Opublikowano 3 września 2020.

Dziś Google uruchomiło Google Consent Mode – przełomową nową funkcję, która sprawia, że zgoda jest warunkiem definiującym sposób działania ich usług, Google Analytics i Google Ads.

Cookiebot jest gotowy i w pełni zintegrowany.

Uzyskaj więcej całkowicie legalnych statystyk i konwersji dzięki implementacji Google Consent Mode razem z Cookiebot.

WYPRÓBUJ TERAZ

Od 2012 roku Cookiebot działa na rzecz zrównoważonej gospodarki internetowej, w której przedsiębiorstwa oparte na danych mogą łączyć się z transparentnością i poszanowaniem prywatności poszczególnych użytkowników.

Google Consent Mode jest przełomowym ulepszeniem w tym kierunku. Jesteśmy dumni i szczęśliwi, że zostaliśmy wybrani przez Google na bliskiego partnera jako platforma zarządzająca zgodami (CMP).

Nasza integracja z Google Consent Mode działa bezproblemowo i jest w pełni gotowa do użycia. Można ją zaimplementować w Google Analytics i Google Ads za pomocą kilku linijek kodu!

Razem z integracją Cookiebot/Google Consent Mode dostajesz:

• Gotową do użytku zgodność z RODO dla Twojej witryny internetowej
• Światowej klasy skaner plików cookie i zarządzanie zgodami
• Nowe ustawienia tagów do uruchamiania usług Google na podstawie zgody użytkowników 
• Ogólne i nieidentyfikujące dane, jeśli użytkownicy nie zgadzają się na statystyczne pliki cookie
• Reklamy kontekstowe zamiast targetowanych, jeśli użytkownicy nie wyrażą zgody na marketingowe pliki cookie

„Znalezienie możliwej do utrzymania równowagi między między prywatnością danych a gospodarką cyfrową opartą na danych było misją Cookiebot od 2012 r. Integracja Cookiebot z Google Consent Mode to decydujący krok w kierunku stworzenia tej równowagi, aby zapewnić bezpieczniejszy i bardziej sprawiedliwy internet dla wszystkich”

– CEO i Założyciel Daniel Johannsen

Przeczytaj wpis Google na temat Consent Mode

Dowiedz się więcej o Google Consent Mode i Cookiebot

Zacznij używać Google Consent Mode z Cookiebot

Rozporządzenie o Ochronie Danych Osobowych (RODO) i ePrivacy Directive (ePR) wpływają na to, jak, jako właściciel strony, musisz uzyskiwać i przechowywać zgody na użycie plików cookie od odwiedzających z UE.

Wypróbuj nasz darmowy test zgodności, aby sprawdzić, czy użycie plików cookie i modułów śledzących na Twojej stronie jest zgodne z RODO i ePR.

Ostatnia aktualizacja: 27 maja 2020.

Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące zgodności z RODO, wyjaśniając, co stanowi ważną zgodę na stronach internetowych oraz orzekając, że użycie „cookie walls” jest nielegalne.

EROD jest najwyższym organem nadzorczym ds. RODO w UE, a ich wytyczne stanowią podstawę egzekwowania ochrony danych przez krajowe organy w każdym państwie członkowskim UE.

W tym artykule wyjaśniamy najważniejsze rzeczy, które musisz wiedzieć o wytycznych EROD, tak abyś mógł mieć pewność, że Twoja strona jest bezpiecznym miejscem dla jej użytkowników.

Szybkie podsumowanie

Wytyczne EROD w skrócie

4 maja 2020 Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące zgodności z RODO, które wyjaśniają, co liczy się jako ważna zgoda na przetwarzanie danych osobowych w UE i potwierdzają, że użycie “cookie walls” jako sposobu uzyskania zgody jest niedozwolone.

Nowe wytyczne EROD ujednolicają zastosowanie RODO – coś, co kilka krajowych organów ochrony danych oraz orzeczenie TSUE o Planet49 orzekło niezależnie. Ponieważ dyrektywy EROD określają, w jaki sposób organy ochrony danych w każdym państwie UE mają egzekwować RODO, bardzo ważne jest, aby o nich pamiętać.

Przeczytaj wytyczne EROD 05/2020 na temat ważnej zgody.

Sprawdź za darmo, czy Twoja strona jest zgodna z RODO i wytycznymi EROD.

Wypróbuj Cookiebot za darmo przez 30 dni… lub na zawsze, jeżeli masz niewielką stronę.

Wytyczne RODO na temat ważnej zgody

Aby zgoda była ważna w świetle RODO, musi być:

• Dobrowolna
• Konkretna
• Świadoma
• Jednoznaczna

EROD wyjaśnia w swoich wytycznych, że “jednoznaczne wskazanie zgody użytkownika” musi być efektem jasnej i potwierdzającej akcji tego użytkownika.

Czynności takie jak przewijanie strony lub podobne aktywności (znane także jako domyślna zgoda) nie spełniają kryteriów ważnej zgody według RODO.

W świetle wytycznych EROD oznacza to, że baner zgody na cookie nie może zawierać informacji, że dalsze przeglądanie Twojej domeny będzie uważane za zgodę na używanie plików cookie, które przetwarzają dane osobowe. Nie jest to ważna forma zgody w rozumieniu RODO.  

Zamiast tego, baner zgody musi być interaktywny. Strona musi powstrzymać aktywację jakichkolwiek plików cookie przetwarzających dane osobowe do czasu, gdy użytkownik wybierze którym kategoriom plików cookie pozwala na działanie (wcześniejsza zgoda).

Wytyczne EROD wyjaśniają także, że użycie domyślnie zaznaczonych pól wyboru nie jest zgodne z RODO, ponieważ nie spełnia warunku “jasnej i potwierdzającej akcji”.

W tym przypadku wytyczne EROD uzupełniają precedens prawny ustanowiony przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Planet49 w październiku 2019 r.

Tą decyzją TSUE zarządziło, że domyślnie zaznaczone pola wyboru na banerach zgody nie są dozwolone, ponieważ nie spełniają warunku dobrowolnej, potwierdzającej akcji.

Dowiedz się więcej o TSUE i przypadku Planet49

Wypróbuj Cookiebot za darmo przez 30 dni… lub na zawsze, jeżeli masz niewielką stronę.

Wytyczne EROD na temat cookie walls

Dyrektywa EROD wyjaśnia także, że “cookie walls” są niezgodną formą uzyskiwanie zgody dla stron internetowych.

Cookie walls udostępniają zawartość strony dopiero po udzieleniu przez użytkownika zgody na przetwarzanie danych osobowych. Wytyczne EROD jasno oświadczają, że nie jest to ważna forma zgody.

Ponieważ cookie wall działa poprzez wymuszanie zgody użytkowników na przetwarzanie ich danych osobowych w zamian za dostęp do usług i funkcjonalności, cookie wall jako sposób uzyskiwania zgody nie spełnia wymogu RODO, aby ważna zgoda była dobrowolna i oparta na szczerym wyborze.

Chcesz wiedzieć więcej o cookie walls?

Co nowe wytyczne EROD oznaczają dla mojej strony?

Wytyczne EROD umacniają to, co było intencją RODO od samego początku: dać użytkownikom rzeczywiste, możliwe do wyegzekwowania prawa do ich własnych danych i prywatności.

W swoich rozporządzeniach na temat zgody EROD wyjaśnia, że jakakolwiek próba uniknięcia dawania użytkownikom realnej władzy nad ich własnymi danymi (taka jak wymuszanie zgody lub poleganie na słabo informujących zgodach domyślnych) nie będzie tolerowana.  

Innymi słowy, Twoja strona nie może aktywować żadnych plików cookie, które przetwarzają dane osobowe, dopóki użytkownik nie udzieli na to jasnej i potwierdzającej zgody.

Dla Twojej strony oznacza to:

• Brak domyślnie zaznaczonych pól na Twoich banerach zgody
• Przewijanie i przeglądanie strony nie jest ważną zgodą
• Cookie walls są nieważną formą uzyskania zgody

Jeżeli Twoja strona używa rozwiązania, które aktywuje cookies na podstawie przewijania, klikania lub przeglądania strony (czyli każdej innej aktywności niż bezpośrednia interakcja z banerem zgody), używa domyślnie zaznaczonych pól lub cookie walls, masz obowiązek to zmienić.

Wytyczne EROD tworzą podstawę egzekwowania RODO na poziomie krajowym przez odpowiednie organy ochrony danych w każdym państwie członkowskim UE, więc jeśli Twoja witryna internetowa działa z kraju UE lub jeśli Twoja witryna przetwarza dane osobowe osób z UE, musisz przestrzegać wytycznych EROD dotyczących zgodności z RODO.

Wytyczne EROD i test zgodności z RODO

Nie jesteś pewien czy Twoja strona spełnia wymagania RODO odnośnie użycia plików cookie i modułów śledzących? Masz wątpliwości czy Twoja domena przestrzega wytycznych EROD co do ważnej zgody?

Przetestuj czy Twoja strona jest zgodna z RODO i wytycznymi EROD dzięki darmowemu testowi.

Cookiebot wykonuje darmowy skan Twojej strony, który wykrywa wszystkie pliki cookie i moduły śledzące działające na Twojej domenie.

