Baner Cookie. Ależ tak! Powinieneś rozważyć te 7 rzeczy

Sześć minut.
baner cookie dsgvo eprivacy

Wygląd banerów cookie zmienił się ostatnio na wielu stronach internetowych. W przeszłości, małe wyskakujące okienko informowało po prostu o tym, że na stronie internetowej były ustawione jakieś niesprecyzowane "cookies". W dzisiejszych czasach często pojawia się lista poszczególnych plików cookie i wybór, które z nich są akceptowane, a które nie, poprzez pola wyboru. Dlaczego tak jest - i co jest teraz?

Ten artykuł rzuca światło na banery z plikami cookie i wyjaśnia, jak prawidłowo zaprojektować powiadomienie o plikach cookie na Twojej stronie. Zanim jednak wejdziemy w szczegóły, konieczne jest zrozumienie, kiedy i dlaczego w ogóle potrzebny jest baner cookie.

Cookies to informacje, które są przechowywane w urządzeniu końcowym odwiedzającego stronę internetową (komputer, smartfon, itp.). Z jednej strony są one niezbędne do prawidłowego wyświetlania strony internetowej ("technicznie niezbędne cookies"). Z drugiej strony, są one również wykorzystywane do innych celów, na przykład do analizy zachowań osób odwiedzających stronę internetową, do celów reklamowych lub do integracji Pluginsmediów społecznościowych. (Uwaga: W dalszej części termin "cookies" odnosi się również do porównywalnych technologii, takich jak liczenie pikseli, itp.) 

Spójrzmy najpierw na obecną sytuację prawną. W tym względzie, od czasu wejścia w życie DSGVO (rozporządzenie (UE) 2016/679) w dniu 25 maja 2018 r:

Jeżeli pliki cookie nie są przechowywane w urządzeniu końcowym użytkownika strony internetowej w celu ochrony uzasadnionych interesów operatora strony internetowej lub osoby trzeciej, wymagana jest w tym celu zgoda użytkownika strony internetowej zgodnie z art. 6 ust. 1 DSGVO.

ciasteczkowy baner dsgvo

Ponieważ uzasadnione interesy operatora strony internetowej lub osób trzecich muszą być zestawione z interesami lub podstawowymi prawami i wolnościami osoby odwiedzającej stronę, w indywidualnych przypadkach często nie jest jasne, które interesy przeważają nad innymi.

Uzasadnionym interesem w prowadzeniu strony internetowej jest oczywiście zawsze prawidłowe jej wyświetlanie. W związku z tym wymagane do tego celu pliki cookie są zawsze uwzględniane w uzasadnionym interesie operatora strony internetowej. 

Utrudnia się to, gdy pliki cookie są ustawione w celu analizy zachowania osoby odwiedzającej stronę lub w celach reklamowych. W tym przypadku często nie można wykluczyć, że w przypadku sporu organy ochrony danych i/lub sądy nadadzą wyższy priorytet interesom osób odwiedzających stronę internetową.

Dlatego też, oprócz niezbędnych technicznie plików cookie, ich ustawienie powinno zawsze opierać się na zgodzie osoby odwiedzającej stronę internetową. Zgodę tę uzyskuje się tradycyjnie za pomocą pola wyboru.

Nie należy ukrywać, że ta sytuacja prawna może się zmienić wraz z wejściem w życie rozporządzenia o e-prywatności. Ponieważ jednak rozporządzenie o prywatności i łączności elektronicznej jest obecnie nadal przedmiotem dyskusji politycznej, DSGVO będzie nadal stosować się do plików cookie & co. aż do odwołania - a zatem do uzyskania zgody za pomocą pola wyboru jako środka zapobiegawczego. Możesz przeczytać szczegóły w moim artykule na temat OutOfTheBox. Rozporządzenie o prywatności i łączności elektronicznej: co jest dla Ciebie? Czytaj dalej.

Prawidłowe zaprojektowanie banera cookie nie jest takie trudne. Jedyną ważną rzeczą jest zwrócenie uwagi na kilka drobnych rzeczy, które przedstawię wam poniżej.

