Приватність та Google Analytics 4: як дотримуватися GDPR/CCPA та збирати дані етично

У 2025 році тема цифрової приватності набула безпрецедентної ваги. Це сталося з кількох причин:

1. Посилення регулювання. Європейські органи з питань захисту даних (зокрема DPC, CNIL) активізували контроль за дотриманням GDPR. Водночас у США почала діяти оновлена версія CCPA — CPRA, яка суттєво розширює обсяг прав користувачів.

2. Вимогливіші користувачі. Після серії гучних витоків даних і скандалів (TikTok, Meta, X) користувачі стали критичніше ставитися до того, як компанії збирають і зберігають персональні дані.

3. Обов’язковий Consent Mode v2. У 2024–2025 роках Google зробив обов’язковою інтеграцію Consent Mode для сайтів, які хочуть використовувати Google Analytics та рекламні продукти у Європі.

Усе це змушує компанії оновити свій підхід до збору даних. Google Analytics 4 (GA4) пропонує інструменти, які дозволяють поєднати ефективну аналітику з дотриманням законодавства. У цій статті розкажу як це зробити правильно.

Що таке GDPR, CCPA, CPRA, CMP

GDPR (General Data Protection Regulation) — загальний регламент ЄС, який встановлює правила обробки персональних даних громадян. Його вимоги поширюються на всі компанії, які мають трафік з Євросоюзу або обробляють дані громадян ЄС, незалежно від країни реєстрації бізнесу.

CCPA (California Consumer Privacy Act) — закон штату Каліфорнія, який захищає права користувачів на знання, контроль і видалення їхніх персональних даних. Діє з 2020 року.

CPRA (California Privacy Rights Act) — оновлення та посилення CCPA, що діє з 2023 року. Зокрема, вимагає від компаній мінімізувати збір даних і забороняє дискримінацію користувачів, які не погодились на обробку.

CMP (Consent Management Platform) — спеціалізована система для збору, зберігання та передачі згоди користувачів на обробку їхніх даних відповідно до законодавства (GDPR, CCPA). Наприклад: Cookiebot, OneTrust.

Чому CCPA/CPRA стосуються і українських сайтів

Навіть якщо компанія зареєстрована в Україні, вона підпадає під дію CCPA/CPRA, якщо:

• отримує трафік із Каліфорнії, навіть незначний;

• таргетує рекламу на мешканців цього штату;

• продає товари/послуги в США, зокрема онлайн.

Недотримання вимог може призвести до:

• блокування акаунтів у Google Ads/Analytics;

• втрати доступу до аналітики та ремаркетингу;

• штрафів згідно із законодавством, зокрема за CCPA — до $2500 за ненавмисне порушення і до $7500 за умисне.

Також у 2025 році рекламні гіганти, як-от Google, Meta, TikTok, вимагають наявності CMP та Consent Mode навіть для сайтів поза ЄС чи США, якщо трафік охоплює ці регіони.

Законодавчі вимоги: GDPR та CCPA

CCPA

1. Інформування користувачів. Власники сайтів зобов’язані повідомляти, які категорії даних збираються і з якою метою.

2. Можливість відмови від продажу даних. Користувачі мають право відмовитись від продажу своїх даних третім сторонам.

3. Доступ до даних та їх видалення. Перш ніж здійснювати маркетинг, компанії повинні надати користувачам доступ до своїх даних і можливість їх видалення.

GDPR

1. Згода на обробку — користувач повинен дати явне підтвердження (opt-in), крім технічно необхідних cookies.

2. Право на видалення — користувач може вимагати повного видалення даних («право бути забутим»).

3. Прозорість — компанія зобов’язана повідомляти, які дані збираються, навіщо та як вони використовуються.

4. Обмеження зберігання — дані зберігаються лише стільки, скільки потрібно для визначених і зафіксованих цілей.

Цілі обробки визначає контролер даних — компанія або організація, яка збирає дані. Цілі повинні бути:

1. Конкретними — загальні фрази на кшталт «для покращення сервісу» не підходять.

2. Законними — відповідати одній із правових підстав обробки (згода, контракт, закон тощо).

3. Задекларованими — їх потрібно чітко описати в:

• політиці конфіденційності;
• угодах з користувачами;
• документації щодо GDPR compliance (наприклад, у Record of Processing Activities — RoPA).

Як GA4 допомагає відповідати вимогам приватності

Google Analytics 4 розроблено з урахуванням сучасних стандартів конфіденційності. Нижче наведу основні функції, які сприяють відповідності GDPR та CCPA.

