Consent Management Plarform: błędy, które mogą cię kosztować! Q&A po webinarze

Sempai
18 grudnia, 2023
Przeczytasz w ~ 6 min.
Consent Management PLatform QA A

Joanna Horoszko – Senior Digital Analyst w Sempai oraz Marcin Główczyński – Digital Analytics Expert w Sempai, odpowiadają na pytania zadane podczas webinaru „Consent Management Plarform: błędy, które mogą cię kosztować!”.

Zapisz się do naszego newslettera i nie przegap powiadomień o kolejnych webinarach organizowanych przez Sempai.

 

Pytanie nr 1: Jakie są kary od UODO za braki związane z nie wdrożonym / źle wdrożonym Constent Mode?

Odpowiedź Asi: Stosowanie cookies stałych, bez przekazania informacji i uzyskania zgody, grozi nałożeniem kary w wysokości do 3% przychodu osiągniętego w poprzednim roku kalendarzowym. Podstawa prawna: Prawo telekomunikacyjne Art. 210. 

 

Pytanie nr 2: Gdzieś czytałem, że nie możemy uzależnić korzystania ze strony od zgody / braku zgody na pliki cookies. Czy to prawda? Mogę zrobić baner na całą stronę i zablokować korzystanie z niej do momentu decyzji użytkownika?

Odpowiedź Marcina: Ponieważ podejście do tych kwestii różni się w zależności od interpretacji przepisów, sugeruję w tym przypadku zasięgnąć rady własnego działu prawnego (choć podobne rozwiązanie wprowadził Facebook ze swoją polityką: albo cookies, albo abonament). Należy też zaznaczyć, że dyrektywy europejskie są zwykle adoptowane przez państwa członkowskie z dużym opóźnieniem, więc w przypadku Polski nie spotkałem się z opinią, w której taka praktyka byłaby wprost zabroniona prawnie. Polecam jednak obserwować rozwój sytuacji z rozwiązaniem wdrożonym przez Facebook. Myślę, że rozstrzygnięcia w tej sprawie jasno odpowiedzą nam czy taka praktyka jest dozwolona.

Pytanie nr 3: Zeskanowałem Waszą stronę i mam Requirement 1 (ePR) Prior consent on other than strictly necessary cookies and trackers oraz Requirement 2 (GDPR) Prior consent on personal data. Podobnie mam na większości swoich stron, tylko jedna strona wdrożona via WP ma wszystko na zielono. Czy to błąd Cookiebota? Miałem z nimi konsultacje, czekam na info. Co myślisz?

Odpowiedź Marcina: To akurat przykład niekonsultowania kodu przed dodaniem w organizacji. Jakiś chochlik dorzucił nam wtyczkę bez konsultacji i obchodzi ona ustawienia consentu. Więc to nie wina WP, bądź Cookiebota. By rozwiązać problem upewnij się, że żadne pliki cookies/skrypty 3-rd party nie są ładowane przed uzyskaniem zgody od użytkownika.

 

Pytanie nr 4: Czy odpalenie GA4, bez włączonych signalsów wymaga zgody użytkownika? GA4 anonimizuje dane osobowe, jak np. nr IP, a zgody na cookies dotyczą wyłącznie tych zbierających dane osobowe. Jako to jest w przypadku GA4?

Odpowiedź Asi: Nawet jeśli w GA4 nie mamy włączonych Google Signals, to zgodnie z prawem musimy zapytać użytkownika, czy wyraża zgodę na zbieranie danych na potrzeby analityczne.

Zgodnie z prawem, użytkownik musi mieć możliwość wyrażenia bądź nie wyrażenia zgody.

Jeśli użytkownik nie wyrazi zgody:

  • a mamy basic consent mode: nie zbieramy żadnych danych przez GA4
  • a mamy advanced consent mode: możemy uruchomić GA4 jedynie w trybie zbierania pingów, a następnie zobaczymy je w GA4 jako dane modelowane

Blog elementy graficzne ZOBACZ NAGRANIE WEBINARU

Pytanie nr 5: 4 listopada na jednym z kont miałem drastyczny spadek wszystkich eventów GA4. Nic nie było robione. Wdrożony jest consent mode. Szukam przyczyny. Dodatkowo spory ruch unassigned. Dopiero ostatnio on spada. Eventy dalej na niskim poziomie, bo zbiera, ale nie tak. Czy to consent czy GA4?

Odpowiedź Asi: Przyczyn może być kilka, jednak z opisanego problemu najbardziej prawdopodobną mogą być problemy z niepoprawnym wdrożeniem Consent Mode. Inne potencjalne problemy:

  • należy sprawdzić, czy nie nastąpiła automatyczna aktualizacja modułu generującego Data Layery potrzebne dla GA4 – spotykaliśmy się już z sytuacjami, gdzie nowa wersja modułu/wtyczki zawierała więcej błędów niż pierwotna, 
  • należy sprawdzić, czy nie nastąpiła automatyczna aktualizacja modułu do Consent Mode – być może aktualizacja zawierała błędy zapisując zgody jako nieotrzymane, wtedy nawet wysyłając poprawnie zdarzenia nie zostaną one zarejestrowane w usłudze.

