Consent mode
Każdy, kto prowadzi biznes internetowy albo po prostu ma stronę internetową, powinien posiadać baner zgody na cookies. Nawet jeśli masz u siebie taki baner, nie znaczy to wcale, że jest on zgodny z prawem. Baner na stronie powinien spełniać określone wymogi. Odkąd w maju 2018 roku zmieniły się wytyczne unijne dotyczące polityki cookies, zaczęto uważniej przyglądać się ciasteczkom i sposobom, w jaki firmy zbierają i wykorzystują dane o klientach.
Cookies, kolokwialnie mówiąc ciasteczka, to małe pliki tekstowe zapisywane w przeglądarce użytkownika w czasie, gdy odwiedza on po raz pierwszy stronę www. Pliki te mogą mieć rozmaity charakter, to znaczy mogą pozwalać na zapisywanie ustawień strony, które wybieramy będąc na tej stronie, ale także są swoistym identyfikatorem użytkownika.
Pliki cookie można podzielić na trwałe (zapisywane na komputerze użytkownika) oraz sesyjne (tymczasowe informacje przechowywane tylko w pamięci przeglądarki i usuwane automatycznie po jej zamknięciu, czyli zakończeniu sesji).
Plik cookie administratora może być odczytany tylko przez stronę internetową, do której należy. Istnieją też pliki cookie osób trzecich (third-party cookies), czyli utworzone przez zewnętrzne strony internetowe.
Cookies dzielimy na dwie główne grupy:
- dotyczące podstawowych ustawień stronyW tej kategorii znajdują się przede wszystkim uwierzytelniające i techniczne pliki cookie. Są one niezbędne do poprawnego funkcjonowania strony internetowej, dlatego ich stosowanie nie wymaga zgody użytkownika. Odpowiadają między innymi za identyfikację sesji użytkownika czy utrzymanie bezpieczeństwa podczas odwiedzin na stronie. Są też wykorzystywane do ograniczania liczby nieudanych prób logowania oraz zapamiętywania podstawowych ustawień użytkownika.
- opcjonalne czyli marketingowe, specjalistyczne i personalizująceTego typu pliki cookie stanowią źródło danych o ścieżce zakupowej i preferencjach klienta, a także przyczynach, które sprawiają, że nie decyduje się on na zakup. Pozwalają np. śledzić aktywność na witrynach internetowych (jakie podstrony odwiedza użytkownik i ile czasu na nich spędza przed dokonaniem zakupu). Dane pozyskane przez cookies są też niezastąpionym elementem targetowania kampanii reklamowych. Bardzo duże znaczenie w marketingu mają pliki cookie osób trzecich. Tworzą one internetowy profil użytkownika na podstawie dotychczasowych zachowań i historii wyszukiwania.
Przykładowo, jeśli użytkownik danej strony internetowej wchodzi na Facebooka, jest kategoryzowany w ramach danego segmentu za sprawą danych zapisanych w plikach cookies. W konsekwencji są mu wyświetlane właściwe reklamy. System reklamowy z kolei otrzymuje informację o kliknięciu w reklamę z danej grupy lub z danej kampanii. Dzięki temu administrator strony uzyskuje dostęp do statystyk i raportów pozwalających zweryfikować skuteczność reklam. Aby zapisywać pliki cookie użytkownika, podpina się do stron internetowych kody trackingowe Google Analytics i pixel Facebooka. Natomiast narzędzia takie jak Google Optimize czy Optimizely pozwalają na personalizację stron www zgodnie z preferencjami użytkowników (przypisują użytkownika do konkretnego segmentu, co skutkuje wyświetleniem określonej wersji witryny).
Chodzi o to, że ciasteczka, które są zbierane i używane w sposób niepoprawny, naruszają prywatność użytkowników w internecie. W maju 2018 roku Unia Europejska wprowadziła zmiany w prawie (rozporządzenie ePrivacy oraz GDPR, w Polsce znane jako RODO), które spowodowały, że zaczęto inaczej patrzeć na pliki cookies.
Sytuacja zmieniła się diametralnie po wyroku TSUE, który zapadł w październiku 2019 r. w sprawie firmy gamingowej Planet49. Firma stosowała paski z domyślnie zaznaczonymi zgodami na cookies. Wyrok Trybunału stanowił, że zgoda użytkownika strony na instalowanie i wykorzystywanie plików cookies nie może być bierna. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Proces w podobnej sprawie został wytoczony również hiszpańskim liniom lotniczym Vueling – firma ta musiała zapłacić 30 tys. euro kary za niedostosowanie polityki cookies do przepisów prawa.
