Czym jest consent mode, jak go wdrożyć i dlaczego powinieneś go mieć?

Ochrona prywatności internautów w kontekście GDPR/RODO wciąż budzi sporo wątpliwości, szczególnie jeżeli chodzi o pliki cookies. Wiele stron internetowych nie informuje dziś użytkowników o wykorzystaniu ciasteczek w wystarczający, wymagany prawem unijnym sposób. Jak zatem dostosować politykę cookies do aktualnych regulacji, jak wdrożyć tryb zgodności Google (consent mode) i dlaczego warto to zrobić jak najszybciej?

Czym są pliki cookies?

Pliki cookies to niewielkie pliki tekstowe zapisywane na komputerze (lub innym urządzeniu końcowym) użytkownika, które mają 4 zasadnicze funkcje:

• Pozwalają prawidłowo wyświetlić stronę (niezbędne pliki cookies).
• Usprawniają korzystanie ze strony www (cookies funkcjonalne) – pozwalają zapamiętać wybory internauty, takie jak dane logowania, wersja językowa, czy produkty dodane wcześniej do koszyka w sklepie internetowym. Dzięki ciasteczkom nie trzeba uzupełniać tych danych każdorazowo po wejściu na stronę.
• Umożliwiają właścicielowi serwisu prowadzenia działań analitycznych (cookies analityczne) – np. ocenę najchętniej wyświetlanych stron lub najchętniej kupowanych produktów.
• Pozwalają lepiej dopasować działania reklamowe – dzięki nim można dostosowywać reklamy (kampanie Google lub Facebook Ads) do zainteresowań/preferencji użytkowników.

Jak widać, ciasteczka są istotne zarówno dla użytkownika witryny, jak i jej właściciela. Więcej na ten temat przeczytasz w naszym artykule: Pliki cookies – co powinieneś wiedzieć o ciasteczkach wyszukiwarki?

Pliki cookies w kontekście danych osobowych

Zgodnie z aktualnymi wytycznymi RODO, umieszczanie plików cookies na urządzeniu końcowym wymaga zgody użytkownika. Dotyczy to szczególnie ciasteczek śledzących, używanych w celach reklamowych, choć właściciel serwisu musi poinformować użytkowników o wszystkich stosowanych plikach cookies, również tych niezbędnych do funkcjonowania witryny (jednocześnie na niezbędne cookies nie jest wymagana zgoda).

W specjalnym widżecie/oknie pojawiającym się przy otwieraniu strony www należy zatem:

• przedstawić użytkownikowi informacje o wykorzystywanych ciasteczkach,
• udostępnić możliwość wyboru rodzajów cookies, które będą instalowane na jego urządzeniu (informacja musi być konkretna, jednoznaczna i zrozumiała).
• Tak skonstruować komunikat, żeby wybór ciasteczek nie wymagał dodatkowego wysiłku (np. przeklikiwania się przez kilka zakładek).

Zgoda użytkownika musi być świadoma, dlatego trzeba pamiętać o wskazaniu tożsamości administratora danych oraz cel ich przechowywania. Na stronie powinna się także znaleźć informacja o tym, w jaki sposób można wycofać udzielone zgody/usunąć pliki cookies ze swojego urządzenia (zwykle znajdziemy ją w polityce prywatności).

Pliki cookies w świetle RODO

Relatywnie często spotykamy się dziś z praktyką, w której informacje o plikach cookies nie zostały przedstawione w sposób przejrzysty, a nawet wprowadzają użytkowników w błąd. Z tego powodu Unia Europejska, a poza Europą także inne organy stanowiące prawo, na bieżąco aktualizują przepisy chroniące prywatność internautów.

W Europie kwestię tę reguluje GDPR (RODO), czyli ogólne rozporządzenie o ochronie danych osobowych. RODO funkcjonuje w Polsce od maja 2018 roku – po jego wprowadzeniu na stronach internetowych pojawiły się dobrze każdemu znane okna z informacją o wykorzystywaniu plików cookies oraz wspomniane polityki prywatności. 

