Bettersteps.
Rafał Piszczatowski
18.03.2024
Czas czytania: 05:00
consent modega4

Cookie Baner - jak powinien wyglądać? Aspekt prawny i analityczny.

W dzisiejszych czasach cookie baner stał się na tyle popularny, że śmiało można go już określić mianem chleba powszedniego analityki internetowej. Jest to konsekwencją nie tylko zaostrzenia polityki prawnej, ale również niedawno wprowadzonych wymagań Google, dzięki którym portale został niejako zmuszone do respektowania prawa i prywatności użytkowników.

W niniejszym artykule przyjrzymy się bliżej roli cookie banera jako narzędzia służącego do informowania użytkowników o polityce plików cookie oraz omówimy jego pożądany wygląd w aspekcie prawnym. Przedstawię wyniki z poziomu zbieranych zgód i podejmowania decyzji w zależności od konfiguracji banera.

Aspekt prawny

Na stronie Urzędu Ochrony Danych Osobowych możemy znaleźć wpis (uodo.gov.pl), w którym opisano, że Europejska Rada Ochrony Danych przyjęła sprawozdanie grupy zadaniowej ds. banerów cookie. Celem ww. zespołu była wymiana informacji i najlepszych praktyk między organami ochrony danych na Europejskim Obszarze Gospodarczym (EOG).

W dokumencie z 17 stycznia 2023 roku czytamy, że wspomniana akceptacja nie przesądza o jednorazowej analizie, która również będzie musiała zostać przeprowadzona dla każdej skargi i każdej strony internetowej przy zastosowaniu krajowych przepisów. Raport bowiem nie jest zbiorem wytycznych, na których administrator może bezpośrednio polegać - stanowi jedynie wskazówki w jaki sposób organy nadzorcze mogą interpretować poszczególne obszary zarządzania plikami cookie, a także sugeruje zakres dochodzenia, któremu może być poddana strona w przypadku otrzymania skargi. Bezpośredni link do raportu: https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Na podstawie złożonych skarg i analizy banerów przygotowano spis niewłaściwych praktyk (A-K).

Brak przycisku odrzucania na pierwszym banerze

Większość organów nadzorczych uznała, że brak przycisku na pierwszej stronie jest niezgodny z wymogami. Pojawiły się przeciwstawne opinie, jednak w raporcie nie wskazano z których państw członkowskich pochodzą. Na rynku polskim najczęściej spotykany jest baner z dwoma przyciskami (Akceptuj, Ustawienia), podczas gdy na rynkach zachodnich zdecydowanie bardziej popularną wersją jest baner z 3 przyciskami (Akceptuj, Ustawienia, Odrzuć wszystkie). Ten ostatni bez wątpienia nie narusza dyrektywy. Powyższy akapit jest bardzo istotny z punktu widzenia zbieranych danych - zostało to szerzej opisane w kolejnych częściach artykułu, gdzie pojawi się również analizą wyrażanych zgód w zależności od konfiguracji banera.

Wstępnie zaznaczone pola lub brak decyzji

Członkowie grupy potwierdzili, że nie należy używać wstępnie zaznaczonych pól wyboru.

“Zwodniczy” wygląd baneru

Stwierdzono, że nie powinno się projektować banera w taki sposób, aby użytkownik sądził, że musi wyrazić na niego zgodę w celu uzyskania dostępu do treści. Tutaj za niewłaściwą praktykę uznano celowe ukrywanie przycisku "Odmów" w tekście bez porównywalnego i adekwatnego do innych button'ów zaznaczenia jego położenia. Przytoczone zostały praktyki, że baner składa się z linku “Odmów”, który osadzony jest w akapicie tekstu w banerze plików cookie przy braku wystarczającego wsparcia wizualnego, aby dało się go łatwo zauważyć.

Mylące kolory baneru

Na podstawie przeglądu niektórych banerów, za nieuczyciwe działanie uznano również stosowanie zabiegów kolorystycznych mających na celu zmniejszenie widoczności przycisku, takich jak m.in. zaniżanie kontrastu między przyciskiem, a tłem. Grupa nie stworzyła rekomendowanej kolorystyki - każdy baner powinien podlegać indywidualnej ocenie, a ogólny standard banerów nie może zostać nałożony na administratora danych.

Uzasadniony interes administratora jako podstawa prawna przetwarzania danych

W raporcie potwierdzono, że podstawą prawną do zbierania plików cookie nie mogą być uzasadnione interesy administratora. Ciężko zatem uzasadniać przypadki, w których kolekcjonowanie ciastek analitycznych określane jest mianem niezbędnego.

