RODO vs Google Analytics (cz. 2): Jak zrobić wdrożenie zgodnie z prawem?

RODO vs Google Analytics (cz. 2): Jak zrobić wdrożenie zgodnie z prawem?
O autorze
4 min czytania 2022-08-18

fot. depositphotos.com

Dzięki poprzedniemu artykułowi z tej serii wiesz już, jak RODO wpływa na sposób zbierania przez nas danych o ruchu w serwisie i jakie typy cookiesów są najistotniejsze dla nas – marketerów. Tym razem zdobędziesz nieco więcej wiedzy na temat tego, jak zrobić wdrożenie zgodnie z prawem. Zajmiemy się m.in. elementami, które powinny pojawić się na Twojej stronie (w związku z plikami cookies) oraz przesyłaniem danych do systemów analitycznych i pixeli śledzących użytkownika na stronie.

Zakładka z polityką prywatności

Jak pewnie wszyscy wiemy, zakładka z polityką prywatności musi pojawić się na każdej stronie. Przygotowuje ją prawnik, a my zazwyczaj nie zagłębiamy się szczegółowo w jej treść. Warto jednak zainteresować się zawartymi w niej zapisami w momencie konfiguracji narzędzi analitycznych i pixeli trackujących. Pamiętajmy również o aktualizowaniu jej w momencie, kiedy na stronie pojawia się nowy skrypt śledzący.

Każdy prawnik na swój sposób formułuje zapisy dotyczące przechowywania danych analitycznych. Jedni robią to w sposób bardzo ogólny, używając zapisu: „Ta strona korzysta z cookies Google Analytics”, a inni dokładnie opisują, do czego służą poszczególne cookiesy oraz jaką żywotność mają ciasteczka, z których korzysta strona. I to właśnie te zapisy będą nas interesować. Część narzędzi pozwala nam na zmianę długości okresu przechowywania cookiesów. Świetnym przykładem jest Universal Analytics, w którym ciasteczko użytkownika przechowywane jest przez 26 miesięcy. Warto dodać, że jesteśmy w stanie zmienić żywotność cookiesa tak, aby nigdy nie wygasał:

LinkedIn logo
Dziękujemy 90 000 fanom na LinkedInie. Jesteś tam z nami?
Obserwuj

Należy pamiętać, że w większości systemów użytkownicy są równi cookiesom – co oznacza, że po wygaśnięciu ciasteczka osoba, która była już w naszym serwisie, zostanie potraktowana jako nowy użytkownik. Popularną praktyką jest więc zmiana okresu przechowywania cookies tak, aby nie wygasały. Pamiętajmy jednak, że zanim dokonamy jakichkolwiek zmian na poziomie konta Google Analytics, musimy upewnić się, jak w naszej polityce prywatności wyglądają zapisy o żywotności ciasteczek w serwisie (jej zmianę należy również uwzględnić we wspomnianej zakładce).

Słuchaj podcastu NowyMarketing

Jeśli natomiast nie mamy pewności co do tego, jak długo poszczególne systemy przechowują dane o użytkowniku – po prostu zapytajmy. Każdy dostawca ma obowiązek poinformować nas, co dokładnie robią jego skrypty (implementowane przez nas), w końcu to my jesteśmy odpowiedzialni za to, co dzieje się w serwisie. Naszym obowiązkiem jest zapewnienie bezpieczeństwa osobom odwiedzającym stronę.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Pop-up dla nowych użytkowników

Wiemy już, dlaczego pop-upy dotyczące polityki prywatności są tak duże (dla przypomnienia: aby żaden z użytkowników nie mógł ich pominąć bez decyzji o zgodzie na wykorzystywanie cookies). Co jednak powinno się na nim znaleźć poza przyciskiem akceptującym warunki serwisu? Co te dodatkowe funkcje zmienią w naszej konfiguracji analityki?

