Bettersteps.
Rafał Piszczatowski
18.03.2025
Czas czytania: 05:00
consent modega4

Cookie Baner - jak powinien wyglądać? Aspekt prawny i analityczny.

W dzisiejszych czasach cookie baner stał się na tyle popularny, że śmiało można go już określić mianem chleba powszedniego analityki internetowej. Jest to konsekwencją nie tylko zaostrzenia polityki prawnej, ale również niedawno wprowadzonych wymagań Google, dzięki którym portale zostały niejako zmuszone do respektowania prawa i prywatności użytkowników.

W niniejszym artykule przyjrzymy się bliżej roli cookie banera jako narzędzia służącego do informowania użytkowników o polityce plików cookie oraz omówimy jego pożądany wygląd w aspekcie prawnym. Przedstawię wyniki z poziomu zbieranych zgód i podejmowania decyzji w zależności od konfiguracji banera.

Aspekt prawny

Na stronie Urzędu Ochrony Danych Osobowych możemy znaleźć wpis (uodo.gov.pl), w którym opisano, że Europejska Rada Ochrony Danych przyjęła sprawozdanie grupy zadaniowej ds. banerów cookie. Celem ww. zespołu była wymiana informacji i najlepszych praktyk między organami ochrony danych na Europejskim Obszarze Gospodarczym (EOG).

W dokumencie z 17 stycznia 2023 roku czytamy, że wspomniana akceptacja nie przesądza o jednorazowej analizie, która również będzie musiała zostać przeprowadzona dla każdej skargi i każdej strony internetowej przy zastosowaniu krajowych przepisów. Raport bowiem nie jest zbiorem wytycznych, na których administrator może bezpośrednio polegać - stanowi jedynie wskazówki w jaki sposób organy nadzorcze mogą interpretować poszczególne obszary zarządzania plikami cookie, a także sugeruje zakres dochodzenia, któremu może być poddana strona w przypadku otrzymania skargi. Bezpośredni link do raportu: https://www.edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Na podstawie złożonych skarg i analizy banerów przygotowano spis niewłaściwych praktyk (A-K).

Brak przycisku odrzucania na pierwszym banerze

Większość organów nadzorczych uznała, że brak przycisku „Odrzuć” na pierwszej warstwie banera jest niezgodny z wymogami. Co prawda pojawiły się przeciwstawne opinie, jednak w raporcie nie wskazano, z których państw członkowskich one pochodzą.

Na rynku polskim najczęściej spotykany jest wariant z dwoma przyciskami („Akceptuj”, „Ustawienia”), podczas gdy na rynkach zachodnich zdecydowanie popularniejszy jest model z trzema opcjami („Akceptuj”, „Ustawienia”, „Odrzuć wszystkie”). Ten ostatni bez wątpienia gwarantuje zgodność z dyrektywą. Kwestia ta jest kluczowa z punktu widzenia zbieranych danych, co zostało szerzej opisane w dalszej części artykułu. Przedstawię tam również analizę wyrażanych zgód w zależności od konfiguracji bannera

Wstępnie zaznaczone pola lub brak decyzji

Członkowie grupy potwierdzili, że nie należy używać wstępnie zaznaczonych pól wyboru.

“Zwodniczy” wygląd baneru

Stwierdzono, że nie należy projektować bannerów w sposób sugerujący użytkownikowi, że wyrażenie zgody jest warunkiem uzyskania dostępu do treści. Za niewłaściwą praktykę uznano celowe ukrywanie opcji „Odmów” i brak nadania jej formy wizualnej adekwatnej do pozostałych przycisków. Wskazano m.in. na sytuacje, w których link „Odmów” jest osadzony wewnątrz akapitu tekstu, bez wystarczającego wyróżnienia, co utrudnia jego dostrzeżenie.

Mylące kolory baneru

Na podstawie przeglądu bannerów za nieuczciwe uznano również stosowanie zabiegów kolorystycznych mających na celu zmniejszenie widoczności przycisku odmowy, takich jak zaniżanie kontrastu między przyciskiem a tłem. Grupa nie stworzyła jednak rekomendowanej kolorystyki – każdy banner powinien podlegać indywidualnej ocenie, a na administratora danych nie można nałożyć jednego, sztywnego standardu wizualnego.

Uzasadniony interes administratora jako podstawa prawna przetwarzania danych

W raporcie potwierdzono, że podstawą prawną do zbierania plików cookie nie mogą być uzasadnione interesy administratora. Ciężko zatem uzasadniać przypadki, w których kolekcjonowanie ciastek analitycznych określane jest mianem niezbędnego.