Może okazać się, że Twoja strona ma dużo więcej cookies, niż się spodziewasz, jako że –

72% plików cookie jest potajemnie umieszczanych przez moduły śledzące stron trzecich, co czyni je niemal niemożliwymi do wykrycia bez właściwej technologii skanującej.

18% plików cookie na stronach to konie trojańskie, czyli elementy śledzące, które ładują się z głębokości ośmiu innych plików cookie.

50% wszystkich koni trojańskich zmienia się pomiędzy wizytami, więc użytkownicy ryzykują, że ich dane osobowe zostaną zebrane przez różne strony trzecie w Twojej witrynie, gdy ponownie odwiedzą Twoją domenę.

Źródło: Beyond the Front Page, badania na temat plików cookie na stronach z 2020 r.

Dowiedz się więcej o RODO i plikach cookie

Odwiedź stronę EROD

Wypróbuj Cookiebot za darmo

Cookiebot i wytyczne EROD

Cookiebot to wiodąca platforma do zarządzania zgodami, dzięki której Twoja witryna jest zgodna ze wszystkimi najważniejszymi przepisami dotyczącymi ochrony danych.

Rozwiązanie Cookiebot jest gotowe do użytku – nie wymaga ręcznej implementacji ani dodatkowej integracji z Twoją domeną.

Po prostu zaimplementuj Cookiebot z chmury, aby chronić prywatność Twoich użytkowników przed wyzyskiem ich danych przez strony trzecie.

Cookiebot wykonuje głębokie skany całej Twojej strony, aby wykryć wszystkie działające pliki cookie i moduły śledzące – także ukryte konie trojańskie – i automatycznie blokuje wszystko, dopóki użytkownik nie wyrazi zgody, w pełnej zgodności z RODO.

Rozwiązanie Cookiebot jest w pełni zgodne z wytycznymi EROD:

• automatycznie blokuje wszystkie pliki cookie i elementy śledzące do momentu udzielenia zgody
• szczegółowa, potwierdzająca zgoda na każdą z czterech kategorii cookies
• pełna deklaracja dostawcy, celu, czasu trwania i rodzaju każdego pliku cookie
• łatwa możliwość zmiany lub wycofania zgody 
• bezpiecznie przechowywanie zgód użytkowników
• automatyczna odnowa zgody użytkownika

Szczegóły wytycznych EROD

Dyrektywa EROD 05/2020 na temat ważnej zgody to detaliczny 33-stronicowy dokument, który został przyjęty 4 maja 2020 r.

W dalszej części artykułu przyjrzymy się ważnym fragmentom wytycznych EROD, które wyjaśniają ważną zgodę w świetle RODO:

• Dobrowolnie udzielona zgoda
• Warunkowość zgody
• Konkretna zgoda
• Świadoma zgoda
• Wycofanie zgody
• Dodatkowe warunki uzyskania ważnej zgody
• Prawa podmiotu danych

Przeczytaj pełną treść wytycznych EROD

Czym jest EROD?

Europejska Rada Ochrony Danych (EROD) jest wiodącym organem nadzorczym odpowiedzialnym za spójne stosowanie Rozporządzenia o Ochronie Danych Osobowych (RODO) w UE.

EROD została utworzona wraz z wejściem w życie RODO w 2018 r. i składa się z przedstawicieli krajowych organów ochrony danych każdego państwa członkowskiego UE.

Zadanie EROD polega na przyjmowaniu ogólnych wytycznych i podejmowaniu decyzji, które wyjaśniają, w jaki sposób RODO powinny być interpretowane przez strony internetowe, firmy i organizacje w celu zapewnienia pełnej zgodności.

Wytyczne i decyzje EROD są podstawą egzekwowania RODO w państwach członkowskich UE, w których każdy krajowy organ ochrony danych jest odpowiedzialny za stosowanie RODO.

Dobrowolnie udzielona zgoda

Uzyskując zgodę użytkowników na aktywację plików cookies, które przetwarzają dane osobowe, Twoja strona musi upewnić się, że jest ona dobrowolna – to podstawa ważności zgody w RODO.

Jeżeli użytkownik nie ma realnego wyboru, czuje się zmuszony do wyrażenia zgody lub poniesie negatywne konsekwencje jeśli tego nie zrobi (takie jak obniżenie jakości usługi lub odmowa dostępu), wówczas zgoda nie będzie ważna.

Twoja witryna nie może łączyć zgody, tj. jeśli zgoda jest prezentowana jako niepodlegająca negocjacjom część warunków, domniemywa się, że nie została ona dobrowolnie wyrażona.

W związku z tym zgoda nie będzie uznana za ważną, jeśli użytkownik nie będzie w stanie odmówić lub wycofać zgody bez konsekwencji (takich jak obniżona jakość usług lub odmowa dostępu).

Warunkowość zgody

Tak jak pokrótce wspomnieliśmy, łączenie zgody nie jest dozwolone przez wytyczne EROD.

Uczynienie zgody warunkową, np. na akceptację regulaminu lub wykonanie usługi, w której dane osobowe przetwarzane przez pliki cookies i moduły śledzące nie są konieczne, jest uznawane za nieważną formę zgody.

RODO zawiera sześć podstaw prawnych przetwarzania danych osobowych, z których pierwsza polega na wyrażeniu zgody przez użytkownika, a druga na wykonaniu umowy.

Wytyczne EROD bardzo jasno wyjaśniają, że tych dwóch podstaw prawnych nie można łączyć. Jeśli Twoja witryna opiera się na zgodzie użytkownika na korzystanie z plików cookie i modułów śledzących, które przetwarzają dane osobowe, zgoda ta nie może być uzależniona od wykonania usługi, która nie potrzebuje danych osobowych (więcej informacji na ten temat znajdziesz w artykule 7, 4 RODO).

Ta właśnie część wytycznych EROD, skutecznie wyklucza stosowanie cookie walls jako formy uzyskiwania zgody, ponieważ wymuszona zgoda nie jest dobrowolna (czytaj: ważna).

Obowiązek wyrażenia zgody na niekonieczne gromadzenie danych osobowych stoi na przeszkodzie dobrowolnej zgody – wyjaśniają wytyczne EROD.

Dowiedz się więcej o cookie walls

Rozdrobniona zgoda

W większości witryn internetowych na świecie działa wiele różnych plików cookie, z których każdy gromadzi różne dane do różnych celów przez różnych dostawców.

Wytyczne EROD wyjaśniają, że jeżeli Twoja strona przetwarza dane osobowe dla więcej niż jednego celu, użytkownicy muszą mieć możliwość wyboru, który z nich akceptują – zamiast zgadzać się na pakiet różnych celów przetwarzania.

Oznacza to, że Twoja strona musi znać wszystkie pliki cookie i ich cele oraz oferować możliwość wyboru aktywacji tylko niektórych z nich. To właśnie nazywamy rozdrobnioną zgodą.

Rozdrobniona zgoda Cookiebot zapewnia pełną zgodność z wytycznymi EROD 05/2020.

Konkretna zgoda

Ważna zgoda, jak wyjaśniają wytyczne EROD, musi być konkretna, czyli jasno określać konkretny, wyraźny i prawnie uzasadniony cel zamierzonej czynności przetwarzania.

Aby spełnić wymóg RODO o konkretnej zgodzie, Twoja witryna musi zapewniać:

1. Określenie celu jako zabezpieczenie przed nadużywaniem (np. kiedy dane osobowe są wykorzystywane do wielu celów bez wyraźnej zgody użytkownika na każdy z nich).
2. Szczegółowość wniosków o zgodę.
3. Wyraźne oddzielenie informacji związanych z uzyskaniem zgody na czynności przetwarzania danych od informacji o innych sprawach.

Świadoma zgoda

Wytyczne EROD wyjaśniają, że ważna zgoda musi być świadoma, to znaczy użytkownicy muszą wiedzieć i rozumieć, na co wyrażają zgodę.

Twoja strona musi zawierać te minimalne wymagania dotyczące treści, aby zgoda została uznana za świadomą:

1. Tożsamość Twoja i Twojej witryny
2. Cel każdej operacji przetwarzania, na którą w Twojej witrynie jest wymagana zgoda,
3. Jaki typ danych jest zbierany i używany na Twojej stronie,
4. Prawo do wycofania zgody,
5. Informacje o wykorzystaniu danych do zautomatyzowanego podejmowania decyzji,
6. Ewentualne ryzyko przekazywania danych w wyniku braku decyzji stwierdzającej odpowiedni stopień ochrony oraz odpowiednich zabezpieczeń opisanych w art. 46.

Twoje informacje dla użytkowników muszą być napisane jasnym i prostym językiem oraz być łatwo zrozumiałe dla przeciętnego człowieka (nie tylko dla prawników).

Wycofanie zgody

Jeśli Twoja witryna opiera się na zgodzie na przetwarzanie danych osobowych za pomocą plików cookie i modułów śledzących, musisz być przygotowany na uszanowanie decyzji użytkowników dotyczących wycofania tej zgody. Jest to wymóg RODO.

