Niemal każdy sklep internetowy korzysta dzisiaj z Google Analytics i Pixela Facebooka. To dwa podstawowe narzędzia, które śledzą użytkownika. Tego rodzaju narzędzi w e-commerce pojawia się jednak coraz więcej. Ba, nawet zwykły przycisk „Lubię to” zbiera o użytkowniku określone informacje.
To wszystko wymaga uregulowania prawnego. Decyzje europejskich organów nadzorczych dobitnie pokazują, że zaniechania administratorów stron internetowych w zakresie plików cookies i innych technologii śledzących mogą prowadzić do nakładania wysokich kar. Prędzej czy później doczekamy się tego również w Polsce.
Dzięki lekturze tego artykułu dowiesz się, jak zgodnie z prawem rozwiązać problem śledzenia i profilowania użytkownika w sklepie internetowym. Zapraszam do lektury!
Pliki cookies – najczęściej popełniany błąd
Zacznijmy od najczęściej popełnianego błędu.
Użytkownik po raz pierwszy wchodzi na stronę twojego sklepu internetowego. Wyświetla mu się standardowy pasek z informacją o cookies: „Korzystamy z plików cookies. Czy wyrażasz zgodę?”. Użytkownik pomija komunikat, nie klika w przycisk „Tak”. Mimo to, Google Analytics, Facebook Pixel i inne ustawione narzędzia zbierają informacje związane z aktywnością użytkownika na stronie.
Podstawowy błąd w tej sytuacji polega na tym, że pliki cookies zostały załadowane jeszcze zanim użytkownik zdążył wyrazić zgodę.
Jeżeli pytasz użytkownika o zgodę na cookies, to wstrzymaj załadowanie ciasteczek do czasu aż zgoda rzeczywiście zostanie kliknięta. W przeciwny wypadku, zgoda ma charakter fikcyjny.
Zgoda na pliki cookies – jak ją odebrać?
Jeżeli nie chcesz czekać na aktywną zgodę użytkownika, przyjmij wariant zgody poprzez ustawienia przeglądarki. W chwili publikacji tego artykułu (październik 2020 r.) pozwala ci na to przepis polskiej ustawy Prawo telekomunikacyjne.
Art. 173 ust. 2 ustawy Prawo Telekomunikacyjne
Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.
Co ciekawe, również projekt nowej ustawy Prawo komunikacji elektronicznej z dnia 29 lipca 2020 r. powiela rozwiązanie pozwalające na przyjmowanie zgody w oparciu o ustawienia przeglądarki.
Dlaczego „ciekawe”? Dlatego, że trend europejski jest odmienny. Głosy dochodzące z Europy podkreślają wymóg aktywnej, wyraźnej zgody użytkownika. Stąd coraz częściej w serwisach internetowych pojawiające się obszerne cookie walle, które wymuszają na użytkowniku decyzję w zakresie plików cookies przed przejściem do zawartości.
Informacja o cookies – kluczowe elementy
Drugi błąd w opisanym wcześniej przykładzie to treść informacji wyświetlanej na pasku. Lakoniczne stwierdzenie „Korzystamy z plików cookies” jest niewystarczające. Informacja powinna zawierać następujące elementy:
- cel korzystania z plików cookies,
- wskazanie na możliwość zarządzania ustawieniami cookies,
- okres funkcjonowania plików cookies,
- zasady dostępu osób trzecich do informacji w cookies.
Dwa pierwsze elementy wynikają wprost z art. 173 ust. 1 ustawy Prawo telekomunikacyjne.
Art. 173 ust. 1 ustawy Prawo telekomunikacyjne
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem, że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
- a) celu przechowywania i uzyskiwania dostępu do tej informacji,
- b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
[…]
Dwa kolejne elementy wynikają z orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. W wyroku z dnia 1 października 2019 roku w sprawie C-673/17, TSUE wyraźnie stwierdził, że:
„[…] informacje, jakich usługodawca powinien udzielić użytkownikowi strony internetowej, obejmują również wskazanie okresu funkcjonowania plików cookie oraz określenie, czy osoby trzecie mogą uzyskać dostęp do takich plików.”
