Cookie consent management – jak zrobić to dobrze?

Cookie consent management – jak zrobić to dobrze

Czy wiesz, że możesz tracić cenne dane o użytkownikach Twojej strony w przypadku niepoprawnego wdrożenia platformy do zarządzania zgodami? Co więcej, jesteś w takiej sytuacji narażony na karę finansową ze strony Urzędu Ochrony Danych Osobowych. Sprawdź, jak tego uniknąć!

Chyba wszyscy pamiętamy czasy, kiedy pojawił się wymóg informowania internautów o stosowaniu plików cookie na stronach www. Okienka ograniczały się jedynie do krótkiej informacji i ewentualnie podlinkowania polityki prywatności. W przypadku niektórych witryn nadal możemy obserwować taką praktykę. Nie spełnia ona jednak wszystkich wymogów prawnych.

 

gov.pl

W 2019 roku Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie strony internetowej jednej z niemieckich spółek. Ogłosił, w nim że “umieszczanie plików cookie wymaga czynnej zgody internautów”. Dodatkowo w ocenie Trybunału możliwość wyrażenia zgody nie powinna występować w postaci domyślnie już zaznaczonego okienka wyboru. Z dokumentu dowiadujemy się również, że użytkownikowi należy udzielić informacji, jak długo funkcjonują pliki cookie i czy osoby trzecie mogą uzyskać do nich dostęp. 

W rezultacie, w 2020 roku zapadły decyzje Europejskiej Rady Ochrony Danych wymagające od właścicieli stron internetowych pozyskiwania zgody użytkowników na pliki cookie jeszcze przed uruchomieniem skryptów śledzących. W wytycznych położono nacisk na to, aby użytkownik miał możliwość wyrażenia i niewyrażenia zgody, a także możliwość jej wycofania. Wszystkie trzy opcje powinny być w równym stopniu proste do wykonania.

Żeby sprostać temu zadaniu potrzebujesz narzędzia, które będzie zintegrowane z systemami odpowiedzialnymi za kody śledzące. Oczywiście możesz stworzyć własne oprogramowanie, ale jest to bardzo pracochłonne i czasochłonne, między innymi dlatego, że samodzielnie musisz je na bieżąco aktualizować, zgodnie ze zmieniającymi się regulacjami. Z pewnością szybszym i łatwiejszym sposobem będzie skorzystanie z gotowych rozwiązań, których na rynku jest wiele.

Na co zwrócić uwagę przy wyborze konkretnej platformy?

Od wspomnianego już 2020 roku polityka prywatności użytkowników staje się coraz bardziej restrykcyjna. W sieci mówi się o możliwych (nawet kilkumilionowych!) karach za nierespektowanie praw użytkowników na stronach www. Firma Google z kolei przestrzega, że będzie blokować konta reklamowe, w których pojawiają się odesłania do tego rodzaju witryn. 

Dlatego też nieustannie rośnie popyt na platformy consent management, a konkurencja prześciga się w oferowaniu atrakcyjnych pakietów. Jako jedne z najpopularniejszych narzędzi warto wymienić: CookieBota, CookieYesa czy OneTrusta. Wybierając platformę, należy przeanalizować poszczególne pakiety i zwrócić uwagę na poniższe kwestie:

  • Czy Twoja strona łapie się na bezpłatny pakiet?
  • Od czego uzależniona jest cena pakietu? Warto patrzeć perspektywicznie i zainwestować w takie narzędzie, które do jednego pakietu wlicza domenę, jak i jej subdomeny. Są narzędzia, które oferują osobne pakiety dla domen i ich subdomen.
  • Czy system samodzielnie identyfikuje pliki cookie i przypisuje ciasteczka do odpowiednich kategorii?
  • Czy w pakiecie znajdują się opcje niezbędne dla Twojej witryny, np. różne wersje językowe, customizacja baneru czy nawet white label?
  • Czy panel zarządzania zgodami jest przejrzysty i prosty w obsłudze? Większość marek proponuje założenie konta testowego, aby móc sprawdzić możliwości konfiguracyjne.
  • Czy dane narzędzie wspiera Google Consent Mode? To właśnie dzięki niemu nie stracimy wartościowych danych, kiedy użytkownik nie wyrazi zgody na ciasteczka. Ale o tym za chwilę.

Z moich obserwacji wynika, że na wielu stronach www platformy do zarządzania zgodami pełnią jedynie funkcję atrapy. Z pewnością część tego rodzaju konfiguracji jest celowa, ale spory odsetek z nich może być wynikiem błędu.

Poniżej przedstawiam przykład nieprawidłowego wdrożenia cookie consent management. Co ciekawe, znajduje się ono na portalu dotyczącym ochrony danych osobowych.

 

Polityka Cookie

Jak możemy zaobserwować na powyższym zrzucie ekranu ciasteczka, w tym przypadku dotyczące Google Analytics, uruchamiają się jeszcze zanim użytkownik witryny dokonał wyboru związanego z akceptacją plików cookie. W tej sytuacji baner nie pełni tak naprawdę żadnej roli, a na stronie internetowej nie są respektowane prawa użytkownika. 