Pierwsza wersja RODO nie precyzowała dostatecznie wykorzystania cookies w kontekście danych osobowych i prywatności. Dlatego też wiele stron internetowych informuje obecnie o ciasteczkach w nieodpowiedni sposób – lub w sposób, który już wkrótce będzie nieaktualny. A warto przypomnieć, że niedopilnowanie kwestii prywatności może wiązać się z dotkliwymi karami (do 4% przychodów lub wielu milionów euro, w zależności od skali przewinienia).

Niedawne aktualizacje przepisów RODO, na które warto zwrócić uwagę w kontekście cookies, to:

• Rozporządzenie z maja 2020 roku, którego wynikiem jest na przykład zakaz stosowania „cookie wall”, czyli praktyki polegającej na udostępnianiu strony pod warunkiem zgody na cookies (inne niż tylko niezbędne).
• ePR (ePrivacy) – to dokument, nad którym prace wciąż trwają, ale można założyć, że wejdzie w życie w najbliższej przyszłości. ePR bywa nazywane ciasteczkowym RODO, ponieważ w dużej mierze skupi się właśnie na plikach cookies. Doprecyzuje między innymi kwestię przejrzystości wyboru ciasteczek oraz to, na które z nich potrzebna jest zgoda użytkownika.

Mimo że nowe regulacje jeszcze nie weszły w życie, warto przygotować się na nie już teraz. Da się to zrobić relatywnie łatwo (o czym więcej w dalszej części artykułu). I co najważniejsze – pozwoli to wyeliminować ryzyko nieświadomego złamania prawa w związku z nieprawidłowym administrowaniem danymi osobowymi.

Jak nie powinno wyglądać okno informujące o cookies?

Europejski Trybunał Sprawiedliwości w październiku 2019 wskazał, że domyślne (tzn. niewymagająca aktywności użytkownika) udzielenie zgody na ciasteczka marketingowe jest nieskuteczne. Tym samym nie można śledzić internauty za pomocą plików cookies, dopóki aktywnie się on na to nie zgodzi (np. przez kliknięcie we wskazanym miejscu). Niewystarczające jest zatem niewielkie okno wyświetlane na dole strony, które zawiera informację o cookies i zakłada milczącą zgodę internauty (tzn. jeśli użytkownik pozostaje na stronie, zakłada się jego zgodę na śledzenie). 

Zgodnie z orzeczeniem TSUE, instalowanie cookies innych niż niezbędne wymagają aktywnej zgody (kliknięcia). Jednocześnie trzeba dodać, że ta zasada jest w pewien sposób sprzeczna z polskim prawem telekomunikacyjnym (art. 173), dlatego bywa różnie interpretowana w naszym kraju. Można jednak zakładać, że po wejściu w życie ePR, polskie przepisy zostaną w tym zakresie uspójnione.

 

Rezygnacja z tzw. trzecich ciasteczek i wprowadzenie consent mode

Ze względu na sposób wykorzystania plików cookies, dzielimy je na 1st party cookies oraz 3rs party cookies. Ciasteczka pierwsze są umieszczane na urządzeniu internauty przez właściciela witryny, która odwiedza. Tymczasem 3rd cookies to ciasteczka umieszczane na urządzeniu przez podmioty trzecie (partnerskie). Podmioty te to na przykład duże platformy społecznościowe czy sieci reklamowe. Zbierają one dane o użytkowniku z różnych źródeł (na wielu odwiedzanych stronach www), dlatego mają dostęp do wielu informacji związanych z jego aktywnością w internecie. To z kolei pozwala im tworzyć profile behawioralne internautów i precyzyjnie targetować reklamy i treści.

Trzecie ciasteczka są problematyczne w świetle nowych przepisów (ePrivacy), ponieważ ich używanie nie jest wystarczająco transparentne dla użytkownika. Pliki umieszczają strony trzecie, które mogą śledzić aktywność internauty w sieci relatywnie szeroko.

