Consent mode – dlaczego jak najszybciej musisz go wprowadzić na swojej stronie internetowej?

W świetle walki o ochronę danych osobowych i prywatności powstało wiele przepisów, które te dobra mają chronić. W Internecie reguluje je przede wszystkim ustawa RODO. Oczywiście — dotykają one różnych dziedzin, między innymi branży marketingowej i e-biznesów.

Temat jest szczególnie istotny, ponieważ:

• od końca 2021 roku na polskim rynku zaczęto egzekwować dostosowywanie się do przepisów i karać przedsiębiorców,
• na horyzoncie mamy zmiany związane z plikami cookies (tworzone są nowe technologie, które mają je zastąpić),
• w niedługim czasie nastąpią kolejne zmiany w europejskich regulacjach e-privacy.

Dlatego tak ważne jest, abyś wdrożył w swoim serwisie tryb do zarządzania zgodami oraz zadbał o odpowiednią jego konfigurację.
Ale po kolei! Poniżej przejdziemy przez najważniejsze zagadnienia związanie z RODO vs Google Analytics.

1. RODO – kiedy możemy zacząć śledzić użytkownika?
2. Czym są pliki cookie?
3. Consent mode – czym jest?
4. Jak wdrożyć go poprawnie?

RODO – kiedy możemy zacząć śledzić użytkownika?

Ustawa weszła w życie 10 maja 2018 roku i ma na celu ochronę prywatności i bezpieczeństwo danych osobowych każdego z nas. W praktyce oznacza to, że przepisy wyraźnie regulują m.in. kwestię śledzenia użytkownika w obrębie naszego serwisu. Zgodnie z RODO serwisy internetowe, które używają plików cookies innych niż niezbędne do funkcjonowania strony internetowej, mają obowiązek pozyskania zgody na zbieranie danych o użytkowniku.

Do tej pory najczęściej stosowane na wielu stronach internetowych rozwiązania to paski cookie,

czy pop-upy:

mówiące o tym, że dane są zbierane oraz posiadające link do polityki prywatności.

W wielu przypadkach do wyboru mamy kliknięcie w “x”, bądź “OK” i niezależnie od tego, co zrobimy, skrypty śledzące będą włączane.
Jednak — według wytycznych użytkownik, wchodząc na jakąkolwiek stronę internetową, powinien mieć opcję:

• Zgody na śledzenie — dane gromadzone są tak jak do tej pory
• Braku zgody na śledzenie — dane nie mogą być zbierane
• Częściowej zgody na śledzenie — ciasteczka powinny być personalizowane, z możliwością decyzji, na które się zgadzamy, a na które nie (przykładowo użytkownik może wyrazić zgodę na pliki cookie analityczne, ale odmówić jej przyznania na pliki cookie dotyczące reklam).

Jakie jest więc najlepsze rozwiązanie?

Wdrożenie systemu zarządzania zgodami (Consent Management Platform) wraz z funkcjonalnością Consent Mode, która wchodząc w interakcje z CMP zbiera i zarządza statusem zgody użytkownika na instalację plików cookie w przeglądarce oraz na przetwarzanie danych. Oczywiście wdrożenie jest bardziej skomplikowane, jednak uchroni nas przed możliwą karą nałożoną przez UODO.
Poniżej przyjrzymy się poszczególnym pojęciom.

Czym są pliki cookie?

Pliki cookie są to specjalne pliki, które służą do przechowywania danych na temat użytkowników i ich zachowań w obrębie witryny. Zwierają zazwyczaj:

• podstawowe informacje na temat odwiedzanej strony www,
• „długość życia” ciasteczka,
• losowo wygenerowany, unikalny numer służący do identyfikacji przeglądarki, z jakiej następuje połączenie ze stroną.

