Jak ma wyglądać zgoda na cookies? Jak dopasować baner ze zgodą na ciasteczka? Czy trzeba pytać o cookies Google Analytics? Jak o nie jednak nie pytać? Czy potrzebne są zmiany w treści polityki prywatności i polityki cookies? To tylko przykładowe pytania spośród tych, które coraz częściej do mnie trafiają. A jednocześnie zahaczają o wiele różnych wątków, nie tylko prawnych. Rozplączmy to w tym wpisie.

Może kojarzysz już moją serię wpisów o RODO. O cookies też pisałem już dawno temu. Teraz rozwijam tematy w tej rozmowie! Tak tak, zgodnie z tytułem bloga wątki są nie tylko prawne – ale w pozostałych zdam się na wiedzę znakomitego fachowca. Dlatego dzisiejszy artykuł będzie miał formę mojej rozmowy z Witoldem Wrodarczykiem z Adequate – znamy się między innymi ze sceny I love marketing, więc to konkretny spec.

Okej, to od teraz ja piszę kursywą na niebiesko.


Zgoda na cookies – zmiany od 2019

Już w 2019 roku TSUE nakazał stronom www zbieranie zgód opt-in na pliki cookie. W 2020 wydano potwierdzające ten wyrok wytyczne Europejskiej Rady Ochrony Danych i pojawiły się zalecenia europejskich regulatorów, nakazujące zmianę dotychczas funkcjonujących „informacji o cookie” na system, który zbiera zgody na ich używanie. Co to oznacza?

Unijny Trybunał stwierdził, że nie wystarczy poinformować użytkownika o stosowaniu cookie. Zanim na urządzeniu użytkownika zostaną zainstalowane pliki cookie, musimy mieć na to wyraźną zgodę. Dopóki nie wybierzemy przycisku potwierdzającego, że się zgadzamy, nie można nam zostawiać ciasteczek w przeglądarce. A więc to opt-in, czyli uprzednia zgoda – w odróżnieniu od opt-out ze zgodą domniemaną, z której my co najwyżej możemy się wycofać.

Minęły dwa lata, a w Polsce wciąż większość stron, w tym gov.pl ma stary „pasek cookie”. Czyżby w Polsce to nie obowiązywało?

Bo w Polsce cały czas obowiązuje przepis Prawa telekomunikacyjnego, który zezwala na cookie w ten sposób:

„- umieszczamy pliki cookie,

– jak chcesz, możesz je sobie skasować lub zablokować w ustawieniach przeglądarki”.

Na razie nie zapowiada się na jego zniknięcie.

Przepisy a praktyka w Polsce

Czyli w Polsce wymóg opt-in nie obowiązuje? Czy mamy sprzeczne przepisy?

Przepisy nierzadko są z sobą sprzeczne, ale prawo zawiera zasady rozwiązywania takich sprzeczności. W tym przypadku zaczyna przeważać pogląd, że musimy zacząć stosować europejskie przepisy i zbierać zgody na pliki cookie. Tym bardziej, że w grudniu 2021 r. w tej sprawie wypowiedział się Urząd Ochrony Danych Osobowych i ukarał pierwszą firmę za niezbieranie zgody. Na razie upomnieniem, ale to jasny sygnał i kolejne kary mogą już kogoś uderzyć po kieszeni.

Fakt. Prawnicy klientów, którym już dawno sygnalizowaliśmy tę kwestię, coraz częściej zmieniają front i klienci proszą o wdrożenie systemu zarządzania zgodami.

Rozwiązania techniczne

Czy to jest technicznie skomplikowane?

Na pewno bardziej, niż dotychczasowy „pasek cookie” który zawierał dwie linijki kodu, a jedyne, co można było z nim zrobić, to go zamknąć. Nieważne co zrobiłeś – dałeś OK, krzyżyk czy „więcej informacji”, na twoim urządzeniu i tak były umieszczane ciasteczka. W praktyce bez zgody. Teraz musimy mieć system, który zanim umieści ciasteczka, zapyta użytkownika o zgodę. Dopiero potem (w zależności od rodzaju zgody) uruchomi lub zablokuje skrypty takie jak kod śledzący Google czy piksel Facebooka.