Niedokładnie sklasyfikowane pliki z kategorii niezbędnych

Zwrócono uwagę, że niektóre strony klasyfikują jako niezbędne ciastka pliki, które wykorzystują dane osobowe i służą celom, które nie powinny zostać zakwalifikowane jako bezwzględnie koniecznie. Stwierdzono, że jednoznaczna ocena plików cookie jest problematyczna, w szczególności gdy ich cechy zmieniają się regularnie. To bez wątpienia utrudnia stworzenie stałej i wiarygodnej listy niezbędnych ciastek analitycznych.

Brak możliwości cofnięcia zgody

Zaznaczono również, że istotne i wysoce rekomendowane jest wdrożenie łatwodostępnych rozwiązań (takich jak ikona lub link umieszczony w widocznym i ustandaryzowanym miejscu) umożliwiających użytkownikom wycofanie zgody w dowolnym momencie.

Poziom wyrażanych zgód na cookie banerach

Czy wygląd banera ma wpływ na poziom zbieranych zgód na ciastka analityczne i marketingowe? Oczywiście, że tak. Wszystkie opisane na podstawie sprawozdania punkty mają ogromny wpływ na późniejsze decyzje użytkowników. Odpowiednie przystosowanie banera nie jest tylko zadbaniem o aspekt prawny. Zabieg ten wpływa na jakość zbieranych danych, a co za tym idzie analitykę, działania marketingowe i personalizacyjne. A finalnie - na cały biznes.

W praktyce na rynku polskim w przeważającej większości możemy natkąć się na jeden typ banerów - z dwoma przyciskami - “Akceptuję” i “Ustawienia”. Konfiguracja ta, pojawiająca się na wielu dużych portalach, z pewnością podyktowana jest decyzjami działów prawnych. W tym miejscu chciałbym przedstawić jak poszczególne banery (z dwoma vs. trzema buttonami) wpływają na ilość zbieranych zgód.

W przypadku implementacji banera z dwoma przyciskami (”Akceptuję” i “Ustawienia”) udział wyrażanych zgód dla nowych ciastek zawiera się w przedziale 75-90% (n=20, małe, średnie i duże biznesy).

Cookie baner

Przy implementacji trzech buttonów (”Akceptuję”, “Odrzucam” i “Ustawienia”) poziom wyrażanych zgód oscyluje w granicach 40-80%. Skala różnicy wynika z ograniczonej próbki kont oraz odmiennego podejścia użytkowników do danych. Mniejsze, specjalistyczne portale (o dużej świadomość użytkownika) często mają dużo gorsze wyniki (jeżeli chodzi o poziom zbierania zgód) niż portale o dużym ruchu.

Cookie baner ustawienia buttonow

Przy wdrożeniu cookie banera powinniśmy zwrócić uwagę na jego wygląd dla każdego z urządzeń - na desktopie oraz mobile'u. W wielu przypadkach możemy zaobserować słabo zoptymalizowany baner, który prowokuje do kliknięcia pierwszego buttonu, który rzuci się w oczy. Na screenie poniżej przykład, gdzie jedynym w pełni widocznym buttonem jest button odrzucenia wszystkich plików cookie. To spowoduje niepożądany spadek ilości zbieranych zgód.

Cookie baner ustawienia

Wygląd cookie banerów w 2023 roku

Didomi podzieliło się bardzo ciekawymi wynikami na podstawie danych z ponad 100 krajów i ponad biliona odsłon każdego miesiąca: Didomi - Benchmark Cookie baner.

W ich raporcie możemy znaleźć informację, że 74% wdrożeń cookie banera to wdrożenia typu pop-up. Jest to zatem najbardziej popularny sposób zbierania danych. Dla porównania - Footer ma ich około 24%.

W raporcie pokazano sposób implementacji buttonów na banerach. Najpopularniejszym rozwiązaniem w Cookie Management od Didomi jest odrzucenia ciastek za pomocą kliknięcia w link na pierwszej stronie. Taką opcję wybrało 39% domen. Drugim, prawie tak samo często stosowanym sposobem prezentacji banera było pomnięcie umieszczania odrzucającego buttonu na pierwszej stronie. Tylko co czwarty serwis zdecydował się na zaimplementowanie banera, na którym wszystkie trzy przyciski są w jednakowej konwecji.