Co to dla ciebie oznacza? Że informacja widoczna na pasku cookies powinna być naprawdę obszerna. Zobacz poniższy przykład.
Korzystamy z plików cookies w celu korzystania z narzędzi analitycznych (Google Analytics), marketingowych (Facebook Custom Audiences), wtyczek społecznościowych (Facebook, Twitter, LinkedIN), systemu komentarzy (Disqus) oraz embedowania treści ze stron zewnętrznych (YouTube). Cookies funkcjonują przez okres 12 miesięcy, chyba że wcześniej je wyczyścisz. Dostęp do cookies mają podmioty trzecie wskazane w nawiasach. Jeżeli twoje ustawienia nie blokują wskazanych cookies, uznajemy, że wyrażasz zgodę na ich wykorzystywanie. Możesz określić zasady korzystania z cookies w swojej przeglądarce. Szczegóły: polityka prywatności.
Strasznie długa informacja, prawda? Mocno nieprzyjazna. Jeżeli jednak chcesz w pełni realizować wymogi TSUE, nie masz wyjścia.
Możesz ewentualnie pomyśleć o skróceniu informacji widocznej na pasku, przenosząc wszystkie szczegóły do polityki prywatności. To koresponduje z koncepcją warstwowego sposobu realizacji obowiązków informacyjnych. Powstaje jednak pytanie, jak bardzo ta pierwsza warstwa może być skrócona.
Osobiście uważam, że przy ocenie dopuszczalnej lakoniczności pierwszej warstwy informacyjnej musimy brać pod uwagę urządzenie, z którego użytkownik korzysta.
Opowiadam się za dopuszczalnością uproszczenia pierwszej warstwy na urządzeniach mobilnych. W przeciwnym przypadku, informacja o cookies zajmie cały ekran smartfona, co kłóci się z zasadą przyjazności dla użytkownika.
Dlatego w wersji mobilnej skróciłbym powyżej zaproponowaną klauzulę, np. w taki sposób:
Korzystamy z plików cookies w celu korzystania z narzędzi analitycznych, marketingowych i społecznościowych. Jeżeli twoje ustawienia nie blokują cookies, wyrażasz zgodę na ich wykorzystywanie. Szczegóły: polityka prywatności.
Czy to jeszcze ma sens, czy to już szaleństwo?
Sposoby prezentowania informacji o cookies to w ogóle interesujący punkt w dyskusji o realizacji celów, jakie stawiane są przez przepisy w zakresie ochrony prywatności.
Czy poszerzając cały czas wymogi informacyjne w stosunku do użytkowników nie osiągamy czasem odwrotnego celu od zamierzonego?
Czy aby czasem użytkownik nie czuje się bardziej przytłoczony, a w konsekwencji coraz bardziej przyzwyczaja się do machinalnego przeklikiwania kolejnych komunikatów bez czytania?
Jeżeli jako przedsiębiorca zostałbym skonfrontowany z zarzutem niewystarczającego informowania o cookies w pierwszej warstwie z uwagi na skrócony komunikat, właśnie w taki sposób broniłbym swojego rozwiązania.
Nie chodzi przecież wyłącznie o formalizm, ale realną korzyść dla użytkownika, czyż nie?
Mechanizm zarządzania plikami cookies – co to takiego?
Zwróć uwagę, że powyższe przykłady klauzul informacyjnych wykorzystują koncepcję zgody na cookies wyrażanej poprzez ustawienia przeglądarki.
Gdybyś chciał zastosować się do bardziej rygorystycznego podejścia, musiałbyś wprowadzić mechanizm do zarządzania plikami cookies, który:
- blokuje cookies inne niż niezbędne do czasu wyrażenia zgody,
- umożliwia użytkownikowi wyłączanie poszczególnych rodzajów cookies.