A to nie wszystko! Musisz też umożliwić użytkownikowi łatwe wycofanie wcześniejszej zgody. A system musi również prowadzić ewidencję zgód, aby dało się wykazać, kiedy zgoda została udzielona.

Oczywiście. Na szczęście na rynku istnieje wiele platform zarządzania zgodami, dostępnych w modelu SaaS, w umiarkowanych cenach. Czy nawet bezpłatnych, które dostarczają oprogramowanie, które ma to wszystko.

Czyli trzeba wykupić dostęp do platformy consent management i wkleić na stronę kod?

Aż tak proste to nie jest. Trzeba dokonać integracji systemu consent management z kodami śledzącymi na stronie. Nawet jeśli wykorzystujemy kontenery, takie jak Google Tag Manager, wymaga to odpowiedniej konfiguracji. Bardzo często widzę platformy consent management, która są atrapami, bo niezależnie od tego, co wybierzesz, cookie się ładują. Nawet jeśli nie na danej stronie, to na kolejnych, które odwiedzisz w danej witrynie. To przecież nie może tak działać.

Nie może. Nie na to się „umawialiśmy”, gdy wchodziłem na stronę.

Pamiętajmy też o regulaminach, bo chyba te „stare” polityki prywatności czy polityki cookies wymagają odświeżenia?

Tak, trzeba to będzie dostosować.

Ściągnąć z sieci „szablon polityki prywatności 2022”?

Niby możesz – ale to tak jak z Twoją platformą, trzeba go „skonfigurować”. Musi on między innymi zawierać informacje o stosowanych ciasteczkach i muszą być one aktualizowane na bieżąco. Każde ciasteczko musi być odpowiednio opisane, aby użytkownik miał dostęp do informacji, jakie informacje zbiera. Musisz też pamiętać, że jeśli na stronie pojawią się nowe ciasteczka, bo np. zaczynasz używać nowego systemu reklamowego, trzeba to uwzględnić.

Na szczęście większość platform consent management regularnie skanuje stronę i wysyła alerty o wykryciu nowych ciasteczek. Modyfikacja zgody, którą możesz podlinkować w regulaminie, odbywa się przez kliknięcie linku wywołującego ponownie baner cookie.

To z pewnością daje większe poczucie kontroli.

Ominąć?

No dobrze, mamy przepisy odnośnie cookie, ale Klienci często pytają się, czy nie można tego ominąć korzystając z innych technologii, która nie wykorzystuje plików cookie, np. pamięć podręczna.

Przepisy są neutralne technologicznie – nie mówią o konkretnych narzędziach, by się nie zestarzeć. Czyli – nie chodzi o cookie, tylko o śledzenie. Każda podobnie działająca technologia musi być traktowania jak cookie. Zresztą nie trzeba szukać przykładu daleko, bo tak jak napomknąłem na ostatnim I love marketing od cookies częściowo będzie się odchodzić – rozwiniesz proszę ten wątek?

Będzie się odchodzić od plików 3rd party. Są to pliki, które umieszczamy w imieniu innych stron, np. Google i które to pliki skrypt Google może identyfikować, poprzez swoje kody śledzące na różnych stronach w sieci. Są to chociażby ciasteczka służące do remarketingu. Ciasteczka 3rd party są już zresztą w Safari domyślnie zablokowane.

Natomiast pliki cookie 1st party, czyli własne cookie strony, zostaną z nami jeszcze długo. Bez plików cookie nie możemy się obejść. Wystarczy przeprowadzić eksperyment, zablokować pliki cookie – większość stron, zwłaszcza e-commerce, przestanie działać.

Ale przeglądarka Safari blokuje też pliki 1st party, prawda?

Tak. Dostawcy technologii próbowali obejść blokadę cookie 3rd party, wykorzystując w ich miejsce pliki cookie 1st party (tak działa obecnie piksel Facebooka czy kod Google Ads) – więc Safari ogranicza działanie plików 1st party stworzonych przez skrypty, usuwając je z przeglądarki w ciągu 7 dni. Tyle, że na to pojawiło się kolejne obejście – śledzenie server side, czyli takie, które wykorzystuje wyłącznie własne cookie strony, w które przeglądarki nie ingerują, a całość komunikacji odbywa się już poza przeglądarką, bezpośrednio między serwerami strony oraz Google’a i Facebooka. Tak, jest to kolejna rzecz do wdrożenia. Bo omijanie ograniczeń Safari przez strony www chyba nie jest nielegalne?

