它为您提供了您可能需要的工具,但与您的 GDPR 合规性并不严格相关。对于您需要/应该/被允许在 GDPR 下将此数据存储在 GA 中多长时间的问题,没有特别的“正确”答案,但根据我的阅读,鉴于它不应该是 PII(请参阅下面)对于大多数组织来说,这并不是一个真正的 GDPR 问题。特别是,没有特别的理由认为 Google 的默认设置是您可以在 GDPR 下选择的正确/强制/唯一设置。 行动:查看您的法律团队做出的承诺和您的新隐私政策,以了解您组织的正确时间线设置。在没有向您的用户明确承诺的情况下,我的理解是,您可以保留您最初被允许捕获的任何这些数据,除非您收到针对它的删除请求。
因此,尽管大多数组织至少会对隐私政策进行一些更改,但大多数GA 用户可以更改回去以无限期地保留这些数据。 后果 2:Google 正在删除 GA 帐户以捕获 PII 长期以来,在 Google Analytics 中存储任何个人身份信息 (PII) 都违反了服务条款。不过,最近,谷歌似乎在检查是否存在 PII 方面变得更加勤奋,并且在处理被发现包含任何 PII 的帐户方 客户名单 面变得更加强大。更简单地说,如果他们发现 PII,Google 将删除您的帐户。 不可能确定这是否与 GDPR 相关,但如果有必要,能够向监管机构证明他们正在对任何违反其 PII 相关条款的人采取严格行动,这显然是谷歌降低他们作为数据处理器。
在绝大多数帐户都是免费帐户的领域中,这特别有意义。很像上一点,而我之所以说这与谷歌的回应有关GDPR 生效后,完全有可能获得用户的许可,将他们的数据记录在 GA 等第三方服务中,并完全遵守规定。无论您的用户授予您什么权限,Google 与 GDPR 相关的打击(以及对已经存在了一段时间的相关条款的更严格执行)意味着这是一个比以前更大的新风险。 行动:审核您的 GA 配置文件和 PII 风险的实施: 您可以通过多种方式在 GA 本身中进行搜索,以查找可以在页面标题、URL、自定义数据等位置进行个人识别的数据(请参阅这两个出色的 指南)