Zgodnie z prawem, strony internetowe, które używają ciasteczek innych niż niezbędne do funkcjonowania serwisu, a które mogą się wiązać z przetwarzaniem danych osobowych, mają obowiązek wdrożenia systemu zarządzania zgodami na wykorzystanie cookies i podobnych technologii w celu zbierania informacji o użytkownikach.
Wynika to z wykładni przepisów europejskich i wytycznych Europejskiej Rady Ochrony Danych z roku 2020. W grudniu 2021 r. pierwsza polska firma została ukarana przez UODO za umieszczanie plików cookie bez zgody użytkownika.
W odróżnieniu od dotychczas stosowanego “paska cookie”, którego instalacja polegała na prostym wklejeniu na stronę kilku linijek kodu, wrdożenie systemu zarządzania zgodami (Consent Management Platform) jest znacznie bardziej skomplikowane.
Uważasz, że masz to zrobione w 100% dobrze? Prawdopodobnie się mylisz. Oto podstawowe błędy systemów zarządzania cookie.
Brak systemu zarządzania zgodami
Wiele stron jakby jeszcze nie wiedziało, że UODO zaczyna karać za umieszczanie cookie bez zgody użytkownika i wciąż ma “stary” baner cookie typu ta strona używa ciasteczek [OK].
Takie rozwiązanie jest niezgodne z prawem, bo niezależnie od tego, co na tym pasku kliknie użytkownik, cookie są umieszczane na jego urządzeniu:
Nieprawidłowy układ widżetu zgody
W większości przypadków przyjmuje się, że zgoda na pliki cookie powinna być opt-in, czyli domyślnie zakładamy brak zgody. Sama odmowa powinna być łatwa do wyrażenia. Nie rozstrzygając, czy powinno to być jedno, czy dwa kliknięcia (ustawienia -> odmowa), z pewnością nie może to być wiele kliknięć, dlatego jeśli odmowę realizujemy po przejściu do ustawień, opcje poszczególnych pików cookie nie mogą być domyślnie zaznaczone, jak poniżej:
Nie można zmuaszać użytkownika do wyklikiwania wielu przycisków i opcji, by wyrazić odmowę.
Widżet musi być czytelny i jasno sformułowany. Nie może manipulować uzytkownikiem, bo to może oznaczać, że udzielona zgoda nie jest świadoma, a tym samym – jest nieważna.
Zamknięcie bez udzielenia odpowiedzi lub zignorowanie widżetu musi być równoznaczne z odmową.
Uwaga: Jest to kwestia prawna, dlatego w każdym przypadku należy ją skonsultować ze swoim Inspektorem Ochrony Danych lub prawnikiem, bo wiadomo, “to zależy”.
Brak możliwości odwołania zgody
Użytkownik powinien mieć możliwość łatwego odwołania wcześniej wyrażonej zgody. Nie możemy kazać użytkownikowi “zmieniać ustawień przeglądarki” lub usuwać plików cookie. Musi się to odbyć w równie łatwy sposób, jak wyrażenie zgody.
Można to próbować rozwiązać w ten sposób, że w stopce strony znajdzie się opcja zarządzania zgodami lub inny przycisk ponownie wywołujący widget zgody na cookie:
Innym rozwiązaniem jest widżet “zawsze na wierzchu” pojawiający się w dolnym rogu ekranu i umożliwiający modyfikację preferencji. Większość platform zarządzania zgodami udostępnia taką funkcjonalność.
Opcja ta nie powinna być zbyt głęboko ukryta, np. gdzieś między wierszami wielostronicowej polityki prywatności, bo może to zostać uznane za utrudnianie odwołania zgody.
Uwaga: Konkretne rozwiązanie należy skonsultować z prawnikiem.
System zarządzania zgodami nie działa zgodnie z żądaniem użytkownika
Niektórzy postanowili się dostosować, ale niestety, instalacja zarządzania zgodami nie polega wyłącznie na wykupieniu oprogramowania consent management i wklejeniu na stronę.
Nieprawidłowe wdrożenie może spowodować, że widget pytający o zgodę to atrapa, bo odmowa nie jest respektowana. Nie zgadzasz się na cookie, a mimo to je dostajesz.
Do czasu wyrażenia zgody, nie można umieszczać żadnych ciasteczek (zgoda opt-in). Nawet jeśli po wyrażeniu odmowy, kody śledzące są blokowane, jest już za późno, bo ciasteczko znalazło się na urządzeniu użytkownika lub piskel przesłał już dane do Facebooka.
Brak lub nieprawidłowe wdrożenie Consent mode
Nawet jeśli wszystko jest zgodne z prawem, bo strona rzeczywiście blokuje ciasteczka do czasu wyrażenia zgody, to nie jest to prawidłowe wdrożenie trybu uzyskiwania zgody dla Google Ads i Analytics.
Strony takie, w razie braku zgody strony niepotrzebnie blokują kody Google, zamiast uruchomić je, ale z odpowiednim statusem zgody, dzięki czemu udaje się zachować część danych i umożliwia ich modelowanie:
Począwszy od marca 2024 reklamodawcy w Google Ads mają obowiązek wdrożenia Consent Mode, aby móc korzystać ze śledzenia konwersji i remarketingu w Google Ads.
Po wyrażeniu zgody, trackery nie aktualizują się automatycznie
Wyrażenie zgody powinno zainicjować uruchomienie trackerów stosownie do wyrażonej zgody.
W wielu wdrożeniach po wyrażeniu zgody kody śledzące uruchamiają lub aktualizują się dopiero w wyniku przeładowania strony. Skutkiem tego możemy nie widzieć prawidłowych stron wejścia, bo rejestrowana jest dopiero druga strona odwiedzona w przez użytkownika.
W wielu przypadkach błąd też będzie niepotrzebnie pozbawiał reklamodawcę dużej części list remarketingowych.
Brak obsługi osadzonych treści
Osadzone treści, takie jak filmy YouTube lub posty mediów społecznościowych (Facebook, Twitter, Instagram itd.) najprawdopodobniej przesyłają dane i wykorzystują pliki cookie. Często zapominamy o ich prawidłowej obsłudze i blokowaniu ich wyświetlenia w razie braku zgody z odpowiednim komunikatem:
Więcej informacji o zarządzaniu zgodami dla osadzonych treści – tutaj.
Na czym polega prawidłowe wdrożenie?
Prawidłowe wdrożenie systemu zarządzania zgodami:
- umożliwia użytkownikowi łatwe wyrażenie zgody na ciasteczka
- brak zgody jest respektowany, zgodnie z preferencjami użytkownika
- do czasu wyrażenia zgody użytkownik traktowany jest tak, jakby odmówił zgody (ciasteczka nie są umieszczane)
- użytkownik musi mieć możliwość wyrażenia zgody na niektóre ciasteczka (np. na personalizację), a na niektóre nie (np. na reklamowe)
- wyrażenie zgody inicjuje uruchomienie trackerów bez konieczności dodatkowych akcji
- kody śledzące posiadające Consent mode (np. kody Google) uruchamiane są zawsze, ale z odpowiednim statusem zgody:
Potrzebujesz wsparcia przy wdrożeniu zarządzania zgodami? Skontaktuj się z nami.
