Disclaimer: Nejsem právník, takže vše na vlastní odpovědnost.
Co to je Google consent mode?
Je to funkce od Google co pomáhá s nastavení a dodržování souhlasů.
https://support.google.com/analytics/answer/9976101?hl=cs
https://developers.google.com/tag-platform/devguides/consent
Ve zkratce si dáte do stránky ještě před všechny měřící a reklamní kódy vložíte následující kousek kódu, pokud nemáte souhlas od uživatele a Google svoje služby(Google analytics 4, Universal Analytics, Google ads, DoubleClick) se podle toho zařídí.
<script> window.dataLayer = window.dataLayer || []; // Příprava dataLayeru function gtag() {dataLayer.push(arguments);} // Příprava gtag gtag(‚consent‘, ‚default‘, { ‚ad_storage‘: ‚denied‘, ‚analytics_storage‘: ‚denied‘ }); </script> |
A pro ukázku, pokud vám dá uživatel aktivně plný souhlas na dané stránce
Spustíte kód:
<script> gtag(‚consent‘, ‚update‘, { ‚ad_storage‘: ‚granted‘, ‚analytics_storage‘: ‚granted‘ }); </script> |
A na následující stránce tohoto uživatele už při načtení stránky můžete nastavit:
<script> window.dataLayer = window.dataLayer || []; // Příprava dataLayeru function gtag() {dataLayer.push(arguments);} // Příprava gtag gtag(‚consent‘, ‚default‘, { ‚ad_storage‘: ‚granted‘, ‚analytics_storage‘: ‚granted‘ }); </script> |
Samozřejmě, uživatel může dát souhlas jen s určitou kategorii a nebo ho zamítnout
<script> gtag(‚consent‘, ‚update‘, { ‚ad_storage‘: ‚denied‘, ‚analytics_storage‘: ‚denied‘ }); </script> |
Mnozí si mysleli, že když řeknete, že se nemá měřit analytika, že se bude měřit nějak samo dál.
Nejlépe to poznali ti kdo nechtěli vůbec cookie lišty a řekli si dám tam jen tento kousek kódu navíc a jedeme dál.
Velmi rychle přišli na to, že když zakažou analytiku, tak je ji opravdu zakážou. 🙂
Ano, kód sice při nesouhlasu s měřením odesílá data do Google Analytics. Takto odesílané data(z GA3 i GA4) jsou využívané v reklamních systémech jmenovitě Google ads. Google zastavil kompletně vývoj Google universal analytics, tak ani není šance, že by se tam ty data ani v budoucnu ukázala v reportingu.
GCM umí omezit odesílání ID kliknutí na reklamu:
gtag(‚set‘, ‚ads_data_redaction‘, true); |
https://developers.google.com/tag-platform/devguides/consent#redact_ads_data
Co dělá reálně Google consent mode u Universal analytics?
Myslíte si že ho stačí zapnout a je všeho hotovo?
Nevytvoří se žádné cookies a ani se neuloží nic dalšího do úložiště u uživatele v prohlížeči.
Bacha! Neřeší to věci, co si samy nastavíte v GTM či svými skripty.
A teď se podíváme se podíváme co se odesílá…
(Zeleně označím věci v pořádku.)
https://www.google-analytics.com/collect?
V:“1″
_v:“j96″
aip:“1″
a:“121230142″
t:“pageview“
_s:“1″
dl:“https://vašedoména.cz/“
ul:“en-us“
de:“UTF-8″
dt:“Můj Nadpis“
sd:“24-bit“
sr:“2560×1440″
vp:“1497×101″
je:“0″
_u:“aKAABE~“
Cid:“1137971198.1646224182″ // Ano je to náhodné číslo, ale lepší by byla konstanta.
Uid:“5529dc42fc09a39f47da8″ // userID
tid:“UA-123456-1″
_gid:“1650304.16950496″
gtm:“123456AB“
cd21:“2022-03-22T13:01:35.619+01:00″
Cd22:“5529dc42fc09a39f47da8″ // userID
Cd26:“1647950495619.y0vih8l“ // session ID
cd47:“necessary“
gcs:„G100“
cd33:“pageview gtm.js“
Z:“2041735224″
IP adresa + userAgent
Takže sice parametrem “G100” říkáme, že měříme jen nutné věci.
Ale reálně do Google odesílám prakticky vše až na to že si neuložíme u uživatele cookie.
Ze zábavných věci, je zde třeba UserID, takže Google sice má přesné ID uživatele …
ale budeme říkat, že to je OK protože jsme si nezaložili cookie…
Srandovní je pak párování dat pro Google Ads, kdy Google u nalogovaných uživatelů (mají UserID ) má dokonale měřenou cestu daného uživatele :), protože sice nemá cookie, ale ještě lepší UserID.
U GA4 je to to samé…
Zeleně označím věci v pořádku.
https://www.google-analytics.com/g/collect?
v:“2″
tid:“G-123ABC“
gtm:“123456″
_p:“12483302″
sr:“2560×1440″
gcs:“G100″
ul:“en-us“
Cid:“1137971198.1646224182″
_s:“1″
dl:“https://www.vašedoména.cz/“
dr:“https://www.referrer.cz/“
dt:“Můj nadpis“
Uid:“5529086caa39f47da8″ // UserID
sid:“164795095″
sct:“1″
seg:“0″
_fv:“1″
_ss:“1″
en:“page_view“
ep.debug_mode:“false“
ep.consent_level:“necessary“
epn.consent_revision:“0″
IP adresa + userAgent
Takže se zase posílá a jen se nevytvoří cookie. Všimně te si že ClientID je stejné jako u GA3, takže se to musí párovat skvěle :). A opět si Google odešle spousty dat navíc včetně userID.
A co Google ads?
https://googleads.g.doubleclick.net/pagead/viewthroughconversion/123456/?random:1647367
cv:9
fst:164791651321
num:1
bg:ffffff
guid:ON
resp:GooglemKT123132132
u_h:1440
u_w:2560
u_ah:1440
u_aw:2485
u_cd:24
u_his:4
u_tz:60
u_java:false
u_nplug:5
u_nmime:2
gtm:123ABC
sendb:1
ig:1
frm:0
url:https://www.doména.cz/
ref:https://doména.cz/
tiba:Titulek
hn:www.googleadservices.com
async:1
rfmt:3
fmt:4
IP adresa + userAgent
Google ads, si zase pošle spousty dat, ale jen vynechá userID.
Co dělá Google consent mode dopravdy?
Jenom zablokuje využívání lokálních úložišť v prohlížeči a případně dle (ne)souhlasu napojení na reklamní systém. Zbytek měří kompletně dál, včetně userID a dalších identifikátorů uživatele. U Universal analytics (GA3), si posílá ikdyž nemusí a všude se posílají detaily o prohlížeči uživatele.
Google si může teoreticky kdykoliv šáhnout na IP adresu uživatele a jeho User-agent, protože s uživatelem může komunikovat napřímo. A to jak při odesílání analytických data, tak i při stáhnutí knihoven Google anylytics i GTM.
U některých implementací Google analytics 4 do nich tečou data a jsou vidět v Google Big Query, ale to má jen pár účtů co znám, není na to pravidlo ani důvod, proč to někde takto funguje. V budoucnu GA4 by měli umět pracovat s data kde nemají souhlas, aktuálně se neví kdy by to mohlo začít fungovat, nejsou zde ani náznaky, že se na to pracuje. Můj osobní tip, je minimálně rok, spíše dva roky na přidání této funkce, jelikož takový nápočet není zadarmo a Google bude šetřit peníze tím, že čím později to dá uživatelům, tím více ušetří.
Prezentace Google svádí k pocitu, že Google consent mode něco řešení a že dokonce vytváří anonymizované data. Pokud si prostudujete nápovědu, tak tam najdete jen že Google anonymizuje jen IP adresu a to až po tom co ji sám zpracuje a využije ke všemu co potřeboval.
GA4 https://support.google.com/analytics/answer/9976101?hl=cs Zde vám řeknou, že když máte GA4 tak vám pomohou díky novým funkcím.
GA3 https://support.google.com/analytics/answer/11999096 A zde vám, řeknou, že pokud máte GA3 (UA), tak si všechno musíte zařídit samy, což nezvládne 99.9% uživatelů/provozovatelů GA3.
Vše ostatní se dál měří. Ani slovo, že by si Google neposílal UserID nebo měl řešení pro neposílání si transaction ID.
Je tedy Google consent mode na nic?
Ne, jen je to nástroj co pomáhá s prací se souhlasy, ale neřeší jej kompletně.
Dobrá je i implementace v GTM samotném, kde je mnohem lehčí spousty věcí nastavit díky GCM.
Google consent mode pomáhá s implementací GDPR a ePrivacy, ale sám to dělá velmi jemně a pokud mu nepomůžete, to nestačí.
Co je cíl měření, aby prošlo právně?
- Neposílat do Google data uživatele:
- Data z prohlížeče (nastavení monitoru etc etc.)
- Identifikátory zařízení (IP adresa, User-agent)
- Zamezit přímého kontaktu uživatele s Google.
- Tjs mít server GTM nebo vlastní přeposílací endpoint.
- Hostovat si analytické knihovny na svém serveru.
- Smazat identifikátory uživatele z URL
Jde to udělat nějak jednoduše? Ne.
Jsou na to na trhu lidi, co mi to nasadí správně? Ne. (Sorry, ani já nemám čas.)
Když na to není dostatek lidí teďka, tak co až budou opravdu končit GA3, co se stane? Asi VELKÝ ŠPATNÝ.
Má tento stav nějaké jasný řešení? Ne.
Chcete si o tom poslechnout od Sima?
Podcast Life after GDPR: https://lifeaftergdpr.eu/episode-002/
Ano, opravdu jsem s článkem čekal s vydáním již napsaného článku přes 4 měsíce, protože to u mě nemělo prioritu a Simo mezi tím stihnul i udělat podcast.