Obecnie na rynku funkcjonuje już sporo rozwiązań technicznych, które pozwalają wdrożyć na stronie mechanizm zarządzania cookies. Są to zarówno zupełnie zewnętrzne narzędzia, jak i wtyczki, np. do WordPressa. Porozmawiaj ze swoim web-developerem na temat dostępnych możliwości i podejmij decyzję.
Jeżeli zdecydujesz się na wdrożenie mechanizmu do zarządzania cookies, treść na pasku oczywiście ulegnie zmianie. Nie wskazujesz wtedy na zgodę przez ustawienia przeglądarki, ale zadajesz użytkownikowi pytanie o zgodę, np.
Czy wyrażasz zgodę na korzystanie ze wszystkich wskazanych cookies? Jeżeli tak, kliknij w przycisk „Zgadzam się”. Możesz również przejść do zaawansowanych ustawień – przycisk „Ustawienia”.
Cookies to często decyzja biznesowa
Mechanizm do zarządzania plikami cookies na pewno jest bardziej bezpiecznym rozwiązaniem z punktu widzenia prawa.
Niemniej jednak, może sporo namieszać w twoich działaniach analitycznych i marketingowych.
Weź pod uwagę, że jeżeli użytkownik nie wyrazi zgody, to nie zostanie uwzględniony przez Google Analytics, Pixel Facebooka nie rozpozna jego obecności na twojej stronie i inne wykorzystywane przez ciebie narzędzia nie zadziałają.
Decyzja należy do ciebie. Osobiście uważam, że dopóki przepis polskiej ustawy pozwala na zgodę przez ustawienia przeglądarki, warto korzystać z tej preferencji. Jest jednak pewne ALE, o którym opowiem ci już za chwilę.
Dane osobowe a pliki cookies
Jak zapewne się domyślasz, tym wspomnianym ALE są dane osobowe.
Jeżeli uznamy, że w plikach cookies gromadzone są informacje mające charakter danych osobowych, wchodzimy w jeszcze dalej idący reżim i opieranie się o zgodę przez ustawienia przeglądarki staje się dużo bardziej ryzykowne.
Kiedy pliki cookies wiążą się z przetwarzaniem danych osobowych? Zdania są podzielone.
Coraz częściej pojawiają się głosy, że z uwagi na istotny wpływ plików cookies na prywatność użytkownika, zawsze musimy rozpatrywać ten temat z punktu widzenia danych osobowych.
Osobiście nie zgadzam się z takim kategorycznym stwierdzeniem. Jasne, jest ono łatwe, proste i wygodne, dając nam zerojedynkową podpowiedź – jeżeli korzystasz z plików cookies, to przetwarzasz dane osobowe.
Niemniej jednak, taka podpowiedź jest bolesna i krzywdząca dla sporej ilości przedsiębiorców, którzy z cookies korzystają w podstawowym zakresie, nie ingerując w istotnym stopniu w prywatność użytkowników.
Czy informacje w Google Analytics to dane osobowe?
Żebyś lepiej zrozumiał temat, posłużmy się przykładem. Google Analytics. Jakie informacje na temat użytkownika możesz wyciągnąć z tego narzędzia przy podstawowych ustawieniach?
- Informacje o systemie operacyjnym i przeglądarce internetowej użytkownika.
- Podstrony, jakie użytkownik przeglądał.
- Czas spędzony na stronie oraz poszczególnych podstronach.
- Przejścia pomiędzy podstronami.
- Źródło, z którego użytkownik trafił na stronę.
Czy te informacje pozwalają na zidentyfikowanie użytkownika? Nie.
Jeżeli nie, to czy spełniają definicję danych osobowych? Spójrzmy.
Art. 4 RODO
Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W mojej ocenie, większość narzędzi opierających się na plikach cookies, w swojej podstawowej konfiguracji nie dostarcza ci informacji o użytkowniku, które moglibyśmy uznać za dane osobowe.
