Pavel Šabatka

Rubrika: GTM

  • GTM v rozporu s GDPR

    Soud v Německém Hannoveru rozhodnul, že používání Google Tag Manageru (GTM) je v rozporu s GDPR. Tohle rozhodnutí mě zaujalo – protože se netýká měřicí nebo marketingové platformy, ale GTM – který by měl být „nezaujatý spouštěč“ marketingových kódů.

    O co přesně šlo? A jaký dopad to bude mít na měření?

    Celý text rozsudku je na stránkách Dolního Saska. Nejsem právník a k překladu jsem použil Google Translator (německy neumím). Tento článek neberte jako právní rady, ale jako můj pohled na situaci.

    Jak bylo měření webu postaveno

    Přesné řešení není známo, z obhajoby jde ale odvodit:

    • Na webu byl Google Tag Manager, který se načítal hned po spuštění stránky.
      GTM byl nastaven tak, aby podporoval Consent Mode 2. Výchozí nastavení u všech tagů bylo „denied“.
    • Spouštěla se funkční cookie lišta.
      Nejsem si jist, jestli splňovala vizuální požadavky GDPR na vzhled (přítomnost všech tlačítek, jejich velikosti), to ale není předmětem tohoto článku.
    • Marketingové a měřicí kódy se spouštěly vždy až po udělení souhlasu.

    To bych označil jako „běžné nastavení“ podle Consent Mode 2.0 a doporučení Google. A takto je nastavena většina běžných webů.

    Mezi řádky…

    Součástí rozsudku je poměrně rozsáhlá argumentace k tomu, proč stávající řešení nevyhovuje. Zde vybírám několik zásadních věcí (dovolil jsem si je zkrátit a pro čitelnost lehce upravit). A přidávám vlastní interpretaci.

    Rozsudek: GTM není službou výslovně požadovanou uživateli webových stránek, ani neposkytuje přidanou hodnotu ani funkci pro používání webových stránek.

    GTM tedy nelze považovat za technicky nezbytně nutný pro funkčnost webu.

    Rozsudek: …GTM je nezbytný z ekonomických důvodů…, nepřevažuje to ale nad právy uživatelů…

    GTM nejde načítat v oprávněném zájmu. Je otázka, jak by toto soud posuzoval, pokud bychom se nebavili o tag manageru od Google, ale od nějakého jiného poskytovatele.

    Rozsudek: Google Tag Manager je načítán z domény www.googletagmanager.com

    Pokud na internetu cokoliv načítáte odkudkoliv, vždycky při tom přenášíte IP adresu, cookies a informace o zařízení uživatele. To je součástí technologie, na které je internet postaven a toto nejde změnit. Tj. pokud načítáte GTM z domény www.googletagmanager.com, vždy společnosti Google poskytujete osobní údaje. Navíc tím posíláte data mimo EU. A to ještě před udělení souhlasu.

    Rozsudek: Žalobce službu k těmto účelům používá a tvrdí, že samotný Google Tag Manager nenastavuje ani nečte soubory cookie, ale pouze služby spravované tímto nástrojem.

    Podle mého může mít v principu žalobce pravdu, GTM by cookies bez souhlasu číst nemusel. Do jeho kódu ale nevidíte a nemůžete s určitostí tvrdit, jestli to opravdu dělá, nebo ne.
    Při samotném načtení GTM ale k přenosu IP adres, cookies atd. rozhodně dochází.

    Jak tedy nastavovat GTM

    Používat Server-Side GTM (SGTM) nebo Google Tag Gateway? Jiný nástroj? Jak to má být správně?

    To už se v rozsudku bohužel nepraví.

    Jednoduché vložení GTM není v souladu s GDPR. Ať máte nastaven Consent Mode 2.0 nebo ne.

    Pojďme se mrknout na jiné možnosti.

    Google Tag Manager

    Víme, že GTM není technicky nezbytně nutné. Potřebujeme technické řešení, které bude respektovat souhlas (první řešení) nebo ho obhájíme jako oprávněný zájem (ostatní).