Użytkownicy muszą mieć możliwość wycofania swojej zgody tak samo łatwo, jak ją wyrazili. Właściwie, jednym z warunków ważności zgody jest to, aby użytkownik miał prosty sposób jej późniejszego wycofania.

Użytkownicy muszą mieć możliwość wycofania swojej zgody bez ograniczeń i konsekwencji, takich jak odmówienie dostępu do strony lub obniżenie jakości usług.

Wszelkie przetwarzanie danych osobowych, które miało miejsce po wyrażeniu zgody przez użytkownika, a przed cofnięciem zgody jest zgodne z prawem.

Dodatkowe warunki uzyskania ważnej zgody

Ciężar udowodnienia zgody użytkownika na przetwarzanie danych osobowych spoczywa na właścicielu i/lub operatorze serwisu.

Oznacza to, że musisz być w stanie wykazać, że użytkownik wyraził zgodę na ustawienie przez Twoją witrynę plików cookie i elementów śledzących, które zbierają dane osobowe. Dokumentacja zgody musi być bezpiecznie przechowywana.

EROD zaleca, jako najlepszą praktykę, odświeżanie zgód w odpowiednich odstępach czasu.

Prawa podmiotu danych

Pamiętaj, że Twoi użytkownicy mają prawa zabezpieczone RODO, których zawsze musisz przestrzegać, aby zachować zgodność.

Są to:

• Prawo do usunięcia zebranych i przechowywanych danych osobowych w przypadku cofnięcia zgody
• Prawo do ograniczenia
• Prawo do sprostowania
• Prawo dostępu
• Prawo do przenoszenia danych

Cookiebot i zgodność z RODO

Platforma zarządzania zgodami Cookiebot dba o spełnienie wszystkich wymagań RODO, których musi przestrzegać Twoja strona, używając plików cookie przetwarzających dane osobowe użytkowników w UE.

Cookiebot:

• Skanuje i znajduje wszystkie pliki cookie i narzędzia śledzące, nawet ukryte konie trojańskie
• Automatycznie blokuje wszystkie moduły śledzące do momentu udzielenia przez użytkownika konkretnej, szczegółowej zgody
• Dokumentuje i bezpiecznie przechowuje każdą uzyskaną zgodę
• Odnawia zgodę co rok

Przetestuj swoją stronę pod kątem zgodności z RODO

Wypróbuj Cookiebot za darmo

FAQ

Co to jest EROD?

Europejska Rada Ochrony Danych (EROD) jest najwyższym organem nadzorczym odpowiedzialnym za stosowanie i egzekwowanie Rozporządzenia o Ochronie Danych Osobowych (RODO) w UE. EROD składa się z przedstawicieli organów ochrony danych z każdego państwa członkowskiego UE, a ich głównym zadaniem jest przyjmowanie ogólnych wytycznych i podejmowanie decyzji dotyczących interpretacji i egzekwowania RODO.

Wypróbuj Cookiebot za darmo przez 30 dni… lub zawsze dla małych witryn.

Co mówią wytyczne EROD?

Wytyczne EROD dotyczące ważnej zgody z maja 2020 r. wyjaśniają, co stanowi o ważności zgody, polegając na zgodzie użytkownika na przetwarzanie danych osobowych, np. poprzez użycie plików cookie i modułów śledzących na stronach internetowych. Wytyczne EROD wykluczają stosowanie cookie walls (wymuszona zgoda) i określają, co strony muszą zrobić, aby uzyskać ważną zgodę na przetwarzanie danych osobowych.

Przetestuj za darmo zgodność z RODO Twojej strony

Co to jest ważna zgoda według EROD?

Wytyczne EROD 05/2020 wyjaśniają, że ważna zgoda jest dobrowolnym, świadomym, konkretnym i jednoznacznym wyrażeniem woli użytkownika. Oznacza to, że Twoja witryna musi dawać użytkownikom rzeczywisty wybór między różnymi plikami cookie i trackerami przed ich aktywacją i przetwarzaniem danych osobowych. Przewijanie i przeglądanie stron internetowych nie oznacza zgody, a banery cookie nie mogą mieć domyślnie zaznaczonych pól wyboru.

Dowiedz się więcej o zgodności z RODO

W jaki sposób moja witryna może być zgodna z RODO?

Po pierwsze, musisz wiedzieć o wszystkich plikach cookie i elementach śledzących działających w Twojej witrynie, aby móc poinformować użytkowników o ich rodzaju, celu, czasie trwania i dostawcy. Po drugie, musisz zablokować wszystkie pliki cookie (z wyjątkiem niezbędnych) do czasu, gdy użytkownicy wyrażą wyraźną i potwierdzającą zgodę, na ich aktywację. Po trzecie, musisz bezpiecznie dokumentować wszystkie zgody i odnawiać je co roku. Po czwarte, należy ułatwić użytkownikowi wycofanie zgody w dowolnym momencie.

Przeczytaj więcej o zgodzie na pliki cookie

Źródła

European Data Protection Board (EDPB)

EDPB guidelines 05/2020 on valid consent

What is the GDPR?

GDPR and cookie consent

Beyond the Front Page, a 2020 research paper of website cookies and tracking

Rozporządzenie o Ochronie Danych Osobowych (RODO) wpływa na to, jak Twoja strona może śledzić odwiedzających z UE.

Wypróbuj nasz darmowy test zgodności, aby sprawdzić, czy używanie plików cookie przez Twoją stronę i elektroniczny system śledzenia są zgodne z RODO i ePR.

W ostatnich latach, rządy na całym świecie jednomyślnie ustanawiają nowe prawa – od ogólnoeuropejskiego RODO, poprzez kalifornijskie CCPA, aż po brazylijskie LGPD, ustawy dotyczące prywatności danych kształtują się i wyłaniają z fal czegoś, co wygląda na światowy wstrząs technologiczny.

Tymczasem, egzekwowanie RODO w UE cementuje jego status jako heroicznego dzieła prawa, które nareszcie wnosi tak potrzebne regulacje do gorączkowego zbierania danych użytkowników internetu i niezwykle dochodowego przemysłu reklamowego bazującego na inwigilacji.

W tym artykule przyjrzymy się rozwiązaniom RODO – porównamy różne oprogramowania zapewniające zgodność z RODO i przeciwstawimy im technologie samoobrony, które użytkownicy końcowi wykorzystują do ochrony swojej prywatności w internecie, argumentując, dlaczego nie jest to długofalowe rozwiązanie.

Czym jest oprogramowanie RODO?

RODO dosłownie zmienia wygląd komercyjnego Internetu. Staje się to bardzo jasne, gdy porównamy, z jaką ilością śledzenia mamy do czynienia na stronach z wiadomościami w USA, a z jaką w UE.

Co większość powstających praw dotyczących prywatności ma ze sobą wspólnego, to jasne umiejscowienie odpowiedzialności: ochrona swojej prywatności nie jest zadaniem użytkowników – to obowiązek firm technologicznych, stron internetowych, ich właścicieli, administratorów i operatorów.

Co za tym idzie, technologie potrzebne do realizowania przepisów dotyczących prywatności muszą być rozwiązaniem implementowanym przez właścicieli stron internetowych, nie użytkowników – chodzi o oprogramowanie RODO, które dotyczy zmian strukturalnych, tworzonych przez RODO, a nie pomoc w zakresie rozwiązań samoobrony dla każdego użytkownika.

Tak więc oprogramowanie RODO (oprogramowanie zgodności z RODO lub narzędzia zgody RODO) to rozwiązania umożliwiające zaaplikowanie procedur i generalną zgodność z RODO.

RODO ma wiele reguł i wymagań, których firmy i organizacje muszą przestrzegać, i z tego powodu istnieje wiele różnych oprogramowań RODO, które skupiają się na różnych klauzulach przepisów prawa.

Oprogramowania RODO pokrywają zróżnicowane aspekty RODO, takie jak:

• Minimalizacja danych
• Anonimizacja i pseudonimizacja
• Naruszenie danych
• Bezpieczne przechowywanie danych
• Rejestrowanie przetwarzania
• Integralność i poufałość

Przykładem jest Recital 26 RODO, który stanowi, że zasady ochrony danych nie mają zastosowania do anonimowych lub pseudonimizowanych danych, które nie mogą zostać przypisane do możliwej do zidentyfikowania osoby. Innymi słowy, RODO nie dotyczy anonimowych informacji – np. do celów statystycznych lub badawczych.

Oprogramowaniami RODO, które specjalizują się w tym aspekcie, są Boxcryptor – który szyfruje dane z popularnych chmur, takich jak Google Drive i Dropbox – oraz Cloud Tokenization – platforma bezpieczeństwa SaaS, która “zamienia wrażliwe dane na losowy numer” tak, że dane stają się anonimowe.

W ten sposób firmy i organizacje mogą pozostać zgodne z RODO podczas pracy z wrażliwymi informacjami osobowymi.

Kolejnym przykładem jest wymaganie RODO z Artykułu 35, aby firmy przeprowadzały oceny wpływu ochrony danych, gdy pewien rodzaj przetwarzania może spowodować ryzyko dla praw i wolności obywateli UE.

Oprogramowaniem RODO specjalizującym się w zgodności z tą częścią ustawy jest na przykład Logicgate, którzy zajmują się bezpiecznym przechowywaniem danych na potrzeby wymagań ich ochrony, a także zajmują się reakcją firmy na naruszenia danych (dotyczące Artykułu 33).