Jeśli przy okazji nie łamiesz prawa i nie wiąże cię umowa z dostawcą technologii, prawdopodobnie możesz to robić. Czyli o ile wiem – wszystko gra.

Podstawowym niebezpieczeństwem dla prywatności wynikającym z plików cookie, była możliwość praktycznie nieograniczonego zbierania informacji o aktywności na temat indywidualnej osoby. Proponowane alternatywy (Privacy Sandbox Google i ITP/PCM Apple) opierają się o rozmycie przetwarzanych danych. Polega to na łączeniu użytkowników w grupy i przetwarzaniu danych o grupach, a nie o indywidualnych użytkownikach. Ponadto ograniczana jest ilość zbieranych danych do najważniejszych kategorii. By to zobrazować: zamiast informacji, że użytkownik X odwiedzał strony hoteli w Zakopanem, dostawcy usług reklamowych będą jedynie wiedzieli, że należy on do grupy użytkowników, w którzy w większości interesują się m.in. turystyką górską.

Analityka i remarketing

Od strony użytkownika z pewnością będzie mógł się czuć mniej śledzony, ale… czy reklamy oparte o tak rozmyte dane nie będą dla marketerów mniej skuteczne?

Google twierdzi, że pierwsze testy Privacy Sandbox wykazały 95% skuteczności dotychczasowej technologii. Poza tym pamiętajmy, że Google już od dłuższego czasu wprowadza ograniczenia rozmywające dane, jak chociażby minimalny rozmiar listy remarketingowej czy blokowanie przekazywania danych o wyszukiwanym słowie kluczowym do strony, na którą wchodzi użytkownik. Google nie udostępnia reklamodawcom bardzo szczegółowych zainteresowań, więc dla Google rzeczywiście może to nie być dramatyczna zmiana. Niewykluczone jednak, że na odbije się to na niektórych systemach reklamowych, które bazowały na przetwarzaniu bardzo szczegółowych informacji. Niemniej, większość ekspertów jest zdania, że mikrotargetowanie nie jest niezbędne dla prowadzenia skutecznych kampanii.

Ważne jest też, by odróżnić kwestie analityki (czyli danych o użytkownikach na naszej własnej stronie) od danych udostępnianych systemom reklamowym. W te pierwsze, zwłaszcza jeśli stosujemy śledzenie po stronie serwera, technologia nie będzie ingerować. Zresztą, niewykluczone, że w przyszłości wejdą nowe przepisy i na analitykę nie będziemy potrzebowali zgody?

To pytanie trochę zmusza mnie to wybiegania w przyszłość i mnóstwa prawniczych „to zależy”, ale odpowiem tak precyzyjnie, jak się na ten moment tylko da. Już razem z RODO w 2018 miała wejść unijna regulacja ePrivacy – pisałem o niej cztery lata temu – ale idzie to jednak powoli. Na ten moment jej kształt wygląda tak, że ponieważ analityka jest uzasadnionym interesem właściciela strony – nie musi uzyskiwać na nią zgody. No ale właśnie – na ten moment.

Zobaczymy, w jakiej formie to wejdzie w życie i kiedy. I jak będzie się rozumieć to, czy analityka nie narusza prywatności – a raczej jak będziemy wyznaczać granicę, bo pytanie zapewne nie będzie brzmieć „czy”. W tej chwili zgoda wydaje się potrzebna.

I bardzo ważne – remarketing na wizytę na stronie to już nie analityka. To już marketing i na niego zapewne zgoda będzie potrzebna zawsze, a wręcz „coraz bardziej”.

Jedną z często podnoszonych kwestii jest to, jak zgoda ma wyglądać. Obecnie mamy dwa standardy. Pierwszy daje użytkownikowi dwie możliwości: Zgoda lub przejście do ustawień, gdzie użytkownik może określić na jakie cookie się zgadza lub odrzucić wszystkie ciasteczka. Pojawiają się jednak głosy, że to o jeden klik za dużo i użytkownik powinien móc już na pierwszym ekranie odrzucić ciasteczka, czyli mieć tam trzy opcje: zgoda – brak zgody – ustawienia.