Didomi - Consent mode

źródło: Didomi-benchmakr-study-on-consent-collection-2023

W raporcie Diadomi dostępne są również wyniki analizy przypadków kiedy to podjęcie decyzji w sprawie wyrażenia zgody na banerze jest opcjonalna (np. pływający baner jako footer z możliwością korzystania ze strony bez podjęcia decyzji) oraz kiedy podjęcie decyzji jest obligatoryjne (pop-up, który nie pozwala na korzystanie ze strony bez decyzji o akceptacji lub odrzuceniu ciastek). W przypadku gdy użytkownik ma wolny wybór w kwestii odpowiedzi bądź jej braku na prośbę o udzielenie zgód, aż 56-80% użytkowników pomija ten etap przechodząc od razu na stronę. W przypadku obowiązku określenia decyzji poziom odrzuceń zgód zawiera się w przedziale 25-40%. Już na pierwszy rzut oka widać dużą dysproporcję i śmiało można pokusić się o stwierdzenie, że warto narzucić obowiązek określenia przez użytkowników swoich preferencji.

Podsumowanie i rekomendowany wygląd cookie baneru

  • Ustawienie cookie baneru jako pop-up lub na dole strony z blokowaniem treści przed podjęciem decyzji o akceptacji lub odrzuceniu ciastek. Baner wyświetlany na dole (footer) bez blokowania strony powoduje wzrost liczby osób pomijających żądania udzielenia zgód,a więc niepodejmujących żadnych decyzji w kontekście plików cookie. W konsekwencji niemożliwym jest uruchamianie skryptów remarketingowych, a dla GA4 może to również powodować trudności ze zlokalizowaniem faktycznego źródła ruchu. Użytkownik może podjąć decyzję na kolejnej stronie, dlatego możemy utracić faktyczne źródło przyjścia na stronę. Innym czynnikiem, który może mieć na to wpływ jest sposób implementacji samego skryptu GA4. Niemniej - niezaprzeczalnie najlepszą opcją jest korzystanie z pop-up lub innego cookie banera w formacie uniemożliwiającym korzystanie ze strony bez podjęcia decyzji o akceptacji lub odrzuceniu ciastek.
  • Poziom otrzymanych zgód na zbieranie ciastek w przypadku wdrożenia dwóch buttonów na cookie banerze jest zdecydowanie wyższy i oscyluje wokół 90%. Na stronie Urzędu Ochrony Danych możemy znaleźć sprawozdanie przyjęte przez Europejska Rada Ochrony Danych, gdzie takie wdrożenia uznano za niezgodne z właściwą praktyką. Pomimo tego statystyki wdrażanych cookie banerów na stronach pokazują, że większość firm nie decyduje się na udostępnianie trzech buttonów na pierwszej stronie komunikatu. Tylko 24,1% korzystających z popularnego narzędzia Didomi zdecydowały się na taką konfigurację banera.
  • Wdrożenie Consent Mode Google v2 pod możliwość otrzymywania modelowanych danych w GA4. W przypadku dużych portali możemy liczyć na modelowane dane, gdzie zgody zostały niewyrażone. Szerzej o sposobie wdrożenia piszemy w naszych artykułach: https://bettersteps.pl/blog/praktyczny-poradnik-google-consent-mode-v2/ oraz o GA4 z Consent mode vs brak consent mode google: https://bettersteps.pl/blog/ga4-z-consent-mode-google-vs-brak-consent-mode-google/.

Powiązane artykuły

consent mode

GA4 z Consent Mode Google vs brak Consent Mode Google

Consent Mode Google to rozwiązanie, które umożliwia uruchomienie skryptów GA4 i Ads nawet w przypadku braku zgód na zbieranie informacji. W powyższym przypadku pliki cookie nie są zapisywane, ale następuje wysyłka pingów do Google Analytics.

Rafał Piszczatowski
11.03.2024Czas czytania: 07:00
consent mode

Jak korzystać z danych Google Consent Mode w Big Query

W tym artykule zajmiemy się kwestią wykorzystania danych GCM w Big Query. Z artykułu dowiesz się jakie dane dla sesji z odrzuconą zgodą analytics_storage są dostępne w BQ i jak możemy podejść do korzystania z nich

Adam Brzostek
11.02.2024Czas czytania: 8:00
consent mode

Praktyczny poradnik Google Consent Mode v2

Wszystko co potrzebujesz wiedzieć o Consent Mode v2 i całościowym podejściu do zarządzania ciasteczkami zebrane w jednym miejscu w formie prostego przewodnika.

Adam Brzostek
22.01.2024Czas czytania: 12:00
ga4

Praktyczny poradnik GTM server-side tagging - Google Analytics 4

Z tego poradnika dowiesz jak od początku do końca skonfigurować śledzenie po stronie serwera z wykorzystanie GTM typu server-side.

Adam Brzostek
21.02.2024Czas czytania: 8:30