Nie masz pewności jakich dokumentów prawnych potrzebujesz? Odpowiedz na 26 pytań i zmierz poziom ryzyka prawnego w swoim biznesie!
0
Twój koszyk
Nie masz pewności jakich dokumentów prawnych potrzebujesz? Odpowiedz na 26 pytań i zmierz poziom ryzyka prawnego w swoim biznesie!
0
Twój koszyk

Błędy bannera cookie

W tym wpisie:

  1. Po co jest banner cookie?
  2. Jakie elementy powinien zawierać
  3. Przykłady błędnych bannerów
  4. Co banner cookie ma wspólnego z Google Consent Mode V2? 

Po co ten cały banner?

Żeby wyjaśnić po co nam banner cookie nie sposób nie zacząć od wskazania, że przy plikach cookie będziemy brać pod uwagę aż 2 akty prawne:

  • ustawę Prawo telekomunikacyjne
  • RODO
Oba z nich nakładają na nas (sprzedawców) obowiązki informacyjne wobec użytkowników strony internetowej oraz wymagają odebrania od użytkowników zgody. Po kolei. 
 
Art. 173 Prawa telekomunikacyjnego wymaga od nas po pierwsze uprzedniego i bezpośredniego poinformowania użytkownika, w sposób jednoznaczny, łatwy i zrozumiały o celu przechowywania i uzyskiwania dostępu do informacji, którą niosą pliki cookie oraz możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do wspomnianych informacji, za pomocą ustawień przeglądarki. Po drugie, Prawo telekomunikacyjne wymaga, aby po uzyskaniu wiedzy, o której mowa powyżej użytkownik wyraził zgodę na instalację plików cookie na jego urządzeniu i na odczytywanie informacji z tych plików cookie.
 
To jednak nie koniec. W związku z tym, że identyfikatory internetowe (np. IP, cookie-ID, user-ID), jeśli umożliwiają identyfikację osoby fizycznej, wpisują się w definicję danych osobowych, musimy wziąć także pod uwagę RODO.
 
Oznacza to, że pliki cookie mogą zbierać dane, które będą uznane za dane osobowe (np. wspomniany już adres IP). Nie zawsze tak będzie, ale żeby to ocenić trzeba mieć dużą wiedzę o plikach cookie i ich działaniu. Dlatego bezpieczniej jest przyjąć założenie, że pliki cookie zbierają dane osobowe. Powoduje to, że musimy po pierwsze znaleźć przesłankę legalizującą przetwarzanie tak zebranych danych osobowych, a po drugie musimy wykonać obowiązki informacyjne wobec użytkownika, tym razem wynikające z RODO. Obowiązki te są dosyć rozległe. Na szczęście dzięki odpowiednim wytycznym wiemy, że możemy zrealizować ten obowiązek warstwowo (szczegóły poniżej – “pierwsza warstwa bannera” oraz “druga warstwa”). 
 
I tutaj zbliżamy się do odpowiedzi na pytanie – po co nam banner cookie?
 
Właśnie w ten sposób najłatwiej zrealizować wspomniane obowiązki informacyjne oraz odebrać zgodę od użytkownika.

Zgoda musi odpowiadać wymogom RODO. Chodzi o to, aby była dobrowolna, świadoma, jednoznaczna. 

Poniżej opisuję elementy bannera cookie, gdzie wskazuję jak wykonać obowiązki informacyjne i jak odbierać zgodę. Bo uwaga – nieprawidłowo zebrana zgoda będzie nieważna.

Elementy bannera cookie

Na początek muszę wskazać, że to nie tak, że się wymądrzam i komisyjnie we własnym gronie uznałam, że takie właśnie elementy ma mieć banner cookie. Spokojnie. Wszystko, co tutaj prezentuję wynika albo z przepisów prawa, albo z wytycznych Europejskiej Rady Ochrony Danych lub opinii innych eksperckich instytucji, a także orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. I tak – zdaniem Grupy zadaniowej do spraw banerów cookie, powołanej przez Europejską Radę Ochrony Dany (wskazówki z 2023 roku), do najczęstszych błędów należy:

  1. Brak możliwości odrzucenia wszystkich plików cookies poprzez baner cookie.
  2. Domyślnie zaznaczone opcje (np. tzw. suwaki)
  3. Sprawianie wrażenia, że użytkownik musi wyrazić zgodę na pliki cookie, aby dostać dostęp do strony internetowej
  4. Oczywiście mylące kolory wyraźnie preferujące opcje „akceptuj”
  5. Błędne określanie plików cookies niezbędnych
  6. Brak możliwości łatwego wycofania zgody (np. za pomocą ikonki wyświetlanej na stronie)

