Jak se připravit na budoucnost ochrany dat v roce 2024?

Technologie jdou neustále dopředu, zároveň s tím ale přicházejí nové výzvy v oblasti zabezpečení a ochrany osobních údajů, ať už z hlediska interní potřeby společnosti, či nutnosti vyhovět novým regulacím a legislativním požadavkům, které jsou neustále zpřísňovány. V poslední době se jedná například o DMA (Digital Markets Act) nebo blížící se konec cookies třetích stran.

Na druhý zmíněný problém existuje celá řada řešení, jejichž vhodnou kombinací lze alespoň částečně problém konce cookies třetích stran vyřešit. Jedním z nich je implementace server-side měření webových stránek a aplikací pomocí Google Tag Manageru (dále jen GTM), kterému se bude věnovat tento článek.

K čemu GTM slouží? Jedná se o nástroj ke správě měření webových stránek a aplikací. Pomocí něj jsou data ze stránek a aplikací za určitých pravidel sbírána a pomocí takzvaných tagů předávána dále do analytických či reklamních systémů.

Tento nástroj lze využívat ve dvou možných nastaveních. Výchozím je tzv. client-side implementace, pokročilou možností následně server-side implementace. Jaké jsou mezi nimi rozdíly a jaké výhody/nevýhody v kontextu aktuálního vývoje ochrany dat přináší si povíme dále v článku.

Client-side GTM

Nejprve se podíváme na implikace spojené s implementací client-side GTM, jelikož jde o výchozí nastavení, které se používá buď samostatně, nebo v kombinaci s dále uvedeným server-side. Poprvé byl vydán v roce 2012 a od té doby prošel celou řadou vylepšení a změn. Princip je však stále stejný - sběr dat probíhá v prohlížeči návštěvníka, a to má vliv na výsledek celého měření. Mezi hlavní výhody patří například nulové technické náklady na provoz či také jednodušší implementace měření a možnost částečně automatizovaného sběru dat, který může ušetřit čas analytika či vývojáře.

S jednoduchostí tohoto řešení se však pojí také nevýhody, z nichž nejvýraznější je již dříve zmíněný vliv na straně klienta, tedy to, jaký prohlížeč (a v jaké verzi) návštěvník používá, zda používá ad-blocker a tak dále. Dále také zpomalení webu u složitějších implementací, jelikož veškeré dění se odehrává v prohlížeči. V neposlední řadě také chybí pevná kontrola nad tím, jaká data odcházejí třetím stranám, které si sami často sbírají dodatečná citlivá data (například IP adresy) navíc.

Na prvním obrázku je znázorněna implementace client-side řešení. Jelikož se přímo pomocí něj spouštějí veškeré skripty reklamních systémů, končí vaše kontrola nad daty před tím, než se dané skripty načtou (server třetí strany vidí například IP adresu a informace o prohlížeči návštěvníka). Zbytek je již v režii třetích stran, kam se data následně posílají a jak s nimi pracují.

Výhody

• snadná implementace
• možnost automatického sbírání dat ze stránky
• samotný provoz nic nestojí
• vyšší transparentnost pro návštěvníky

Nevýhody

• prohlížeč návštěvníka má silný vliv na výsledek měření a sběru dat - adblock, typ prohlížeče, verze atd.
• provozovatel webu nemá plnou kontrolu nad daty, která se posílají třetím stranám - riziko porušení zabezpečení ochrany dat
• při složitějších implementacích může docházet ke zpomalení webu
• zvýšené riziko vnějších útoků a zahlcení systémů chybnými daty

Server-side GTM

Ačkoli server-side GTM (dále jen sGTM) již bylo ohlášeno v roce 2020 a na trhu je dostupné od roku 2022, zvýšené pozornosti se mu dostává až v poslední době, právě v kontextu bezpečnosti dat a konce cookies třetích strach. Toto řešení využívá také client-side GTM (zmíněno výše), nicméně data jsou nejprve zasílána na samostatný a zabezpečený server, který sami provozujete a kde lze data dle potřeb upravovat. Získáváte tak mnohem větší kontrolu nad daty návštěvníků a zejména to, co se s nimi dále děje. Máte například možnost z nich odebírat citlivé údaje nebo je obohacovat o zákaznická či nákupní data. Zpravidla je sGTM také provozováno na vaší doméně, čímž můžete docílit ukládání cookies jako cookies první strany, jejich delší životnosti v prohlížeči Safari nebo také zvýšené odolnosti vůči ad-blockerům. Samotné měření je tak přesnější a ucelenější. sGTM je možné provozovat v cloudu (Google Cloud Platform a jiné) nebo jako on-premise, tedy na svých fyzických serverech.

Možnou nevýhodou je větší náročnost na implementaci oproti klasickému GTM, a to jak z hlediska potřeby hlubších technologických znalostí, tak dodatečných nákladů spojených s provozem serveru či cloudu.

Na druhém obrázku je zobrazeno schéma server-side implementace. Samotné měření probíhá v prohlížeči uživatele, data se však nejprve posílají na server, který máte pod kontrolou vy jako klient. Při stahování skriptů vidí třetí strana IP adresu a další identifikátory vašeho serveru, nikoli data návštěvníka, a váš server pak dále posílá pouze to, co mu umožníte posílat.

Výhody

• naměřená data jsou celkově přesnější
• plná kontrola nad sbíranými i odesílanými daty
• umožňuje lépe vyhovět legislativním požadavkům v oblasti ochrany osobních údajů
• možnost obohatit data o obchodní či uživatelská data - umožňuje zlepšení návratnosti z reklamy
• odolnější vůči blokátorům reklam
• schování citlivých údajů, jako jsou měřicí ID nebo API klíče ohrožující bezpečnost dat

Nevýhody

• stále je potřeba mít také client-side GTM pro sběr dat
• vyžaduje odbornější implementaci a údržbu
• je důležité vhodně sGTM nadimenzovat (struktura, výkon, objem dat) s ohledem na velikost webu a jeho návštěvnosti, jinak hrozí nižší spolehlivost a stabilita naměřených dat, případně vyšší náklady za využívání

Pro koho je implementace server-side GTM vhodná?

Vzhledem k tomu, že se jedná o pokročilejší řešení s dodatečnými provozními náklady a většími nároky na technologické znalosti, je server-side měření vhodné pro provozovatele středně velkých a větších webů, kteří chtějí efektivně a bezpečně sbírat a využívat data o svých zákaznících.

Stejně tak je řešení vhodné pro klienty, kteří chtějí mít maximální přehled a kontrolu nad zpracováním osobních dat svých zákazníků a návštěvníků. Právě téma správného a bezpečného nakládání s daty je stále důležitější a to především již ve výše uvedeném kontextu stále se zvyšujících nároků na zpracování a uchovávání dat v rámci stále přísnějších pravidel EU a její legislativy jako je GDPR, ePrivacy či Digital Markets Act.