    Máte několik možností, jak s GTM pracovat:

    1. GTM z domény www.googletagmanager.com načítat až po udělení nějakého souhlasu
      Před udělením souhlasu skript úplně blokovat. Některé cookie lišty toto umožňují samy. Nebo by vám s tím musel pomoct programátor.
      Respektujeme souhlas uživatele s měřením.
      Za mě OK.
    2. Použití Google Tag Gateway
      GTG vzniklo jako projekt Google a Cloudflare. Technicky jde request jdou z prohlížeče přes Cloudflare, kde přesměrován na endpoint Google. Nikde jsem ale nenašel, že by Cloudflare odstraňovalo původní IP adresu, cookies apod.
      V případě sporu je to podle mě spíše neobhajitelné, tj. za mě spíše NE.
    3. Použití SGTM na Google Cloud
      Pokud hostujete SGTM na Google Cloud Run, stále jdou při načtení GTM uživatelská data na servery Googlu, byť na vaši placenou službu.
      A nejsem si jist, jak by toto hodnotila legislativa, nicméně za mě spíše NE.
    4. Použití SGTM hostovaný mimo Google ekosystém
      Tady předpokládám, že jste schopni SGTM obalit firewallem a máte pod kontrolou, co přesně kam posíláte.
      Za mě spíš OK.
    5. Použít proxy pro GTM (nebo SGTM) a GTAG
      Můžete si udělat vlastní „krabičku“, přes kterou poteče request, očistíte ho o všechno a pak předáte data dál.
      Za mě OK.
    6. Použít nějakou alternativu GTM na vlastním hostingu
      Existuje několik alternativ GTM, a to european-alternatives.eu nebo na omr.com. Pokud použiji alternativní nástroj, ideálně na vlastním hostingu, věřím, že toto může být v oprávněném zájmu.
      Za mě OK.

    Google Analytics 4 a Google Ads

    Bez souhlasu posílají GA4 a GAds ve výchozím nastavení Consent Mode 2.0 na servery Google „anonymní pingy“. Při tom neumisťují cookies. Ale – jak už bylo zmíněno výše – vždy, když posíláte cokoliv na internetu, je vždy přenesena IP adresa uživatele a ostatní cookies platné pro danou doménu. Ve výsledku tedy anonymní pingy nejsou anonymní.

    Co dál

    Pokud jste webový analytik, vezte, že Consent Mode 2.0 není zárukou toho, že máte vše v pořádku. A pokud spoléháte v nastavení jen na toto, pak je možná na čase přehodnotit přístup.

    Pokud jste majitel webu, ověřte si, jak přesně máte měření nastaveno. Dokážete opravdu opravdu danou konfiguraci obhájit, pokud vám přijde z úřadu dopis?

    Potřebujete s tím pomoct?

    Napište mi
    Sdílet na LinkedIN

  • Co to je Server-side měření

    Slyšeli jste už o Google Tag Manager měření (dále jen GTM), které běží na serveru? A víte, že je to ideální způsob, jak zrychlit načítání vašeho webu, zvýšit soukromí vašich uživatelů nebo zlepšit vyhodnocování atribuce u vašich marketingových kampaní? Podívejte se společně s námi, k čemu je server-side měření dobré a jak se liší od klasického měření.

    Jak funguje běžné měření

    Většina webů dnes používá ke správě měření Google Tag Manager (GTM). Kód GTM se vkládá do HTML webové stránky a pokud na web přijde uživatel, pak se stane přibližně toto:

    1. Klientský prohlížeč (tedy prohlížeč návštěvníka webu) si stáhne GTM kód.
    2. Prohlížeč kód GTM zpracuje a spustí další měřicí kódy od jednotlivých platforem (Facebook, Sklik…), do kterých chcete posílat z webu data.
    3. Většina takto spuštěných měřicích kódů jednotlivých platforem si stáhne svůj vlastní javascriptový kód, který si následně najde a zpracuje data, která potřebuje a následně je odesílá do své platformy.

    Některé měřicí kódy navíc čekají na uživatelské akce na webu (třeba stažení souboru, scrollování, odeslání formuláře) a při nich pak spouští další měření.