Trzecim przykładem jest Artykuł 30 RODO, który uściśla, że administratorzy danych muszą prowadzić rejestr działań związanych z przetwarzaniem na swoją odpowiedzialność, zgodnie z celem przetwarzania, kategoriami przetwarzanych danych osobowych oraz odbiorcami, którym dane osobowe zostały lub zostaną ujawnione.

Oprogramowanie RODO stworzone na potrzeby tego konkretnego wymogu to Keepabl, który pozwala firmom tworzyć mapy danych, aby pozostać zgodnymi z Artykułem 30.

Oprogramowanie RODO do wyrażania zgody oraz pliki cookie

Narzędzia zarządzania zgodami są kolejnym istotnym oprogramowaniem RODO. Jeśli prowadzisz stronę, prawdopodobnie będziesz potrzebować narzędzia zarządzania zgodami, aby kontrolować pliki cookie i obecne w nich moduły śledzące oraz do zapewniania odpowiedniej zgody użytkowników.

Części RODO, które dotyczą przetwarzania danych osobowych użytkowników, mają wpływ na sposób, w jaki można wykorzystywać pliki cookie na stronach internetowych.

Wypróbuj nasz darmowy skan strony, aby dowiedzieć się jakie ciasteczka i moduły śledzące działają na Twojej stronie.

Pliki cookie i moduły śledzące stron internetowej zbierają i przetwarzają dane na temat jej użytkowników. Oznacza to, że strona w UE oraz strona przetwarzająca dane obywateli Unii (niezależnie od lokalizacji strony) musi stosować się do jednego z warunków legalnego przetwarzania, określonego w Artykule 5 RODO.

Zgoda jest pierwszym warunkiem na przetwarzanie informacji osobowych w RODO, co oznacza, że strony internetowe muszą uzyskać jasne i jednoznaczne pozwolenie od użytkowników, zanim nastąpi jakiekolwiek zebranie i manipulacja danymi użytkownika.

Istnieje wiele różnych narzędzi zgody RODO w celu uzyskujących zgodność w tym obszarze. Niektóre wymagają ręcznego rozlokowania ich na stronie firmy, inne są oparte na chmurze.

Wybierając narzędzie zarządzania zgodami dla swojej strony, należy upewnić się, że to rozwiązanie zapewnia ważne zgody. Jeśli nie, nie jest zgodne z RODO. Aby zgoda była ważna, trzeba zweryfikować, czy dane rozwiązanie przynajmniej:

• jest zdolne wykryć wszystkie pliki cookie oraz podobne technologie śledzące na Twojej stronie. Jeśli nie, nie może odpowiednio poinformować i ochraniać Twoich użytkowników, a strona nie jest zgodna z RODO;
• powstrzymuje wszystkie pliki cookie i urządzenia śledzące od momentu, kiedy użytkownik trafi na stronę internetową, dopóki nie zostanie poinformowany i nie zostanie przedstawiony mu wybór odnośnie ciasteczek i działających modułów śledzących, spełniając w ten sposób wymaganie o zgodzie “wcześniejszej” niż śledzenie;
• przechowuje uzyskane od użytkowników zgody jako dokumentację, ponieważ to także jest wymaganiem RODO.

Cookiebot to najczęściej używane narzędzie zgody – manager RODO, którego używają strony na całym świecie, aby zapewnić zgodność z unijnym RODO, dyrektywą ePrivacy oraz podobnymi ustawami dotyczącymi zabezpieczenia prywatności użytkowników końcowych i uniknąć wysokich grzywien grożących za niezgodność.

Rozwiązanie Cookiebot działa poprzez:

• skaner wykrywający wszystkie pliki cookie i moduły śledzące obecne na stronie;
• automatyczne blokowanie wszystkich ciasteczek, dopóki nie zostanie uzyskana zgoda użytkownika;
• banery zgody, które pozwalają użytkownikom dać lub wycofać swoją zgodę na moduły śledzące;
• dokumentację zgód użytkowników;
• regularne pytanie o odnowienie zgody.

Ze względu na te podstawowe funkcje produktu, w tym niektóre pionierskie w przemyśle prywatności, Cookiebot może zaoferować prostą i faktyczną zgodność w dużo większym stopniu, niż większość pozostałych rozwiązań zgody RODO.

Wypróbuj Cookiebot za darmo już dziś.

Prywatność nie jest odpowiedzialnością użytkownika

Wszyscy kochamy technologię. Podnosi jakość naszego życia i nie zamierzamy z niej rezygnować. Dlatego ten znajomy, który usunął konto na Facebooku, zakłada nowe niedługo potem.

Technologia nie jest trendem. Kształtuje nowe cyfrowe infrastruktury, które przeobrażają sposób, w jaki się łączymy, spotykamy, jemy, śpimy, żyjemy i umieramy.

Większość użytkowników stron internetowych nie ma czasu lub umiejętności, aby zagłębić się w opcje samoobrony, dlatego argumentujemy, że narzędzia samoobrony (takie jak przeglądarki zwiększające prywatność lub programy blokujące reklamy) nie są realnym rozwiązaniem potrzebnych zmian strukturalnych w porównaniu z oprogramowaniem do ochrony prywatności RODO.

Większość użytkowników nie jest gotowa rzucić technologii, której używają, co powoduje dziwny stan zawieszenia, w którym użytkownicy słusznie obawiają się o swoją prywatność, a mimo to nadal używają tych samych technologii, które zaszczepiają w nich strach.

Narzędzia samodzielnej ochrony prywatności versus prywatność z założenia

Narzędzia umożliwiające użytkownikom wzięcie ochrony prywatności w swoje ręce nie są ciężkie do znalezienia w internecie.

Są to między innymi:

• Przeglądarki wzmacniające prywatność, takie jak Tor, Epic, Brave i Firefox.
• VPNs (virtual privacy networks), które maskują adres IP użytkownika.
• Blokery reklam lub rozszerzenia do przeglądarek, np.Ghostery i AdBlock, które blokują moduły śledzące.

Te narzędzia są pomocne, a ich intencje dobre: umożliwienie ludziom rezygnacji z wszechobecnego śledzenia i nadużywania danych w Internecie. 

Problem polega na tym, że narzędzia samoobrony nie wpływają na technologicznych gigantów, tropicieli i osoby nadużywających dane.

Zamiast tego, wzmacniają one pogląd, że to w gestii użytkownika leży “rezygnacja” z bycia śledzonym, zamiast uprzednie wyrażenie na to zgody.

Jest to sprzeczne z pojęciem poszanowania prywatności z założenia (privacy by design) w RODO, które nakazuje firmom rozwijanie oprogramowania, w których prywatność jest domyślnym ustawieniem, tak, że użytkownicy muszą zgodzić się na marketingowe cookies i inne technologie śledzące – nie zrezygnować z tych włączonych domyślnie.

„Im bardziej niezastąpione staje się połączenie internetowe, tym mniej wyboru mamy, co oznacza coraz mniej autonomii, kluczowego elementu, aby być zdolnym kontrolować nasze życie. To trudne oczekiwać, że ktoś zdobędzie kontrolę nad czymś, czego nigdy wcześniej nie miał możliwości kontrolować” – Colin Horgan, piszący dla magazynu technologicznego OneZero.

Nieprzestrzeganie klauzuli prywatności z założenie w RODO i zrzucanie odpowiedzialności za rezygnację ze śledzenia na użytkowników końcowych jest dużym problemem.

Uwalnia firmy technologiczne od konieczności zmiany praktyki i ponoszenia odpowiedzialności, gdy użytkownicy są zmuszeni do samodzielnego działania.

Narzędzia samoobrony nie są także wystarczająco dokładne i solidne w zapewnianej ochronie, ponieważ np. serwisy informacyjne takie jak New York Times wprost omijają ustawienia “nie śledź” w przeglądarkach jak Safari i Firefox.

Te narzędzia często psują stronę i pogarszają wrażenia użytkownika oraz przepływ w domenie, właśnie dlatego, że nie robią rozróżnienia ze względu na szczegółową technologię skanowania.

Dlatego właśnie narzędzia samoobrony są tylko tymczasowymi rozwiązaniami, “plasterkami” – czymś, czego użytkownicy mogą używać dla dodatkowej ochrony, ale nie jest w stanie wprowadzić realnej zmiany w strukturze.

Tu właśnie wchodzą oprogramowania RODO i rozwiązania zachowania zgodności. 

Cookiebot istnieje, aby chronić prywatność użytkowników w sieci, na całym świecie. “Robimy to, ponieważ wierzymy, że zapewnienie wolnej, prywatnej przyszłości Internetu jest konieczne i warte tego, aby o nie walczyć”.

Prawa dotyczące prywatności są skomplikowane i trudne do zrozumienia. Cookiebot umożliwia właścicielowi strony internetowej respektowanie i chronienie swoich użytkowników od niechcianego śledzenia. 

RODO nie może być ignorowane – dosłowne ustanawia światowy standard, jak powinna wyglądać ochrona prywatności w następnej dekadzie.