Wyrażenie i wycofanie zgody

Pamiętam raporty – między innymi Fundacji Panoptykon czy NYOB– zwracające uwagę na wszystkie różne „sprytne” sposoby ukrywania guzików, pól wyboru czy szczegółowych informacji należnych użytkownikowi. Jest ryzyko, że jeśli pozwolimy na to twórcom stron, to będą chować jak najgłębiej i oddzielać nas choćby właśnie dodatkowymi kliknięciami – przejrzyściej byłoby dać przycisk odmowy od razu. Zwróć zresztą uwagę, że tak właśnie jest na mojej stronie.

Natomiast niezależnie od moich odczuć to na ten moment prawnie treść banera nie jest nigdzie skonstruowana wprost. Wynika to z faktu wspomnianego już tu wcześniej, że unijne przepisy o prywatności nie skupiają się na poszczególnych technologiach, tylko efektach w zakresie jej zachowania. W części krajów doprecyzowano to do takiej samej liczby kliknięć, a sporo po prostu powołuje fakt, że wycofanie zgody powinno być równie proste jak wyrażenie – choć on w sumie dotyczy nie momentu wyrażania zgody, tylko sytuacji po niej. Gdybym miał obstawiać kierunek, w jakim będziemy szli – to będzie zgodny z dotychczasową tendencją, czyli maksymalnej prostoty dla użytkownika.

Pytam, bo jest to oczywiście istotne dla marketerów. Z naszych doświadczeń wynika, że większość użytkowników daje zgodę na wszystko. Nie zgadza się tylko 1-5% klientów e-commerce. Na stronie naszej agencji jest to ok. 9%, ale wynika to z innego profilu użytkownika. Niemniej, testy wskazują, że dodanie przycisku „brak zgody” na pierwszym ekranie powoduje zwiększenie liczby odmów o kilka procent.

Co ciekawe, rozróżnienia ciasteczek, np. analityka-tak, reklama-nie, dokonuje ułamek procenta użytkowników. Podejrzewam, że z ciekawości, nudów, lub w ramach testów. Może w takim razie powinno to wyglądać tak, że mamy proste pytanie: „zgadzasz się na śledzenie?” i dwie odpowiedzi do wyboru „Tak” lub „nie”.

Wyrażenie zgody a dostarczenie usługi

Lepiej nie zmuszać do zgody na marketing i uzależniać od niej dostarczenia usługi. Czyli dać możliwość niezgody na poszczególne typy ciastek. Na ten moment to oczywiście ryzyko niezgody na Google Analytics, ale zakładam jego eliminację wraz z ePrivacy.

Tylko jeśli byłoby „zgadzasz się lub nie”, to wtedy użytkownik może w pakiecie odmówić marketingu, analityki i personalizacji – ale usługa będzie działać, więc to nie jest uzależnianie świadczenia od zgody. Na braku analityki w pakiecie z reklamą użytkownik raczej nic nie traci, ewentualnie personalizacja może poprawić jego doświadczenie. I to może być powód dla którego należy odróżniać…

Zgadza się. No i zwracam uwagę, że warto przykładowo w przypadku niezgody na ciasteczka zewnętrzne służące odtwarzaniu filmów z Youtube dać możliwość późniejszej zgody na nie w razie potrzeby. Znów, przykładu nie musisz szukać daleko…

To screen z wpisu o moim wystąpieniu na TEDx, zapraszam do obejrzenia.

A Jak ważna jest treść na przycisku? W The Daily Mash przycisk zgody to WHATEVER. Według mnie oddaje to stan umysłu większości ludzi klikających zgodę. Można tak? Czy może UODO nie ma poczucia humoru?

Dla mnie to ok. Najważniejsze, żeby nie przedobrzyć i by zgoda była jasna i w razie co za jakiś czas „udowadanialna”.

Baner cookie

Czy każda strona musi mieć baner cookie?

Nie każda. Jeżeli wykorzystuje cookie, które nie śledzą użytkownika i są niezbędne – nie musi. Jak mówiłem – być może w przyszłości również obejmie to niektóre cookie analityczne (ePrivacy). Ale jeśli chcesz mieć piksel Facebooka czy Google – zdecydowanie musisz.

