Stape

Server-side tracking та GDPR

Оновлено
17 груд. 2024 р.
Опубліковано
14 груд. 2021 р.
Також є

Загальне положення про захист даних (General Data Protection Regulation - GDPR) і Каліфорнійський закон про конфіденційність споживачів (California Consumer Privacy Act - CCPA) – це набори законів про конфіденційність в Інтернеті, які мають знати і дотримуватися всі власники веб-сайтів. Він встановлює конкретні правила обробки персональних даних, включаючи їх збір, зберігання та видалення.

GDPR може сильно вплинути на те, які дані користувачів ви збираєте на веб-сайті та як ви їх використовуєте. У цьому блозі я хочу розповісти про те, як Google Tag Manager на стороні сервера може допомогти адаптувати відстеження до вимог GDPR.

Що таке GDPR?

GDPR — це набір правил, який обмежує, яку інформацію про користувачів веб-сайти можуть збирати, як вони повинні нею керувати, зберігати й обробляти. Цей набір правил складається з 99 окремих статей законів GDPR.

GDPR набув чинності 25 травня 2018 року. Однак основні принципи законів GDPR залишаються однаковими в усіх європейських країнах, і кожна країна має право змінювати його відповідно до своїх потреб. Тому ви повинні знати про аспекти GDPR у вашій країні.

Важливо розуміти, що правила GDPR також застосовуються до вас, якщо у вас є бізнес і веб-сайт за межами ЄС (скажімо, у США чи Азії). Ви все одно повинні дотримуватися правил GDPR, якщо користувач відвідує ваш сайт з європейської країни.

Що означає GDPR для відстеження веб-сайтів?

Ключовим моментом, про який говорять правила GDPR, є персональні дані. У ньому описано, коли і як власники веб-сайтів можуть збирати персональні дані, зберігати їх і чи дозволено їм передавати їх третім особам.

Хоча кожна країна має право змінювати визначення персональної ідентифікаційної інформації (PII), ім’я користувача, адреса, електронна адреса, IP або навіть файли cookie можна вважати ідентифікаційною інформацією. Крім того, дані про здоров’я, релігійні та політичні уподобання користувачів також можуть бути ідентифікаційною інформацією.

Хоча GDPR, електронна конфіденційність і CCPA полягали в тому, щоб обмежити великі рекламні компанії (наприклад, Google або Facebook) від профілювання вас на різних веб-сайтах і захистити конфіденційність користувачів, менші компанії частіше почали отримувати сповіщення або навіть штрафи за недотримання політики GDPR. 

1. Згода на використання файлів cookie

кукі згода

Web Google Tag Manager нещодавно випустив функцію режиму згоди. Ця функція все ще знаходиться в бета-версії, а це означає, що найближчим часом ми можемо очікувати багато покращень і змін. З увімкненим режимом згоди Google перевіряє статус згоди користувачів і відповідно реагує. Залежно від того, який користувач вибрав на вашому банері cookie, Google зрозуміє, чи може GTM встановлювати файли cookie.

Web Google Tag Manager consent mode має працювати разом із платформою керування згодою (CMP - consent management platform). Основна мета CMP — дозволити користувачам вибирати, які файли cookie вони дозволять сайтам використовувати. Більшість популярних CMP мають інтеграцію з режимом згоди веб-сайту GTM. Це означає, що вони автоматично блокують файли cookie та трекери, поки користувач не дасть своєї згоди.

Існує кілька різних вимог до банера cookie, і кожна країна має свої зміни. Наприклад, деякі уряди вимагають використовувати один колір для всіх кнопок. Ви не можете зробити кнопку «Дозволити файли cookie» зеленою, а кнопку «Блокувати файли cookie» білою, що робить натискання зеленої кнопки більш природним.

Іншою вимогою до банера cookie є те, що користувач повинен мати можливість легко переглядати веб-сайт, не натискаючи жодної кнопки на банері cookie. В одному з останніх оновлень говориться, що ви повинні зберігати логи всіх рішень щодо отримання згоди користувачів.

2. Згода на рекламу на електронну пошту.

У більшості випадків існує два типи електронної пошти: рекламна та суворо необхідна. Вам заборонено надсилати рекламні листи без згоди користувача.

Наприклад, ви можете надіслати подію в програмне забезпечення для маркетингу електронної пошти, коли наявний користувач погоджується отримувати матеріали з продажу та реклами. Ви можете використовувати веб-Менеджер тегів Google, щоб ідентифікувати користувачів, які погодилися отримувати рекламні листи. З іншого боку, якщо новий користувач захоче отримувати маркетингові електронні листи, веб GTM не допоможе, оскільки більшість програмних платформ електронної пошти не дозволяють створювати нових користувачів у своїх системах з Інтернету. Ви можете зробити це лише через backend або server GTM.

