Ten tekst przeczytasz w 11 minut

2 komentarze

Baner Cookie zgodny z RODO. Ważne informacje!

Banery Cookie zgodny z RODO

Prowadzisz e-sklep? Zbierasz i przechowujesz dane? Sprawdź, co musisz wiedzieć, by uchronić się przed wstrzymaniem kampanii GA! Mamy dla Ciebie komplet przydatnych rad, sugestii i przykładów. Znajdziesz je w poniższej publikacji, która powstała przy wsparciu Klaudii Zielke (Head of Web Analytics w Verseo) oraz Mateusza Mielczarka (Legal Coordinator w Verseo). Schrup informacje o ciasteczkach i miej pewność, że żadne okruszki nie spadną na RODO.

Pliki Cookies, czyli tak zwane ciasteczka, to dane informatyczne (w szczególności tekstowe), przechowywane w urządzeniach użytkowników. Wykorzystywane są na przykład podczas uzupełniania danych logowania lub zachowywania elementów w e-koszyku. Plik cookie pozwala również na wyświetlanie spersonalizowanych reklam, dostosowanych do zainteresowań i preferencji konkretnego użytkownika.

Psss… Więcej o tym pisaliśmy TUTAJ: >> Pliki cookies – zmiany. Jak zjeść ciastko i mieć ciastko? <<

Polityka prywatności a zgoda użytkownika – zasady obowiązujące na terenie UE

Jak czytamy na oficjalnych stronach Google, Polska podlega pod dwa europejskie akty prawne, odnoszące się do polityki prywatności:

  • RODO – ogólne rozporządzenie o ochronie danych osobowych.
  • Dyrektywę o prywatności i łączności elektronicznej – która została opublikowana w 2015 roku i zaktualizowana 3 lata później, po wprowadzeniu przepisów RODO.

WAŻNE! Kto musi przestrzegać zasad polityki prywatności?

Wszyscy wydawcy i reklamodawcy, których siedziby firm znajdują się na Europejskim Obszarze Gospodarczym (EOG)  lub w Wielkiej Brytanii.

Support Google wyjaśnia najważniejsze zmiany polityki prywatności, które obejmują również działania reklamowe w sieci:

Baner Cookie RODO - co się zmienia?

Jak tłumaczy Klaudia Zielke, Head of Web Analytics w Verseo: 

Zmienił się sposób, w jaki użytkownik może decydować o tym, co właściciel strony może robić z plikami cookie, które są zapisywane w przeglądarce. Zmiany dotyczą zarówno branży e-commerce, jak i usług. Wcześniej wystarczyło, że właściciel domeny poinformował odbiorcę o zbieraniu informacji, ich przetwarzaniu i wykorzystywaniu. Teraz użytkownik może podjąć realną i świadomą decyzję, czy się na to godzi, czy nie. 

Obecnie banner cookie posiada przyciski, które dają użytkownikowi możliwość:

  • wyrażenia zgody na zbieranie danych o jego aktywnościach prowadzonych na stronie;
  • ich spersonalizowanie;
  • lub całkowite odrzucenie.

Dla konsumenta to zmiana na lepsze – ma większą świadomość, jest lepiej poinformowany i może sam podejmować decyzję, na co się godzi, a z czym „nie jest mu po drodze”.

Wcześniej takiego wyboru nie miał – jedynie otrzymywał informację, że ciasteczka są zbierane. Jeśli się na to nie godził, musiał opuścić stronę. Obecnie może korzystać ze wszystkich jej aspektów, bez konieczności udzielania żadnej zgody, poza niezbędnymi plikami cookie, które są potrzebne do prawidłowego funkcjonowania witryny. To na przykład możliwość zapisywania produktów w koszyku, co ułatwia dalsze korzystanie z witryny. Konsument nie musi jednak zgadzać się na pliki cookie analityczne, czy marketingowe – wyjaśnia moja rozmówczyni.

Co to oznacza dla właściciela strony? Co traci lub może stracić w związku z wprowadzanymi zmianami polityki prywatności?

Jeśli klient nie wyrazi zgody np. na pliki cookie analityczne, właściciel strony nie może zbierać informacji o użytkowniku i jego aktywności w obrębie witryny w Google Analytics. Brak zgody na pliki marketingowe skutkuje natomiast tym, że nie może wrócić do potencjalnego klienta z remarketingiem dynamicznym – mówi Zielke.