#1 Właściwy czas

Ważne jest, aby baner cookie pojawiał się natychmiast po wywołaniu strony internetowej i aby początkowo nie były ustawiane żadne pliki cookie i aby żadne dane nie mogły być przekazywane osobom trzecim (np. przez portal społecznościowyPlugin).

#2 Właściwe miejsce

Należy również zadbać o to, aby nie zostały uwzględnione żadne inne istotne treści: Na przykład, baner cookie jest często umieszczany w obszarze stopki - i obejmuje link do nadruku i/lub polityki prywatności tam.

#3 Dobrowolnie

Ważne jest również, aby dalsze wizyty na stronie nie były uzależnione od zgody osoby odwiedzającej stronę na ustawienie wszystkich plików cookie. Nawet jeśli udzielona zostanie jedynie zgoda na ustawianie niezbędnych technicznie plików cookie, musi istnieć możliwość odwiedzenia strony internetowej. Oczywiście oczywiste jest, że niektóre funkcje strony internetowej mogą wtedy nie działać prawidłowo, jeśli nie zostanie udzielona zgoda.  

#4 Pełna lista wszystkich ciasteczek

Baner plików cookie powinien zawierać listę poszczególnych plików cookie lub - jeśli jest ich zbyt wiele - przynajmniej poszczególnych kontekstów (konieczne technicznie pliki cookie, pliki cookie do analizy, pliki cookie do celów reklamowych itp.    

#5 Checkboxes with opt-in

Zgody na stronach internetowych są rozsądnie uzyskiwane za pomocą pól wyboru.

Oznacza to, że w banerze plików cookie znajduje się osobne pole wyboru dla każdego pliku cookie - lub dla kontekstu pliku cookie. 

Ważne jest, aby zaznaczone było już tylko pole wyboru dla niezbędnych technicznie ciasteczek - dla wszystkich innych pól wyboru muszą być puste. Klikając na inne pola wyboru, odwiedzający stronę może teraz sam zdecydować, które pliki cookie lub konteksty akceptuje, a których nie.

eugh optin WordPressborlabs cookie blog

Tło prawne jest następujące:

Jeżeli zgoda zostanie uzyskana za pomocą pola wyboru, istnieją zasadniczo dwie możliwości: Opt-in lub Rezygnacja. Różnica polega na tym, że pole wyboru "opt-in" jest początkowo puste i odwiedzający stronę internetową musi aktywnie wyrazić zgodę, klikając na to pole lub zaznaczając je. W przypadku rezygnacji, pole wyboru jest już domyślnie ustawione - tzn. zgoda została już udzielona - i odwiedzający stronę musi aktywnie usunąć pole wyboru, klikając na nie.

Wielu operatorów stron internetowych domyślnie korzysta z klauzuli opt-out. Prawdopodobnie dlatego, że wiedzą, iż większość odwiedzających chce szybko dostać się na stronę internetową i dlatego klikają na przycisk OK na banerze cookies - bez czytania tekstu banera lub myślenia o tym, na co się zgadzają.

Dlaczego rezygnacja nie jest wystarczająca

Chociaż procedura ta jest szeroko rozpowszechniona, nie jest ona poprawna z prawnego punktu widzenia. Zgoda wymaga aktywnego działania osoby odwiedzającej stronę. Jedyne, co jest prawnie poprawne, to opt-in, czyli aktywne wyrażanie zgody przez odwiedzającego stronę internetową - na przykład na użycie narzędzia analitycznego, takiego jak Google Analytics - poprzez zaznaczenie tego pola.

Można by teraz argumentować, że faktyczna zgoda w przypadku rezygnacji leży w kliknięciu przycisku OK na banerze plików cookie. Ale to byłoby deptanie po cienkim lodzie. Zgodnie z motywem 32 DSGVO, w odniesieniu do zgody stosuje się, co następuje (Najważniejsze informacje przeze mnie):

infoboks liniowy

"Zgoda powinna być uzyskana przez jasny akt potwierdzający która stanowi dobrowolne, konkretne, świadome i jednoznaczne wskazanie, że osoba, której dane dotyczą, wyraża zgodę na przetwarzanie odnoszących się do niej danych osobowych, na przykład w formie pisemnego oświadczenia, które może być również złożone w formie elektronicznej lub ustnego oświadczenia.

