Google Consent Mode in piškotki – vse kar morate vedeti s pravnega vidika
Sodobna spletna prodaja je v veliki meri odvisna od nalaganja analitičnih in drugih piškotkov na naprave obiskovalcev vaše spletne trgovine. Skupaj z sprejemom uredbe GDPR je Evropska komisija že od nekdaj predvidevala tudi sprejem “E-privacy uredbe” (oz. Uredbe o e-zasebnosti), ki naj bi uredila nekaj ključnih izpuščenih področij. Eno izmed teh področij je nalaganje piškotkov.
Ker Uredba o e-zasebnosti še vedno ni bila sprejeta (v času pisanje te objave pa tudi ne kaže, da se bo to kaj kmalu spremenilo), so piškotki danes urejeni na precej nepraktičen način, saj je skoraj vsakršno samodejno nalaganje piškotkov (tudi analitičnih) pogojeno s pridobivanjem obiskovalčevega izrecnega soglasja, kar se odraža tudi v novih “Google Consent Mode” zahtevah.
Ob vse bližjem datumu 1. 7. 2024 in ukinitvi dostopa ter obstoječih podatkov Google Analytics piškotkov v obliki, kot jo poznamo danes, se vse več spletnih trgovcev odloča za drugačno implementacijo piškotkov na svojem spletnem mestu.
Za pravilno delovanje Google Analytics 4 (GA4) je torej že s strani Googla zahtevana pravilna namestitev pojavnega okna glede piškotkov, ki ustrezno zbere izrecno soglasje za namestitev piškotkov od vsakega obiskovalca vašega spletnega mesta.
Kljub temu, da se večina pojavnih oken prikazuje z uporabo vtičnikov oz. platform za upravljanje soglasij (tj. “Consent Management Platform” kot npr. Cookiebot, Onetrust, Piwikpro, ipd.), nepoznavanje zahtev pogosto pomeni, da so pojavna okna še vedno neskladna glede na zahteve uredbe GDPR in celo zahteve “Google Consent Mode”.
Trije primeri najbolj pogostih kršitev pri pojavnih oknih glede piškotkov
Če vaše spletno mesto uporablja pojavno okno, ki je podobno temu na sliki:
potem obiskovalcem vašega spletnega mesta piškotke nalagate na nezakonit način.
Poleg potencialne nevarnosti prejema kazni (ki je v Sloveniji sicer še vedno relativno nizka), je prava sankcija nepravilne namestitve piškotkov nedelovanje oz. slabše delovanje preostalih Googlovih oglaševalskih storitev in posledično nižja stopnja konverzij.
Po novem je ravno uporaba naprednih oblik Google Analytics 4 (npr. “Advanced Consent Mode”, kjer se zbiranje podatkov o obiskovalcu prične zgolj takrat, kadar uporabnik odda svoje soglasje na veljavnem pojavnem oknu) tista, ki od sedaj naprej omogoča tudi dejansko uporabo sledenja in kvalitetno prikazovanje oglasov. Googlov uraden video vodič za nameščanje “Consent Mode-a” si lahko ogledate tukaj.
Vaše pojavno okno ni skladno s pravili niti takrat, ko obiskovalcu ponudite sledeča dva gumba glede namestitve piškotkov, kot to trenutno počne velika večina spletnih mest:
Zgornji primer namreč ne ustreza zahtevam, ki jih je glede nameščanja piškotkov že pred tremi leti oblikoval European Data Protection Board, torej da mora nameščanje piškotkov potekati na način, da ima vsak obiskovalec možnost, da z enakovrednim naporom sprejme zgolj nujne piškotke spletnega mesta oz. vse piškotke spletnega mesta.
V zgornjem primeru si namreč obiskovalec lahko nalaganje zgolj nujnih piškotkov izbere šele takrat, kadar najprej klikne na gumb “Možnosti” in na to ročno izbere “Zgolj nujni piškotki” na naslednji podstrani.
Omenjenim zahtevam pa prav tako ne ustreza spodnje pojavno okno:
Vir:Alphabet Inc.
saj obiskovalcu sicer nudi na videz enakovredno izbiro glede nalaganja nujnih in ostalih piškotkov, vendar pa so že vnaprej izbrana polja “analitika” oz. “piškotki za dodatne nastavitve”, kar pa ni dovoljeno.
Skladno s sodno prakso in namenom zadevnih določil uredbe GDPR, analitika in drugi oglaševalski piškotki ni niso “nujni piškotki”, prav tako pa so vsa vnaprej izbrana oz. označena polja neskladna z zahtevami uredbe GDPR glede prostovoljnega soglasja.