Rzeczywiście, strona samego UODO nie pyta o żadne zgody, ale też nie ma żadnych kodów śledzących. Na stronie ABW jest inne rozwiązanie – Zgadzasz się albo do widzenia (przycisk braku zgody na cookie zamyka stronę). To znacznie prostsze technologicznie niż platforma zarządzania zgodami. Ale czy tak można?

Pół żartem, pół serio – myślę, że oni nie muszą pytać o zgodę na śledzenie. I to nie tylko w kontekście cookies. Najciekawsze jest jednak to, że ten baner jest im w zasadzie niepotrzebny, przedobrzyli – bo i tak nie śledzą ciasteczkami i nie ma czego odmawiać i w związku z tym automatycznie opuszczać strony.

Cel

Pytanie było bardziej retoryczne. W praktyce żaden właściciel strony e-commerce nie będzie chciał stracić klienta tylko dlatego że ten się nie zgodził na cookie. Zresztą, prawidłowe wdrożenie platformy zarządzania zgodami pozwala korzystać z trybu consent mode w Google. Dzięki temu nawet w razie braku zgody kod Google nie jest blokowany, ale uruchamia się w trybie prywatnym, w skrócie – tak jakby nie używał cookies. Albo, jeśli użytkownik zgodzi się na analitykę, ale nie na cookie reklamowe – blokuje tylko funkcje reklamowe Google Analytics, pozostawiając funkcje analityczne.

Jaki jest cel uruchamiania kodu, jeśli nie zbiera on danych?

Zbiera. W razie braku zgody, w consent mode możemy wciąż mierzyć wejścia na stronę, ale bez powiązania ich z urządzeniem, analogicznie jak strona – bez żadnej zgody przecież – zbiera logi serwera. Dzięki temu Google może wciąż odnotowywać wizytykonwersje osób, które zgody nie wyraziły i porównując to z danymi osób, które możemy śledzić, próbować przypisać te konwersje do wejść, tzn. modelować konwersje. Jest tu oczywiście element niepewności, ale jest to lepsze, niż w ogóle nie zbierać tych statystyk. Zresztą, w Facebooku już od dłuższego czasu część konwersji jest modelowanych, od kiedy Apple wymusił zbieranie zgód na śledzenie w systemie iOS.

Jak to jest z prywatnością i Apple

No właśnie, to co prawda nie jest temat dokładnie o cookies, ale powiedz proszę o nim więcej.

Firma Apple jest od dawna liderem w kwestii prywatności i bawi się z Facebookiem w kotka i myszkę. Kiedy w Safari zablokowano 3rd party cookie, Facebook zamienił je na cookie 1st party, wykorzystując dekorację linku.

A to prawnikom zarzuca się, że mówią niejasno

Gdy ktoś odwiedzał Twoją stronę, piksel Facebooka (jeśli go wkleiłeś) kiedyś umieszczał cookie Facebooka (dlatego 3rd party, bo to nie Twoje cookie) z identyfikatorem odwiedzającego ją użytkownika Facebooka. Teraz piksel umieszcza cookie w imieniu Twojej strony (1st party), a informację o tym, kim jesteś, zbiera dzięki parametrowi fbclid, który doklejany jest do każdego kliknięcia na Facebooku (dekoracja linku). Od teraz, za każdym razem gdy użytkownik odwiedzi Twoją stronę, Facebook będzie o tym wiedział, bo piksel, również w Twoim imieniu, grzecznie mu tę informację wraz ze wspomnianym identyfikatorem wyśle. Właśnie dlatego w Apple zaczęto blokować również ciasteczka 1st party, na co, jak wspomniałem, odpowiedzią były technologie serwer-serwer.

W końcu inżynierowie Apple doszli do wniosku, że dodatkowo trzeba ograniczyć zakres przetwarzanych informacji. Parametr fbclid, który składa się z dziesiątek znaków, może przekazać wszystko, w tym zaszyfrowany identyfikator użytkownika Facebooka, czyli Twoją tożsamość, a także informację, co dokładnie na Facebooku kliknąłeś, zanim wszedłeś na stronę. Z kolei strona ta może Facebookowi wysłać dowolną informację w postaci sygnału konwersji.

