Soud v Německém Hannoveru rozhodnul, že používání Google Tag Manageru (GTM) je v rozporu s GDPR. Tohle rozhodnutí mě zaujalo – protože se netýká měřicí nebo marketingové platformy, ale GTM – který by měl být „nezaujatý spouštěč“ marketingových kódů.
O co přesně šlo? A jaký dopad to bude mít na měření?
Celý text rozsudku je na stránkách Dolního Saska. Nejsem právník a k překladu jsem použil Google Translator (německy neumím). Tento článek neberte jako právní rady, ale jako můj pohled na situaci.
Jak bylo měření webu postaveno
Přesné řešení není známo, z obhajoby jde ale odvodit:
- Na webu byl Google Tag Manager, který se načítal hned po spuštění stránky.
GTM byl nastaven tak, aby podporoval Consent Mode 2. Výchozí nastavení u všech tagů bylo „denied“. - Spouštěla se funkční cookie lišta.
Nejsem si jist, jestli splňovala vizuální požadavky GDPR na vzhled (přítomnost všech tlačítek, jejich velikosti), to ale není předmětem tohoto článku. - Marketingové a měřicí kódy se spouštěly vždy až po udělení souhlasu.
To bych označil jako „běžné nastavení“ podle Consent Mode 2.0 a doporučení Google. A takto je nastavena většina běžných webů.
Mezi řádky…
Součástí rozsudku je poměrně rozsáhlá argumentace k tomu, proč stávající řešení nevyhovuje. Zde vybírám několik zásadních věcí (dovolil jsem si je zkrátit a pro čitelnost lehce upravit). A přidávám vlastní interpretaci.
Rozsudek: GTM není službou výslovně požadovanou uživateli webových stránek, ani neposkytuje přidanou hodnotu ani funkci pro používání webových stránek.
GTM tedy nelze považovat za technicky nezbytně nutný pro funkčnost webu.
Rozsudek: …GTM je nezbytný z ekonomických důvodů…, nepřevažuje to ale nad právy uživatelů…
GTM nejde načítat v oprávněném zájmu. Je otázka, jak by toto soud posuzoval, pokud bychom se nebavili o tag manageru od Google, ale od nějakého jiného poskytovatele.
Rozsudek: Google Tag Manager je načítán z domény www.googletagmanager.com
Pokud na internetu cokoliv načítáte odkudkoliv, vždycky při tom přenášíte IP adresu, cookies a informace o zařízení uživatele. To je součástí technologie, na které je internet postaven a toto nejde změnit. Tj. pokud načítáte GTM z domény www.googletagmanager.com, vždy společnosti Google poskytujete osobní údaje. Navíc tím posíláte data mimo EU. A to ještě před udělení souhlasu.
Rozsudek: Žalobce službu k těmto účelům používá a tvrdí, že samotný Google Tag Manager nenastavuje ani nečte soubory cookie, ale pouze služby spravované tímto nástrojem.
Podle mého může mít v principu žalobce pravdu, GTM by cookies bez souhlasu číst nemusel. Do jeho kódu ale nevidíte a nemůžete s určitostí tvrdit, jestli to opravdu dělá, nebo ne.
Při samotném načtení GTM ale k přenosu IP adres, cookies atd. rozhodně dochází.
Jak tedy nastavovat GTM
Používat Server-Side GTM (SGTM) nebo Google Tag Gateway? Jiný nástroj? Jak to má být správně?
To už se v rozsudku bohužel nepraví.
Jednoduché vložení GTM není v souladu s GDPR. Ať máte nastaven Consent Mode 2.0 nebo ne.
Pojďme se mrknout na jiné možnosti.
Google Tag Manager
Víme, že GTM není technicky nezbytně nutné. Potřebujeme technické řešení, které bude respektovat souhlas (první řešení) nebo ho obhájíme jako oprávněný zájem (ostatní).
Máte několik možností, jak s GTM pracovat:
- GTM z domény www.googletagmanager.com načítat až po udělení nějakého souhlasu
Před udělením souhlasu skript úplně blokovat. Některé cookie lišty toto umožňují samy. Nebo by vám s tím musel pomoct programátor.
Respektujeme souhlas uživatele s měřením.
Za mě OK. - Použití Google Tag Gateway
GTG vzniklo jako projekt Google a Cloudflare. Technicky jde request jdou z prohlížeče přes Cloudflare, kde přesměrován na endpoint Google. Nikde jsem ale nenašel, že by Cloudflare odstraňovalo původní IP adresu, cookies apod.
V případě sporu je to podle mě spíše neobhajitelné, tj. za mě spíše NE. - Použití SGTM na Google Cloud
Pokud hostujete SGTM na Google Cloud Run, stále jdou při načtení GTM uživatelská data na servery Googlu, byť na vaši placenou službu.
A nejsem si jist, jak by toto hodnotila legislativa, nicméně za mě spíše NE. - Použití SGTM hostovaný mimo Google ekosystém
Tady předpokládám, že jste schopni SGTM obalit firewallem a máte pod kontrolou, co přesně kam posíláte.
Za mě spíš OK. - Použít proxy pro GTM (nebo SGTM) a GTAG
Můžete si udělat vlastní „krabičku“, přes kterou poteče request, očistíte ho o všechno a pak předáte data dál.
Za mě OK. - Použít nějakou alternativu GTM na vlastním hostingu
Existuje několik alternativ GTM, a to european-alternatives.eu nebo na omr.com. Pokud použiji alternativní nástroj, ideálně na vlastním hostingu, věřím, že toto může být v oprávněném zájmu.
Za mě OK.
Google Analytics 4 a Google Ads
Bez souhlasu posílají GA4 a GAds ve výchozím nastavení Consent Mode 2.0 na servery Google „anonymní pingy“. Při tom neumisťují cookies. Ale – jak už bylo zmíněno výše – vždy, když posíláte cokoliv na internetu, je vždy přenesena IP adresa uživatele a ostatní cookies platné pro danou doménu. Ve výsledku tedy anonymní pingy nejsou anonymní.
Co dál
Pokud jste webový analytik, vezte, že Consent Mode 2.0 není zárukou toho, že máte vše v pořádku. A pokud spoléháte v nastavení jen na toto, pak je možná na čase přehodnotit přístup.
Pokud jste majitel webu, ověřte si, jak přesně máte měření nastaveno. Dokážete opravdu opravdu danou konfiguraci obhájit, pokud vám přijde z úřadu dopis?
Potřebujete s tím pomoct?