Автоматична анонімізація IP

GA4 не зберігає повні IP-адреси користувачів. Замість цього обробляються лише агреговані дані, що дозволяє визначати геолокацію за першими секторами IP.

Зверніть увагу: в GA4 відсутня функція ввімкнення IP-анонімізації вручну, як це було в Universal Analytics. Це тому, що IP-адреси автоматично не зберігаються. Google використовує IP лише для миттєвого визначення локації, і одразу видаляє цю інформацію.

Налаштування терміну зберігання даних

У GA4 власники облікових записів можуть самостійно обрати, як довго зберігати дані про користувачів — від двох до 14 місяців у безкоштовній версії, або до 50 місяців у GA360.

GDPR не визначає точні терміни, але вимагає, щоб дані зберігалися не довше, ніж це необхідно для визначених цілей. Google надає попередньо встановлені значення, які вважаються «розумними» в контексті аналітики — наприклад, 14 місяців дозволяє аналізувати динаміку «рік до року».

Щоб забезпечити відповідність:

• оберіть термін, який відповідає вашій аналітичній меті;

• вкажіть його у політиці конфіденційності;

• періодично переглядайте доцільність обраного значення.

User Deletion API

GA4 дає можливість видаляти дані окремих користувачів на їхню вимогу. Це важливий інструмент для дотримання «права бути забутим».

Обмеження передачі персональних даних (PII)

PII (Personally Identifiable Information) — це будь-які дані, що дозволяють прямо або опосередковано ідентифікувати особу: ім’я, email, номер телефону, IP-адресу, ідентифікаційні документи тощо.

Google суворо забороняє передавати PII через Google Analytics, включно з GA4. Це прописано в Google Analytics Terms of Service.

Попри заборону, технічно це можливо — Google не блокує передачу таких даних автоматично. Якщо PII випадково потрапляє в URL, назву події або параметр у тегу, вона буде зібрана.

Власник сайту відповідає за те, щоб жодна подія або тег у GTM/GA4 не передавали персональні дані.

Як уникнути порушень?

1. Не використовуйте email, ім’я, номер телефону в назвах подій або параметрах.

2. Перевіряйте всі форми, URL, UTM-мітки.

3. Використовуйте Data Layer для передачі анонімізованих ідентифікаторів, а не PII.

4. Тестуйте через GTM Preview, GA4 DebugView або сторонні аудитори (наприклад, PII Scanner).

Наслідки порушення:

• Google може заблокувати акаунт GA4 або обмежити доступ до даних;

• потенційні юридичні ризики у разі витоку або скарги користувача.

Модельовані дані (Modeled Data)

Modeled Data у GA4 — це статистичні прогнози поведінки користувачів, які не дали згоди на аналітику, створені на основі тих, хто згоду надав. Це дозволяє GA4 відображати повніші звіти, не порушуючи приватність.

Ці дані не збираються з користувачів без згоди. GA4 не зберігає жодних подій від таких користувачів. Натомість система моделює загальну картину їхньої поведінки, ґрунтуючись на доступних сигналах від тих, хто погодився на обробку.

Йдеться про згоду на analytics_storage у механізмі Consent Mode v2. Якщо вона відсутня (denied), GA4 не зберігає жодних подій, але позначає це в системі як «missing data», яку потім може доповнити через моделювання.

Це рішення дозволяє:

• дотримуватись законів (GDPR, CCPA);

• не втрачати цілісність звітів, навіть якщо частина користувачів не дала згоди.

Обмеження:

1. Дані є лише оцінками, а не реальними значеннями.

2. Звіти з модельованими даними можуть відрізнятися від фактичної поведінки користувачів, особливо якщо частка відвідувачів, які не надали згоду, висока.

Практичні кроки для етичного збору даних у GA4

Щоб встановити систему згоди (Consent Management Platform, CMP):

1. Використовуйте перевірені інструменти CMP (наприклад, Cookiebot, OneTrust, Osano).

2. Забезпечте, щоб банер згоди не тільки інформував користувача, а й інтегрувався з Google Tag Manager для передачі згоди за допомогою Consent Mode v2.

Приклади банерів згоди:

Otodom.pl

Olx.pl

Otomoto.pl

Як впровадити Consent Mode у GА4 через GTM читайте у нашому матеріалі.