Niedokładnie sklasyfikowane pliki z kategorii niezbędnych

Zwrócono uwagę, że niektóre strony klasyfikują jako niezbędne ciastka pliki, które wykorzystują dane osobowe i służą celom, które nie powinny zostać zakwalifikowane jako bezwzględnie koniecznie. Stwierdzono, że jednoznaczna ocena plików cookie jest problematyczna, w szczególności gdy ich cechy zmieniają się regularnie. To bez wątpienia utrudnia stworzenie stałej i wiarygodnej listy niezbędnych ciastek analitycznych.

Brak możliwości cofnięcia zgody

Zaznaczono również, że istotne i wysoce rekomendowane jest wdrożenie łatwodostępnych rozwiązań (takich jak ikona lub link umieszczony w widocznym i ustandaryzowanym miejscu) umożliwiających użytkownikom wycofanie zgody w dowolnym momencie.

Poziom wyrażanych zgód na cookie banerach

Czy wygląd banera ma wpływ na poziom zbieranych zgód na ciastka analityczne i marketingowe? Oczywiście, że tak. Wszystkie opisane na podstawie sprawozdania punkty mają ogromny wpływ na późniejsze decyzje użytkowników. Odpowiednie przystosowanie banera nie jest tylko zadbaniem o aspekt prawny. Zabieg ten wpływa na jakość zbieranych danych, a co za tym idzie analitykę, działania marketingowe i personalizacyjne. A finalnie - na cały biznes.

W praktyce na rynku polskim w przeważającej większości możemy natkąć się na jeden typ banerów - z dwoma przyciskami - “Akceptuję” i “Ustawienia”. Konfiguracja ta, pojawiająca się na wielu dużych portalach, z pewnością podyktowana jest decyzjami działów prawnych. W tym miejscu chciałbym przedstawić jak poszczególne banery (z dwoma vs. trzema buttonami) wpływają na ilość zbieranych zgód.

W przypadku implementacji banera z dwoma przyciskami (”Akceptuję” i “Ustawienia”) udział wyrażanych zgód dla nowych ciastek zawiera się w przedziale 75-90% (n=20, małe, średnie i duże biznesy).

Cookie baner

Przy implementacji trzech buttonów (”Akceptuję”, “Odrzucam” i “Ustawienia”) poziom wyrażanych zgód oscyluje w granicach 40-80%. Skala różnicy wynika z ograniczonej próbki kont oraz odmiennego podejścia użytkowników do danych. Mniejsze, specjalistyczne portale (o dużej świadomość użytkownika) często mają dużo gorsze wyniki (jeżeli chodzi o poziom zbierania zgód) niż portale o dużym ruchu.

Cookie baner ustawienia buttonow

Przy wdrożeniu cookie banera powinniśmy zwrócić uwagę na jego wygląd dla każdego z urządzeń - na desktopie oraz mobile'u. W wielu przypadkach możemy zaobserować słabo zoptymalizowany baner, który prowokuje do kliknięcia pierwszego buttonu, który rzuci się w oczy. Na screenie poniżej przykład, gdzie jedynym w pełni widocznym buttonem jest button odrzucenia wszystkich plików cookie. To spowoduje niepożądany spadek ilości zbieranych zgód.

Cookie baner ustawienia

Benchmark wyglądu cookie banerów

Didomi podzieliło się bardzo ciekawymi wynikami na podstawie danych z ponad 100 krajów i ponad biliona odsłon każdego miesiąca: Didomi - Benchmark Cookie baner.

W ich raporcie możemy znaleźć informację, że 74% wdrożeń cookie banera to wdrożenia typu pop-up. Jest to zatem najbardziej popularny sposób zbierania danych. Dla porównania - Footer ma ich około 24%.

W raporcie pokazano sposób implementacji buttonów na banerach. Najpopularniejszym rozwiązaniem w Cookie Management od Didomi jest odrzucenia ciastek za pomocą kliknięcia w link na pierwszej stronie. Taką opcję wybrało 39% domen. Drugim, prawie tak samo często stosowanym sposobem prezentacji banera było pomnięcie umieszczania odrzucającego buttonu na pierwszej stronie. Tylko co czwarty serwis zdecydował się na zaimplementowanie banera, na którym wszystkie trzy przyciski są w jednakowej konwecji.