Jak unikać sytuacji, w której stracimy możliwość zbierania informacji istotnych z perspektywy prowadzenia biznesu, działań marketingowych i sprzedażowych? Jak działać, w zgodzie z nowymi wymogami?

Przede wszystkim… z głową! Trzeba dobrze przemyśleć, jak ma wyglądać baner cookie, jaka ma być jego wielkość i gdzie powinien być umieszczony na stronie. Czy ma być tak zwanym pływającym banerem, który podąża za użytkownikiem, czy raczej banerem bardziej ekspresyjnym? Im lepsza jego widoczność, tym większe przełożenie na dane, które będziemy mogli zbierać. Istotną kwestią jest także sposób, w jaki zachęca on użytkownika do podjęcia aktywności z nim związanej – wyjaśnia specjalistka Verseo.

Dobrze wiedzieć…

Gdy cookie baner:

  • jest mały, słabo widoczny (na przykład wyświetla się na dole strony),
  • podąża za użytkownikiem,
  • nie zwraca wystarczająco uwagi odbiorcy i nie zachęca do interakcji, 

szansa, że użytkownik podejmie decyzję o akceptacji lub odrzuceniu plików cookie od razu po przejściu na stronę, jest mała. Brak takiej decyzji w pierwszym kontakcie z witryną jest równoznaczny z odrzuceniem wszystkich plików cookie – właściciel nie ma żadnych danych o konsumencie odwiedzającym jego stronę. To ogromna strata!

Konsekwencje i kary nakładane przez Google

Jeżeli prowadzisz kampanię GA, a nie masz dobrze dostosowanego baneru, to konsekwencją może być zablokowanie konta. Google wysyła wcześniej informację o charakterze upomnienia, z prośbą o dostosowanie cookie baneru. Masz na to 7 dni. Jeśli przez ten czas zmiany nie zostaną wprowadzone na tyle dobrze, by proces weryfikacji przez specjalistów Google zakończył się pomyślnie, to kampania zostanie wstrzymana, a konto zablokowane. Warto doprecyzować – wspomniane 7 dni to nie tylko czas na wprowadzenie zmian, ale także na sprawdzenie przez support Google, czy zrobiliśmy to właściwie. Do weryfikacji dochodzi dość szybko, ale z doświadczenia wiemy, że nie warto z tym czekać – przestrzega Zielke.

Jak możemy przeczytać w oficjalnym komunikacie supportu Google:

New call-to-action
New call-to-action
Google a zapewnienie zgodności z plikami cookies na stronach internetowych

Czy powinniśmy stosować różne rodzaje cookie banerów, w zależności od tego, jakie informacje zbieramy lub ze względu na specyfikę branży?

Nie ma osobnych cookie banerów dla e-commerce i dla usług. Szablon jest elastyczny i dostosowany do takich plików cookie, jakie są zbierane na stronie. Jeśli wprowadzamy go przez gotowe narzędzia, co jest najtańsze i najprostsze, one automatycznie wykrywają pliki cookie na stronie – tłumaczy Klaudia Zielke.

Wystarczy sprawdzić, jakie pliki zostały wykryte. W przypadku narzędzia Cookiebot informacje odnośnie tego, skąd pochodzą wykryte pliki, znajdziemy w panelu zarządzania. Jeśli na liście nie ma narzędzia, z którego korzysta dany dział, wystarczy dopisać je ręcznie.

Systemy, które pomagają w implementacji, jak choćby wspomniany wcześniej Cookiebot, dostosowują wygląd baneru do wymogów w sposób automatyczny. 

Jeśli chodzi o samo stworzenie cookie baneru, to cała szata graficzna jest po stronie narzędzia. Szablony treści znajdują się na platformie – możemy zmieniać je zgodnie z indywidualnymi potrzebami. Narzędzia tego typu mają już wbudowane funkcje, które automatycznie wyrywają podstawowe i najpopularniejsze ciasteczka. Na przykład Analytics, kody konwersji Google Ads, remarketing, Pixela, HubSpot lub inne popularne systemy CRM. Problemem pojawi się przy dostosowaniu baneru cookie do rozwiązań unikatowych, dedykowanych konkretnej stronie. Wtedy narzędzie może sobie z tym nie poradzić, bo nie ma tego pliku w bibliotece. Należy wówczas skontaktować się z osobami, które zarządzają tym systemem, żeby wskazały, jakie pliki wykorzystuje – wyjaśnia Zielke.

Cookiebot automatycznie wstawia klauzulę, którą można dostosować do własnych potrzeb – na przykład poprzez dodanie linku do polityki prywatności lub doprecyzowania, w jakim celu zbierane są dane. 

