W dniu, w którym zaczęło obowiązywać RODO, w niepamięć odeszły czasy, gdy twórcy stron internetowych mogli powiedzieć: „Cookies? A kto by się tym przejmował…”. Obecnie na większości stron WWW znajdziesz mniej lub bardziej dopracowany komunikat o ciasteczkach. Tylko czy każdy jest prawidłowy? Czy przepisy wskazują, jak duże ma być to okienko? Albo jak powinien brzmieć zamieszczony w nim tekst? Co Ci grozi, jeśli nie wprowadzisz odpowiedniej zgody na swojej stronie? Poniżej wskazujemy kilka przykładowo wymienionych stron, które zastosowały się do przepisów RODO oraz nowych interpretacji przepisów dotyczących cookies – dla zwiększenia Twojego bezpieczeństwa i komfortu w sieci.
Pliki cookies zgodne z RODO – przykłady poprawnych wdrożeń
Pliki cookies to dane informatyczne, które przechowywane są w urządzeniu końcowym użytkownika w związku z jego korzystaniem ze stron internetowych. Czyli są to małe pliki zapisywane przez właścicieli stron internetowych na twoim komputerze, telefonie czy tablecie. Informacje w nich zawarte są jednymi z wielu prywatnych danych użytkowników internetu. Dają możliwość zapamiętywania haseł, danych do wypełniania formularzy, ale także służą do analiz zachowań użytkownika na stronie oraz jego preferencji – oczywiście do celów marketingowych.
Jeśli za pomocą technologii cookies tworzymy jakiekolwiek identyfikatory internetowe (a najczęściej tak jest, gdyż z samego swego celu plik cookie jest instalowany na danym urządzeniu i ma zbierać informacje o danym użytkowniku), to pliki cookies w ten sposób mogą zawierać w sobie dane osobowe.
Jednak tak naprawdę, to nie przepisy RODO są dla Ciebie najważniejsze, jeśli stosujesz pliki cookies. W październiku 2019 roku Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym wskazał, że umieszczanie plików cookies wymaga zawsze aktywnej i świadomej zgody internautów, niezależnie od tego, czy pliki cookies stanowią dane osobowe, czy nie (o wyroku więcej przeczytasz tutaj). Wyrok ten opiera się nie tyle na RODO, co na innych unijnych przepisach, którym w Polsce odpowiada ustawa prawo telekomunikacyjne. Dlatego też w celu ochrony użytkowników, każda strona, która chce korzystać z plików cookie zgodnie z przepisami (w tym RODO), powinna poprosić o zgodę na cookies.
Zdania na temat tego, w jaki sposób zgodę należy uzyskać, są wśród ekspertów podzielone. Zauważyć można jednak, że pytania o zgodę pojawiają się na większości stron internetowych, a od początku 2020 roku jako trend pojawia się bardziej rozbudowany schemat do zarządzania preferencjami cookies. Praktyczne przykłady takich skryptów znajdziesz poniżej.
Najlepiej przygotowane pod RODO strony zawierają komunikaty o cookies, które:
- w jasny i zwięzły sposób proszą użytkownika o zgodę – użytkownik nieposiadający wiedzy dotyczącej RODO, może dowiedzieć się, co wiąże się z udzieleniem zgody,
- uzyskują zgody na cookie na samym wejściu użytkownika na stronę (nie ładują się domyślnie) – cookies marketingowe lub wykorzystywane do analizy ruchu mogą być używane dopiero po uzyskaniu zgody wyrażonej naciśnięciem przycisku, lub zaznaczeniem pola wyboru,
- nie zawierają długich i zawiłych tekstów, które są trudne do zrozumienia przez użytkownika,
- nie zawierają obszernych list do przewijania z opcjami do odznaczenia (np. 100 rodzajów cookies do ewentualnego odznaczenia na zasadzie opt-out),
- posiadają odesłanie do polityki prywatności,
- umieszczone są w widocznym miejscu na stronie, zaraz po wejściu użytkownika na którąkolwiek podstronę – na przykład: w umieszczonym na sztywno na stronie pasku wymagającym akceptacji lub zmiany ustawień,
- nie posiadają domyślnie zaznaczonych pól wyboru (zgoda na cookies musi być świadoma i aktywna).
