Tak - wykrywanie ryzyka wycieku danych osobowych do GA4 jest jednym z punktów weryfikacji w kategorii prywatności. I jest to punkt, przy którym szczególnie ważne jest zrozumienie, jak działamy: wyłącznie sygnalizacyjnie.
Na czym polega problem PII w GA4
Regulaminy Google Analytics zakazują przesyłania do GA4 danych umożliwiających identyfikację osób (PII): adresów e-mail, imion i nazwisk, numerów telefonów. Mimo to wycieki zdarzają się nagminnie - najczęściej nieświadomie:
/dziekujemy?email=jan@firma.pl); GA4 rejestruje pełne URL-e, więc adres trafia do raportów,/konto/jan.kowalski/zamowienia.Konsekwencje są poważne: naruszenie warunków Google (z ryzykiem usunięcia usługi GA4 włącznie), problem na gruncie RODO oraz dane osobowe rozsiane po raportach, do których dostęp ma każdy użytkownik usługi.
Jak działa nasza weryfikacja
Podczas audytu analizujemy dane raportowe (m.in. wymiary stron i parametry zdarzeń) pod kątem wzorców typowych dla danych osobowych - przede wszystkim wzorca adresu e-mail w URL-ach i parametrach.
Kluczowa zasada: działamy wyłącznie sygnalizacyjnie.
Co zrobić, gdy audyt zgłosi wyciek PII
Czy to zastępuje audyt prawny
Nie - i uczciwie stawiamy tę granicę. Nasza weryfikacja wykrywa typowe, techniczne wzorce wycieków. Nie jest opinią prawną ani pełnym audytem zgodności z RODO; w razie wykrycia poważnego wycieku warto skonsultować obowiązki (np. zgłoszeniowe) z prawnikiem lub IOD.
Powiązane artykuły: