IAI-Shop śledzi Twój sklep – wiesz o tym?
Jak się właśnie dowiedziałem IAI ma od jakiś dwóch tygodni dostęp do kont Google Analytics swoich Klientów, przez co wie o tym, co się dzieje w sklepie – czyli robi to samo, co od jakiegoś czasu robi Shoper
W kodzie swoich Klientów został zamieszczony kod śledzący
_gaq.push([‚iaiTracker._setAccount’, ‚UA-87762481-2’]);
w którym już w nazwie widać nazwę firmy, która za tym stoi :)
Dzięki implementacji kodu firma IAI ma dostęp nie tylko do takich danych jak ruch, czas pobytu, ale i sprzedaży (jeżeli sklep ma wdrożony moduł e-commerce, część składową Google Analytics)
Ciekawy jestem, czy Klienci wiedzą o tym, że ich strony zostały podpięte pod kod śledzący IAI?
No i – co na to GIODO ?
autor
1418 artykułów opublikowanych na blogu
Jako właściciel firmy SEOProfi pomaga zwiększać sprzedaż w sklepach internetowych oraz ruch na stronach firmowych na rynku polsko-, anglo- oraz niemieckojęzycznym.
Bloga założył w 2010 widząc ogrom problemów, z jakimi mają do czynienia osoby próbujące samodzielnie wypromować stronę w Google. Od 2011 roku jako Product Expert pomaga rozwiązywać te problemy na Forum Pomocy Google dla Webmasterów.
OPINIE I KOMENTARZE
Niestety, ale nie popisał się Pan przygotowując ten wpis:
1. Jako operator SaaS mamy już dostęp do tych informacji. Na ich przetwarzanie klienci podpisują zawsze umowę powierzenia danych osobowych.
2. Google Analytics nie przechowuje danych osobowych, a nawet nie wolno ich dodawać (jnp. emaile userów). Jak specjalista powinien Pan o tym wiedzieć.
3. Kod śledzący jest dodany do listy kont danego sklepu. A więc jedyne co robimy, to upraszczamy tym kawałkiem kodu obsługę naszego helpdesku, który jest darmowy i niemilitowany. A to oznacza, że zamiast spędzać z klientem czas na dodanie do celów diagnostycznych naszego usera, co jest powszechnie stosowaną praktyką, możemy od ręki odpowiedzieć na problem klienta, skracając nasz i jego czas potrzebny na rozwiązanie problemu czy odpowiedź na pytanie.
4. Nasze umowy z klientami wyraźnie wskazują na to, że możemy agregować i analizować informacje w sposób anonimowy. Robimy to od lat, dzięki czemu mogliśmy stworzyć możliwie optymalnie dopasowaną usługę do ich potrzeb.
5. Dodatkowy tracker jest oznaczony jako IAI, dodany oficjalnie udokumentowaną i rekomendowaną przez Google praktyką.
Uważam więc, że Pana analiza jest bardzo mocno nietrafiona ;)
Gdyby w przyszłości chciał Pan przed opublikowaniem czegoś, zweryfikować jakieś swoje tezy, zapraszam do kontaktu. To nic nie kosztuje, a można uniknąć niepotrzebnych błędów w sztuce.
Pozdrawiam
Witam.
Nie widzę błędów w sztuce – mój Klient był mega zdziwiony tym, co dla Pana jest oczywistą oczywistością :)
Do reszty „zarzutów” ustosunkuję się za chwilę
Pozdrawiam
Panie Sebastianie, kiedy konkrety?
Odpisałem :)
Temat nie jest prosty – jedno jest pewne – zmienił się kod i – jak sprawdziłem na paru witrynach – pojawiły się remarketingowe „nawiązania do IAI”
Każdy może, mając sklep oparty na tym skrypcie, wejść sobie w Webarchive i porównać strukturę kodu obecną z tą sprzed wprowadzonych zmian; od razu zobaczy, że ma dodane m.in. to
_gaq.push([‚iaiTracker._setAllowLinker’, true]);
_gaq.push([‚iaiTracker._trackPageview’]);
Jak czytamy o _setAllowLinker na https://developers.google.com/analytics/devguides/collection/gajs/gaTrackingSite
The _setAllowLinker() method directs the target site to read cookie data from the POST data rather than from the regular user session information. In this way, you can pass cookie data set on one domain to another and thereby retain the visitor session from your online store to your shopping cart.
_trackPageview nie wymaga komentarza
PS
Do wypowiedzi Pana z IAI podchodze z dystansem – pisałem już jak IAI się „wygłupiło” 5 lat temu pozywając Google – https://blog.seo-profi.pl/iai-pozwalo-google-czy-cos-z-tego-wyniknie-moja-opinia-w-tej-sprawie/
Błędy w pozwie porażały.
Powinien Pan prześledzić to dokładniej _setAllowLinker() jest niezbędne do tego, aby śledzić ruch pomiędzy wieloma domenami sklepu. Jest zresztą o tym w dokumencie, który Pan podlinkował:
cyt. „Subdomains—all visitors to both dogs.example.com and http://www.example.com, with data for both showing in the same report view (profile)
Subdirectories—only visitors to the http://www.example.com/dogs subdirectory in a separate report as if it were a single site
3rd-party shopping carts—visitors to your online store and to your shopping cart hosted on another domain
Top-level domains—all visitors to two domains that you own, such as http://www.example-petstore.com and http://www.my-example-blog.com, with data for both showing in the same report view (profile)
IFramed Content—visitor and pageview data for content in an iFrame of another domain.”
Jest to niezbędna dyrektywa, dodawana od lat aby klienci mogli śledzić ruch pomiędzy swoimi sklepami oraz subdomenami przypisanymi do jednego sklepu. M.in. stosujemy to po to, aby klient przechodząc z protokołu http na https nie tracił informacji o źródle pozyskania ruchu, czy aby nie miał błędnie identyfikowanego ruchu jako referrer.
W związku z tym, że są to dyrektywy dodawane dla danego sklepu, jeżeli ma on więcej niż 1 przypisaną domenę, również i powielony kod trackera to zawiera.
Ale najbardziej interesuje mnie, czy Pan rozumie, jak działa dostęp do third-party cookies? Bo przecież jakakolwiek dyrektywa by nie była ustawiona w Google Analytics, nie da się przecież odczytywać cookies ustawianych przez domenę google.com.
Pozostawmy czytelnikom ocenę zaistniałej sytuacji.
PS
„Ale najbardziej interesuje mnie, czy Pan rozumie, jak działa dostęp do third-party cookies?” – napisałem „Google Analytics przechowuje to co mu dostarczymy. Polityka Google nie jest gwarantem ochrony przed zbieraniem i przetwarzaniem PII.”
Może będzie kiedyś się nad tym tematem bliżej pochylić – ale nie w tym wpisie
Po pierwsze można zaoszczędzić klientowi zmagania ze sklepem i poprowadzić go za niego. Co się sprzedaje i ile jest na tacy już podane. Przecież nie interesuje nas Kowalski bo kto będzie się rozdrabniał. Jak to nie ma danych osobowych, a adres IP? Proszę tylko nie mówić, że [email protected] to jest dana osobowa. Stanowisko GIODO, można sobie podarować. Tak, trudno będzie jak każdy webmaster nawet ze stronką w stylu Ala ma kota będzie musiał dokonywać rejestracji to cały system się rypnie. Trzeba więc wmówić tłuszczy ciemnotę aby łyknęła. Śledzenie przez kogokolwiek innego niż przez właściciela sklepu, witryny jest mocno dyskusyjne. Powinno być uwzględnione w polityce danej strony i jasno opisane oraz zakomunikowane klientowi.
Skoro Wasi Klienci są zaskoczeni taką sytuacja oznacza to, że skuteczność powiadomienia i uświadomienia tej sytuacji nie jest wzorowa :).
Sytuacja musi też znaleźć odzwierciedlenie w polityce prywatności wszystkich firm (sklepów) i bez tego dane nie powinny być zbierane. Poszczególne sklepy powinny posiadać odpowiednie zapisy a skoro nie są świadomi całej sytuacji wątpię by dopilnowali formalności. Czy te kwestie też kontrolujecie? – obawiam się, że skoro mój Klient nic nie wiedział o Waszym GA że tak nie jest …
Nie jestem przeciwnikiem zbierania danych, analityki i pracy nad rozwojem biznesu. Uważam jednak, że to delikatna sprawa i należy postępować tej materii bardzo ostrożnie.
Google Analytics przechowuje to co mu dostarczymy. Polityka Google nie jest gwarantem ochrony przed zbieraniem i przetwarzaniem PII. Jest Umową którą powinny wypełniać obie strony. Nie ma tam jednak domyślnych automatycznych filtrów usuwających dane użytkowników. Domyślna konfiguracja powoduje niestety zbieranie takich danych. Wszystko zależy od konfiguracji wdrożenia (czyli czynnika ludzkiego). Owszem nie wolno, co nie znaczy, że się nie da lub się to nie zdarza..
Strasznie miesza Pan pojęcia. Rzeczowo i do celu:
1. Jak napisałem, dodajemy nasze konto do konta klienta. A to oznacza, że nie wysyła on danych do innych firm, niż robi to i bez tego doklejenia. W posiadaniu informacji są Google i IAI S.A.
2. Jeżeli sklep używa Google Analytics w polityce cookies powinien zawrzeć informację na temat udostępniania danych firmie Google
3. Każdy sklep internetowy kształtuje politykę prywatności sam. Mimo to, aby być pomocnym każdemu z klientów dostarczamy gotowy do wykorzystania wzorzec. Jest w nim m.in. rozdział „6. GOOGLE ANALYTICS, OPTIMIZELY I HOTJAR WEB ANALYTICS
6.1 Administrator korzysta z usług Google Analytics dostarczanych przez firmę Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA), usług HotJar dostarczanych przez firmę Hotjar Ltd (Malta) oraz z usług Optimizely dostarczanych przez firmę Optimizely Inc. (631 Howard Street, Suite 100, San Francisco, CA 94105). Usługi te pomagają Administratorowi analizować sposób korzystania ze Sklepu Internetowego.
(…)”
4. Od każdego klienta IAI, wymagamy aby dostarczył nam pisemnie podpisanej umowy. Zawiera ona w załączniku jakim jest regulamin, §4. pt. „Ochrona danych osobowych i polityka prywatności” w której klient powierza nam przetwarzanie danych osobowych.
5. Google wyraźnie w regulaminie Google Analytics i polityce prywatności zakazuje przekazywania danych osobowych (cyt. „Warunki korzystania z Google Analytics, obowiązujące wszystkich użytkowników tej usługi, zabraniają przekazywania do Google Analytics informacji umożliwiających identyfikację osób. Są to m.in. imię i nazwisko, adres e-mail i informacje rozliczeniowe.”). Za to nasza działalność tego wymaga, gdyż przetwarzamy dane osobowe, aby móc klientowi np. wygenerować później jego faktury, zlecenia do magazynu, dokumenty przewozowe itp.
Czy naprawdę wie Pan tak mało, czy nie stara się Pan być obiektywny? Istnieje coś takiego jak rzetelność dziennikarska. Art. 12 prawa prasowego stanowi „1) zachować szczególna staranność i rzetelność przy zbieraniu i wykorzystywaniu materiałów prasowych, zwłaszcza sprawdzić zgodność z prawdą uzyskanych wiadomości lub podać ich źródło,”
A teraz najlepsze:
Przyjrzałem się Pana stronie. Ma ona m.in. skrypt hotjar.com który ustawia cookies. Ale nie ma ani słowa o tym w https://blog.seo-profi.pl/polityka-prywatnosci/ Nie ma też ani słowa o innych usługach do których wysyła Pan dane użytkowników. Więc proszę zacząć swoje rady stosować u siebie, a innych pouczać dopiero po sprawdzeniu, czy faktycznie robią rzeczy, które im Pan zarzuca.
„Najlepsze”?
USTAWA z dnia 16 lipca 2004 r. Prawo telekomunikacyjnezaś – http://isap.sejm.gov.pl/DetailsServlet?id=WDU20041711800
Art. 173.
1. Podmioty świadczące usługi drogą elektroniczną mogą przechowywać dane informatyczne,
a w szczególności pliki tekstowe, w urządzeniach końcowych abonenta
lub użytkownika końcowego przeznaczonych do korzystania z tych usług,
pod warunkiem, że:
1) abonent lub użytkownik końcowy zostanie poinformowany jednoznacznie,
w sposób łatwy i zrozumiały, o celu przechowywania danych oraz sposobach
korzystania z ich zawartości;
U mnie jest taki zapis – https://blog.seo-profi.pl/polityka-prywatnosci/
Serwis korzysta z technologii plików Cookie w celach statystycznych. Plik Cookie to niewielkie informacje tekstowe, wysyłane przez serwer i zapisywane po stronie Użytkownika (zazwyczaj na twardym dysku). Przechowuje się w nim informacje, których blog może potrzebować, aby dostosować się do sposobów korzystania z niego przez Użytkowników i aby zbierać dane statystyczne dotyczące bloga , np. na temat tego, które strony były odwiedzane, jakie elementy są pobierane, oraz dane o nazwie domeny dostawcy usług internetowych czy kraju pochodzenia osoby odwiedzającej.
I dalej
Korzystamy także ze standardowych plików dziennika serwera sieciowego do liczenia osób odwiedzających bloga oraz do oceny możliwości technicznych tegoż. Używamy tych informacji, aby ustalić, ile osób odwiedza bloga, by zaaranżować strony w sposób najbardziej przyjazny dla Użytkownika i sprawić, żeby blog był prostszy i bardziej użyteczny w obsłudze. Danych zbieranych w ten sposób, tj. automatycznie, nie można ani zmienić ani usunąć.
