nghĩa là bạn phải thông báo cho người dùng về cookie và các bên thứ ba mà bạn chia sẻ dữ liệu trong chính sách quyền riêng tư.
- Cụ thể cho mục đích phân tích website. Sự đồng ý chung chung cho việc sử dụng cookie không có nghĩa là bạn đồng ý cho việc sử dụng cookie phân tích. Khi bạn có được sự đồng ý, bạn có thể sử dụng bất kỳ cookie phân tích nào có trong chính sách quyền riêng tư hoặc chính sách cookie
- Rõ ràng. Người cung cấp dữ liệu phải thực hiện hành động khẳng định để đưa ra sự đồng ý. Giả sử họ đồng ý với cookie chỉ vì họ truy cập vào website là bất hợp pháp.
- Được tự do. Bạn không được đặt điều kiện truy cập vào website bằng cách đồng ý, kèm theo sự đồng ý với Điều khoản dịch vụ, v.v. Người dùng sẽ được tự do lựa chọn có đồng ý với cookie hay không.
Ngoài ra, đối với cookie GA4, bạn cũng cần phải xin phép việc chuyển dữ liệu sang US.
Google cũng đề nghị sử dụng GA ở chế độ đồng ý, nhưng điều đó không giúp ích nhiều cho việc tuân thủ GDPR, vì vậy không cần quan tâm nhiều đến nó.
Chuyển dữ liệu Google Analytics tuân thủ GDPR sang US
Khi bạn đã đồng ý, Google cần chuyển dữ liệu cá nhân đến máy chủ Google Analytics ở US để tiến hành xử lý. Đó là nơi quyết định có giá trị. Những lần chuyển dữ liệu này từng là bất hợp pháp, và bây giờ là hợp pháp.
Chia sẻ dữ liệu Google Analytics tuân thủ GDPR
Google cho phép bạn dễ dàng chia sẻ dữ liệu GA với các sản phẩm khác, chẳng hạn như Google Tag Manager, nơi bạn có thể sử dụng lại dữ liệu cho mục đích quảng cáo và remarketing
Nếu bạn muốn sử dụng nó cho mục đích marketing, bạn cần phải có được sự đồng ý rõ ràng từ người dùng để xử lý dữ liệu cá nhân cho mục đích marketing.
Sau đó, bạn có thể tiếp tục theo dõi hành vi của người dùng trên website và phân phát quảng cáo có liên quan cho người dùng theo dữ liệu đó.
Lưu giữ dữ liệu Google Analytics tuân thủ GDPR
Lưu giữ dữ liệu là một trong những nguyên tắc cơ bản của GDPR. Nó yêu cầu bạn chỉ lưu giữ dữ liệu cần thiết cho đúng mục đích và sau đó xóa dữ liệu đó.
Chủ sở hữu website có thể tự do lựa chọn thời gian lưu giữ tùy thuộc vào mục đích của họ. Một số cơ quan bảo vệ dữ liệu khuyên bạn nên xác nhận lại sự đồng ý của GA sau 6 tháng, nhưng không nên ràng buộc. GDPR cho phép bạn xác định thời gian lưu giữ dữ liệu theo từng trường hợp.
Cách sử dụng nền tảng phân tích Website tuân thủ GDPR
Các website được hỗ trợ bởi Google Analytics 4 sử dụng cookie xử lý dữ liệu người dùng cá nhân. Điều đó yêu cầu phải có được sự đồng ý, giới hạn việc xử lý cho các mục đích phân tích và giới hạn thời gian lưu giữ dữ liệu.
Ở phần trước, bạn đã tìm hiểu cách sử dụng GA4 mà vẫn tuân thủ GDPR.
Nếu bạn cảm thấy việc này tốn quá nhiều công sức và bạn có thể nhận được các số liệu tương tự theo cách khác.
Giải pháp biểu ngữ chấp thuận về Quyền riêng tư bảo mật có thể giúp bạn tuân thủ các yêu cầu GDPR đối với Google Analytics 4. Nó sẽ nhận được sự đồng ý, lưu trữ an toàn và cho phép bạn theo dõi hành vi của người dùng trên nhiều thiết bị.