Wygląd banerów cookie zmienił się w ostatnim czasie na wielu stronach internetowych. W przeszłości małe wyskakujące okienko po prostu wyświetlało zwięzłe powiadomienie, że na stronie internetowej ustawiane są nieokreślone pliki "cookie". Obecnie często otrzymujesz listę poszczególnych plików cookie i możliwość wyboru za pomocą pól wyboru, które z nich są akceptowane, a które nie. Dlaczego tak jest - i co jest teraz poprawne?
Ten artykuł rzuca światło na banery plików cookie i wyjaśnia, jak prawidłowo zaprojektować powiadomienie o plikach cookie w Twojej witrynie. Zanim jednak przejdziemy do szczegółów, konieczne jest zrozumienie, kiedy i dlaczego w ogóle potrzebujesz banera cookie.
Dlaczego w ogóle potrzebujesz banera plików cookie?
Pliki cookie to informacje przechowywane na urządzeniu końcowym odwiedzającego witrynę (komputerze, smartfonie itp.). Z jednej strony są one niezbędne do prawidłowego wyświetlania strony internetowej ("technicznie niezbędne pliki cookie"). Z drugiej strony są one również wykorzystywane do innych celów, na przykład do analizy zachowań odwiedzających witrynę, do celów reklamowych lub podczas integracji wtyczek społecznościowych. (Uwaga: w dalszej części termin "pliki cookie" odnosi się również do porównywalnych technologii, takich jak piksele zliczające itp.)
Przyjrzyjmy się najpierw obecnej sytuacji prawnej. W tym zakresie, od wejścia w życie w dniu 25 maja 2018 r. RODO (Rozporządzenie (UE) 2016/679) obowiązują następujące zasady:
Jeśli pliki cookie nie są przechowywane na urządzeniu końcowym odwiedzającego witrynę w celu ochrony uzasadnionych interesów operatora witryny lub strony trzeciej, wymagana jest zgoda odwiedzającego witrynę zgodnie z art. 6 ust. 1 RODO .
Ponieważ uzasadnione interesy operatora strony internetowej lub osób trzecich muszą być zestawione z interesami lub podstawowymi prawami i wolnościami odwiedzającego stronę internetową, w poszczególnych przypadkach często nie jest jasne, które interesy przeważają.
Uzasadnionym interesem w działaniu strony internetowej jest oczywiście zawsze jej prawidłowe wyświetlanie. Pliki cookie wymagane do tego celu są zatem zawsze objęte uzasadnionym interesem operatora strony internetowej.
Staje się to trudniejsze, gdy pliki cookie są wykorzystywane do analizy zachowań odwiedzających witrynę lub do celów reklamowych. W tym przypadku często nie można wykluczyć, że w przypadku sporu organy nadzorcze ds. ochrony danych i/lub sądy będą miały większe znaczenie dla interesów osób odwiedzających witrynę.
Poza technicznie niezbędnymi plikami cookie, ustawienie plików cookie powinno zawsze opierać się na zgodzie osoby odwiedzającej witrynę. Zgoda ta jest zazwyczaj uzyskiwana za pomocą pola wyboru.
Nie należy ukrywać, że ta sytuacja prawna może ulec zmianie po wejściu w życie rozporządzenia o prywatności i łączności elektronicznej. Ponieważ jednak rozporządzenie o prywatności i łączności elektronicznej jest obecnie nadal przedmiotem dyskusji politycznej, stosowanie RODO - a zatem zapobiegawcze uzyskiwanie zgody za pomocą pola wyboru - pozostanie na razie w mocy w odniesieniu do plików cookie i innych. Możesz przeczytać szczegóły w moim artykule "Rozporządzenie o prywatności i łączności elektronicznej: co Cię czeka?".
"*" wyświetla wymagane pola
Jak powinieneś zaprojektować swój baner cookie?
Prawidłowe zaprojektowanie banera cookie nie jest takie trudne. Ważne jest tylko, aby pamiętać o kilku drobiazgach, które pokażę Ci poniżej.
#1 Właściwy czas
Ważne jest, aby baner plików cookie pojawiał się natychmiast po wejściu na stronę internetową i aby żadne pliki cookie nie były początkowo ustawiane, a żadne dane nie mogły być przekazywane stronom trzecim (np. za pośrednictwem wtyczki społecznościowej).
#2 Właściwe miejsce
Należy również zadbać o to, aby nie zasłaniać innych ważnych treści: Na przykład baner plików cookie jest często umieszczany w obszarze stopki - i zakrywa link do informacji prawnej i/lub polityki prywatności.
#3 Dobrowolność
Ważne jest również, aby dalsze wizyty na stronie internetowej nie były uzależnione od zgody odwiedzającego na ustawienie wszystkich plików cookie. Nawet jeśli zgoda zostanie udzielona tylko na ustawienie technicznie niezbędnych plików cookie, nadal musi być możliwe odwiedzanie strony internetowej. Oczywiście oczywiste jest, że niektóre funkcje strony internetowej mogą nie działać prawidłowo bez zgody.
#4 Pełna lista wszystkich plików cookie
Baner plików cookie powinien wymieniać poszczególne pliki cookie lub - jeśli jest ich zbyt wiele - przynajmniej poszczególne konteksty (pliki cookie niezbędne z technicznego punktu widzenia, pliki cookie do analizy, pliki cookie do celów reklamowych itp.
#5 Checkboxy z Opt-in
Zgodę na stronach internetowych najlepiej uzyskać za pomocą pól wyboru.
Oznacza to, że dla każdego pliku cookie - lub kontekstu pliku cookie - na banerze plików cookie znajduje się osobne pole wyboru.