Oprogramowanie RODO: monitoring na portalach informacyjnych w USA vs. UE

Perspektywa wpływu RODO na kształt prywatności w Internecie staje się jasna, kiedy patrzymy na to, ile śledzenia odbywa się na stronach z wiadomościami w USA, a ile w UE.

Timothy Libert, twórca otwartoźródłowego skanera modułów śledzących webXray i członek wydziału informatyki na Carnegie Mellon University, użył tego narzędzia, aby przeskanować artykuł w New York Times zatytułowany “Czy aborcja może wpłynąć na twoją płodność?” w Stanach Zjednoczonych i w Europie.

Skan pokazał, że w USA artykuł zawierał ponad 100 plików cookie osób trzecich z blisko 50 różnych firm technologicznych, obecnych i gotowych śledzić czytelników artykułu, w tym firmy takie jak Oracle BlueKai, która gromadzi ogromne ilości danych użytkowników we wrażliwych kategoriach (takich jak “warunki zdrowotne” i “terminy medyczne”), których używają później, aby zaoferować serwisom typu Cambridge Analytica personalizowane i ukierunkowane kampanie marketingowe.

Skan ujawnił także drugie istotne znalezisko: ten sam artykuł załadowany w UE miał “tylko” 28 ciasteczek osób trzecich, pochodzących z 16 różnych firm reklamowych. To wciąż bardzo dużo jak na artykuł tak wrażliwy na ujawnienie politycznych przekonań lub sytuacji medycznej czytelników.

Ale pokazuje także znaczenie, jakie RODO wnosi do zmieniającego się krajobrazu Internetu.

RODO dosłownie zmienia ten krajobraz, a technologią, która za tym podąża, muszą być oprogramowania RODO obsługujące te zmiany strukturalne.

Internet jest zmieniającym się krajobrazem

Internet był jedną rzeczą dwadzieścia lat temu, teraz zaś jest czymś kompletnie innym.

Iskra powszechności, która przenikała Internet lat 90., została zastąpiona przez gęstą komercję i wielowarstwowe struktury, w których użytkownicy są towarem dla wielkich ukrytych maszyn reklamowych, pracujących na niezliczonych podziemnych poziomach, wysysających ich dane dla zysku i innych nieznanych celów.

Ta ewolucja jest prawdopodobnie najlepiej widoczna, gdy porównujemy oryginalną misję Google, sformułowaną w późnych latach 90. jako “organizowanie światowych informacji, czynienie ich powszechnie dostępnymi i użytecznymi” z polityką firmy w 2020 oraz jej praktykami reklam behawioralnych i profilowania – ich głównego źródła dochodu, które zostało uznane za niezgodne z prawem i poza kontrolą przez brytyjski organ ochrony danych ICO.

Ze snu o Internecie równym, nieskończonym i uniwersalnie demokratycznym, weszliśmy w podobny do transu komercyjny Internet pełen masowych nadużyć, naruszeń, dezinformacji i kontrolowanych algorytmicznie “echo chambers”.

Od płaskiego, otwartego krajobrazu po górzysty, niebezpieczny teren; wszyscy użytkownicy noszą teraz w rękach narzędzia do samoobrony, by bronić się na stromych klifach i ostrych kamiennych spadkach, nie wiedząc jakie niebezpieczeństwa mogą się czaić w następnej mijanej jaskini, gotowe pożreć ich prywatność i życie osobiste.

Cookiebot i Internet, który nadejdzie

Nie tak Cookiebot wyobraża sobie przyszłość Internetu.

Widzi raczej wyraźnie, że odpowiedzialność za ochronę życia prywatnego i autonomii spoczywa na osobach, które najbardziej mu zagrażają: branży technologicznej.

Można myśleć o tym w ten sposób, że na tych niebezpiecznych, nierównych ziemiach cyfrowych, na których obecnie żyjemy, obowiązkiem rządów i prawodawców jest regulowanie praktyk i zmuszanie przemysłu technologicznego do ich zmiany. To na nich spoczywa odpowiedzialność zbudowania z tych ostrych, poszarpanych kamieni nowych struktur, które będę chronić użytkowników podróżujących przez te krajobrazy.

Właśnie to robi Rozporządzenie o Ochronie Danych Osobowych, a nadchodzące rozporządzenie o prywatności i łączności elektronicznej (ePrivacy Regulation) – ze szczególnym naciskiem na komunikację elektroniczną – niewątpliwie pójdzie o krok dalej.

RODO jest jednoznaczne w kwestii regulowania odpowiedzialności za ochronę prywatności – nie leży to w gestii samych użytkowników, ale właścicieli stron, operatorów i administratorów, jak również przemysłu reklamowego jako całość, aby dbać o ochronę prywatności jeszcze na etapie planowania.

Ustawy dotyczące prywatności pojawiające się na całym świecie są odbiciem RODO. To właściciele stron internetowych i firmy reklamowe muszą kształtować przyszłość prywatności, nie użytkownicy.

Technologie, które popychają Internet w kierunku prywatności i autonomii, demokracji i uniwersalności muszą więc odbijać te prawa i ich założenia.

Bardzo ciężko stwierdzić, jak dokładnie będzie wyglądał krajobraz internetu za dziesięć lub dwadzieścia lat. Jednak jeśli nic nie zrobimy, łatwo sobie wyobrazić przestrzeń niedostępną dla większości, należącą do nielicznych, kosztowną i niebezpieczną.

Niemniej jednak istnieją inne możliwości przyszłości cyfrowych terenów. Cookiebot aktywnie podąża w ich stronę. Dążenie do szerszych, wolnych i bezpieczniejszych cyfrowych równin jest zapisane w naszym DNA.

Te, w których zagrożenia i nierówności zostały oswojone i wyrównane, aby raz jeszcze odzwierciedlić wczesne dni terenów – płaskie, otwarte i nieskończone.

Te, w których ludzkość może się rozwijać w bezpiecznym cyfrowym środowisku.

Resources

Timothy Libert, created of webXray, on user tracking and the GDPR

Most EU cookie ‘consent’ notices are meaningless or manipulative, study finds.

What does a ‘good’ cookie control look like according to ICO?

I Tried Leaving Facebook. I Couldn’t.

There Is No Tech Backlash

Privacy Is Not Your Responsibility

Tech Isn’t Vulnerable – You Are

Behavioral Advertising Is Out Of Control, Warns UK Watchdog (ICO)

Rozporządzenie o Ochronie Danych Osobowych (RODO) oraz ePR (ePrivacy Directive) wpływają na to, jak, jako właściciel strony internetowej, musisz uzyskiwać i przechowywać zgody cookie od użytkowników z UE.

Wypróbuj nasz test zgodności, żeby sprawdzić, czy Twoja strona używa plików cookie i modułów śledzących zgodnie z RODO i ePR.

Cookie wall to sposób, którego używają strony, aby uniemożliwić użytkownikom dostęp, jeżeli ci nie wyrażą zgody na wszystkie pliki cookie i moduły śledzące obecne na stronie.

Jest to bariera, która stawia użytkownikom ultimatum “wszystko albo nic”: muszą oni albo zgodzić się na wszystkie marketingowe ciasteczka i podobne technologie śledzące, albo zaryzykować odmowę dostępu do całej strony.

Dlatego też cookie wall stwarza kontrowersje – jej legalność jest dyskusyjna, a niektóre kraje w UE uznały ją już za niezgodne z prawem.

W tym wpisie przyjrzymy się wszystkim aspektom cookie walls:

1. Czym jest cookie wall?
2. Jak działa?
3. Legalna czy nie?
4. Jaka jest dobra alternatywa dla cookie wall?

Co to jest cookie wall?

Cookie wall to granica ustawiona przez stronę internetową, która ogranicza dostęp użytkownikom, którzy nie wyrazili zgody na wszystkie pliki cookie i moduły śledzące obecne i gotowe do aktywacji w domenie.

Strona wprowadza ten scenariusz “wszystko albo nic”, aby upewnić się, że aktywuje wszystkie pliki cookie i będzie gromadzić tyle danych, ile tylko jest możliwe, nawet jeżeli jest to wbrew woli użytkowników.

Niektóre strony mogą używać cookie wall w obawie, że rozdrobniona zgoda źle na nie wpłynie, jeżeli użytkownicy będą mogli zgodzić się tylko na niektóre ciasteczka zamiast na wszystkie. W tym artykule obalimy ten mit.

W praktyce cookie wall jest specyficznym rodzajem baneru zgody, który może wyglądać tak samo, jak te nieszkodliwe, które normalnie widzimy w Internecie. Różnica polega na tym, że cookie wall nie pozostawiają odbiorcy opcji zaznaczenia lub odznaczenia poszczególnych kategorii plików cookie – takich jak marketingowe ciasteczka, które zazwyczaj przechowują niezliczone ilości urządzeń śledzących od firm reklamowych.

Cookie walls istnieją na niezliczonej ilości stron w sieci, także na wielu portalach informacyjnych, na których ludzie polegają względem codziennych informacji (a także, co ironicznie, zgłaszania problemów związanych z prywatnością).

Wyobraź sobie, że próbujesz kupić gazetę, ale możesz przeczytać ją dopiero wtedy, kiedy odkryjesz każdy detal dotyczący twoich najbliższych relacji i rodziny obcemu sprzedawcy oraz dziesiątkom osób trzecich.