Poza możliwością akceptacji wszystkich cookiesów użytkownik powinien mieć możliwość bezpośredniego przejścia do zaawansowanych ustawień, gdzie sam zdecyduje, których zgód nam udzieli. Takie rozwiązanie zastosowano np. w serwisie Onet:

Zaawansowane ustawienia cookies

Po przejściu do ustawień zaawansowanych użytkownik sam decyduje, na które cookiesy wyraża zgodę, a na które nie. W przypadku serwisów treściowych udostępniających swoją powierzchnię reklamową w programmaticu czy Sieci Reklamowej Google ustawień wymagających zgody będzie więcej. Pamiętajmy też, że jeśli współpracujemy z takimi organizacjami jak Gemius i IAB, to musimy od naszego użytkownika uzyskać potwierdzenie na dzielenie się danymi (nawet jeśli są one anonimowe i zbierane do celów statystycznych) także z tymi podmiotami.

Takie serwisy jak Onet czy WP są świetnym przykładem na to, jak wiele organizacji może mieć dostęp do danych o ruchu w serwisie. Ponadto dobrze pokazują, jak poszczególne zgody powinny być opisane i wytłumaczone – same zapisy należy przygotować tak, aby zrozumiały je osoby, które nie posiadają wiedzy dotyczącej polityki prywatności oraz wykorzystywania danych.

Brak zgody na wykorzystywanie cookies

Zerknijmy raz jeszcze na zaawansowane ustawienia w serwisie Onet.pl. Lista zgód jest bardzo długa. Warto zwrócić uwagę na jeszcze jeden ważny przycisk – „Nie wyrażam zgody”, który powinien sprawić, że podczas pobytu użytkownika na stronie przeglądarka nie odnotuje ani jednego cookiesa – niezależnie od celu ich istnienia.

Taki przycisk może pojawić się również na głównym banerze dotyczącym polityki prywatności – jego umiejscowienie zależne jest od tego, jak do tematu podejdzie nasz dział prawniczy. Poniższy przykład ze strony iqos.com również prezentuje prawidłowe usytuowanie przycisku:

Cofnięcie wyrażonych zgód

To, że przy pierwszej wizycie w serwisie użytkownik zezwolił nam na wykorzystanie poszczególnych cookiesów, nie oznacza, że zgoda ta wyrażona jest na zawsze. Na naszym portalu powinno znaleźć się również miejsce, w którym będzie on mógł swobodnie nimi zarządzać, a co więcej – zażądać od nas usunięcia zebranych o nim danych (w poszczególnych systemach lub w całości). Dlatego w zakładce dotyczącej polityki prywatności powinniśmy udostępnić użytkownikowi miejsce, gdzie może zarządzać zgodami, np. tak, jak zostało to zrealizowane na stronie holding.wp.pl:

Jak zarządzać skryptami analitycznymi w zależności od wyrażonych zgód?

Jak doskonale pokazuje powyższy tekst, zarządzanie skryptami śledzącymi użytkownika na stronie w erze post RODO stało się rzeczą dużo trudniejszą niż w przeszłości. Wcześniej wystarczyło opublikować pixela Facebooka lub skrypt śledzący Google Analytics na wszystkich dostępnych dla użytkowników podstronach, konwersji na TYP – i praca wdrożeniowca była zakończona. Dziś, oprócz odpowiedniego umiejscowienia skryptów na stronie, istotne jest również to, na co użytkownik pozwoli nam w kontekście zbierania danych. Oczywiście możliwe jest uruchamianie skryptów bezpośrednio w kodzie strony, natomiast będzie to sprawa skomplikowana, wymagająca wielu poprawek i sporego kosztu, jeśli chodzi o czas programisty. Są jednak proste sposoby na to, aby łatwiej zarządzać skryptami śledzącymi na stronie. Jednym z nich jest Consent Mode – funkcjonalność dostępna w Google Tag Managerze, stworzona na potrzeby dostosowania wspomnianych skryptów w zależności od wyrażonych przez użytkownika zgód. I właśnie tą funkcjonalnością zajmiemy się w kolejnym, ostatnim już w tym cyklu, artykule.