Okienka zgody wymagane pod RODO – przykłady poprawnych wdrożeń
Im więcej danych przetwarzanych jest na stronie za pomocą cookies, tym trudniej spełnić powyższe wymagania. Użytkownik wchodząc na stronę, musi być dobrze poinformowany o celach cookies, i mieć wybór: może zaakceptować z góry wszystkie ich rodzaje, albo wybrać tylko niektóre, na które się zgadza. Jeśli lista plików cookies do wyboru jest bardzo długa – trudniej jest zachować przejrzystość. Można wówczas zastanowić się nad odbieraniem zgód tylko na grupy (rodzaje) cookies (np. analityczne, marketingowe), a nie na poszczególne pliki. Najważniejsze w tej kwestii jest, by nie decydować za użytkowników oraz by zachować przejrzystość.
Powinniśmy też pamiętać, że w świetle RODO brak zgody użytkownika nie powinien skutkować niemożliwością korzystania z serwisu. Nie leży to również w interesie właścicieli strony, gdyż opuszczenie strony, utrata ruchu, a tym samym zmniejszenie sprzedaży jest stratą większą, niż utrata informacji pochodzących z cookies.
Na wszystkich wskazywanych poniżej przykładowych stronach z plikami cookies zgodnymi z RODO wdrożono prawidłowy mechanizm polegający na tym, że:
- przy wejściu na stronę, użytkownik otrzymuje krótką informację ogólną na stronie głównej, która wskazuje mu cele stosowanych przez właściciela strony plików cookies;
- użytkownik może od razu zaakceptować wszystko lub zapoznać się z bardziej szczegółowymi informacjami i wybrać te zgody, które chce.
Przykłady stron z rozbudowanymi, lecz przyjaznymi dla użytkownika ustawieniami dotyczącymi cookies:
Duży, przejrzysty komunikat przy wejściu na stronę, który w sposób transparentny wskazuje cele stosowania coookies zgodnie z RODO.
Po kliknięciu na „Przejdź do ustawień” widzimy przejrzysty panel do zarządzania preferencjami cookies. Wyodrębniono tu każde narzędzie marketingowe, stosowane na stronie i opisano jego zastosowanie w przejrzysty sposób. Domyślnie zaznaczone są tylko pliki cookies zgodne z RODO niezbędne do działania strony (cookies techniczne).
Bardzo przejrzysty komunikat o cookies zgodny z RODO, niemożliwy do pominięcia przez użytkownika. Na pochwałę zasługuje fakt, że oba przyciski, tj. wybór pomiędzy „Akceptuj” a „Ustawienia plików cookie” są tej samej wielkości i koloru. Nie sugerujemy zatem żadnej odpowiedzi i nie narażamy się na zarzut, że użytkownik kliknął którąś z opcji „odruchowo”.
Panel do zarządzania plikami cookies zgodny z RODO jest tutaj również bardzo przejrzysty i nie zanadto rozbudowany:
Komunikat o cookies jest duży i przejrzysty. Użytkownik ma łatwą możliwość przejścia do panelu z wyborem preferencji. We wstępnym komunikacie udzielana jest też od razu pełna informacja dotycząca przetwarzania danych osobowych (wymóg RODO), co mogłoby nastąpić w odrębnej polityce prywatności.
Sam panel do zarządzania zgodami jest zgodny z RODO, jednak mocno rozbudowany (co czyni go nieco nieprzyjaznym dla użytkownika), jednak wynika to z faktu, że strona należy do portalu Wirtualna Polska, gdzie ilość rodzajów stosowanych plików cookies jest ogromna.