Pomyśl, że chcesz wejść do supermarketu, ale jedyny sposób, aby to zrobić to uprzednie zdjęcie swoich ubrań, oddanie portfela i podanie NIP-u.

Brzmi to absurdalnie, ale jest porównywalne do sytuacji, w której cookie wall stawia użytkownika końcowego, wymagając zapłaty za dostęp w formie rezygnacji z kontroli własnych prywatnych danych i przekazanie ich do firm reklamowych. Te tworzą niepokojąco detaliczne profile poszczególnych osób, sprzedawane w czasie rzeczywistym w systemach przetargowych na przyszłościowych rynkach zachowań.

Jak działa cookie wall?

Większość stron internetowych na świecie ma własne i zewnętrzne pliki cookie osadzone w kodzie źródłowym. Obejmują one niezbędne pliki cookie, które są fundamentalne dla działania strony internetowej, oraz statystyczne pliki cookie, które często wykorzystują anonimowe dane w celu uzyskania wglądu w działanie strony.

Są też marketingowe pliki cookie, które zostały zamieszczone przez firmy reklamowe jedynie w celu gromadzenia prywatnych danych, aby móc włączyć użytkowników do systemów reklam behawioralnych (i wykorzystać ich do innych złowrogich celów).

Wiele różnych typów plików cookie ma rozmaite cele – niektóre bezpośrednio naruszają prywatność, co jest powodem, dla którego europejskie ustawy o ochronie danych, takie jak RODO i ePR są w stanie kontrolować i regulować, w jaki sposób te pliki cookie i moduły śledzące mogą być używane przez firmy, organizacje i strony internetowe.

RODO nakazuje administratorom danych uzyskanie uprzedniej zgody użytkowników, zanim nastąpi jakiekolwiek przetwarzanie danych. Zgoda jest jedną z sześciu podstaw prawnych przetwarzania danych osobowych w UE i jest najczęściej wykorzystywana przez strony internetowe i firmy na całym świecie.

Tak więc baner zgody na pliki cookie powstał jako sposób dla administratorów danych osobowych, aby pozostać w zgodzie z RODO i ePR poprzez zdobywanie zgody użytkowników na przetwarzanie ich danych.

Cookie wall to hybrydowy baner plików cookie, który uzyskuje coś w rodzaju zgody użytkownika, ale wyklucza możliwość wyrażenia zgody tylko na określone rodzaje plików cookie. Działa poprzez blokowanie dostępu do strony, dopóki użytkownik nie kliknie “ok” dla wszystkich ciasteczek i modułów śledzących.

Czy cookie wall są legalne?

Właściwie, to nieszczególnie.

RODO definiuje ważną zgodę jako udzieloną dobrowolnie i ostrzega, że zgoda będzie nieważna, jeżeli jest warunkiem wymiany za usługi, do których przetwarzanie danych nie jest niezbędne.

Innymi słowy, cookie wall jest dokładnie na krawędzie bycia nielegalną – a niektórzy eksperci od prywatności, jak na przykład dr. Johnny Ryan z Brave aktywnie protestują przeciwko ich użyciu. 

I słusznie, ponieważ wypaczają one zgodę użytkowników i zakłócają podstawy zgody określone w RODO.

Dr Johnny Ryan z przeglądarki prywatności Brave złożył formalną skargę do Irish DPA (irlandzki organ ochrony danych) w kwietniu 2019 r. przeciwko cookie wall IAB Europe poprzez ich własną stronę internetową, która zmuszała odwiedzających do zaakceptowania między innymi śledzenia przez Google i Facebook.

Przeczytaj w całości formalną skargę dr. Johnny’ego Ryana do Irish DPA (angielski).

IAB Europe odmówiło odpowiedzi na pytania zadane następnie przez Irlandzką Komisję Ochrony Danych wynikające ze skargi dr. Ryana.

W lipcu 2018, zaledwie kilka miesięcy po wejściu w życie RODO, Europejska Rada Ochrony Danych (European Data Protection Board) wydała oświadczenie, że cookie walls powinny być zakazane nowym rozporządzeniem ePR, które ma zostać sfinalizowane w 2020 r.

Standard zgody według RODO

W Artykule 7 RODO znajdziemy konkretną definicję tego, co stanowi ważną zgodę.

Strony internetowe muszą być z nią zgodne lub znajdą się w konflikcie z prawem i ryzyku wysokich grzywien (nawet do 20 milionów euro lub 4% rocznego obrotu firmy).

RODO nie mówi konkretnie o plikach cookie – oprócz jednej wzmianki na ponad osiemdziesięciu stronach. Podnosi jednak standard zgody z wcześniejszych przepisów dotyczących prywatności, takich jak ePrivacy Directive (z jej krajowymi wdrożeniami w całej UE), która zajmuje się plikami cookie i modułami śledzącymi. 

Według RODO zgoda to “dobrowolnie udzielone, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dotyczą dane, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Zasadniczo, RODO wyraźnie określa, że użytkownicy w UE muszą mieć jasny i wymagający aktywności wybór, zanim zostaną ustawione jakiekolwiek pliki cookie i przetworzone zostaną ich dane.

„Dobrowolnie udzielona” a cookie walls

Kiedy chodzi o legalność cookie wall, powyższa definicja zgody, zawarta w RODO szczególnie zmusza do zastanowienia, podkreślając, że ważna zgoda musi być dobrowolnie udzielona.

Cookie wall zmusza użytkowników do podjęcia decyzji między odwiedzeniem strony poprzez zaakceptowanie wszystkich cookies i modułów śledzących lub opuszczenie portalu z nienaruszoną prywatnością.

Zniekształca to sytuację zgody użytkownika, a tym samym unieważnia część definicji o swobodnym udzielaniu zgody.

Zgoda nie jest dobrowolnie udzielona, jeżeli zostaje wymuszona jako warunek dostępu do strony, która nie potrzebuje aktywowania wszystkich plików cookie, aby zapewnić użytkownikowi zaledwie “usługę” udzielenia dostępu, jak zostało to uszczegółowione w Artykule 7 RODO.

Skłoniło to kilka europejskich organów ochrony danych do przedstawienia nowych wytycznych, w których wprost stwierdzają, że cookie wall jest niezgodna z RODO.

Holenderskie DPA na temat cookie walls

Wiosną 2019, holenderskie DPA (Data Protection Authorites – organ ochrony danych) AP zarządził, że cookie walls są pogwałceniem RODO, ponieważ użytkownicy strony muszą udzielić swojej zgody dobrowolnie, a nie przymuszeni przez cookie wall, wymagającą ceny ich prywatności za dostęp do danej domeny.

Holenderskie DPA podsumowało swoją decyzję, mówiąc, że cookie wall stawia użytkownikom ultimatum “wszystko albo nic”, gdzie muszą albo wyrazić zgodę na wszystkie ciasteczka i moduły śledzące, albo opuścić stronę nie mając możliwości dostępu do niej.

Według holenderskiego organu stanowi to nieważną formę zgody, gdyż użytkownicy nie mają faktycznego wolnego wyboru między zaakceptowaniem lub odrzuceniem konkretnych plików cookie. Strony internetowe nie mają prawa odmawiać dostępu użytkownikom, którzy zdecydowali się nie zgadzać na ciasteczka i moduły śledzące.

Innymi słowy, cookie walls są nielegalne w Holandii.

Brytyjskie DPA na temat cookie walls

Brytyjski organ ochrony danych, ICO, także uaktualnił swoje wytyczne użytkowania plików cookie w zgodności z RODO w lecie 2019.

Stosując standard zgody RODO do krajowych wdrożeń ePrivacy Directive (w Wielkiej Brytanii PECR), brytyjskie ICO zdecydowało, że żadne kategorie plików cookie oprócz niezbędnych nie mogą mieć domyślnie zaznaczonych pól.

W uaktualnionych wytycznych ICO określiło również, że używanie cookie wall w celu ograniczenia dostępu do strony nie jest zgodne z RODO (ani PECR).

„Stosowanie ogólnego podejścia, takiego jak to, jest wątpliwą formą zgody. Oświadczenie takie jak “kontynuując przeglądanie tej strony, wyrażasz zgodę na pliki cookie” nie stanowi ważnej zgody w świetle wyższych standardów RODO”.

Niemniej jednak ICO przyznaje również, że w UE nie ma jednolitego zakazu stosowania cookie walls, tzn. jest to kwesta interpretacji RODO oraz że istnieją praktyczne względy dotyczące stosowania częściowych cookie walls.

ICO “będzie szukało dalszych uwag i opinii na ten temat od zainteresowanych stron”.

Francuskie DPA na temat cookie walls

Francuski organ ochrony danych, CNIL, także zaktualizował swoje wytyczne w lecie 2019 i ogłosił taki sam sprzeciw wobec cookie wall, jak brytyjskie i holenderskie organy ochrony danych. 

CNIL zarządziło, że strony muszą “zostawić użytkownikom możliwość dostępu do usługi nawet w przypadki odmowy zgody”.

Innymi słowy, cookie wall jest niezgodna z RODO także we Francji.