Kiedy Cookiebot  nie zadziała w sposób automatyczny?

Cookiebot nie jest kompatybilny ze stronami, których analityka opiera się na rozwiązaniach aplikowanych z wykorzystaniem wtyczek, czyli na przykład w sklepach e-commerce bazujących na platformie PrestaShop. Rozwiązaniem będzie znalezienie odpowiedniej wtyczki, zgodnej z dotychczasową implementacją tagów. W tym celu warto skontaktować się z jej autorami i sprawdzić, czy dodany cookie baner będzie w stanie dostosowywać uruchamianie się już działających tagów zgodnie z wyrażoną zgodą użytkownika. Jeśli jesteś właścicielem sklepu z silnikiem bazującym na Shoperze, który takie rozwiązania ma już wbudowane, najlepiej skontaktuj się z supportem. Ten pomoże Ci przejść przez proces wdrożenia baneru. Największe szanse na poprawne wdrożenie cookie baneru z wykorzystaniem Cookiebota mamy przy platformie WordPress (WooCommerce). Dzieje się tak dlatego, że większość stron www konfiguruje tam analitykę z wykorzystaniem GTM – tłumaczy specjalistka Verseo.

Ważne!

Zgody na banerze cookie – poza tymi, które są niezbędne dla prawidłowego działania strony – muszą być odznaczone. 

W myśl zmieniających się przepisów, zgody (poza tymi, które są niezbędne dla prawidłowego funkcjonowania strony) powinny być odznaczone. Poniżej przykład niewłaściwie zaprojektowanego baneru cookie, gdzie automatycznie zaznaczone są wszystkie zgody, także te marketingowe.

Błędy polityki cookies

Po teorii czas na praktykę. Sprawdźmy, jak powinien wyglądać cookie banner, by spełniał nowe wymogi RODO, a przy okazji był przyjazny dla użytkownika oraz… właściciela strony.

Dobrych przykładów nie trzeba daleko szukać. To choćby Youtube, który „od samego przekroczenia progu” wita nas banerem, który trudno pominąć, czy przeoczyć:

Dobrze praktyki w używaniu plików cookies

Prosto, klarownie i perswazyjnie – czyli tak, jak powinno być to zrobione. 

Ciekawostka…

Google nie zawsze świecił przykładem! Na początku tego roku francuska agencja ochrony danych CNIL nałożyła na niego karę grzywny w wysokości 150 milionów euro, za mylący język na banerach z plikami cookie, który mógł owocować częstszym wybieraniem przez użytkowników przycisku „Akceptuję”. W wyniku nałożonej kary, Google wprowadził dodatkowy przycisk „Odrzuć wszystko”.

Na ujęcie w zestawieniu dobrych praktyk ze względu na przejrzystość komunikatu zasługuje także cookie banner, który wita nas na stronie eobuwie.pl.

Dobry przykład wyrażenia zgody na stronie internetowej

Ten baner cookie jest czysty, nieprzytłaczający, nienachalny. Użytkownik otrzymuje jasny komunikat, widzi wszystkie pliki cookie, które są używane na stronie i co ważne, są one odznaczone. Jeśli chce wiedzieć, w jakim celu są one zbierane, ma łatwy, zwięzły opis z boku. To jest dobrze zrobione – ocenia Klaudia Zielke.

Widok polityki cookies na urządzeniu użytkownika

Proces wdrożenia cookie baneru na stronę podzielony jest na dwa etapy:

  • Działania widoczne dla użytkownika – czyli zawieszenie baneru na stronie.
  • Działania zapleczowe – konieczne dla poprawnego działania baneru. Polegają na dostosowaniu uruchamiających się tagów na stronie pod konkretną zgodę wyrażoną przez użytkownika.

Działanie trybu uzyskiwania zgody w praktyce – przykład

Pan Krzysztof jest właścicielem strony internetowej www.test.pl, na której ma tagi Google Ads i Analytics. W związku z tym, że działa prawilnie, dostosował już cookie baner do obowiązujących wymogów. Poniżej opisujemy, co stanie się, w zależności od wyboru konkretnego przycisku przez odbiorcę, który wejdzie na stronę Pana Krzysztofa.

