Stosowane dotychczas zgody na pliki cookies były w dużej mierze nieprawidłowe i niewystarczające, aby legalnie przetwarzać dane użytkowników. To oznacza, że reklamodawcy będą musieli zmienić sposób śledzenia użytkowników sieci. Gra toczy się o kawałek wielkiego tortu szacowanego na 64 miliardy euro.
Zacznijmy od tego, że przeglądanie internetu tak naprawdę nie jest i nigdy nie było darmowe. I nie chodzi tu o konkretne kwoty. Z chwilą wejścia na dowolną stronę rozpoczyna się walka o klienta. Z pomocą plików cookies serwisy internetowe nie tylko starają się dostosować zawartość strony do naszych preferencji, ale też spersonalizować reklamę pod konkretne potrzeby konsumentów. W tym celu wykorzystywane są dane o urządzeniach z jakich korzystamy, wieku, lokalizacji, zainteresowaniach, przeglądanych witrynach.
– W zasadzie wszystkie informacje dotyczące naszych działań w sieci trafiają do reklamodawców i partnerów przeglądanego serwisu. To pozwala reklamodawcom stworzyć profil użytkownika. Znajdują się w nim jego zachowania, upodobania, a także cała historia przeglądania. To potężna baza wiedzy. Uzupełniona o odpowiednio przygotowaną kampanię reklamową, targetowanie klienta pozwala dotrzeć do niego z odpowiednim przekazem – tłumaczy Robert Stolarczyk, prezes zarządu Promotraffic, agencji digital marketingowej dla e-commerce i b2c.
W gromadzeniu danych, których mówi prezes Promotraffic pomagają pliki cookies. Te z kolei dzielą sią na pliki pierwszej kategorii oraz cookies stron trzecich. Skomplikowane? Niekoniecznie.
– Kiedy przeglądamy stronę z wiadomościami, wszystkie pliki cookies znajdujące się na niej są plikami pierwszej kategorii. Natomiast każde inne, które są umieszczone na tej stronie przez inne witryny, na przykład przez portale społecznościowe lub reklamodawców są plikami cookies stron trzecich – dodaje Robert Stolarczyk.
Właśnie cookies stron trzecich są wykorzystywane w remarketingu i retargetingu w celu identyfikacji użytkownika. Dzięki tym procesom podczas przeglądania internetu wyświetlają się reklamy produktów, które już oglądaliśmy lub podobnych. Jeśli ktoś lubi czytać książki i zagląda na strony księgarń, będzie widział bannery właśnie z literaturą zamiast zabawek.
W Belgii zbieranie niektórych zgód niezgodne z prawem
W Europie, aby chronić prywatność użytkowników internetu, wprowadzono przepisy dotyczące akceptacji plików cookies. W tej kwestii są jednymi z najsurowszych w świecie. Wchodząc na daną stronę powinniśmy kliknąć “zgodę” na śledzenie. To miało chronić przed pozyskiwaniem danych, których nie chcemy ujawniać. Jednak już w 2019 roku Trybunał Sprawiedliwości Unii Europejskiej orzekł, że powszechnie stosowany od lat pasek “ta strona używa cookies, korzystając z tej strony, akceptujesz to” jest niezgodny z RODO.
Dlaczego? TSUE uznał, że użytkownik powinien móc się nie zgodzić na przetwarzanie danych zanim dane zostaną przesłane. I to w prosty sposób, a nie przez zmianę ustawień przeglądarki, która dla laika może być skomplikowana. Strona www nie może zmuszać konkretnej osoby do udostępniania danych, które nie są niezbędne do korzystania z niej. Co więcej, użytkownik musi mieć też możliwość odwołania udzielonej zgody w prosty sposób.
W ślad za wyrokiem TSUE niedawno w dwóch europejskich krajach zapadły decyzje, które mogą doprowadzić do zmiany sposobu śledzenia ruchu internautów oraz dania im realnego wpływu na to, co akceptują, a czego nie. Jednym z takich orzeczeń była decyzja belgijskiego Urząd Ochrony Danych, który stwierdził, że jedno z “nowych” okienek zbiera zgody w sposób niezgodny z prawem. Stosowały je różne portale, które swoim partnerom reklamowym nie tylko sprzedają powierzchnię reklamową, ale również udostępniają – z pomocą ciasteczek – informacje o korzystaniu ze strony przez danego użytkownika. To pozwala budować profil zainteresowań i kierować odpowiednie reklamy o większej skuteczności dla reklamodawców. – Problem w tym, że część zgód jest domyślnie zaznaczona, a ewentualna odmowa zgody wymaga uciążliwego przewijania i często klikania wielu przycisków, aby odmówić przesyłania danych poszczególnym firmom – wyjaśnia Wiktor Wrodarczyk, CEO Adequate, ekspert w dziedzinie zbierania i zarządzania danymi oraz RODO.
