W tym wpisie pokażę Ci dlaczego warto rozważyć Matomo Analytics. Matomo Analytics jest alternatywą dla Google Analytics, a hostowanie zbieranych danych na własnym serwerze pozwoli Ci na kontrolę nad tym, gdzie te dane trafiają.
Ale dlaczego nie Google Analytics?
Z Google Analytics są pewne kontrowersje. Nie jestem fachowcem w temacie, ale postaram się to opisać tak, jak to rozumiem po materiałach z którymi się zapoznałam. Linki do źródeł znajdziesz pod tym wpisem.
Zacznijmy od tego, że korzystanie z Google Analytics wiąże się z transferem danych z Unii Europejskiej do Stanów Zjednoczonych. Taki transfer do pewnego momentu regulowała Tarcza Prywatnoścu („Privacy Shield”). Natomiast po wyroku TSUE w sprawie Schrems II, Tarcza Prywatności została uznana za nieważną i nie można się już na nią skutecznie powoływać. Przytoczę fragment ze strony PARP dotyczący tego wyroku:
Ponadto lektura wyroku zmusza również do tego, aby zastanowić się, na ile w przypadku transferu danych do USA możliwe jest w ogóle powoływanie się na inne „mechanizmy” przewidziane w RODO, w tym standardowe klauzule umowne lub wiążące reguły korporacyjne.
Obecnie powstaje więc pytanie, czy, a jeżeli tak, to w jaki sposób i na jakiej podstawie, można przekazywać dane osobowe z UE do USA – tak aby nie narazić się na zarzut naruszenia przepisów RODO i związane z nim potencjalne i dotkliwe konsekwencje finansowe.
Skoro nie można się już powoływać na tarczę, to co można zrobić? Można oprzeć taki transfer na „standardowych klauzulach umownych lub na wiążących regułach korporacyjnych”. Przytoczę kolejny fragment, bo nie zawsze umiem rzetelnie przetłumaczyć prawniczy bełkot (wybaczcie) na język ludzki.
[…] dla przedsiębiorców z sektora MŚP, o ile nie są one częścią międzynarodowej grupy kapitałowej, realnie „dostępna” będzie tylko pierwsza z ww. podstaw.
Ale to dalej nie wyjaśnia wiele, bo według wyroku, w niektóych przypadkach te klauzule umowne mogą być niewystarczające, bo nie zapewnią skutecznej ochrony danych. Przykładem jest właśnie transfer danych osobowych do USA. Chodzi o to, że Stany Zjednocznone są krajem, w którym ze względy na „rygorystyczne przepisy inwigilacyjne”. Z tego powodu TSUE „podał w wątpliwość legalność przekazywania danych osobowych do USA w oparciu tylko o standardowe klauzule umowne”.
Dalej robi się jeszcze weselej, bo autorzy artykułu dodają, że istnieje wątpliwość czy w ogóle można legalnie przekazywać dane do USA. Podsumowując, „transfer danych osobowych do USA wiąże się z ryzykiem naruszenia przepisów RODO”.
Nie znaczy to, że transfer danych jest zakazany. Nie jest, ale jest ryzyko, że łamiemy przepisy, bo nie istnieje jednoznaczna interpretacja. To ryzyko ponosimy my jako właściciele biznesów i administratorzy gromadzonych danych i to my musi rozważyć wszystkie za i przeciw. A jak nie chcemy tego rozkminiać, to możemy właśnie przerzucić się na inne narzędzie, w ramach którego nie będzie transferu danych do USA.
Czy ktoś już za to beknął?
Są lokalne decyzje w kilku krajach Europejskich. Z tego co widzę tutaj to Włochy, Francja i Austria zwyczajnie zakazały użycia GA. Nie wiem natomiast czy jakaś firma beknęła finansowo za używanie GA. Mnóstwo stron w Polsce wciąż używa Google Analytics. Częściowo może to wynikać z niewiedzy (w przypadku malutkich biznesów), a częściowo z kalkulacji potencjalnego ryzyka vs potencjalnych korzyści (to pewnie w przypadku firm, które na taką analizę mogą sobie pozwolić).
Jak Matomo Analytics tutaj pomaga?
Mamoto możemy używać w jednej z dwóch konfiguracji: Matomo Cloud albo Matomo On-Premise.
To pierwsze to po prostu pełna usługa, w której dane przechowywane są na serwerach w Europie. Sama firma jest zaś zarejestrowana w Nowej Zelandii. Nowa Zelandia jest jednym z krajów z wystarczającym poziomem ochrony danych według Unii Europejskiej. Z tych powodów nie ma ryzyka (przynajmniej z tego co widzę i rozumiem) z transferem danych. Usługa ta jest płatna, a ceny zaczynają się od 19 euro za miesiąc.
Jeżeli wolimy opcję „cebula”, a dodatkowo mamy jakąś tam wiedzę techniczną, to poniżej podrzucam instrukcje jak zainstalować sobie Matomo na VPSie na OVH. W tej opcji masz pełną kontrolę nad danymi i nad tym gdzie są przechowywane. Wybrałam VPS z preinstalowanym Dockerem. Sama bazowałam głównie na tym tutorialu. Ale jeżeli nie masz wiedzy technicznej i nie wiesz co się dzieje w tym artykule, to lepiej wybrać Matomo Cloud.
Źródła
UPDATE: Further EU DPA orders stop of Google Analytics
How the EU determines if a non-EU country has an adequate level of data protection.