Użycie cookie walls, jak mówi CNIL, jest niezgodne, ponieważ nie stanowi ważnej zgody, jako że zgoda uzyskana dzięki cookie wall nie jest udzielona dobrowolnie, co do czego zgadzają się brytyjskie ICO i holenderskie AP.

Więc czy cookie wall są nielegalne?

Tak, cookie walls są zabronione w Holandii, Wielkiej Brytanii i Francji.

W pozostałej części Europy są one uważane za podejrzaną praktykę i jest dosyć prawdopodobne, że zostaną oficjalnie zabronione w ePrivacy Regulation w 2020, w oczekiwaniu na wszelkie nieprzewidziane rozwiązanie nowego unijnego prawa ochrony prywatności.

Cookiebot na temat cookie walls

Cookiebot wierzy w rozdrobnioną zgodę. To daje użytkownikowi rzeczywiste opcje wyrażenia zgody, które są zgodne z RODO. Buduje zaufanie między użytkownikami i stroną internetową – coś, co cookie wall gotowe jest zdradzić.

Dzięki naszemu rozwiązaniu rozdrobnionej zgody strony mogą zaoferować użytkownikom prawdziwy wolny wybór, poprzez konfigurowalne banery zgody, które gromadzą zgody użytkowników i zarządzają aktywacją cookies na Twojej stronie zgodnie z RODO.

Rozdrobniona zgoda to przyszłość

Dzięki pozwalaniu użytkownikom zadecydować, które ciasteczka i moduły śledzące pozwalają stronie zamieścić na swoich urządzeniach, strona internetowa nie tylko działa w zgodzie z wymaganiami RODO względem podstawy prawnej na przetwarzanie danych osobowych.

Respektuje ona także prywatność i wolność osób za ekranem, ukrytych pod terminami “użytkownik” i “podmiot danych” – prawdziwych istot ludzkich, których prywatne życie może zostać poważnie naruszone przez gromadzenie ich danych przez osoby trzecie.

Szacunek dla godności prywatności i szczere poszanowanie autonomii innych osób jest trudne do ustanowienia; jest czymś więcej niż prawem… jest kulturą.

Cookiebot pracuje każdego dnia, aby pomóc stronom internetowym stać się zgodnymi ze światowymi prawami ochrony danych, lecz także po to, by stworzyć kulturę prywatności i autonomii w Internecie.

Wypróbuj Cookiebot za darmo, aby być zgodnym z RODO, lecz także… z tego drugiego powodu.

Dla prywatności i wolnej przyszłości.

Zasoby

What is the GDPR?

European Data Protection Board

ICO’s guidance on the use of cookies and similar technologies

Dutch DPA on cookie walls (in Dutch)

CNIL’s guidance on the use of cookies in France (in French)

Dr. Johnny Ryan’s formal complaint against IAB Europe to the Irish Data Commission

Nowe UK-GDPR i poprawiona ustawa o ochronie danych (Data Protection Act 2018), które weszły w życie 31 stycznia 2020, wpływają na to, jak właściciele stron internetowych muszą uzyskiwać i przechowywać zgody od użytkowników z Wielkiej Brytanii i Unii Europejskiej. 

Wypróbuj nasz darmowy test zgodności, aby sprawdzić, czy użycie plików cookie i śledzenie na Twojej stronie spełniają wymogi RODO.

Wielka Brytania wychodzi z UE 31 stycznia 2020.

Po opuszczeniu Unii UK nie będzie już dłużej regulowane wewnętrznie poprzez europejskie Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation – GDPR).

Zamiast tego, Brytania uchwala własną wersję prawa, znaną jako UK-GDPR (United Kingdom General Data Protection Regulation).

Wejdzie ono w życie w „Dzień Wyjścia”, 31 stycznia 2020.

W tym wpisie przyjrzymy się “nowemu” brytyjskiemu prawu dotyczącemu danych.

UK-GDPR – przedział czasowy

Niektórzy mogą się zastanawiać: czy teraz są dwa RODO? O co chodzi?

Cóż, Wielka Brytania opuszcza Unię Europejską 31 stycznia 2020 i w tym momencie umowa o wystąpieniu przyjęta w Parlamencie w grudniu 2019 r. wejdzie w życie i potrwa do 31 grudnia 2020 r.

Kiedy zakończy się umowa o wystąpieniu, UK będzie oficjalnie niezależne od UE i unijne RODO, które reguluje przetwarzanie danych osobowych we wszystkich państwach członkowskich od maja 2018 r., przestanie obowiązywać wewnętrznie w Wielkiej Brytanii.

Aby uniknąć sklasyfikowania przez Unię Europejską jako trzeci kraj (czyli np. państwo mające mniej adekwatny poziom ochrony danych, co nie pozwala im korzystać ze swobodnego przepływu danych w UE), powołano nową ustawę UK-GDPR, obowiązującą od Dnia Wyjścia, 31 stycznia 2020.

Nowe UK-GDPR będzie równe europejskiemu GDPR (RODO), które będzie wciąż obowiązywało w UK do 31 grudnia 2020.

Wszystko to oznacza, że owszem, będą dwa RODO obowiązujące jednocześnie w UK w 2020, równolegle z Ustawą o Ochronie Danych 2018 (Data Protection Act 2018), którego poprawiona wersja także wchodzi w życie 31 stycznia 2020. 

Przyjrzyjmy się treści i zakresowi nowego UK-GDPR.

UK-GDPR – treść i zakres

United Kingdom General Data Protection Regulation (UK-GDPR) jest w gruncie rzeczy takim samym prawem jak europejskie RODO (GDPR), tylko lekko zmienione na potrzeby dostosowania go do brytyjskich obszarów prawa.

Było wzorowane bezpośrednio na treści unijnego GDPR i główne zmiany w nim wprowadzone to United Kingdom zamiast Union (Unia) oraz domestic law (prawo krajowe) w miejsce EU law (prawo UE).

Oznacza to, że podstawowe definicje i terminologia prawna znane z europejskiego RODO, między innymi dane osobowe, prawa osoby, której dotyczą dane, administrator danych osobowych oraz podstawy prawne do przetwarzania danych, takie jak wcześniejsza zgoda można znaleźć także w UK-GDPR.

Choć UK-GDPR rozszerza się na unijne RODO, jednocześnie odbiega od niego w znaczący sposób. Spowoduje to zmiany w brytyjskim prawie dotyczącym ochrony danych w Wielkiej Brytanii.

Te zmiany można znaleźć w rządowym rozporządzeniu w sprawie ochrony danych, prywatności i komunikacji elektronicznej (Data Protection, Privacy and Electronic Communications (EU Exit) Regulation).

Rozporządzenie to zmienia i przekształca europejskie RODO w krajowe UK-GDPR, a także koryguje Ustawę o Ochronie Danych z 2018 r.

Harmonogram Keelinga to nieoficjalny dokument, podkreślający zmiany w ustawach. Jest bardzo pomocny w precyzyjnym ujęciu tego, jak Brytania przekształca europejskie RODO w UK-GDPR – gdzie od niego odbiega, a gdzie pozostaje takie samo.

Harmonogram Keelinga dla stworzenia nowego UK-GDPR

UK-GDPR poszerza i zmienia europejskie RODO

Te obszary zostają rozszerzone przez UK-GDPR:

• Bezpieczeństwo narodowe
• Służby wywiadowcze
• Imigracja

Te pola są z definicji poza zakresem unijnego RODO, ponieważ odnoszą się do ściśle państwowych regulacji. UE nie ma uprawnień do zarządzania kwestiami bezpieczeństwa narodowego w państwach członkowskich.

Jednakże UK-GDPR określa pewne wyjątki, dzięki którym można ominąć regularną ochronę danych osobowych np. gdy chodzi o bezpieczeństwo narodowe lub w sprawach imigracji. Odnosi się to także to samych wymagań dla gromadzenia i przetwarzania danych osobowych przez służby wywiadowcze.

Kolejną dużą zmianą w UK-GDPR jest to, że Komisarz ds. Informacji, dotychczas wiodący organ ochrony danych w Wielkiej Brytanii stanie się głównym organem nadzoru, regulatorem i organem wykonawczym UK-GDPR.

Oznacza to, że tam, gdzie wcześniej zgodnie z unijnym RODO Europejska Rada Ochrony Danych byłaby najwyższym organem nadzorczym, ICO przejmuje teraz wszystkie sprawy związane z regulacją i egzekwowaniem UK-GDPR.

Dodatkowo Sekretarz Stanu jest uprawniony do określania lub odwoływania decyzji w sprawie adekwatności w na podstawie UK-GDPR.

W praktyce, Sekretarz może podejmować te decyzje bez konsultacji z ICO.

Z powodu eksterytorialnego zakresu UK-GDPR, każda strona internetowa lub firma na świecie, która zbiera lub przetwarza dane osobowe osób znajdujących się w UK, jest zobowiązana do zgodności z UK-GDPR.

Oznacza to także, że np. unijne firmy oferujące swoje usługi w UK powinny wskazać swojego przedstawiciela, tak jak miało to miejsce w odwrotnym przypadku europejskiego RODO.