Виключення PII з передаваних подій

Хоча Google Analytics 4 не має приймати PII, її можна випадково передати у подіях — особливо через неправильні параметри в GTM або в коді сайту. Google не блокує такі дані автоматично. Відповідальність за їх недопущення — на власнику сайту.

Персональні дані можуть потрапити в GA4:

1. Через URL-адресу. Наприклад, після заповнення форми URL може містити ?name=Ivan&email=ivan@example.com. Якщо на цій сторінці спрацьовує подія page_view, URL автоматично передається у GA4 як параметр — разом з PII.

2. Через параметри подій. Якщо вручну створений тег передає user_email, phone, client_name у параметрах подій — ці значення потрапляють у GA4.

3. Через data attributes у Document Object Model. Наприклад, якщо на кнопці є data-user="ivan@example.com" і він зчитується як event_label.

4. Через custom UTM-мітки. Якщо у посиланні на кампанію передано utm_content=user@domain.com, ця адреса потрапить у звіт «Трафік».

Ці дані передаються:

• у подіях GA4: page_view, form_submit, click — разом із параметрами (event parameters), наприклад: event: form_submit → { email: "user@example.com" }.

• у звіти GA4 (наприклад, через BigQuery або Explore), де їх можна виявити — а отже, це порушення правил Google і GDPR/CCPA.

Щоб перевірити передачу PII:

• визначте, які змінні та параметри передаються в тегу (Variables > Tags > Event Parameters) через GTM Preview Mode.

• увімкніть відлагодження й прогляньте, які події та значення потрапляють у реальному часі в GA4 DebugView.

Усі змінні, що містять потенційні PII, мають бути або очищені, або замінені псевдонімами (наприклад, user_id, client_id, hash).

Ніколи не передавайте email, full_name, phone напряму в тегах або URL.

Приклад з DebugView: видно повний інтерфейс — Minutes/Seconds Stream, Top Events, Device Selector; параметри подій не містять особистих даних.

Найкращі практики для забезпечення етичного збору даних

1. Прозорість і комунікація. 

Описуйте у політиці конфіденційності, які дані збираються, як вони використовуються та хто має до них доступ. Пишіть простою мовою, щоб користувач розумів, що саме відбувається із його даними.

2. Регулярний аудит налаштувань. 

Проводьте аудит: регулярно перевіряйте налаштування GA4, GTM та CMP. Навіть якщо ви нічого не змінювали в аналітиці, зміни у суміжних системах або оновлення з боку Google можуть призвести до порушень політики або збору заборонених даних. Використовуйте інструменти DebugView і сторонні аудити, щоб переконатися, що дані збираються відповідно до політик.

3. Обмеження та мінімізація даних.

Збирайте лише дані, що дійсно потрібні для аналізу. Використовуйте агреговані дані, де це можливо, щоб мінімізувати ризик ідентифікації окремих користувачів.

Типові помилки та як їх уникнути

Поради щодо перевірки правильності налаштувань

1. Тестуйте в режимі Preview у GTM: переконайтеся, що всі теги (зокрема Consent Mode) спрацьовують на всіх сторінках правильно.

2. DebugView у GA4: під час тестування перевірте, що події надходять без передачі PII і що в полі згоди видно status (granted/denied).

Висновки

1. GDPR та CCPA/CPRA встановлюють жорсткі правила: явна згода користувачів, право на видалення, прозорість збору, обмеження термінів зберігання й заборона дискримінації.

2. CCPA/CPRA поширюються й на українські компанії, якщо вони мають користувачів у США. Недотримання веде до штрафів і блокувань у Google Ads та Analytics.

3. GA4 забезпечує відповідність приватності завдяки анонімізації IP, гнучким налаштуванням терміну зберігання даних, API для видалення користувачів і забороні на збір PII.

4. Використання модельованих даних у GA4 допомагає відновити повноту звітів без порушення законів, але результати є статистичними оцінками, а не точними показниками.

5. Для етичного збору даних потрібна інтеграція CMP із Consent Mode, виключення PII з подій і URL, регулярний аудит налаштувань GA4 та мінімізація даних до необхідного рівня.

6. Типові помилки — відсутність CMP, випадкова передача PII, некоректний Consent Mode і завищені строки зберігання даних — створюють ризики блокувань, штрафів і втрати довіри. 

7. Найкраща практика: прозора комунікація з користувачами, регулярні перевірки налаштувань, використання агрегованих даних і документування цілей обробки у політиці конфіденційності.