Ważne jest, aby pamiętać, że tylko pole wyboru dla technicznie niezbędnych plików cookie może być już zaznaczone - wszystkie inne pola wyboru muszą być puste. Klikając pozostałe pola wyboru, odwiedzający witrynę może teraz samodzielnie zdecydować, które pliki cookie lub konteksty akceptuje, a które nie.
Tło prawne tej kwestii jest następujące:
Jeśli zgoda jest uzyskiwana za pomocą pola wyboru, istnieją zasadniczo dwie opcje: Opt-in lub opt-out. Różnica polega na tym, że w przypadku opcji opt-in pole wyboru jest początkowo puste, a odwiedzający witrynę musi aktywnie wyrazić zgodę, klikając pole lub zaznaczając pole. W przypadku opt-out pole wyboru jest już domyślnie zaznaczone - tj. zgoda została już udzielona - a odwiedzający witrynę musi aktywnie usunąć zaznaczenie, klikając pole wyboru.
Wielu operatorów stron internetowych domyślnie korzysta z opcji opt-out. Prawdopodobnie dlatego, że wiedzą, że większość odwiedzających chce szybko uzyskać dostęp do strony internetowej i dlatego klika przycisk OK na banerze plików cookie - bez czytania tekstu banera lub zastanawiania się, na co wyrażają zgodę.
Dlaczego klauzula Opt-out to za mało
Nawet jeśli taka procedura jest powszechna, nie jest ona zgodna z prawem. Zgoda wymaga aktywnego działania ze strony odwiedzającego witrynę. Dlatego tylko opt-in jest prawnie bezbłędny, tj. odwiedzający witrynę aktywnie wyraża zgodę - na przykład na korzystanie z narzędzia analitycznego, takiego jak Google Analytics - zaznaczając pole.
Można argumentować, że w przypadku rezygnacji faktyczna zgoda jest wyrażana poprzez kliknięcie przycisku OK na banerze plików cookie. Jest to jednak stąpanie po cienkim lodzie. Zgodnie z motywem 32 strony RODO , do zgody stosuje się następujące zasady(podkreślenie moje):
"Zgoda powinna być wyrażona w drodzejednoznacznego aktu potwierdzającego , którywskazuje dobrowolnie, w konkretnym przypadku, w sposób świadomy i jednoznaczny, że osoba, której dane dotyczą, wyraża zgodę na przetwarzanie dotyczących jej danych osobowych, na przykład w formie pisemnego oświadczenia, które może być również złożone elektronicznie, lub oświadczenia ustnego .
Można to zrobić, na przykład, zaznaczając pole wyboru podczas odwiedzania strony internetowej, wybierając ustawienia techniczne dla usług społeczeństwa informacyjnego lub poprzez inne oświadczenie lub zachowanie, za pomocą którego osoba, której dane dotyczą, wyraźnie sygnalizuje swoją zgodę na zamierzone przetwarzanie jej danych osobowych w odpowiednim kontekście.
Milczenie, już zaznaczone pola lub brak aktywności osoby, której dane dotyczą, nie powinny zatem stanowić zgody. Zgoda powinna odnosić się do wszystkich operacji przetwarzania przeprowadzanych w tym samym celu lub celach. Jeśli przetwarzanie służy kilku celom, zgoda powinna być udzielona na wszystkie te cele przetwarzania. W przypadku, gdy osoba, której dane dotyczą, jest proszona o wyrażenie zgody drogą elektroniczną, prośba musi zostać złożona w sposób jasny i zwięzły oraz bez zbędnej przerwy w świadczeniu usługi, na którą wyrażana jest zgoda."
#6 Dostosowanie polityki prywatności
Projektując baner plików cookie, nie możesz zapomnieć o dostosowaniu polityki prywatności. Oznacza to, że szczegóły dotyczące poszczególnych ustawionych plików cookie muszą być również wyjaśnione w polityce prywatności.
#7 Specjalny problem w wtyczkach społecznościowych
Istnieje szczególny problem z integracją wtyczek społecznościowych, ponieważ nie tylko ustawiają one pliki cookie, ale także automatycznie wysyłają dane osobowe odwiedzających Twoją witrynę do odpowiedniej sieci społecznościowej itp.
Zgodnie z niedawnym orzeczeniem ETS z dnia 29 lipca 2019 r. dane osobowe osoby odwiedzającej stronę internetową mogą być przekazywane do sieci społecznościowej itp. wyłącznie po wyrażeniu odpowiedniej zgody. Dlatego ważne jest, aby upewnić się, że wtyczka społecznościowa staje się aktywna tylko wtedy, gdy odwiedzający witrynę wcześniej wyraził na to zgodę, zaznaczając odpowiednie pole wyboru. (Wyrok ten nadal odnosi się do "Dyrektywy o ochronie danych", tj. poprzedniej regulacji RODO; jednak wynik ma również zastosowanie do RODO).
Wnioski
Prawidłowe, tj. zgodne z prawem, zaprojektowanie banera cookie nie jest nauką o rakietach. Nie jest to również niekorzystne dla operatora strony internetowej. W końcu odwiedzający witrynę również powinni być traktowani uczciwie. Obejmuje to dostarczanie przejrzystych informacji o tym, co dzieje się po wejściu na stronę internetową. Tylko wtedy odwiedzający witrynę mogą podjąć świadomą decyzję, czy i jakie dane chcą ujawnić. Tak jak wielu twórców i operatorów stron internetowych nie chce być szpiegowanych przez osoby trzecie, powinni oni również dać odwiedzającym ich własną stronę internetową możliwość samodzielnego decydowania o tym, jakie dane chcą ujawnić.
Wyróżnione zdjęcie: Emily Wilson | Unsplash
Inne zdjęcia: Rawpixel | pexels, Raidboxes