Third party cookies mają zniknąć w najbliższej przyszłości. Wiele popularnych przeglądarek (takich jak Mozilla czy Opera) nie używa ich od jakiegoś czasu, z kolei Google Chrome przestanie z nich korzystać w przyszłym roku. Będzie to istotna zmiana dla właścicieli stron internetowych, ponieważ trzecie ciasteczka były do tej pory wykorzystywane w ekosystemie Google do zbierania danych (Google Analytics) oraz optymalizacji kampanii reklamowych (Google Ads).

Rozwiązaniem kompromisowym między zachowaniem prywatności użytkowników (w kontekście nowych regulacji prawnych) a możliwością zbierania danych niezbędnych do analityki i kampanii reklamowych jest tryb uzyskiwania zgody, czyli Google consent mode.

Jak działa consent mode? Perspektywa użytkownika

Z perspektywy użytkownika, consent mode to po prostu okno pop-up z informacją o plikach cookies i przetwarzaniu danych osobowych – w wersji dostosowanej do nowych wytycznych w zakresie prywatności w sieci (tych europejskich, ale także amerykańskiego odpowiednika RODO, czyli CCPA (California Consumer Privacy Act).

Widżet zawiera zestawienie różnych rodzajów ciasteczek, która strona może – po uzyskaniu zgody użytkownika – zapisywać. Kluczową zmianą jest przejrzysty sposób prezentowania tych informacji (wszystkie rodzaje plików cookies są skrótowo opisane, a ich wybór oznacza się za pomocą – na przykład – suwaka). Co ważne, poszczególne rodzaje plików nie są domyślnie zaznaczone – zgoda na ciasteczka inne niż niezbędne wymaga aktywnego kliknięcia panelu wyboru (nie dotyczy to oczywiście sytuacji, gdy użytkownik od razu wybierze opcję „zezwól na wszystkie”).

Wygenerowanie takiego okna umożliwiają platformy do zarządzania polityką cookies (które dokładnie opiszemy w dalszej części artykułu). Poniżej przykład narzędzia Cookiebot:

 

Widok główny: 

Widok po kliknięciu opcję „szczegóły”:

Użytkownik wybiera pliki cookies, na które się zgadza, i tylko te są zapisywane w jego przeglądarce. Automatycznie zaznaczone są niezbędne pliki cookies, bez których, jak powiedzieliśmy wcześniej, użytkowanie strony byłoby niemożliwe (i na które nie trzeba wyrażać zgody). Wszystkie pozostałe użytkownik może wybrać samodzielnie, po kliknięciu opcji „szczegóły”.

Grupy plików cookies, które użytkownik może wybrać z panelu, to:

• niezbędne (automatycznie zaznaczone),
• preferencje (ciasteczka dotyczące wersji językowej, regionu itd.),
• statystyka (pliki umożliwiające zbieranie danych o – na przykład – najczęściej odwiedzanych stronach),
• marketing – umożliwiających targetowanie reklam oraz remarketing,
• nieklasyfikowane – pliki, które nie zostały do tej pory prawnie sklasyfikowane.

Consent mode z perspektywy właściciela strony – czym jest i dlaczego trzeba go wdrożyć?

Tryb uzyskiwania zgody pozwala z jednej strony poinformować użytkownika o cookies zgodnie z wymogami prawa, z drugiej prowadzić właścicielom witryn działania reklamowe i analityczne (nawet wtedy, gdy część użytkowników witryny nie zgodzi się na śledzenie cookies).

Google consent mode najłatwiej wdrożyć, wykorzystując specjalne wtyczki (platformy CMS). Aby to zrobić, potrzebne będą:

• Platforma do zarządzania polityką cookies (CMS), która pozwala wygenerować odpowiednie okno informacyjne dla użytkownika i zapisywać ciasteczka zgodnie z dyspozycją internauty. Przykładem takiej platformy jest wspomniana wyżej wtyczka Cookiebot.
• Google Tag Manager (GTM), czyli narzędzie pozwalające na proste (niewymagające umiejętności programowania) zarządzanie tagami (skryptami, np. analitycznymi lub remarketingowymi). Dzięki menadżerowi tagów skrypty (nowe linijki kodu na stronie) można dodawać lub modyfikować bez angażowania programisty.