    Jak bylo řečeno výše, tohle všechno běží v klientském prohlížeči a znamená to pro něj poměrně velkou zátěž. Jen základní měřicí kódy na webech mají velikost minimálně 20 kB za platformu, ale třeba Facebook při načtení webu stahuje i 130 kB dat.

    Zpracování zabere nějaký čas a odeslání zvyšuje objem dat využitých stránkou. Což je problém ze spousty důvodů – zpomaluje to načtení webu (hlavně na pomalejších zařízeních nebo na mobilech může být zpomalení značné), zvětšuje objem stažených dat (uživatelé s mobily s omezeným měsíčním množstvím dat vám za toto nepoděkují), zhoršuje to pozici ve vyhledávání (pro SEO je rychlost jeden z klíčových atributů), měřicí skripty mají přístup ke všem informacím na webu a teoreticky s nimi mohou dělat cokoliv (i pokud jsou to osobní údaje).

    Co je server-side měření?

    Jak už název napovídá, server-side měření je způsob používání GTM, kdy GTM není součástí HTML stránky a neběží v prohlížeči uživatelů. Naopak je spuštěno na nějakém serveru, např. v Google Cloud. A teprve na tomto serveru jsou spouštěny jednotlivé měřicí kódy.

    V klientském prohlížeči zůstává standardní GTM, který odesílá data do serverového GTM. A to teprve řeší odesílání dat do platforem jako jsou Google Analytics, Facebook apod.

    ‍K tomu, abyste mohli spouštět server-side GTM, potřebujete vždy nějaký stroj – buď vlastní, nebo v cloudu. A potřebujete upravit nastavení svého měření.

    Kromě toho, že toto řešení nenutí uživatelův prohlížeč stahovat a odesílat spoustu dat, existuje ještě řada dalších výhod, proč by vás mohlo zajímat. Pojďme si je přiblížit.

    Jaké jsou výhody server-side GTM

    Rychlost

    Rychlost je obecně pro weby velmi důležitá. Google ji roky zmiňuje jako jeden z faktorů, které ovlivňují pozici webu ve vyhledávání. Méně měřicích kódů na stránce znamená vyšší rychlost a tím lepší pozice ve vyhledávání a více návštěvníků.Mimochodem zkuste si otestovat, kolik času zabírá zpracování měřicích skriptů na vašem webu s pomocí PageSpeed Insights – hledejte informace o kódu třetích stran:

    Příklad, kolik času zabírá spouštění načítání měřicích kódů na webu Alza.cz

    Ochrana dat

    Vypisujete-li na stránce citlivá data (např. i telefon, adresu …), skripty třetích stran (Facebook, Sklik …) vkládané do standardního GTM k nim mohou mít přístup. Naopak při měření v serverovém GTM máte jistotu, že se nedostanou k žádným jiným údajům, než které jim explicitně předáte. Jednotlivé platformy totiž komunikují jen s GTM na serveru a nedostanou se k „raw“ datům, která sbírá GTM v klientském prohlížeči.

    A mimochodem – ať chceme nebo ne, platformy vždy vidí minimálně IP adresu uživatele. Používáte-li server-side GTM, platformy se nedostanou ani k ní, pokud jim ji nepředáte.

    Rozumně nastavená Content Security Policy

    Váš web může používat bezpečnostní nastavení Content Security Policy (CSP). To se týká typicky webů, které pracují s citlivými nebo osobními údaji. Toto nastavení říká prohlížeči, z jakých domén (Facebook, Google Analytics, Sklik …) vůbec může stahovat a spouštět skripty. A musíte zde vyjmenovat všechny. Tušíte problém? Pokud používáte množství platforem, může nastavení CSP vypadat takto:

    A když náhodou něco zapomenete aktualizovat, jejda …

    V takových případech je správa všech domén složitá, často se zapomíná něco přidat nebo odebrat. Využitím GTM na serveru se seznam domén zkrátí a vám tedy odpadne část starostí.