To dzięki nim możemy segmentować użytkowników odwiedzających dany serwis i targetować reklamy remarketingowe w oparciu o ich zainteresowania, zachowania, czy demografię. Jest to więc kluczowa funkcjonalność przy pracy marketerów i właścicieli sklepów.

Różne pliki cookie mają różne funkcjonalności:

• ad_storage – wykorzystywane do reklam,
• analytics_storage – wykorzystywane do analityki i agregacji danych,
• personalization_storage – cookie umożliwiające personalizację serwisu,
• functionality_storage – wykorzystywane do utrzymania funkcjonalności strony lub aplikacji,
• security_storage – cookies związane z bezpieczeństwem serwisu.

Dlaczego ma to znaczenie i po co nam ta wiedza?

Każdy tag wprowadzony na Twoją stronę internetową jest tam w konkretnym celu i korzysta z konkretnych plików cookie. Platforma CMP, taka jak CookieBot, wykrywa i kontroluje wszystkie pliki cookie i moduły śledzące, klasyfikuje każdy taki skrypt na podstawie celu oraz dostosowuje działanie pod status wyrażonej zgody. Dzięki temu masz pełną kontrolę nad tym, które pliki są ustawiane w Twojej witrynie — zamiast pozostawiać użytkownikom wybór i rezygnację z zewnętrznych dostawców cookie’sów.

Co dzieje się (powinno się dziać) po wyrażeniu zgody przez użytkownika na załadowanie wszystkich plików cookies?

W serwisie uruchomi się specjalny skrypt, który utworzy ciasteczko, w którym przydzieli losowe ID użytkownika. Plik cookie utworzony na potrzeby analityki będzie przetwarzał, a następnie wysyłał do zaimplementowanej usługi Google Analytics każdą interakcję z serwisem, np. url, na którym się znajdujesz, Twoją lokalizację, czas spędzony na stronie, urządzenie, z którego korzystasz, działania podejmowane w trakcie wizyty (np. dodania do koszyka, scroll, obejrzenie filmu) itp. Dane wysyłane są do serwera administratora, którym w przypadku Google Analytics jest właśnie Google.
Skoro przepisy wymagają od stron internetowych posiadania uprzedniej zgody użytkownika na wykorzystywanie ciasteczek, nasuwa się pytanie: czy jest to zagrożenie dla danych? Czy też dla samego użytkownika strony internetowej? Klienci, zadając sobie podobne pytania, mogą takiej zgody nie wyrazić. Czy przez ograniczoną ilość danych o klientach nasze reklamy będą działać gorzej? Będą mniej skuteczne?
W odpowiedzi na te pytania, jako sposób zapewnienia dopływu prawdziwych, znaczących dla reklam danych — dostajemy od firmy Google rozwiązanie w postaci wdrożenia trybu wyrażenia zgody — Consent Mode, przez Google Tag Managera.

Consent mode – czym jest?

Tryb uzyskiwania zgody (consent mode) to specjalny tryb, który umożliwia uruchamianie wszystkich usług Google w odpowiednim trybie oraz innych tagów korzystających z plików cookie na podstawie statusu zgody użytkownika. Nie udostępnia okna dialogowego zgody (widżetu), natomiast jest z nim kompatybilny. Otrzymuje on informacje o zgodach udzielonych przez userów i na tej podstawie dostosowuje działanie skryptów Analytics, Google Ads oraz innych tagów, które korzystają z ciasteczek.

Dzięki wdrożeniu consent mode możemy prowadzić i optymalizować nasze działania marketingowe z poszanowaniem prywatności użytkowników. Co więcej, przy wdrożeniu CM, brak zgody nie oznacza w 100% utraty danych. Gdy użytkownicy nie zgodzą się na śledzenie, tagi Google nie zapisują plików cookie, jedynie wysyłają dane, które nie dotyczą identyfikacji użytkownika.