Tryb zodności pozwala Google dynamicznie dostosowywać działanie tagów Analytics i Ads do wyborów użytkownika. Innymi słowy, Google uruchamia tylko te skrypty, na które uzyskał zgodę. Jednocześnie w sytuacji, gdy użytkownik nie zgodził się on na śledzenie, skrypty nie zostaną uruchomione (to ważne, ponieważ jak napisaliśmy wcześniej, RODO zabrania uruchamiania śledzenia użytkownika domyślnie, zanim zdąży on zareagować na komunikat cookies).

Tryb uzyskiwania zgody a analityka 

Tryb consent mode pozwala prowadzić analitykę zgodną z aktualnymi przepisami RODO/GPRD (ponieważ nie uruchamia skryptów analitycznych bez wcześniejszej zgody). Co ciekawe, w przypadku braku zgody na ciasteczka analityczne, dane na temat aktywności mogą wciąż być pozyskiwane – są jednak zbierane anonimowo, z pominięciem identyfikacji konkretnej osoby.

Aby wykorzystać potencjał consent mode w analityce, konieczne jest zainstalowanie Google Analytics 4. Ważnym elementem GA4 jest sztuczna inteligencja, która po zebraniu odpowiedniej ilości danych, może z dużym prawdopodobieństwem „założyć” zachowanie użytkowników. Jeśli na przykład 25% użytkowników nie zgodzi się na cookie analityczne, na podstawie informacji o pozostałych 75% odwiedzających, AI doestymuje brakujące dane.

Więcej o GA4 przeczytaj na naszym blogu: Przejście na Google Analytics 4 – szanse i możliwości

Kto powinien wdrożyć consent mode i dlaczego?

Tryb uzyskiwania zgody zaleca się wdrożyćwszystkim właścicielom stron internetowych, którzy wykorzystują takie narzędzia Google jak Google Analytics oraz Google Ads (tzn. za pomocą tych narzędzi gromadzą dane o aktywności użytkowników w serwisie).

Zignorowanie tego obowiązku może oznaczać trudności w korzystaniu z konta Google. Gdy crawlery wykryją brak trybu zgodności, właściciel witryny zostanie poproszony o dostsoowanie konta do obowiązków informacyjnych w zakresie cookies. Jeśli nie zrobi tego w określonym terminie, konto może zostać zablokowane. W praktyce więc każda osoba korzystająca z analityki lub reklam w ekosystemie Google musi dostosować politykę ciasteczek do obowiazujących regulacji.

Niezależnie od Google, trzeba też pamiętać o szerszej odpowiedzialności za niedostosowanie polityki prywatności do aktualnego prawa. Przy dużych zaniedbaniach w tym zakresie można się narazić na bardzo wysokie kary.

Dostosowanie polityki cookies do nowych regulacji warto skonsultować z działem prawnym 

Consent mode to ważny temat. Ze względu na ryzyko trudności zGoogle i potencjalne kary za niedostosowanie polityki cookies do nowych przepisów, wdrażane zmiany warto skonsultować z prawnikiem.

Przeczytaj także: Consent mode v2 – co zmienia się od marca 2024?

Czym jest wtyczka Cookiebot?

Przykładem platformy CMP (Cookie Management Platform), czyli platformy do zarządzania plikami cookies, jest wspomniana wcześniej wtyczka Cookiebot. Narzędzia tego typu pozwalają ominąć żmudny (a także kosztowny) proces ręcznego wdrażania zmian w kodzie strony.

Wtyczka Cookiebot jest darmowa dla witryn, które posiadają mniej niż 100 podstron. Oznacza to, że niewielkie serwisy mogą wykorzystywać to rozwiązanie bez żadnych kosztów. Dla domen do 500 podstron to koszt około 50 zł miesięcznie (dostępne są także wyższe plany, szczegóły sprawdzisz na stronie producenta). Cookiebot posiada również polską wersję językową (i 40 innych), a wygląd widżetu można spersonalizować, dodając na przykład logo (w abonamencie płatnym). Na stronie cookiebot.com możesz również sprawdzić, czy Twoja strona jest zgodna z wymogami RODO oraz CCPA.