Zgoraj navedene kršitve izhajajo tudi iz inšpekcijske prakse Informacijskega pooblaščenca Republike Slovenije, ki je že leta 2020 v mnenju med drugim navedel, da “je za zakonito sledenje s piškotki na spletnih straneh potrebno aktivno soglasje posameznika, pri čemer molk, vnaprej označeno okence ali nedejavnost posameznika ne predstavljajo veljavne privolitve.”
Kako torej pravilno prikazovati “pop-up” glede piškotkov glede na zahteve uredbe GDPR in “Google Consent Mode”?
Piškotki, ki niso strogo nujni za normalno delovanje spletnega mesta se lahko na naprave obiskovalcev nalagajo zgolj takrat, kadar je bil obiskovalcu pred namestitvijo piškotkov ponujen pop-up, ki nudi možnosti:
- “Naloži nujne piškotke”, kar povzroči, da se naložijo zgolj tisti, ki ne vključujejo nobenega sledenja, analitike, oglaševanja, temveč so dejansko nujni za normalno delovanje spletnega mesta (npr. piškotek za plačila preko PayPal, piškotek za pravilni prikaz spletnega mesta na mobilni napravi, piškotek, ki beleži shranjene nastavitve obiskovalca glede izbranih piškotkov, ipd.) ter
- “Naloži ostale piškotke”, kar povzroči nalaganje vseh ostalih piškotkov, ki se jih v zvezi z vašim spletnim mestom poslužujete (npr. dodatne nastavitve, analitika, Facebook Pixel, ipd.),
- pri čemer vsa polja v zvezi z nalaganjem oz. potrditvijo ostalih piškotkov ne smejo biti vnaprej odkljukana oz. kako drugače potrjena/izbrana.
Na pojavnem oknu mora biti tudi kratek in razumljiv opis piškotkov, ki jih uporabljate ter možnost, da si uporabnik sam namesti tiste piškotke, s katerimi soglaša, kakor tudi povezava do vaše “politike piškotkov”, kjer so vaši piškotki opredeljeni skupaj z njihovimi ponudniki, njihovim rokom trajanja in opisom delovanja. Ustrezno “politiko piškotkov” in pojavno okno glede piškotkov našim strankam pripravimo v okviru Osnovnega paketa oziroma Naprednega paketa, pri čemer se poslužimo temeljite analize piškotkov, ki jih na svojih spletnih mestih uporabljajo.
Pravilno pojavno okno zgleda na primer takole:
Vir:Cookiebot
Vse druge oblike “skrivanja” gumba za nalaganje zgolj nujnih piškotkov (npr. šele po dveh ali več klikih) in celo pomanjševanja ali prekrivanja tega gumba, so nedovoljene prakse glede na mnenja sodišč, ki delujejo v bolj zahtevnih jurisdikcijah. V Nemčiji je denimo lahko sporno že to, ali je bil gumb za nameščanje nujnih piškotkov obarvan na način, ki pri obiskovalcu povzroči, da ga ta hitreje spregleda napram gumbu za nalaganje vseh piškotkov.
Če vaše spletno mesto dejansko ne uporablja piškotkov, ki niso strogo nujni za delovanje spletnega mesta, potem vaše pojavno okno ne potrebuje gumbov, pač pa je dovolj že kratko obvestilo o tem, da boste obiskovalcu naložili zgolj nujne piškotke.
Zakaj nalaganje analitičnih piškotkov terja soglasje, če pa so podatki “anonimizirani”?
Vir: Alphabet Inc.
Google s 1. 7. 2024 ukinja obstoječi model Google Analytics in nalaganje piškotkov pogojuje z veljavnim pojavnim oknom tudi glede analitike, saj glede na mnenje Evropske Komisije anonimizacija znotraj Google Analytics ne odpravi zahteve po pridobivanju izrecne predhodne privolitve. Navedeno izhaja iz dejstva, da lahko Google kljub anonimizaciji IP naslova kadarkoli neposredno identificira obiskovalca vašega spletnega mesta na podlagi drugih podatkov, ki jih hrani o njem.
Tudi raba zgolj osnovnih funkcionalnosti Google Analytics (npr. raba GA brez storitev kot so “Remarketing”, “Google Display Network”, ipd.) prav tako ne odpravi zahteve po pridobivanju izrecne predhodne privolitve oz. soglasja.
Pred sprejemom uredbe GDPR je sicer veljala izjema v smislu rabe lastnih analitičnih orodij, vendar ta izjema od sprejema uredbe (tj. od leta 2018) ne velja več in morate v zvezi z lastno analitiko prav tako prikazati veljavno pojavno okno ter pridobiti soglasje. Navedeno velja tudi v vseh drugih primerih analitičnih orodij (tudi “open source” orodij, kot npr. Matomo/Piwik).