Belgijski urząd zakwestionował stanowisko, że wykorzystywanie tych danych stanowi tzw. “uzasadniony interes” wydawcy, który utrzymuje się z reklamy i profilowania użytkowników. Zarzucił też niedostateczną kontrolę nad przesyłanymi danymi. Decyzja nie jest jeszcze ostateczna.
Francja: przekazywanie danych z Google Analytics do USA narusza RODO
Natomiast we Francji Narodowa Komisja ds. Informatyki i Wolności (CNIL) wykryła przypadki, w których korzystanie z Google Analytics naruszało rozporządzenie o ochronie danych osobowych (RODO). Chodzi o art. 44 zakazujący przesyłania danych osobowych z wewnątrz Unii do “krajów trzecich”, które nie mają równoważnej polityki ochrony prywatności. “Dane użytkowników internetu gromadzone przez Google Analytics używane przez miliony stron internetowych do mierzenia zachowania użytkowników Internetu są przekazywane do USA z naruszeniem RODO” – stwierdziła instytucja, która odpowiada za ochronę danych osobowych we Francji.
To przełomowe orzeczenie, mimo że CNIL badała sprawę lokalnej strony internetowej. Instytucja do dochodzenia włączyła 100 innych skarg złożonych do grupy zajmującej się ochroną prywatności. Co oznacza decyzja francuskiego organu? Wspomniana strona musi wprowadzić mechanizm gwarantujący jej zgodność z RODO. Jeśli tego nie zrobi, będzie musiała przestać korzystać z Google Analytics.
CNIL zaznaczył też, że korzystanie z Google Analytics będzie spełniało wymogi RODO w przypadku zapewnienia, że używane będzie wyłącznie do generowania anonimowych danych statystycznych. To oznacza, że część właścicieli francuskich stron internetowych będzie musiało zmienić sposób śledzenia i raportowania ruchu internautów.
Zgody cookie nieprawidłowe i niewystarczające. Co to oznacza dla konsumentów?
Decyzje belgijskiego i francuskiego organu mogą oznaczać koniec udostępniania na szeroką skalę danych osobowych lub przynajmniej ograniczenie tego procederu. Podobnie może być w Polsce. O tym, że Urząd Ochrony Danych Osobowych poważnie podchodzi do problemu prywatności i bezpieczeństwa w sieci świadczy decyzja z ubiegłego roku. Ukarano wtedy pierwszą firmę za zły pasek cookie. Sprawiał on, że użytkownik korzystający ze strony nie mógł wyrazić zgody lub odmowy przed rozpoczęciem korzystania z niej. Zakończył się na upomnieniu, ale pokazuje to pewien trend.
Podsumowując – stosowane dotychczas zgody na cookie zostały w znacznej mierze uznane za nieprawidłowe i niewystarczające, by legalnie przetwarzać dane. Reklamodawcy będą więc musieli się dostosować do regulacji prawnych. Zrobią to z pewnością, bo walka toczy się o gigantyczne kwoty. Wartość europejskiego rynku reklam jest szacowana na 64 miliardy euro.
Już wiadomo, że Google od pewnego czasu pracuje nad stworzeniem nowego systemu, który śledziłby całe grupy użytkowników. To Federated Learning Cohorts (FLoC). Jest on częścią większego projektu o nazwie The Privacy Sandbox.
– Zadaniem FloC będzie wykrywanie aktywności użytkowników sieci. Różnica polega na tym, że dane nie będą przechowywane osobno dla każdego użytkownika. Preferencje wyszukiwania konkretnych osób będą przypisane do grupy podobnych osób. Według Google takie rozwiązanie ma sprawić, że nasze dane będą anonimowe. FLoC ma być tak samo skuteczny jak pliki cookies stron trzecich – komentuje Robert Stolarczyk, prezes zarządu Promotraffic.
Wycofywanie tych ostatnich ma nastąpić w dwóch etapach. Pierwszy zakończy się z końcem 2022 roku. Drugi – w którym pliki cookies stron trzecich zostaną całkowicie wycofane – ma potrwać do końca 2023. – Jak widać Google pracuje nieustannie nad rozwiązaniami mającymi zastąpić 3rd party cookies. Daje to nadzieję na to, że działania reklamowe oparte na targetowaniu wciąż będą skuteczne – podsumowuje Robert Stolarczyk.