Jak zainstalować wtyczkę Cookiebot? Instrukcja krok po kroku

Cookiebot to jedna z najczęściej wykorzystywanych wtyczek do systemu WordPress umożliwiająca zarządzanie plikami cookies zgodnie z polityką RODO, ePR i CCPA. Narzędzie typu open source funkcjonuje w modelu dostępnym w chmurze i automatycznie śledzi pliki cookie oraz pozostałe moduły monitorujące ruch użytkowników na stronie. Cookiebot to tzw. rozwiązanie freemium, które umożliwia administratorom witryn bezpłatne korzystanie z funkcjonalności, jakie oferuje narzędzie w podstawowym modelu – w zależności od wielkości Twojej witryny (liczby podstron) oraz potrzeb (model płatny obejmuje więcej funkcji m.in. możliwość dostosowywania banerów i zgód dotyczących plików cookie, generowania raportów e-mail, eksportu danych).

Podsumowując, po implementacji wtyczki Cookiebot zyskasz:

• Możliwość obsługi baneru zgód dotyczących gromadzenia plików cookie z opcją ich konfiguracji względem Twoich potrzeb i obowiązujących przepisów.
• Wygenerowaną automatycznie politykę plików cookies wraz z niezbędnymi deklaracjami, opisem celów i klasyfikacją plików cookies.
• Deklaracje i banery zgodne z RODO i CCPA.
• Regularne skanowanie witryny, wykrywanie wewnętrznych i zewnętrznych plików cookies na stronie oraz pozostałych form śledzenia ruchu użytkownika.
• Automatyczne blokowanie plików cookie do momentu, w którym użytkownik nie wyrazi zgody właściwej z polityką RODO i dyrektywą o prywatności i łączności elektronicznej.
• Przejrzyste opcje dedykowanie wycofaniu lub zmianie udzielonej zgody.
• Bezpieczeństwo przechowywania zgód użytkowników w bazie danych dostępnej w chmurze.
• Brak konieczności przeładowywania strony, gdy użytkownik wyrazi zgodę na śledzenie plików cookies w celu załadowania odpowiednich skryptów.

A oto instrukcja implementacji wtyczki Cookiebot w Twoim systemie WordPress:

1. Przejdź do panelu ustawień dostępnego po lewej stronie i wybierz sekcję Wtyczki. Następnie kliknij „Dodaj nową” i w polu wyszukiwania wpisz frazę „Cookiebot”. Następnie zainstaluj wtyczkę.

 

2. Powróć do głównego widoku sekcji Wtyczki i aktywuj nowo zainstalowaną wtyczkę.

3. Następnie z listy rozwijanej przy Ustawieniach w panelu po lewej stronie wybierz Cookiebot. Wyświetli się okno, w którym należy wpisać numer ID. W celu uzyskania indywidualnego numeru użytkownika załóż Twoje konto Cookiebot.

Jak znaleźć Cookiebot ID?

Po zalogowaniu do Twojego konta Cookiebot przejdź do Ustawień i dodaj w oknie Domain name nazwę swojej domeny i zapisz ustawienia według przykładu:

W kolejnym etapie wybierz zakładkę Content i ustaw polską wersję językową.

Następnie przejdź do zakładki Your scripts i skopiuj Twój numer ID.

4. W panelu WordPress wklej wygenerowany numer ID, a następnie zapisz zmiany. Od tego momentu baner informujący o plikach cookies będzie widoczny dla użytkowników odwiedzających Twoją stronę.

Po ukończeniu procesu instalacyjnego możesz skorzystać z wygenerowanego raportu, który pomoże Ci wykryć pliki cookies, jakie są wykorzystywane przez Twoją stronę internetową.