Server-side Google Tag Manager та GDPR

GTM на стороні сервера дає вам кращий контроль над потоком даних, який отримує кожен постачальник. Ідеальний сценарій того, як повинен працювати server GTM: у вас є один потік даних у веб-GTM, який доставляє дані на server GTM. Наприклад, ви можете використовувати Google Analytics 4 для надсилання даних на серверний контейнер. Server GTM обробляє запити GA4 і відображає їх у дані про події всередині sGTM. Потім ви можете використовувати дані події та HTTP-запити для подальшого надсилання інформації стороннім інструментам.

stape server gtm

Server GTM не має режиму згоди, подібно до веб-GTM. Вам слід налаштувати платформу керування згодою та інтегрувати її з веб-диспетчером тегів Google. Режим згоди Web GTM керуватиме, яку інформацію збирає та надсилає GA4 залежно від згоди користувача. Якщо користувач не погоджується використовувати файли cookie, Google Analytics 4 працюватиме в обмеженому режимі та не читатиме чи записуватиме маркетингові файли cookie.

Якщо користувач не погоджується налаштувати маркетингові файли cookie, Google Analytics все одно надсилатиме запити до cерверного контейнера GTM, тобто ваші дані будуть доставлені й оброблені в GTM на стороні сервера. У цьому випадку різниця полягає в тому, що GA буде обмежено записувати, зберігати або читати файли cookie.

Цей тип запиту матиме новий параметр gcs, який містить статус згоди. Ви можете використовувати цей параметр у GTM на стороні сервера, щоб записувати режим згоди користувача.

Вимоги GDPR для GTM на стороні сервера

Правила GDPR вимагають, щоб усі європейські країни зберігали інформацію про відвідувачів своїх веб-сайтів на серверах, розташованих в Європі. Коли ви налаштовуєте server Google Tag Manager для веб-сайту ЄС, переконайтеся, що ви вибрали європейський регіон хостингу.

Як server GTM допомагає відповідати правилам GDPR?

1. Контролюйте, які дані збирають треті сторони.

Вставляючи сторонні скріпти веб-відстеження, ви не можете строго контролювати, яку інформацію збирають ці скріпти. Вони можуть зняти будь-які конфіденційні дані або особисті ідентифікатори, не повідомляючи вам про це.

Server Google Tag Manager вирішує цю проблему. Скажімо, ви хочете налаштувати відстеження на стороні сервера для Facebook, не використовуючи веб-сервер, щоб обмежити FB від збору небажаних даних з вашого веб-сайту. У цьому випадку серверні теги Facebook надсилатимуть лише ту інформацію, яку ви вказали всередині цих тегів. FB не матиме доступу до іншої інформації.

Ви можете використовувати вихідні HTTP-запити, щоб побачити, яка інформація була надіслана до Facebook. Це не дозволить FB збирати будь-які дані з вашого веб-сайту, які їм заборонено збирати.

2. Видаліть конфіденційні дані та ідентифікаційну інформацію.

Відповідно до політики Google або Facebook, ви не можете надсилати особисту інформацію (PII - personally identifiable information) на ці платформи. Ім’я користувача, електронна адреса, номер телефону можуть вважатися PII.

Існує два способи, як sGTM може допомогти з PII. Ви можете видалити його, перш ніж надсилати на сторонні платформи, або хешувати ідентифікаційну інформацію перед відправкою.

Якщо ви налаштували Facebook CAPI, ви знаєте, що деякі параметри потрібно хешувати перед відправкою на сервер Facebook. Те ж саме стосується GA. Наприклад, ви можете хешувати електронну пошту користувача, перш ніж надсилати її в GA4, що відповідатиме політиці конфіденційності GA.

Отже, якщо надсилання даних користувача суперечить політиці конфіденційності GA4, а серверний GA4 є одним із найпопулярніших способів надсилання даних з Інтернету на сервер GTM, як вам підійти до цього, не порушуючи політику конфіденційності щодо PII.

У нас є кілька рішень:

1. Хешуйте дані користувача перед їх відправкою.

Кожна платформа має свої стандарти хешування даних користувачів. Google Analytics каже, що ви повинні використовувати SHA256 + використання солі з мінімум 8 символів. Facebook також вимагає SHA256, тоді як MailChimp вимагає MD5.

З огляду на це, ви можете хешувати дані користувачів у веб-GTM, перш ніж надсилати їх будь-якому постачальнику. Спеціальні шаблони доступні в галереї веб-серверів GTM для хешування даних користувачів, що спрощує хешування.

2. Використовуйте підроблений ідентифікатор Google Analytics 4

Деякі люди використовують справжній ідентифікатор Google Analytics 4 для відстеження подій, тоді як підроблений ідентифікатор GA4 використовується лише для доставки даних до серверного контейнера. Це захистить їхній основний ресурс GA4 від блокування через недотримання політики GA.

3. Використовуйте Data Tag/Data Client

Ви можете використовувати тег даних/клієнт даних для надсилання інформації на server GTM. А потім всередині GTM server хешуйте необхідні дані, перш ніж відправити їх постачальнику.

3. Змініть PII перед її надсиланням.