 

Pytanie nr 6: Rozumiem, że modelowanie jest możliwe w przypadku wysyłania parametru gsc=100 i oczywiście przy spełnieniu warunków. W innym przypadku, czyli w modelu: “nie wysyłamy nic i nie ładujemy żadnych kodów bez zgody” – modelowanie nie zadziała. W przypadku gdy modelowanie nie zadziała z kolei – czy to bez parametru gsc=100 czy też bez spełniania wymogów danych będziemy mieli pewnie mniej danych o 50% po wdrożeniu consent mode. Unikniemy utraty danych, ale pewnie tylko na stronach o dużym ruchu, zgadza się?

Odpowiedź Marcina: To wielowątkowe pytanie, dlatego rozłożę je na czynniki pierwsze.

  1. Po wprowadzeniu Consent Management Platform – zakładając, że prawidłowo blokujemy egzekwowanie kodów śledzących – otrzymamy bezpowrotną utratę danych, zależną od branży, ale w granicach 20-30%. Powód prozaiczny: nie możemy rejestrować tego ruchu.
  2. Jeżeli zintegrujemy Consent Mode z naszym CMP, produkty Google oferują możliwość odzyskanie około 65% z utraconych danych poprzez modelowanie. Musimy jednak spełnić tresholdy ruchu (700 kliknięć w ciągu 7 dni, bądź 1000 użytkowników dziennie na potrzeby GA4). W innym wypadku Consent Mode nie zadziała (za mała próbka by model był odpowiednio anonimowy).
  3. Dodatkowo, zależnie od wdrożonej wersji Consent Mode, modelowanie jest:
    1. basic – GA4 wyłączone – Google Ads ograniczone,
    2. advanced – możliwe w obu przypadkach.

 

Pytanie nr 7: Czy możesz streścić kolejność tagów, w jakiej mają się uruchamiać przy pierwszym wejściu użytkownika? Głównie chodzi o tag przed zaakceptowaniem zgody.

Odpowiedź Marcina: Dla wersji advanced ścieżka wygląda następująco:

  1. Zdarzenie consent.default
  2. Inicjacja biblioteki gtag – bez wywoływania pageview
  3. Czekamy na użytkownika
  4. Zdarzenie consent.update
  5. Inicjujemy zdarzenia GA4/tagi GAds/Floodlighty – niezależnie od odmowy użytkownika – ogranicza one bowiem wysyłanie danych zgodnie z Consent Mode
  6. Inicjujemy inne skrypty na które mamy pozwolenie – sterując ich inicjacją samemu z poziomu GTM/CMP

Dla wersji basic – zwyczajnie nie inicjujemy żadnego tagu, na który nie mamy zgody.

 

Pytanie nr 8: Czy jeśli użytkownik wyrazi zgodę na przetwarzanie w celach analitycznych, a nie wyrazi w celach marketingowych, to czy znajdzie się na liście remarketingowej utworzonej w GA4, którą można importować do Ads?

Odpowiedź Marcina: Nie, GA4 nie uzupełni list o tych użytkowników.

 

Pytanie nr 9: Rozumiem, że podczas ładowania pierwszy raz strony, Constent Mode ma być ‘default’ na denied. Po wyborze w pop-upie, robimy ‘constentUpdate’ i wysyłamy wyrażone zgody.

Odpowiedź Marcina: Tak, możemy oczywiście ustawić pozwolenie na wybrane domyślne kategorie zależnie od potrzeb i regulacji prawnych. Na przykład uruchamiając skrypty/cookies, które są niezbędne do działania strony (należy uważać na 3-rd party cookies – te są niedozwolone. Skrypty, które odwołują się do bibliotek zewnętrznych, powinniśmy zawsze konsultować prawnie).

 

Pytanie nr 10: Czy po przejściu na kolejną podstronę (mając wyrażone zgody) również mam wysłać od razu ‘default’ na denied i od razu constensUpdate, czy ‘default’ ma być taki, jak wyrażone zgody?

Odpowiedź Marcina: Według uznania. Dokumentacja pozwala na oba przypadki:

  1. możemy wysyłać już tylko ‘default’ ze zgodami uzyskanymi od użytkownika, bez ‘update’,
  2. bądź za każdym razem ponawiać procedurę ‘default’ i natychmiast po ‘update’.

Ważne, by każda strona zawierała ‘default’.

Wersja druga trzyma się ciągle tego samego schematu na wszystkich stronach, dlatego wydaje się być łatwiejsza do wdrożenia.

Blog elementy graficzne ZOBACZ NAGRANIE WEBINARU 2

Jak oceniasz tekst?

Średnia ocen 0 / 5. Liczba głosów: 0

Bądź pierwszy i oceń tekst.