W przytoczonym powyżej przepisie wytłuściłem pojęcie „identyfikator internetowy”. To jest bowiem oręż, który często wykorzystywany jest w dyskusjach prawniczych na poparcie tezy, że pliki cookies to zawsze dane osobowe. Osobiście nie zgadzam się z tym argumentem.
W mojej ocenie, identyfikator internetowy będzie dla ciebie informacją o charakterze danych osobowych tylko wtedy, gdy będzie pozwalał ci na identyfikację konkretnej osoby fizycznej.
Moje stanowisko wynika też z osobistego przywiązania do koncepcji subiektywnej oceny charakteru danych osobowych. Subiektywnej, czyli odwołującej się do możliwości identyfikacji po stronie konkretnego administratora.
O co mi chodzi? Spójrz, te same informacje zawarte w cookies, które wymieniłem powyżej, niewątpliwie będą dla Google danymi osobowymi. Dlaczego? Bo Google dysponuje narzędziami, które pozwalają mu zidentyfikować konkretnego użytkownika. Choćby dlatego, że posiada o tym użytkownikowi dużo więcej informacji niż ty, który tylko logujesz się do panelu Google Analytics i przeglądasz podstawowe statystyki.
Uważam, że na pliki cookies trzeba patrzeć przez pryzmat możliwości danego podmiotu. Idąc zbyt rygorystycznie i przypisując cookies łatkę danych osobowych w każdej sytuacji, wpędzilibyśmy wielu małych przedsiębiorców w poważne tarapaty.
Pliki cookies jako dane osobowe – konsekwencje
Jakie to tarapaty? Ano takie, że gdy uznamy pliki cookies za dane osobowe, musimy w dalszej kolejności skonfrontować się z potencjalną koniecznością:
- wyznaczenia inspektora ochrony danych osobowych,
- dokonania oceny skutków dla ochrony danych osobowych.
Jeżeli weźmiemy pod uwagę, ile nakładów czasowych, organizacyjnych i finansowych potrzeba na rzetelne podejście do tych dwóch tematów, stawiamy pod ścianą każdy mały sklep internetowy, który korzysta z podstawowego Google Analytics i Pixela Facebooka. Nie tędy droga, moim zdaniem.
Nie chcę teraz wchodzić w szczegóły dotyczące oceny skutków dla ochrony danych osobowych. To rozległy temat, który doprowadziłby ten artykuł do absurdalnych rozmiarów.
Zajrzyjmy jednak na stronę Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Znajdziemy tam dokument pt. „Wykaz rodzajów operacji wymagających oceny skutków”.
W tabelce docieramy do następujących pozycji dotyczących sklepów internetowych:
Sklepy internetowe oferujące ceny promocyjne dla określonych grup klientów. Firmy obsługujące programy lojalnościowe (wspólnoty zakupowe) |
Systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil | |
Programy marketingowe zawierające elementy profilowania osób | Monitorowanie zakupów i preferencji zakupowych (np. alkohol, słodycze) | |
Portale społecznościowe, sieci handlowe, firmy marketingowe, banki i instytucje finansowe | Zbieranie danych o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych, a następnie ich analiza w ceu tworzenia profilu osoby. | |
Sklepy internetowe oraz dostawcy innych usług typu gry, muzyka, loterie itp. | Uzależnianie możliwości korzystania z usługi od informacji w zakresie dochodów, kwoty wydatków miesięcznych i innych wartości zebranych w wyniku profilowania |
Myślę, że te przykłady fajnie obrazują to, o czym mówię. Przy wszystkich technologiach śledzących musimy patrzeć na skutki w stosunku do użytkownika. Nie powinniśmy zrównywać podstawowych działań analitycznych z profilowaniem konsumentów skutkującym różnicowaniem cen. To dwa różne światy, do których, w mojej ocenie, nie powinniśmy stosować jednakowo rygorystycznych reżimów prawnych.