  • Użytkownik wybrał button „Zaakceptuj wszystkie pliki cookie” – Pan Krzysztof widzi, czy wizyta tego użytkownika zakończyła się konwersją, jakie strony odwiedził on w witrynie, jaka reklama skłoniła go do wejścia na stronę i wiele innych rzeczy.
  • Odbiorca wybrał opcję „Dostosuj”:

Wariant 1 

Użytkownik nie zdecydował się na akceptację plików cookie marketingowych (w tym przypadku Google Ads) – Pan Krzysztof nie będzie mógł wrócić do niego z remarketingiem dynamicznym. Nie zostanie również zarejestrowana konwersja mierzona przez tagi adsowe, przez co w dłuższej perspektywie czasu może to negatywnie wpłynąć na wyniki prowadzonych kampanii reklamowych. Dane o konwersjach zbierane przez cookie analityczne (Google Analytics) oraz listy remarketingowe stworzone w Google Analytics nadal będą poprawnie zbierały dane. 

New call-to-action
New call-to-action

Wariant 2

Gdy sytuacja będzie odwrotna i użytkownik nie zaakceptuje plików analitycznych, zaś te marketingowe już tak, Pan Krzysztof straci informację dotyczącą potencjalnej konwersji, odwiedzanych przez użytkownika stron i dokonanych na niej akcji mierzonych przez Google Analytics. Odbiorca nie zostanie również zapisany do stworzonej przez nas listy remarketingowej w tym narzędziu. Natomiast konwersje mierzone przez tagi Google Ads nadal będą zbierane. Co więc z danymi, które właśnie straciliśmy? Nowa generacja narzędzia Google Analytics – GA4 – będzie dokonywała modelowania zachowania użytkowników odrzucających zgodę na pliki analityczne (analytics_storage) w celu uzupełnienia luki w danych. Odbywa się to na podstawie zachowań podobnych użytkowników, którzy je akceptują. Jeśli nie masz jeszcze zaimplementowanej na swojej stronie najnowszej wersji Analytics nazywanej GA4, nie zwlekaj, bo dane uciekają Ci między palcami. Więcej o tym przeczytasz TUTAJ.

  • W przypadku wybrania opcji “Odrzuć wszystko” – Pan Krzysztof nie będzie mógł gromadzić danych przez żadne z narzędzi (Google Ads i Analytics) – ani o konwersjach, ani o zachowaniach użytkownika. Nie będzie też mógł wrócić do tych użytkowników z przekazem za pomocą kampanii remarketingowych. W tej sytuacji pozostaje bazowanie na danych modelowanych (tzw. modelowanie behawioralne) w GA4 lub na konwersjach rozszerzonych, dostępnych w Google Ads.

Jeżeli zaimplementujemy cookie baner z pomocą narzędzia Cookiebot, lub innego tego typu, pozostaje jeszcze kwestia jego podpięcia. Możemy zlecić to firmie zewnętrznej lub działowi technicznemu wewnątrz własnej organizacji. 

W Verseo stawka za podpięcie zaczyna się od 1000 złotych. Jeśli klient ma już wszystko ustawione w GTM-ie, my zajmujemy się ich dostosowaniem, tak, by tagi uruchamiały się w zależności od udzielonej przez użytkownika zgody. Często jednak zdarza się, że w GTM-ie nie ma tagów, bo mamy do czynienia z wtyczkami. To popularne i tanie rozwiązanie, jednak niekompatybilne z Cookiebotem. Wtedy warto rozważyć wdrożenie baneru również z wykorzystaniem wtyczki, która będzie dostosowywała tagi pod konkretną zgodę użytkownika – tłumaczy Head of Web Analytics w Verseo.

RODO na Twojej stronie internetowej

Przepisy RODO. Co to jest klauzula informacyjna RODO?

Jak wyjaśnia Mateusz Mielczarek, Legal Coordinator w Verseo:

Klauzula informacyjna to dokument, który zawiera wszystkie niezbędne informacje na temat procesu przetwarzania danych. […] W dobie rozwiniętej informatyzacji społeczeństwa należy chronić prywatność i wolności obywateli, dać im dostęp do wiedzy na temat tego, co się dzieje z ich danymi osobowymi, prawo do decydowania o tym, czy chcą je udostępniać oraz możliwość bycia zapomnianym, czyli usunięcia danych osobowych z bazy podmiotów, które je przetwarzają. […] Klauzula informacyjna RODO może być przekazana odbiorcy w formie linku na stronie lub mailowo.

Klauzulę informacyjną stosowaną w Verseo znajdziesz TUTAJ.

Klauzula RODO – rodzaje

Podobnie, jak w przypadku opisywanych wcześniej ciasteczek, nie ma konkretnego podziału klauzul. Ich charakter i forma muszą być dostosowane do indywidualnych potrzeb.