Ідентифікаційною інформацією (PII) можна вважати не лише дані користувача (наприклад, електронну пошту чи номер телефону). У нас є клієнт, який веде рекламу медичного обладнання у Facebook. У URL-адресах вони містять назви медичних пристроїв, а іноді й захворювань. Facebook скаржиться на те, що вони надсилають інформацію про стан здоров’я користувачів (вважається PII) до Facebook, що суперечить політиці FB. FB також повідомила, що їхній обліковий запис Ad може бути обмежено для реклами, якщо вони не видалить інформацію про здоров’я з URL-адрес.

Використовуючи Server GTM, ви можете змінити URL-адресу веб-сайту, перш ніж надсилати її будь-якому постачальнику. Ви можете вирізати параметри з URL-адреси або замінити будь-яке ключове слово в URL-адресі.

Як використовувати статус згоди в server GTM

1. Перш за все, виберіть і налаштуйте платформу керування згодою. Для stape.io ми використовуємо cookiebot, оскільки він має всі функції, які вимагає GDPR, розумну ціну та інтеграцію з режимом згоди у веб-GTM. У цій інструкції я буду використовувати cookiebot. Деякі кроки інтеграції можуть відрізнятися, якщо ви використовуєте інший CMP, але логіка має бути такою ж.

3. Налаштуйте server-side Google Analytics 4. 

4. Налаштуйте тег CMP у Web GTM. Найімовірніше, ви знайдете свій тег CMP у веб-галереї шаблонів GTM. У моєму випадку я додав тег cookiebot з галереї -> створив новий тег -> додав ідентифікатор і визначив стан згоди за замовчуванням. Цей тег має спрацьовувати на тригері ініціалізації згоди.

кукібот тег

5. У Web GTM є теги з вбудованими перевірками згоди (в основному продукти Google, такі як Google Ads, Google Analytics і Floodlight). Основна перевага полягає в тому, що ці теги автоматично реагують на поведінку згоди та коригують свої дії. Додаткова конфігурація не потрібна.

Зверніть увагу, що вам потрібно буде налаштувати додаткові конфігурації для тих тегів, які не підтримують вбудовані перевірки згоди. Швидше за все, для цього вам доведеться використовувати спеціальні події в GTM. А також налаштувати параметри згоди.

6. Наступним кроком буде налаштування або зміна тегів GA4 у контейнері Web GTM. Для цього перейдіть до Розширені налаштування -> Налаштування згоди -> Увімкнути. Додаткова згода не потрібна. Змініть цей тег, щоб він ініціював тег ініціалізації згоди.

тег ініціалізації згоди

7. Відкрийте попередні перегляди веб- та серверних GTM та перевірте GA4, оскільки ви є користувачем, який нічого не вибрав на банері cookie або заборонив файли cookie. У GTM server ви повинні побачити gcs=G100 у запитах GA. Параметр Gcs вказує на статус згоди, а gcs=G100 означає, що користувач не давав згоди.

попередні перегляди веб- та серверних GTM

8. Перевірте GA4, оскільки ви є користувачем, який дозволяє файли cookie. У цьому випадку в запитах server GA4 ви повинні побачити gcs=G111.

gcs=G111

9. Скажімо, ви хочете встановити тег у контейнері sGTM, який не запускатиметься, коли користувач відмовляє зберігати файли cookie. У цьому випадку створіть нову змінну з типом параметра запиту та додайте gcs. Після цього ви можете створити тригер, який обмежує тег від запуску, коли gcs=G100, це означатиме, що користувач відмовив у згоді.

тег у контейнері sGTM

Висновок

За допомогою веб-диспетчера тегів Google ви можете легше адаптуватися до правил GDPR. Все, що вам потрібно зробити, це вибрати одну з різних систем керування згодою або скористатися власним рішенням, а потім інтегрувати його у свій веб-сайт GTM, щоб належним чином захищати права на конфіденційність користувачів в Інтернеті, при цьому дозволяючи використовувати необхідні файли cookie, щоб забезпечити безперебійну роботу.

Наразі server GTM не має вбудованого режиму згоди, але ви можете використовувати запити GA, щоб прочитати статус згоди з веб-GTM. GTM забороняє налаштовувати та читати файли cookie в режимі згоди "не дозволяти", а запити GA все одно оброблятимуться.

Server GTM дозволяє вам строго контролювати дані, які отримують ваші постачальники. На відміну від відстеження браузера, де ви не можете бути на 100% впевнені в тому, яку інформацію збирають скрипти. За допомогою тегування на стороні сервера сторонньому постачальнику будуть доставлені лише налаштовані дані. Це не тільки допоможе захистити ваш сайт від небажаних сценаріїв, але й прискорить його роботу, оскільки браузер користувача не виконуватиме жодну роботу. Відстеження SS також дозволяє модифікувати та хешувати ідентифікаційну інформацію перед відправкою її стороннім інструментам.

Якщо ви шукаєте спосіб оптимізувати роботу свого веб-сайту та захистити дані користувачів, тоді слід серйозно розглянути відстеження на стороні сервера. Ми можемо допомогти налаштувати відстеження на стороні сервера для будь-якого веб-сайту!

Спробуйте Stape для серверного трекінгуright now!