Pliki Cookies nie są szkodliwe ani dla Ciebie ani dla Twojego komputera i danych, dlatego zalecamy niewyłączanie ich obsługi w przeglądarkach. Każdy użytkownik może sam decydować o tym w jaki sposób cookies zapisywane są na jego komputerze. Pozwalają na to ustawienia/preferencje definiowane w przeglądarkach. Domyślne ustawienia popularnych przeglądarek (Internet Explorer, Chrome, Firefox, Opera, Safari) pozwalają na zapisywanie cookies ze strony serwisu.
Życzę Pani miłego wieczoru :)
Tak tylko przez wasz dodatkowy tracker eventy potrafią odpalić się 60 i 100 razy na stronie… ;) Więc raczej wdrożenie od dupki strony. ;)
Widzę, że trochę się nie zrozumieliście i nawarstwiło się kilka tematów.
Ale ja odniosę się tylko do jednej sprawy i to bardziej przy okazji, bo z nią spotykam się nader często.
Sebastian poruszył bardzo ważną kwestię, istotny i jednocześnie bagatelizowany (nie twierdzę, że przez IAI) temat.
Polityka Prywatności Google dla usługi Analytics nie zabezpiecza automatycznie przed zbieraniem danych, których Google „nie życzy” sobie w swoich zasobach.
Aby zabezpieczyć usługę G. Analytics przed zbieraniem danych osobowych wymagane jest świadome działanie w obrębie GA i/lub witryny, tak aby:
– nie dopuszczać do zapisania danych PII w widokach danych.
– nie wysyłać danych PII do GA,
Wiele skryptów stron i sklepów (niestety w tym IAI) przetwarza dane o Klientach w taki sposób, że niejako „przy okazji” umożliwia wysłanie tych danych do G. Analytics lub innych systemów analitycznych / statystycznych.
Oczywiście to każdy użytkownik usługi G. Analytics zgadzając się na warunki umowy z Google powinien dostosować sposób zbierania danych. Niestety świadomość w tej kwestii jest bardzo niska.
Google pisze nam czego nie powinniśmy gromadzić w GA. Daje też narzędzia w ramach usługi i poza nią, których możemy użyć aby rozwiązać te kwestie. Ale same działania musza zostać podjęte:
– systemowo (np producenci oprogramowania, dostawcy usług),
– indywidualnie przez użytkownika końcowego – konfiguracja oprogramowania witryny i konfiguracja GA
Właśnie przed chwilą przeczytałem, że wpadkę zaliczył jeden z naszych banków wysyłając salda rachunków klientów do zewnętrznego systemu analityczno – statystycznego :(
Lech – IAI-Shop.com w przypadku wbudowanej integracji nie wysyła danych osobowych do Google Analytics. Bardzo zwracamy na to uwagę. Jeżeli znalazłeś jakiś błąd w tej materii, zgłoś to nam proszę. Jeżeli uwaga odnosiła się do „wielu” a przy okazji wymieniłeś IAI, bo nas dotyczy wątek, to warto to wyjaśnić.
Uwaga dotycząca możliwości wysyłania danych „przy okazji” odnosiła się do wielu ale w tym również do IAI. Napisałem to świadomie.
Jeśli kod śledzący GA wysyła dane osobowe na konta GA Waszych klientów i są one tam rejestrowane to i na Wasze też zapewne wysyła skoro to ten sam kod…
Nie znam jednak konfiguracji Waszych kont GA aby stwierdzić czy te dane docierają na widoki danych czy nie. A dopiero to byłoby naruszeniem Zasad, o których rozmawiamy (pomijam sam ewentualny przeciek). Jeśli zabezpieczacie skutecznie swoje konta GA przed zapisaniem takich danych, wszystko w kwestii Zasad Google jest ok.
Jestem w ciężkim szoku! Mam licencję lifetime shopera i nie miałam pojęcia, że shoper zbiera dane GA mojego sklepu. Co się stanie, jeśli „wytnę” im tę możliwość?
Hm… w licencji, o której piszesz, też to jest? W SaaS było, ale tu nie powinno to miec miejsca
To nie przypadek, że jedne strony idą w górę, a inne wypadają z Google.
Każdy chce mieć stronę wysoko, ale nie to jest najważniejsze.
Tak naprawdę to każdemu właścicielowi strony chodzi o pozyskanie Klientów, a nie o pozycję w wyszukiwarce.
Chcesz mieć więcej Klientów?
Warto przeczytać
Przydatne linki