Zbierając informacje wskazane powyżej, można wyprowadzić pewne wnioski. Pierwsza warstwa banera (czyli to, co wyświetla się użytkownikowi, gdy tylko wejdzie na stronę i jeszcze nic nie kliknie) powinna zawierać:

  1. tożsamość administratora danych
  2. cel przechowywania i uzyskiwania dostępu do informacji: pliki cookie niezbędne i inne (np. marketingowe, analityczne, funkcje społecznościowe)
  3. kto dostarcza pliki cookie tj. czy są to tylko pliki własne adminstratora czy także pliki podmiotów zewnętrznych (np. Google)
  4. prawa osób, których dane dotyczą (minimum to wskazanie prawa do cofnięcia zgody)
  5. wskazanie możliwości określenia przez użytkownika warunków przechowywania lub uzyskiwania dostępu do informacji z plików cookie za pomocą ustawień jego przeglądarki
  6. podlinkowanie polityki prywatności oraz polityki plików cookies ze wskazaniem, że znajdują się tam pełne informacje.

Pierwsza warstwa banera musi także dawać możliwość odrzucenia wszystkich plików cookie (oprócz niezbędnych) lub wyrażenie zgody na wybrane pliki cookies. Nie jest dopuszczalne „ukrywanie” możliwości odrzucenia plików cookie w drugiej warstwie banera.

Druga warstwa banera (czyli to, co wyświetla się użytkownikowi, gdy rozwinie baner w celu wyboru, na które pliki cookies wyraża zgodę) powinna zawierać:

  1. nazwa pliku cookie
  2. cel konkretnego pliku cookie (np. plik cookie analityczny)
  3. opis każdego pliku cookies (o co chodzi, co robi ten plik, w tym np. że jest to plik cookie śledzący lub umożliwia kierowanie reklam spersonalizowanych)
  4. kto dostarcza dany plik cookie tj. czy jest to własny plik cookie czy podmiotu zewnętrznego (nazwa podmiotu) oraz kto ma dostęp do danych (w przypadku bardziej rozbudowanych relacji reklamowych mogą to być np. partnerzy reklamowi)
  5. czy dochodzi do transferu danych tj. przekazania poza EOG (najlepiej wskazać po prostu kraj np. USA, Holandia, Polska itd.)
  6. czas przechowywania pliku cookie

Przykłady nieprawidłowych bannerów cookie

Myślę, że po przeczytaniu moich wskazówek w zakresie elementów, jakie powinien mieć banner, a jakich nie powinien mieć, bez problemu sama znajdziesz te błędy.

Zobacz – już na pierwszy rzut oka widzimy, że suwaki są domyślnie zaznaczone, co więcej, jest ich dosyć sporo a banner nie zawiera opcji “odrzuć wszystkie”. Powoduje to konieczność żmudnego odznaczania każdego suwaka – większość użytkowników przez zniecierpliwienie po prostu kliknie “akceptuj” lub potwierdź”. W obu przykładach nie uświadczymy także realizacji obowiązku informacyjnego. 

Nie powielajmy tych błędów. Najgorzej, że te błędne praktyki spotykamy na dużych i znanych stronach, na których często mali przedsiębiorcy się wzorują.

Co zrobić, żeby czerpać prawidłowe wzorce i działać zgodnie z prawem?

W moim sklepie znajdziesz dokumenty prawne – np. Politykę prywatności i politykę plików cookies, które przygotowałam biorąc pod uwagę nie tylko przepisy prawa, ale także wytyczne Europejskiej Rady Ochrony Danych oraz orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej. Do tych dokumentów dołączony jest także mini ebook, w którym tłumaczę jak to jest z tymi plikami cookie i daję Ci gotowe wskazówki jak przygotować banner cookie, aby był zgodny z prawem.

Przechodzę do sklepu prawnego

A na koniec, co banner cookie ma wspólnego z Google Consent Mode V2?

Google od 6 marca 2024 roku wymaga stosowania trybu zgody (consent mode). Konkretnie chodzi o możliwość korzystania z narzędzi Google’a takich jak Google Ads, Google Anayltics czy Floodlight, umożliwiających śledzenie użytkowników czy prezentowanie im spersonalizowanych reklam.

Google wymaga m.in. zgody użytkowników na:
• korzystanie z plików cookie oraz
• gromadzenie, udostępnianie i wykorzystywanie danych osobowych do personalizacji reklam.

Jest to zatem kolejny argument za tym, że potrzebujesz w swoim biznesie prawidłowego bannera cookie, ponieważ inaczej nie będziesz w stanie odebrać zgody użytkownika, a Twoje narzędzia reklamowe nie będą działać prawidłowo.