Tutaj również wstępny panel informujący o używaniu cookies przez stronę jest przejrzysty i szczegółowo, bez zbędnych zawoalowań, informuje o celach stosowania cookies:
Panel do zarządzania preferencjami jest również przejrzysty, choć dosyć obszerny ze względu na ilość rodzajów cookies stosowanych w serwisie:
Komunikat o cookies zgodny z RODO od razu wskazuje, że stosowane są na stronie mechanizmy śledzące użytkownika na cele reklamowe – należy się plus za transparentność i przejrzystość takiego komunikatu:
Panel do zarządzania preferencjami też jest przejrzysty i zawiera odesłanie do dalszych, szczegółowych informacji:
Kolejny przykład poprawnego wdrożenia komunikatu pytającego o zgodę na cookies:
Teksty zgodne z RODO użyte w panelu do zarządzania preferencjami cookies (wyjaśniające poszczególne cele stosowania tej technologii) nie należą do najprostszych i przejrzystych z punktu widzenia użytkownika, ale całemu skryptowi stosowanemu na tej stronie nie można odmówić zgodności z prawem:
Na stronie tej sieci hipermarketów znajdziemy bardzo przejrzysty komunikat na temat celów stosowania cookies:
Błędem na tej stronie jest natomiast to, że zgoda na stosowanie cookies marketingowych jest tutaj domyślnie włączona. Po kliknięciu na przycisk „Ustawienia zaawansowane” przechodzimy do panelu, gdzie zgoda jest domyślnie zaznaczona:
Można zadać sobie pytanie, czy w takie sytuacji przycisk „Wyrażam zgodę” oraz informacja o tym, że wyrażenie zgody jest dobrowolne – nie wprowadza użytkownika w błąd.
Polityka prywatności zgodna z RODO – przykłady poprawnych wdrożeń
Polityka prywatności jest dokumentem na stronie WWW, w którym najwygodniej jest poinformować użytkownika o wszelkich aspektach przetwarzania jego danych osobowych, a także umieścić tam pełną (szerszą niż w panelu do zarządzania zgodami) informację o plikach cookies. Jeśli na swojej stronie internetowej w jakikolwiek sposób zbierasz dane użytkowników (np. formularz kontaktowy, newsletter, sklep online, śledzące pliki cookies) – jest to dokument, który musi znajdować się na stronie obowiązkowo.
Polityka prywatności posiada prawa autorskie, nie można jej więc dowolnie kopiować z innych stron internetowych. Zresztą nie leży to w Twoim interesie, gdyż dokument ten powinien być dostosowany do mechanizmów, które Ty stosujesz na swojej stronie. Jeśli skopiujesz tekst np. od konkurencji, czy np. z jakiegoś dużego portalu – możesz sobie tylko zaszkodzić.
Ciekawe oraz przyjazne dla użytkowników, a także zgodne z RODO, przykłady polityki prywatności znaleźliśmy na niewielu stronach. Jednak te, na które trafiliśmy, pokazują, że: da się!
Sprawdź naszą politykę prywatności => Link do nas!
Przykłady stron z poprawnie i użytecznie wdrożoną polityką prywatności:
https://domodi.pl/polityka-prywatnosci
https://www.zalando.pl/zalando-polityka-prywatnosci/
://www.wafelkigoralki.pl/polityka-prywatnosci
Dzięki podziałowi na sekcje, utworzeniu spisu treści i użyciu zrozumiałego języka (nie tylko dla prawników) polityka prywatności może być dokumentem, który będzie doskonale spełniał swoją funkcję. Użyteczna polityka prywatności informuje użytkowników o przetwarzaniu ich danych, prawach, jakie posiadają i wskazówkach oraz jak chronić swoją prywatność. Takie przejrzyste teksty są najbardziej zgodne z RODO, gdyż wprost nakazuje ono wszelkie komunikaty do użytkownika formułować w sposób dla niego zrozumiały. Zadbanie o ten aspekt będzie więc dużym plusem nie tylko pod względem prawa, ale również pod względem wizerunkowym.