Gdy już wdrożysz consent mode w GTM, usługi pomiarowe Google zachowują wybrany przez usera stan trybu uzyskiwania zgody na wszystkich odwiedzanych przez nich stronach w obrębie serwisu bądź aplikacji. W przypadku odmowy udzielenia zgody na którykolwiek rodzaj plików cookie – uruchamiające się tagi Google nie zapisują plików cookie, ale przekazują minimum informacji o aktywności. Śledzenie stanu zgody i aktywności użytkownika odbywa się następnie poprzez wysyłane do serwera Google sygnały (tzw. pingi) bez plików cookie. W takiej konfiguracji mówimy o danych modelowanych, które nie są połączone z identyfikatorem użytkownika, czyli nie można ich połączyć z konkretną osobą. Więcej na ten temat modelowania danych przeczytasz w naszym artykule.

Przykładowo, jeśli użytkownik nie wyrazi zgody na pliki cookie reklamowe (ad_storage=’denided’) w Google Analytics gromadzony jest pełny adres URL strony, który może zawierać informacje o kliknięciu reklamy w parametrach adresu URL (np. GCLID), natomiast nie rejestruje ciasteczek Google Ads.

W przypadku Google Analytics 4 – Google stosuje algorytmy uczenia maszynowego, aby oszacować zachowanie użytkowników i sprawić, że nasze raporty będą możliwie kompletne. W tym celu wypełnia luki w danych za pomocą modelowania konwersji i modelowania behawioralnego.

Jak poprawnie wdrożyć consent mode?

Najważniejsze punkty dotyczące wdrożenia okna dialogowego zgody i trybu consent mode:

1. Skrypty śledzące powinny się inicjować jak najszybciej, przed pojawieniem się okna dialogowego zgody, w trybie zbierającym jedynie pingi, do czasu akceptacji zgody.
2. Po decyzji użytkownika należy zaktualizować stan wyrażonej zgody.
3. Odmowa powinna być tak samo łatwa, jak wyrażenie zgody. Dodatkowo każdy powinien mieć opcję “zmiany zadania” i odznaczenia zgody w trakcie korzystania z serwisu.
   
4. Widżet nie powinien sugerować użytkownikowi wyboru np. poprzez domyślnie zaznaczone opcje zgód.
5. Wyrażenie zgody powinno zainicjować uruchomienie trackerów i tagów należących do danej kategorii w odpowiedniej formie i stosownie do wyrażonej zgody. Użytkownik powinien mieć możliwość odmowy lub udzielenia zgody na każdy rodzaj przechowywania używanego przez tagi w witrynie.
6. Jeśli zdecydujesz się wdrożyć tryb uzyskiwania zgody, blokując tagi Google do momentu wyświetlenia baneru zgody i wyrażenia zgody przez użytkowników, nie będziesz w stanie uzyskać pełnych korzyści z funkcjonalności Consent Mode, czyli, np. modelowanych danych w GA4. Taki ruch zostanie na stałe “wycięty” z Twoich usług. Natomiast niezależnie od tego, czy blokujesz tagi (implementacja podstawowa), czy odblokowujesz tagi (implementacja zaawansowana), funkcjonalność dostosowuje swoje działanie na podstawie stanu zgody użytkowników.

Podsumowanie

Biorąc pod uwagę zmieniające się prawo i konsekwencje, jakie z niego wynikają, poprawne wdrożenie platformy do zarządzania zgodami wraz z trybem consent mode jest obligatoryjne dla każdego serwisu internetowego, który chce prowadzić działania marketingowe zgodne z prawem.

Co więcej, na horyzoncie mamy wiele zmian związanych nie tylko z RODO, ale również z nową technologią, która również prywatność użytkowników stawia na pierwszym miejscu. Dlatego z punktu widzenia marketerów, poprawna implementacja trybu zgody jest niezbędnym krokiem, aby zadbać o jakość danych, o poprawienie konwersji, ograniczenie wydatków, a także na podejmowanie świadomych decyzji biznesowych opartych na rzetelnych danych.