W 2020 roku Europejska Rada Ochrony Danych Osobowych wydała zbiór regulacji i wytycznych, które regulują i definiują, jak powinniśmy zbierać, przetwarzać i wykorzystywać pliki cookies.
W 2021 roku miał miejsce pierwszy przypadek w Polsce, gdzie polski Urząd Ochrony Danych Osobowych UODO upomniał pod groźbą kary pierwszą polską firmę za niewłaściwe zbieranie zgód i przetwarzanie ciasteczek.
Jednocześnie Google wywiera naciski na dostosowanie się do tych wytycznych, w którym to celu ma być używany mechanizm stworzony przez firmę, czyli Consent Mode. Google sukcesywnie wysyła do reklamodawców maile ostrzegające o możliwości zablokowania ich kont reklamowych Google Ads w perspektywie kilku tygodni od otrzymania maila.
Co to jest Consent Mode?
Consent Mode, czyli tryb uzyskiwania zgody, to nowy format, za pośrednictwem którego użytkownicy stron są informowani o korzystaniu z plików cookies. Przy pierwszej wizycie na stronie użytkownik ma możliwość zaznaczenia tych ciasteczek, na których zapisywanie się zgadza. Należy tu rozróżnić cookies, które są niezbędne do przeglądania strony oraz te, które stanowią np. zgody marketingowe. Na te drugie użytkownik strony ma prawo się nie zgodzić. Dopiero po dokonaniu przez niego wyboru, uruchamiane są na stronie odpowiednie skrypty.
Mówiąc krótko, Consent Mode ma właśnie pozwalać na regulowanie uruchamiania kodu w zależności od tego, jakie zgody zostały udzielane w banerze czy też pasku zgody na cookies.
Consent Mode ma jeszcze jedną ważną funkcję, a jest nią mechanizm modelowania utraconych konwersji. Google rejestruje bowiem sygnały o odmowach na zgody marketingowe bądź statystyczne, a następnie wykorzystuje je do modelowania potencjalnie utraconych konwersji. Dzięki temu algorytmy Google Ads widzą więcej konwersji niż miałyby bez wdrożonego Consent Mode. Algorytmy te są wtedy w stanie lepiej optymalizować reklamy i pozyskiwać więcej konwersji przy niższym koszcie pozyskania konwersji.
Czy wdrożenie trybu uzyskiwania zgody jest obowiązkowe?
Wdrożenie odpowiedniego trybu uzyskiwania zgody jest nieuniknione dla wszystkich firm działających w internecie, a zwłaszcza dla tych, które realizują w sieci aktywną sprzedaż (w tym prowadzą kampanie Google Ads). Na jakie kary narażają się firmy, które nie zastosują na swoich stronach www odpowiedniego trybu zgody? Ryzykują niemało, bo kara może wynieść nawet 20 mln euro, jednak nie więcej niż 4% obrotu firmy. Są to dość wysokie kary, więc warto dostosować się do nowych wytycznych.
Musimy brać pod uwagę, że dając użytkownikowi możliwość odmowy, będzie on z takiej możliwości korzystał, więc administratorzy stron i osoby zajmujące się marketingiem będą traciły dostęp do pewnych danych, które nie zarejestrują się w systemach reklamowych. Ta utrata może wynosić do 15%, chociaż specjaliści przekonują, że w praktyce nie musi wynieść aż tyle.
Nowy tryb uzyskiwania zgody „uderzy” przede wszystkim w pliki opcjonalne, czyli takie dotyczące śledzenia aktywności użytkownika i możliwości powiązania go z konkretnymi zachowaniami czy preferencjami. W konsekwencji targetowanie reklam, remarketing czy dostosowanie wyświetlanej wersji witryny będą zdecydowanie utrudnione.
Consent Mode stanowi jednak metodę na ograniczenie strat związanych z nowym sposobem zarządzania plikami cookie. Pozwala bowiem gromadzić dane zanonimizowane. Nie są one tak dokładne jak dotychczas, gdyż nie pozwalają na identyfikację konkretnych użytkowników, ale nadal mogą być przydatne. Według ekspertów w praktyce ten sposób pozwala na ograniczenie utraty danych nawet o 70%. Ponadto warto pamiętać, że kluczowe, funkcjonalne pliki cookies nie zostaną ograniczone – chodzi tu o pliki niezbędne do przeglądania stron www.
Czy istnieje zatem sposób, aby zmniejszyć odsetek odmów wykorzystania opcjonalnych cookies? Kluczem może być np. odpowiednie skonstruowanie banera wyświetlanego przy pierwszej wizycie na danej witrynie. Pierwsze testy pokazują, że np. wykorzystanie widocznych suwaków i trzech przycisków wyboru zwiększa odsetek odmów. Przy zastosowaniu dwóch przycisków i „schowaniu” suwaków (dostępne dopiero po rozwinięciu) odsetek odmów spada jednak do zaledwie 2 procent. Ostateczny wygląd banera należy jednak skonsultować z radcą prawnym lub inspektorem danych osobowych, który działa przy Twojej firmie.