Może to obejmować poprzez zaznaczenie pola wyboru podczas odwiedzania strony internetowejUznaje się, że podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych w związku z wyborem opcji technicznych dokonanym w odniesieniu do usług społeczeństwa informacyjnego lub w związku z wszelkimi innymi wyjaśnieniami lub praktykami wyraźnie wskazującymi, w kontekście danego przypadku, na jego zgodę na przetwarzanie jego danych osobowych zgodnie z planem.

Cisza, boksy już zaznaczone lub brak aktywności osoby, której dane dotyczą nie powinny zatem stanowić zgody. Zgoda powinna obejmować wszystkie operacje przetwarzania przeprowadzane w tym samym celu lub celach. Jeżeli przetwarzanie ma kilka celów, należy wyrazić zgodę na wszystkie te operacje przetwarzania. W przypadku gdy osoba, której dane dotyczą, jest proszona o wyrażenie zgody drogą elektroniczną, wniosek musi być złożony w sposób jasny i zwięzły oraz bez zbędnych zakłóceń usługi, na którą wyrażono zgodę".

infoboks liniowy

#6 Adaptacja polityki prywatności

Projektując baner cookie, nie należy zapominać o dostosowaniu swojej polityki prywatności. Oznacza to, że szczegóły dotyczące poszczególnych zestawów plików cookie muszą być również wyjaśnione w polityce prywatności. 

#7 Szczególny problem społeczny Plugins

Istnieje szczególny problem z integracją społecznościowąPlugins, ponieważ nie tylko cookies są ustawiane, ale także dane osobowe odwiedzających Twoją stronę są automatycznie wysyłane do odpowiednich sieci społecznościowych itp.

Po prądzie Wyrok ETS z dnia 29 lipca 2019 r. dane osobowe osoby odwiedzającej stronę mogą być przekazywane do serwisów społecznościowych itp. tylko po uzyskaniu odpowiedniej zgody. W związku z tym należy zapewnić, że portal społecznościowy Pluginjest aktywny tylko wtedy, gdy osoba odwiedzająca stronę wyraziła wcześniej zgodę, zaznaczając odpowiednie pole wyboru. (Chociaż orzeczenie to nadal odnosi się do "dyrektywy o ochronie danych", tj. poprzedniego rozporządzenia DSGVO, wynik ten odnosi się również do DSGVO). 

Prawidłowe zaprojektowanie banera cookie, czyli zgodne z prawem, nie jest czarnoksięstwem. I nie jest to też żadna wada dla operatora strony internetowej. Ponieważ odwiedzający jego stronę internetową powinni być również traktowani sprawiedliwie. Obejmuje to również przede wszystkim dostarczanie przejrzystych informacji o tym, co dzieje się po wywołaniu strony internetowej. Dopiero wtedy osoby odwiedzające stronę są w stanie podjąć świadomą decyzję, czy i jakie dane chcą ujawnić, a jeśli tak, to jakie. Tak jak wielu programistów i operatorów stron internetowych nie chce być szpiegowanych przez osoby trzecie, tak i oni powinni dać odwiedzającym ich własną stronę internetową możliwość samodzielnego decydowania o tym, jakie dane chcą ujawnić, a jakie nie.

Zdjęcie przedstawiające: Emily Wilson | Unsplash
Więcej zdjęć: Rawpixel | pexele, RAIDBOXES

WooCommerce gratisHosting

Mario Steinberg jest prawnikiem i specjalistą w zakresie prawa administracyjnego w LIEB.Rechtsanwälte. Jednym z jego głównych obszarów specjalizacji jest doradztwo w zakresie prawa ochrony danych osobowych i prawa bezpieczeństwa IT. Jest również współzałożycielem sieci konsultantów "kształtującą twoją organizację"która towarzyszy firmom podczas transformacji cyfrowej.