    Bezpečnost

    Pokud nasadíte na web nějaký skript, může dělat s webem spoustu věcí. Včetně těch nepěkných jako třeba změnit obsah webu, přesměrovat ho na jiný web, odesílat citlivá data z webu do Číny. Může se to dít záměně nebo třeba nedbalostí. A věřte nám, viděli jsme podobných věcí dost. To se vám se server-side GTM stát nemůže, protože kódy jsou na serveru a k prohlížeči uživatele se vůbec nemohou dostat.

    Validace nebo obohacování dat

    Pokud chcete data nějak validovat a opravovat, máte v server-side GTM rozšířené možnost. Stejně tak je to vhodné řešení, pokud chcete data obohatit např. o marži na konkrétních produktech. Tu typicky nechcete do platforem posílat z klientského GTM, kde k takové informaci může mít přístup kdokoliv.

    Uchování dat pro vyhodnocování atribuce

    Pokud řešíte jako markeťáci atribuci za delší období, může pro vás být přechod na server side výhodou. Některé prohlížeče (Safari nebo Firefox) totiž totiž typicky agresivně mažou po 1 nebo 7 dnech cookies, které nejsou tzv. httpOnly (tedy je zjevné, že jsou určené k marketingovým účelům a né k technickému fungování webu). V rámci server side si takovou cookie uložíte sami a nemusíte se tedy obávat, že byste přišli o data od zákazníků používajících striktnější prohlížeče.

    Měření 100 % dat

    Chcete-li, můžete data do server-side GTM posílat rovnou ze serveru a ne z klientského prohlížeče (viz obrázek níže). Díky tomu můžete mít k dispozici prakticky všechna data.

    Upozorňujeme ale, že v případě zpracování osobních údajů je stále třeba respektovat GDPR a přání uživatele nebýt měřen. Tzn. není vhodné stahováním dat přímo z webového serveru obcházet souhlasy uživatelů.

    Proč ne server-side GTM?

    Využití server-side měření má samozřejmě i nevýhody.

    • Cena – jak je uvedeno výše, k tomu, abyste mohli spouštět server-side GTM, potřebujete vždy nějaký stroj – buď vlastní, nebo v cloudu. Oba přístupy ale stojí peníze.S využitím např. Google Cloud se s cenou budete pohybovat nejčastěji v rozmezí zdarma (pro malinké weby) až do 10 tisíc Kč za měsíc (weby s desítkami tisíc návštěv za den). K tomu musíte připočítat náklady na zprovoznění a složitější úpravy měření, které vyžadují programátora nebo analytika.
    • Nefunguje pro všechny platformy – ne všechny platformy aktuálně server-side měření podporují a vyžadují spuštění v prohlížeči – např. Sklik. Z často využívaných platforem server-side měření podporuje Google Analytics, Facebook, Mailchimp a několik dalších.Takže často skončíte ve stavu, kdy je v serverovém kontejneru pouze část kódů, ostatní zůstávají v klasickém GTM. Ovšem i jen část měření běžící na server side pro vás může dávat smysl – zkonzultujte se svým analytikem.

    Předpokládáme, že do budoucna bude podpora platforem přibývat a server-side bude dávat čím dál větší smysl.

    Dává to pro mě smysl?

    Nedokážete si představit, jestli je to pro vás? Myslíme si, že rozhodně ano, pokud:

    • Odesíláte data do velkého množství platforem (nejčastěji různých účtů GA), což váš web zpomaluje.
    • Potřebujete pracovat s extrémně citlivými daty (např. rodné číslo, číslo občanky …) a chcete je chránit.
    • Spousta vašich návštěvníků používá Safari nebo Firefox, což vám komplikuje dlouhodobější atribuci.
    • Potřebujete ve vyhodnocování operovat s marží produktů.
    • Potřebujete serverové měřicí kódy (typicky pro affiliate platformy), nechcete s tím ale stále otravovat programátory.

    Vidíte se v části případů, ale nejste si pořád jistí, jestli je server-side řešení pro vás?

    Dejte nám vědět! Zkonzultujeme s vámi výhody a nevýhody ve vašem případě a pokud to bude dávat smysl, rád vám s nastavením server-side měření pomůžu.

    Napište mi
    Sdílet na LinkedIN