Najprościej byłoby zablokować wszystkie parametry, ale Apple „rozumie konieczność śledzenia efektywności reklam”, dlatego zaproponowano kompromis: parametr może być 8-bitowy, czyli 1 do 256. Tyle maksymalnie źródeł (kampanii, słów kluczowych, reklam) możesz śledzić. Nie da się w tej liczbie, rzecz jasna, zakodować tożsamości użytkownika. Ponadto, identyfikatory konwersji mogą być 4-bitowe (1 do 16), czyli zwrotnie możemy przekazywać tylko szesnaście różnych konwersji. W szczególności, nie da się w ten sposób przesłać numeru karty kredytowej ani innych szczegółowych informacji.

A żeby nikt nie wpadł, by omijać to timestampem (identyfikatorem czasu z dokładnością do milisekundy) i w ten sposób skojarzyć, kto kliknął link, dane te będą przesyłane w paczkach w losowym opóźnieniem 24-48 godzin. Tego naprawdę obejść się nie da.

I teraz najważniejsze. Apple stwierdził, że nie interesuje ich, czy masz zgodę na przetwarzanie danych, bo ktoś zaakceptował regulamin Twojej aplikacji (bo oczywiście przeczytałeś go od deski do deski). W ramach App Tracking Transparency, każdy użytkownik aplikacji musi to zrobić „na oczach Twojego iPhone’a” i odpowiedzieć na proste pytanie: Zgadzasz się, czy nie? W dodatku opcja „poproś o nieśledzenie” była pierwsza.

Skutki

Pewnie wiele osób nie zgodziło się?

Są różne dane i pewnie zależy to od persony użytkownika i rodzaju aplikacji. Dostępne w sieci dane mówią o liczbach z przedziału 4 do 32% ludzi, którzy zgodzili się na śledzenie. Większość odmawia.

W stosunku do tych osób, Facebook i inne aplikacje mogą przesyłać wyłącznie kilkubitowe informacje i przesyłać je z losowym opóźnieniem.

Facebook zrozumiał, że miękka gra się skończyła. Próbowali jeszcze kampanii PR, publikując w prasie ogłoszenia obwiniające Apple o monopolistyczne praktyki, ale nic to nie dało. I choć dotyczyło to „tylko” użytkowników iOS, Facebook musiał ujednolicić sposób zbierania danych z wszystkich aplikacji. Od tego czasu mamy znaczne ograniczenia liczby grup reklam na Facebooku, okno konwersji wynosi maksymalnie 7 dni, ograniczono liczbę śledzonych konwersji, zniknęła atrybucja, a dane w pewnej części są modelowane – Facebook próbuje oszacować, co robili użytkownicy, o których szczegółowych informacji zbierać już nie może.

Z pewnością, wiedza Facebooka o tym, co robimy w sieci, została w znacznym stopniu zredukowana

Wygląda na to, że Apple wprowadził zasadę kontroli nad danymi na swojej platformie skuteczniej, niż niejeden kraj.

Tak. No dobra – czyli obecnie większość stron w Polsce wciąż nie ma platformy zarządzania zgodami, włączając w to największe instytucje finansowe i e-commerce. Gdy proponuję wdrożenie opt-in i consent management, bo opt-out jest niezgodne z prawem, często słyszę „przecież wszyscy tak robią”. To może rzeczywiście nie jest to ważne? W końcu upomnienie od UODO to nic aż tak strasznego. Może lepiej poczekać.

Dlatego…


Czekając można doczekać się zaszczytnego miana „tego pierwszego” i trafić na moje slajdy na jakimś wystąpieniu czy jako przykład na blog. Lepiej nie musieć być pierwszym przykładowym, który zapłaci. Tematem warto zainteresować się już teraz, jakby w trakcie dziejących się zmian – bo nie ma nic gorszego niż improwizacja i pudrowanie rzeczywistości na wariata. Ten wpis trochę jak te o RODO czy te o oznaczaniu współprac influencerów ma uprzedzić jak największą liczbę osób wcześniej – i bardzo Ci dziękuję, że poświęciłeś czas na wsparcie mnie w tym. Wskakuj na stronę Witka, warto!

(A jeśli chcesz poznać kilka europejskich kar „za cookies”, to przejrzyj decyzje CNIL przeciwko Carrefour, Google i Amazon – odpowiednio nr SAN-2020-008, SAN-2020-012, SAN-2020-013).