Jak więc wykonać poprawne wdrożenie platformy consent management? Przede wszystkim należy pamiętać, że konfigurację należy przeprowadzić zarówno w panelu zarządzania zgodami (głównie ustawienia baneru), jak i w Google Tag Managerze – bądź bezpośrednio w kodzie strony (działania związane z warunkowaniem skryptów śledzących). Poniżej przedstawiam dwie najważniejsze zasady w pigułce:

  • Uruchamianie się kodów śledzących powinno zostać uwarunkowane pod względem zgód na pliki cookie wyrażanych przez użytkowników witryny. Domyślny status zgody powinien być ustawiony jako odmowny. Ciasteczka reklamowe lub/i analityczne nie mają prawa odpalić się, zanim użytkownik nie wyrazi na to zgody. 
  • Akceptacja plików cookie powinna natychmiast aktywować kody śledzące poprzez automatyczne przeładowanie się strony. Kiedy pominiemy ten punkt, będziemy mogli śledzić użytkownika dopiero od kolejnej wyświetlonej przez niego strony lub wcale, jeżeli użytkownik nie przejdzie na kolejne podstrony.

Jak nie tracić danych, kiedy użytkownik nie wyrazi zgody?

Zapewne wdrożenie samego systemu cookie consent management odstrasza wiele osób z uwagi na myśl o utracie dużej ilości danych. Jednak w sytuacji, kiedy użytkownik nie wyrazi zgody na śledzenie, z pomocą przychodzi Google Consent Mode. Wysyła on powiadomienia o wizytach na stronie, tzw. pingi bez plików cookie, do takich usług, jak: Google Analytics, Google Ads i Floodlight.

Dane te są zagregowane i anonimowe, w związku z tym nie są uwzględniane w procesach remarketingowych. Mimo wszystko dostarczają podstawowych informacji systemom Google, na podstawie których następnie modelowane są nasze dane i predykcje w Google Analytics 4. 

Aby korzystać z takiego rozwiązania, musisz zintegrować swój system zarządzania zgodami z Google Consent Mode. Wiele platform oferuje już gotowe szablony takiej integracji za pośrednictwem Google Tag Managera. Tagi Google w przypadku takich templatek nie wymagają edycji. Nie zapomnij jednak o samodzielnym uwarunkowaniu odpalania się skryptów śledzących dla pozostałych usług, których używasz – np. Facebook czy Pinterest Ads.

Co powinno się znaleźć na banerze dotyczącym plików cookie?

Na stronach internetowych panuje bardzo duża różnorodność, jeśli chodzi o wygląd baneru i jego zawartość. Z Prawa Telekomunikacyjnego, a także przepisów RODO wynika, że na banerze powinna znaleźć się przede wszystkim jednoznaczna i zrozumiała informacja na temat używania przez witrynę plików cookie. Brak interakcji z banerem powinien być domyślnie traktowany jako odmowa.

Właściciele witryn dążą do tego, aby jednak jak najwięcej użytkowników akceptowało ciasteczka. W związku z tym wdrażające systemy consent management prześcigają się w różnego rodzaju rozwiązaniach, które miałyby sprzyjać wyrażaniu zgody na pliki cookie. Oto kilka przykładowych praktyk.

 

Brak buttona, umożliwiającego odrzucenie ciasteczek

 

Button “Zapisz i wyjdź” jest nieaktywny dopóki nie wyrazimy zgody na minimum 1 pozycję

 

Baner zachęcający do zmiany decyzji po odrzuceniu ciasteczek

 

Zamknięcie strony w przypadku odmowy

 

Zarządzanie preferencjami

Regulacje prawne w kontekście wyglądu i zawartości baneru są dość ogólne, co prowadzi do różnych interpretacji tych wytycznych. Ciężko jednoznacznie i jednogłośnie stwierdzić, które praktyki można uznać za odważne, które za kontrowersyjne, a które całkowicie naginające prawo na rzecz własnych korzyści. W przypadku takich wątpliwości zawsze warto skonsultować się z prawnikiem czy osobami na co dzień zajmującymi się ochroną danych osobowych. 

Natomiast, co jest pewne w 100% to fakt, że wdrożenie platformy do zarządzania zgodami trzeba wykonać poprawnie technicznie. Oznacza to uwarunkowanie odpalania się wszystkich skryptów śledzących względem wyrażanych przez użytkowników zgód na pliki cookie. 

Podsumowanie

Consent management w czasach nieustannie zaostrzających się regulacji prawnych jest jednym z Twoich must have, jeśli chcesz spać spokojnie. To prawda, że 3rd party cookies odejdą niebawem do lamusa, ale nadal pozostają z nami 1st party cookies. Pamiętaj także, o tym, że tzw. zgoda na pliki cookie oznacza w rzeczywistości zgodę na przetwarzanie danych dzięki wykorzystaniu ciasteczek, ale także “innych podobnych technologii”. A te z kolei w odpowiedzi na potrzeby rynku pojawiają się jak grzyby po deszczu. 

Poprawne wdrożenie narzędzia do zarządzania zgodami użytkowników kryje za sobą wiele wyzwań. Nic więc w tym dziwnego, że osoby, które nie zajmują się tym na co dzień, mogą w tym procesie czuć się zdezorientowane. Jeżeli konfiguracja platformy cookie consent management jest ciągle przed Tobą, chętnie zrobimy to za Ciebie! Skontaktuj się z nami, aby uzyskać wycenę.

 

O AUTORCE

Katarzyna Góraj

Senior Digital Analyst​

Pierwsze kroki na ścieżce zawodowej stawiała w social listeningu, po czym doszczętnie przepadła w świecie badań. W Yetiz zajmuje się analityką, ale i prowadzeniem kampanii PPC. Prywatnie jest uzależniona od górskich wędrówek i nie wyobraża sobie życia bez wokalu Freddiego Mercurego.

Dowiedz się więcej