Artykuły pokrewne

Komentarze do tego artykułu

Elias
Elias

Dobrze wyjaśnione, dzięki!

Andreas
Andreas

Mam podstawowe pytanie: Czy potrzebny jest mi tak obszerny baner cookie, nawet jeśli prowadzę tylko bardzo proste strony? Jestem odpowiedzialny za kilka stron, które oferują tylko formularz kontaktowy i korzystają z dwóch zgodnych z DSGVO "StatifyPlugins" i "Shariff Wrapper". Strony te nie wymagają żadnej reklamy, sklepu, analizy Google ani innej integracji z mediami społecznościowymi. Nie ma nawet funkcji komentarza pod wpisem na blogu. Czy w takim przypadku wystarczy zwykły baner cookie?

Mario Steinberg
Mario Steinberg

Baner cookie jest zawsze wymagany w przypadku konieczności uzyskania zgody osoby odwiedzającej stronę. Jeśli tak nie jest (ponieważ np. nie są ustawione żadne "cookies" lub są ustawione tylko technicznie niezbędne "cookies", na stronie nie ma usług wymagających zgody lub nie są przetwarzane żadne specjalne kategorie danych osobowych), nie jest potrzebny żaden baner cookie.

Andreas
Andreas

To pomocna odpowiedź. Wielkie dzięki.

C

Dwie rzeczy nie są dla mnie jasne. Masz przyciski pod swoimi artykułami do udostępnienia + jeśli kliknę na nie, nic nie otwiera się z cookies!
A moje drugie pytanie brzmi: jak mogę zmienić taki baner ciasteczkowy? Mam zawiadomienie o Pluginciasteczkach. Byłbym bardzo wdzięczny za odpowiedź.
Wiele pozdrowień Caroline

K
Kerstin

Dziękuję bardzo za wszystkie informacje! Mam jednak jedno pytanie: Piszesz, że rozwiązanie opt-out nie jest wystarczające, ale sam korzystasz z niego na stronie internetowej. Czy nie byłoby konieczne przejście na rozwiązanie Opt-In tutaj, czy jesteś w prawnej strefie szarej z tymi opcjami?

M
Martin

Dzień dobry, dziękuję za ten wkład. Dla wszystkich uzasadnionych interesów, o których się pisze: czy nie jest również uzasadnionym interesem dostawcy informacji lub "treści" otrzymywanie wynagrodzenia finansowego za swoją pracę? Czy oferowanie treści odwiedzającemu stronę internetową jest obowiązkowe, jeśli nie chce on korzystać z cookies reklamowych? Czy też nie można rozstać się polubownie w przypadku odmowy, nie wyświetlając treści? Odwiedzający może opuścić stronę w każdej chwili i dobrowolnie, jeśli osobiście nie lubi ciasteczek reklamowych. Gdyby tak było, to czy istnieją już rozwiązania techniczne (Opt-In dla ciasteczek reklamowych, ale bez Opt-In nie ma treści)?

D
Dominik

Witam i dziękuję za wkład.
Czy baner cookie na stronie wielojęzycznej może być w języku angielskim, czy też musi być zawsze przetłumaczony na dany język?

Dzięki.

Mario Steinberg
Mario Steinberg

Baner cookie musi być w języku strony internetowej. Jeśli strona główna lub strona startowa może zostać wywołana w różnych językach, baner cookie musi pojawić się również w danym języku.

M
Martin

Cześć, dzięki za wkład.

Jeśli używam Shariff Wrapper, nie potrzebuję dodatkowego pozwolenia na przyciski socjalne, prawda? Ponieważ Shariff nie wysyła żadnych danych. Jakoś teraz jestem tego trochę niepewny.

Mario Steinberg
Mario Steinberg

Shariff Wrapper zamienia serwisy społecznościowe w Pluginsczyste linki do sieci społecznościowych. W związku z tym wystarczy odpowiednio dostosować politykę prywatności tej strony. Nie jest konieczne uzyskanie zgody osoby odwiedzającej stronę na umieszczenie tych linków.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.