Didomi - Consent mode

źródło: Didomi-benchmakr-study-on-consent-collection-2023

W raporcie Diadomi dostępne są również wyniki analizy przypadków kiedy to podjęcie decyzji w sprawie wyrażenia zgody na banerze jest opcjonalna (np. pływający baner jako footer z możliwością korzystania ze strony bez podjęcia decyzji) oraz kiedy podjęcie decyzji jest obligatoryjne (pop-up, który nie pozwala na korzystanie ze strony bez decyzji o akceptacji lub odrzuceniu ciastek). W przypadku gdy użytkownik ma wolny wybór w kwestii odpowiedzi bądź jej braku na prośbę o udzielenie zgód, aż 56-80% użytkowników pomija ten etap przechodząc od razu na stronę. W przypadku obowiązku określenia decyzji poziom odrzuceń zgód zawiera się w przedziale 25-40%. Już na pierwszy rzut oka widać dużą dysproporcję i śmiało można pokusić się o stwierdzenie, że warto narzucić obowiązek określenia przez użytkowników swoich preferencji.

Podsumowanie i rekomendowany wygląd cookie baneru

  • Ustawienie cookie baneru jako pop-up lub na dole strony z blokowaniem treści przed podjęciem decyzji o akceptacji lub odrzuceniu ciastek. Baner wyświetlany na dole (footer) bez blokowania strony powoduje wzrost liczby osób pomijających żądania udzielenia zgód,a więc niepodejmujących żadnych decyzji w kontekście plików cookie. W konsekwencji niemożliwym jest uruchamianie skryptów remarketingowych, a dla GA4 może to również powodować trudności ze zlokalizowaniem faktycznego źródła ruchu. Użytkownik może podjąć decyzję na kolejnej stronie, dlatego możemy utracić faktyczne źródło przyjścia na stronę. Innym czynnikiem, który może mieć na to wpływ jest sposób implementacji samego skryptu GA4. Niemniej - niezaprzeczalnie najlepszą opcją jest korzystanie z pop-up lub innego cookie banera w formacie uniemożliwiającym korzystanie ze strony bez podjęcia decyzji o akceptacji lub odrzuceniu ciastek.
  • Poziom otrzymanych zgód na zbieranie ciastek w przypadku wdrożenia dwóch buttonów na cookie banerze jest zdecydowanie wyższy i oscyluje wokół 90%. Na stronie Urzędu Ochrony Danych możemy znaleźć sprawozdanie przyjęte przez Europejska Rada Ochrony Danych, gdzie takie wdrożenia uznano za niezgodne z właściwą praktyką. Pomimo tego statystyki wdrażanych cookie banerów na stronach pokazują, że większość firm nie decyduje się na udostępnianie trzech buttonów na pierwszej stronie komunikatu. Tylko 24,1% korzystających z popularnego narzędzia Didomi zdecydowały się na taką konfigurację banera.
  • Wdrożenie Consent Mode Google v2 pod możliwość otrzymywania modelowanych danych w GA4. W przypadku dużych portali możemy liczyć na modelowane dane, gdzie zgody zostały niewyrażone. Szerzej o sposobie wdrożenia piszemy w naszych artykułach: https://bettersteps.pl/blog/praktyczny-poradnik-google-consent-mode-v2/ oraz o GA4 z Consent mode vs brak consent mode google: https://bettersteps.pl/blog/ga4-z-consent-mode-google-vs-brak-consent-mode-google/.

Powiązane artykuły

consent mode

GA4 z Consent Mode Google vs brak Consent Mode Google

Consent Mode Google to rozwiązanie, które umożliwia uruchomienie skryptów GA4 i Ads nawet w przypadku braku zgód na zbieranie informacji. W powyższym przypadku pliki cookie nie są zapisywane, ale następuje wysyłka pingów do Google Analytics.

Rafał Piszczatowski
11.03.2024Czas czytania: 07:00
consent mode

Jak korzystać z danych Google Consent Mode w Big Query

W tym artykule zajmiemy się kwestią wykorzystania danych GCM w Big Query. Z artykułu dowiesz się jakie dane dla sesji z odrzuconą zgodą analytics_storage są dostępne w BQ i jak możemy podejść do korzystania z nich

Adam Brzostek
11.02.2024Czas czytania: 8:00
consent mode

Praktyczny poradnik Google Consent Mode v2

Wszystko co potrzebujesz wiedzieć o Consent Mode v2 i całościowym podejściu do zarządzania ciasteczkami zebrane w jednym miejscu w formie prostego przewodnika.

Adam Brzostek
22.01.2024Czas czytania: 12:00
ga4

Praktyczny poradnik GTM server-side tagging - Google Analytics 4

Z tego poradnika dowiesz jak od początku do końca skonfigurować śledzenie po stronie serwera z wykorzystanie GTM typu server-side.

Adam Brzostek
21.02.2024Czas czytania: 8:30