Łączenie danych zwykłych z informacjami z cookies
Jest jeszcze jedno ALE, o którym trzeba pamiętać, nawet przychylając się do mojej opinii o łagodniejszym podejściu do cookies, które nie są wykorzystywane inwazyjnie w stosunku do użytkownika.
Może zdarzyć się tak, że wprawdzie nie planujesz profilować użytkowników, ale mimo to wdrażasz rozwiązania, które pozwalają zestawiać dane „zwykłe” na temat twoich użytkowników z informacjami gromadzonymi w cookies.
Najprostszy przykład. Użytkownik zakłada konto w twoim sklepie.
Domyślnie w koncie masz jego imię, nazwisko, adres zamieszkania, numer telefonu, adres e-mail, historię zamówień, ewentualnie adres IP.
Coś cię podkusiło, że chciałbyś mieć więcej danych. Uruchamiasz integrację, która do podstawowych danych w koncie użytkownika przypisuje informacje na temat jego aktywności w twoim sklepie, zachowań, czasu spędzanego na stronie, klikania w przyciski itp.
W ten sposób, informacje, które normalnie byłyby dla ciebie anonimowe, stają się danymi osobowymi poprzez zestawienie ich z typowymi danymi typu imię i nazwisko.
Jeżeli planujesz taką aktywność, przemyśl dwa razy, czy rzeczywiście jest ci to potrzebne. Przy takim modelu korzystania z cookies będziesz miał bowiem dużo więcej roboty prawnej, a i ryzyko negatywnych skutków w razie kontroli rośnie.
Śledzenie i profilowanie użytkownika w sklepie internetowym – podsumowanie
Temat tego artykułu to istne wyzwanie. Spokojnie można byłoby na ten temat napisać obszerną książkę. Trochę jednak szkoda czasu, prawdę mówiąc. Śledzenie i profilowanie są tak mocno powiązane z technologią i tak intensywnie dyskutowane pod kątem prawnym, że to, co aktualne jest dzisiaj, może za miesiąc być już przestarzałe.
Dlatego postawiłem w tym artykule na możliwie syntetyczny przegląd najważniejszych zagadnień, ze szczególnym naciskiem na praktykę małych przedsiębiorców.
Duzi gracze, rzeczywiście bawiący się w „poważne” profilowanie, po prostu zlecą całość obsługi prawnej, bez zagłębiania się w merytoryczne opracowania.
Ci mniejsi, zaszczuci tysiącami sprzecznych informacji w sieci, mogą czuć się zagubieni i sami już nie wiedzieć, co z tymi cookiesami zrobić.
Ufam, że ten materiał wychodzi naprzeciw właśnie tej grupie.
Jeżeli prowadzisz sklep internetowy bez większego budżetu na obsługę prawną, zapamiętaj kilka zasad, które znacznie ograniczą ryzyko związane z cookies:
- nie wprowadzaj fikcyjnych rozwiązań ze zgodą, gdy cookies ładowane są z automatu,
- w takiej sytuacji skorzystaj ze zgody przez ustawienia przeglądarki,
- zadbaj o staranną informację dot. cookies oraz politykę prywatności,
- nie zestawiaj informacji z cookies z typowymi danymi osobowymi,
- nie ustawiaj automatycznych decyzji inwazyjnych dla użytkowników w zależności od określonych informacji zebranych przez cookies.
Jeżeli szukasz gotowych i prostych do wdrożenia rozwiązań prawnych dla twojego sklepu, sprawdź ofertę Pakietu dla sklepów internetowych.
P.S. Tematy dotyczące cookies są w chwili pisania tego artykułu procedowane zarówno w ramach polskich prac nad ustawą Prawo komunikacji elektronicznej, jak również w ramach europejskiej dyskusji nad rozporządzeniem e-Privacy. Jeżeli chcesz mieć pewność odnośnie aktualnych rozwiązań, śledź te hasła w sieci.