Pravilno prikazovanje piškotkov običajno znatno zniža konverzije, kakšne so sploh kazni, če tega ne počnemo?
Področje piškotkov od leta 2023 ureja prenovljeni Zakon o elektronskih komunikacijah (ZEKom-2), ki pa nadzora nad tem delom predpisov prepušča Informacijski pooblaščenec Republike Slovenije.
V zvezi z nepravilnim prikazovanjem piškotkov je v Sloveniji Informacijski pooblaščenec do sedaj izdajal zgolj opozorila oz. zahteval odpravo kršitev, kar pa se lahko v prihajajočem letu spremeni, saj je IPRS z implementacijo novega ZVOP-2 prejel več pooblastil ravno na področju izdajanja glob.
Skladno s 301. Členom ZEKom-2 lahko Informacijski pooblaščenec izda z globo od 200 do 1.000 EUR kaznuje “manjšo” pravno osebo, z globo od 1.000 do 20.000 EUR pa “srednjo ali veliko gospodarsko družbo”, če ta obdeluje uporabnikove podatke, pridobljene s pomočjo piškotkov brez uporabnikove predhodne privolitve in brez predhodnega jasnega in izčrpnega obvestila uporabniku o upravljavcu in namenih obdelave teh podatkov.
V tujini pa je zgodba drugačna, saj se glede kršitev na področju piškotkov izrekajo globe tudi običajnim spletnim mestom (npr. 3.000 EUR – GROW BEATS SL zaradi pomanjkljive politike o rabi piškotkov, 10.000 EUR – IKEA Ibérica zaradi nameščanja piškotkov brez soglasij, 30.000 EUR – Vueling Airlines zaradi pogojevanje nameščanja piškotkov z uporabo spletne strani) kakor tudi večjim platformam (npr. 50m EUR – Googlu zaradi nepreglednega in neetičnega pridobivanja soglasja za uporabo piškotkov, 3m EUR Amazonu zaradi shranjevanja piškotkov brez ustreznega soglasja uporabnikov, 800.000 EUR H&M-ju zaradi nezakonitega sledenja uporabnikom z uporabo piškotkov).
Povzetek:
- Za spoštovanje uredbe GDPR in pravilno delovanje Google Analytics 4 (GA4) je zahtevana namestitev pojavnega okna glede nalaganja piškotkov, ki ustrezno zbere izrecno soglasje za namestitev piškotkov od vsakega obiskovalca vašega spletnega mesta.
- Pojavno okno je zakonito, če ima gumb “Naloži nujne piškotke”, ki povzroči, da se naložijo zgolj tisti, ki ne vključujejo nobenega sledenja, analitike, oglaševanja, temveč so dejansko nujni za normalno delovanje spletnega mesta (npr. piškotek za plačila preko PayPal, piškotek za pravilni prikaz spletnega mesta na mobilni napravi, piškotek, ki beleži shranjene nastavitve obiskovalca glede izbranih piškotkov, ipd.) ter gumb “Naloži ostale piškotke”, ki povzroči nalaganje vseh ostalih piškotkov, ki se jih v zvezi z vašim spletnim mestom poslužujete (npr. dodatne nastavitve, analitika, Facebook Pixel, ipd.).
- Vsa polja v zvezi z nalaganjem oz. potrditvijo ostalih piškotkov ne smejo biti vnaprej odkljukana oz. kako drugače potrjena/izbrana.
- Na pojavnem oknu mora biti tudi kratek in razumljiv opis piškotkov, ki jih uporabljate ter možnost, da si uporabnik sam namesti tiste piškotke, s katerimi soglaša, kakor tudi povezava do vaše “politike piškotkov”, kjer so vaši piškotki opredeljeni skupaj z njihovimi ponudniki, njihovim rokom trajanja in opisom delovanja.
Opozorilo: vsako poslovanje s seboj prinaša tveganja, ki jih je potrebno posamično obravnavati in naslavljati. Objavljena vsebina posledično nima narave pravnega mnenja oziroma pravnega nasveta, temveč predstavlja zgolj avtorjevo nepoklicno mnenje o zadevni temi. Objavljeni podatki, primeri, vzorci, obrazci in stavki so navedeni primeroma in niso namenjeni poslovni uporabi. Vsaka poslovna odločitev, ki bi lahko sledila v povezavi z zgoraj objavljeno vsebino je v izključni odgovornosti bralca, pri čemer avtor nadpisane vsebine ne odgovarja za morebitno škodo, ki bi bralcu pri tem lahko nastala.