Nie ma konkretnego podziału klauzul. Wszystko zależy od tego, jaki jest cel przetwarzania danych. Inaczej będzie wyglądała klauzula w sklepie internetowym a inaczej na blogu. Branża e-commerce zbiera dane w celu realizacji zamówień i udostępnia te dane kurierom, poczcie, pośrednikowi płatności mobilnych, księgowym itp. Blog gromadzi dane w celu kontaktu z odbiorcami poprzez możliwość komentowania wpisów, wysyłania maili do czytelników itp. – tłumaczy Mateusz Mielczarek.

W jakim wypadkach nie musisz stosować klauzuli informacyjnej?

Klauzula informacyjna nie jest obowiązkiem. Jeśli dana strona internetowa nie zbiera i nie przetwarza danych, to nie musi mieć polityki prywatności. 

Nie musisz stosować klauzuli informacyjnej, jeśli na Twojej stronie nie ma:

  • formularza zapisu,
  • możliwości komentowania,
  • możliwości składania zamówień,
  • zapisu na newsletter.

Klauzule RODO – jakie informacje zbierać?

Jak tłumaczy Mateusz Mielczarek, Legal Coordinator w Verseo, tylko niezbędne dane.

Sklep internetowy będzie potrzebował imienia i nazwiska, adresu oraz numeru telefonu osoby składającej zamówienie. Blog już tylko adres e-mail i na przykład imienia. Rozporządzenie RODO nie wskazuje konkretnych danych, jakie określony podmiot może zbierać z podziałem na typ prowadzonej działalności. Należy dopasować to do charakteru konkretnej firmy. Na przykład, jeśli prowadzisz blog modowy i informujesz swoich użytkowników, że będziesz wysyłać im SMS z najnowszymi promocjami w sklepach, to zbieranie numeru telefonu jest uzasadnione. Natomiast sklep internetowy nie potrzebuje na przykład nr dowodu osobistego klienta, żeby zrealizować składane przez niego zamówienie.

Jak powinna brzmieć prawidłowo stworzona klauzula RODO?

Jak podkreśla mój rozmówca, nie ma odgórnie ustalonej treści klauzuli informacyjnej. Przyjmuje się jednak, że powinna jasno wskazywać cel zbierania danych i być zrozumiała dla odbiorcy. 

Klauzula RODO – przykłady

Klauzula do obsługi zamówienia w sklepie internetowym:

Przykłady klauzuli RODO na stronach internetowych

Klauzula do wysyłki newslettera z bloga:

Kary za złe wdrożenie RODO

Nie ma osobnej kary za niewdrożenie lub nieprawidłowe wdrożenie polityki prywatności w firmie. Nie oznacza to jednak, że nie grożą nam żadne konsekwencje – możemy ponieść je za naruszenie przepisów RODO.

O rodzaju naruszenia, jego szkodliwości i wysokości kary decyduje Urząd Ochrony Danych Osobowych (UODO) biorąc pod uwagę wszystkie okoliczności. UODO obowiązują również granice wysokości kary. Jest to do 10 lub 20 mln euro albo do 2, lub 4 % rocznego obrotu firmy z poprzedniego roku – wyjaśnia Mateusz Mielczarek.

Ważne!

Informacje zawarte na tej stronie nie zastąpią prywatnej konsultacji ze specjalistą, który udzieli Ci spersonalizowanych informacji odnośnie obowiązków wynikających z RODO, które będą odpowiadać specyfice prowadzonego przez Ciebie biznesu.  

New call-to-action
Zarejestruj się w Akademii Verseo

Jeśli chcesz mieć pewność, że Twoja polityka prywatności jest zgodna z obowiązującymi przepisami, najlepiej skorzystaj z pomocy specjalisty. Na rynku jest wiele firm, które oferują usługę stworzenia i dostosowania polityki prywatności do Twojego biznesu. Jeśli strona jest oparta na systemie CMS, możesz skorzystać z wtyczki, które wdroży politykę prywatności automatycznie. Pamiętaj jednak, by zawsze korzystać ze sprawdzonych rozwiązań i zaczerpnąć porady osób, dla których wdrażanie tego typu rozwiązań stanowi przedmiot zawodowej codzienności  – radzi Mateusz Mielczarek.

Komentarze (2)

Zaloguj się, lub wypełnij poniższe pola, aby dodać komentarz.

Wymagany, ale nie będzie opublikowany