Baner powinien spełniać określone wymogi prawne. Z wytycznych unijnych wynika, że zgoda, którą użytkownik wyraża na stronie, powinna być dobrowolna, świadoma, konkretna i jednoznaczna. Te cztery punkty definiują, że nie możemy używać paska o czysto informacyjnym charakterze, czyli posiadającego tylko przyciski „zamknij”, „OK”, „zatwierdź”, „anuluj” czy „akceptuję”.
Odpowiednio skonstruowany baner powinien posiadać kilka kategorii zgód. Będzie się łączył z Google Tag Managerem, który z kolei będzie sterował kodami instalującymi pliki cookies w przeglądarce użytkownika. W zależności od tego, jakie zgody zostaną określone w banerze, pewne akcje powinny być na stronie aktywowane albo blokowane (mowa tu o kodach trackingowych, marketingowych czy analitycznych).
Kody powinny być blokowane do momentu, gdy użytkownik strony się określi. Dodatkowo powinien on mieć możliwość złożenia odmowy. Oprócz tego wszystkiego Twój baner powinien dawać użytkownikowi możliwość zarządzania udzielanymi zgodami. Odwołanie wcześniej udzielanej zgody powinno być tak samo łatwe jak jej udzielenie, np. użytkownik zarzucany reklamami remarketingowymi powinien mieć możliwość wejścia na Twoją stronę i wycofania w łatwy sposób wcześniej udzielonych zgód.
Baner powinien być jak najbardziej precyzyjny
Paski czysto informacyjne powinny zostać zamienione na bardziej precyzyjne, m.in. posiadać funkcję z suwakami, czyli różnego rodzaju kategorie zgody na cookies. Można je podzielić na trzy kategorie zgód: do celów reklamowych, do celów analitycznych oraz do celów personalizacji strony.
Oprócz tego powinniśmy prowadzić rejestr zgód, aby spełniać warunki RODO. Stworzone zostało do tego dedykowane narzędzie, a mianowicie Consent Management Platform, czyli platforma do zarządzania zgodami. Chociaż mamy na rynku sporo platform CMP (m.in. Klaro, complianZ), to najbardziej rekomendowanym na tę chwilę narzędziem wydaje się CookieBot.
Co to jest i jak działa CookieBot?
CookieBot jest jednym z darmowych narzędzi służących do obsługi trybu uzyskiwania zgody, czyli Consent Mode stworzonego przez Google. Bezpłatnie jest dostępny dla małych stron, które posiadają do 100 podstron. CookieBot występuje w wersji na wszystkie platformy CMS, na aplikacje mobilne, można go też zainstalować bezpośrednio w źródle strony. Posiada dedykowaną wtyczkę dla WordPressa i Woocommerce, ma też wbudowaną integrację z Consent Mode i z Google Tag Managerem. Plusem jest rejestr udzielanych zgód w każdej wersji, również tej bezpłatnej.
Ile kosztuje CookieBot?
Jeśli masz do 100 podstron na stronie internetowej, CookieBot jest darmowy. Dla stron, które posiadają od 100 do 500 podstron w ramach domeny, jest to koszt 53 zł (12 dolarów) miesięcznie. Dla większych stron, które mają od 500 do 5 tysięcy podstron w ramach domeny, cena kształtuje się na poziomie 125 złotych miesięcznie ( w zależności od kursu dolara).
Jak zaimplementować Google Consent Mode?
Kiedy mamy już wybraną platformę CMP, należy wdrożyć ją na stronie, a następnie skonfigurować skrypty śledzące, tak aby uruchamiały się dopiero po wyrażeniu zgody przez użytkownika. Tym zajmują się firmy wyspecjalizowane w marketingu internetowym, więc jeśli nie jesteś przekonany, że poradzisz sobie z tym zadaniem, warto byś powierzył implementację Consent Mode profesjonalistom. Zadbają oni nie tylko o to, aby baner wyglądał prawidłowo, lecz także o aspekty techniczne związane z wdrażaniem platformy CMP oraz mechanizmu Consent Mode. Wówczas za konkretnymi działaniami użytkowników Twojej strony będą szły odpowiednie akcje – jedne skrypty będą blokowane, inne zaś aktywowane. Najważniejsze jednak jest to, że Twoja strona będzie działała zgodnie z prawem i będzie odporna na ograniczenia, jakie szykuje Google dla administratorów stron, którzy o dostosowaniu polityki cookies „zapomną”.