Przedstawiciel jest zdefiniowany w UK-GDPR jako “osoba fizyczna lub prawna mająca siedzibę w Zjednoczonym Królestwie, która reprezentuje administratora lub podmiot przetwarzający”.

Ponadto, wchodząc w życie 31 stycznia 2020, UK-GDPR automatycznie uzna wszystkie państwa Unii Europejskiej za adekwatne, podobnie jak wszystkie istniejące decyzje UE w sprawie adekwatności jako odpowiednie również w Wielkiej Brytanii. (np. US Privacy Shield).

Zauważalną różnicą między europejskim RODO i nowym krajowym UK-GDPR jest wiek ważnej zgody, który został obniżony do 13 lat w UK (16 lat w UE).

UK-GDPR i Cookiebot

No dobrze, więc co to wszystko znaczy dla Twojej firmy w UK lub Twojej strony w UE oferującej usługi i zbierającej dane osób w Zjednoczonym Królestwie?

Cóż, oznacza to, że wyjście z Unii Europejskiej nie spowoduje, że zobaczymy zmniejszenie wymagań dotyczących przetwarzania danych osobowych.

W praktyce, światowy standard ustanowiony przez europejskie RODO teraz dosłownie staje się krajowym standardem w Wielkiej Brytanii. Ochrona prywatności i danych osobowych użytkowników końcowych i klientów jest nowym prawem kraju.

Oznacza to, że strona będzie musiała spełniać te same wysokie standardy RODO jak wcześniej, tylko te będą egzekwowane przez ICO w Wielkiej Brytanii i podlegają ich audytom.

Cookiebot oferuje wiodące rozwiązania w kwestii zarządzania zgodami. Zbudowaliśmy naszą oczekującą patentu technologię jeszcze zanim RODO stało się europejskim prawem i na długo przed tym, kiedy w końcu stanie się do Brytyjskim prawem.
Cookiebot skanuje Twoją stronę i znajduje wszystkie pliki cookie i moduły śledzące, blokuje wszystko, dopóki użytkownik końcowy nie udzieli swojej świadomej zgody na to, które z jego danych mogą być gromadzone na Twojej platformie.

Obecnie, Cookiebot zapewnia pełną zgodność z RODO, tak jak zapewni ją z UK-GDPR, kiedy Wielka Brytania ostatecznie opuście Unię 31 grudnia 2020.

Wypróbuj Cookiebot za darmo

Orzeczenie TSUE interpretuje RODO oraz ePR w ten sposób, że zaznaczone domyślnie pola wyboru na banerze zgody są nieważną formą zgody, z wyjątkiem absolutnie niezbędnych plików cookie.

1 października 2019 najwyższy podmiot prawny w UE, Trybunał Sprawiedliwości Unii Europejskiej (TSUE), zarządził w sprawie Planet49, że jedyną ważną zgodą na przetwarzanie danych użytkownika w UE jest świadoma zgoda (explicit consent), czyli, innymi słowy, zgoda, która jest aktywnie i konkretnie udzielona przez użytkownika strony poprzez na przykład, zaznaczenie odpowiedniego pola.

Ten werdykt jest pierwszym wydanym po wejściu RODO, który zajmuje się wprost zgodą odnoszącą się do plików cookie i śledzenia na stronie (tracking). W związku z tym ma on duże znaczenia dla branży prywatności i wszystkich właścicieli stron internetowych, ustanawiając precedens prawny mający faktyczny wpływ na wymogi prawne dotyczące plików cookie — przynajmniej do czasu wprowadzenia w życie rozporządzenia o prywatności i łączności elektronicznej (ePrivacy Regulation).

W tym poście wyjaśnimy rozporządzenie TSUE, uporządkujemy terminy używane w temacie zgody (świadoma/domniemana, aktywne/miękkie włączenie się) oraz wyjaśnimy w prostych słowach, jakie konsekwencje niesie za sobą dla operatorów i właścicieli stron internetowych, nie tylko w UE, ale na całym świecie.

To przełomowy moment dla prywatności danych w Unii Europejskiej.

Rozporządzenie o Planet49 będzie miało dalekosiężne konsekwencje nie tylko dla prywatności danych, ale także w kwestii tego, jak działa Internet. 

TSUE jest najwyższym organem prawnym w Unii Europejskiej i jego werdykt — nić splatająca razem istniejące już ustawy o prywatności danych w UE — tworzy silny precedens, który znacznie zmienia zasady przetwarzania danych na terenie UE.

Precedens, który można obalić jedynie poprzez uchwalenie nowych przepisów dotyczących danych, takich jak nadchodzące ePrivacy Regulation, oczekiwane w 2020.

Czy pliki cookie mogą być domyślnie zaznaczone?

Oficjalna informacja prasowa TSUE rozwiewa wszelkie wątpliwości: jest zatytułowana Przechowywanie plików cookie wymaga aktywnej zgody użytkowników internetu (Storing cookies requires internet users’ active consent) i wyjaśnia, że „domyślnie zaznaczone pola nie są wystarczające”.

Jakiekolwiek pliki cookie niebędące niezbędne nie mogą być domyślnie zaznaczone, niezależnie od tego, czy przetwarzane dane są skategoryzowane jako osobiste.

.

UE i Planet49

Trybunał Sprawiedliwości Unii Europejskiej – TSUE (ang. The Court of Justice of the European Union – CJEU) jest najwyższym organem prawnym w UE. Składa się z dwóch organów sądowniczych: Trybunału Sprawiedliwości (Court of Justice) oraz Sądu Pierwszej Instancji (General Court) – poprzednio składał się z jednego sędziego z każdego kraju UE oraz jedenastu rzeczników generalnych, później z dwóch sędziów z jedenastoma rzecznikami generalnymi.

TSUE interpretuje prawo UE, aby upewnić się, że jest ono stosowane w ten sam sposób we wszystkich krajach Unii, rozstrzygać spory prawne między rządami krajowymi a instytucjami UE oraz, w tym przypadku, w celu ustanowienia precedensów prawnych.

Przypadek Planet49

Aby zrozumieć kontekst rozporządzenia TSUE w kwestii ważnej zgody w UE, wyjaśnijmy krótko sprawę Planet49.

Brzmi jak powieść science-fiction z lat 50., ale chodzi o niemiecką firmę oferującą gry online, która w 2013 zorganizowała internetową loterię promocyjną, wymagającą od użytkowników podania swoich informacji osobowych, aby w niej uczestniczyć.

Polom do uzupełnienia, gdzie gracze mogli wpisać swoje dane towarzyszyły dwa akapity tekstu wyjaśniającego i dwa pola wyboru (checkbox), z których jedno było domyślnie zaznaczone.

Niemiecka Federacja Organizacji Konsumenckich (German Federation of Consumer Organizations) zakwestionowała praktykę uzyskiwania zgody stosowaną przez Planet49 w niemieckim sądzie i finalnie zwróciła się do TSUE z pytaniem o interpretację prawa UE, aby zdecydować, czy domyślnie zaznaczone okienka są ważną formą zgody w obrębie całej Unii.

Wyrok, który został wydany przez TSUE we wtorek 1 października 2019 rozwiał wszelkie wątpliwości odnośnie Planet49, a co więcej stworzył także silny precedens w kwestii tego, w jaki sposób należy interpretować unijne przepisy dotyczące prywatności.

Pełna treść wyroku TSUE po angielsku.

Rozporządzenie TSUE w sprawie ważnej zgody

Rozporządzenie TSUE może być rozumiane jako nić splatająca razem Dyrektywę o prywatności i łączności elektronicznej (ePrivacy Directive) z 2002 roku (z poprawkami wniesionymi w 2009), starszą Dyrektywę 1995 oraz Rozporządzenie o Ochronie Danych Osobowych (RODO) z 2018.

Te unijne rozporządzenia dotyczące prywatności mają na celu ochronę użytkownika przed ingerencją w jego lub jej prywatne życie, a w szczególności przed ryzykiem, że ukryte identyfikatory lub inne podobne narzędzia uzyskają dostęp do urządzeń użytkowników bez ich wiedzy.

Rozporządzenie TSUE dotyczy interpretacji Artykułu 2(f) i Artykułu 5(3) Dyrektywy o prywatności i łączności elektronicznej 2002/2009, w związku z Artykułem 2(h) Dyrektywy 1995 oraz Artykułem 6(1)(a) Rozporządzenia o Ochronie Danych Osobowych.

Świadoma zgoda (explicit consent) jest jedyną ważną formą zgody w UE, zarządza TSUE

TSUE zarządziło, że powyższe artykuły muszą być interpretowane w ten sposób, że zgoda nie jest ważna, jeśli została uzyskana poprzez domyślnie zaznaczone pole, które użytkownik musi odznaczyć, aby odmówić swojej zgody.

Wszystkie dane użytkownika wymagają takiej samej świadomej zgody

TSUE orzekł również, że artykułów z unijnych przepisów dotyczących prywatności nie należy interpretować w różny sposób w zależności od tego, czy przechowywane lub udostępniane informacje są danymi osobowymi.

Obowiązek informowania o czasie trwania i dostępie osób trzecich

Co więcej, TSUE zarządziło także, że strony internetowe oraz usługodawcy muszą informować swoich użytkowników o czasie trwania plików cookie na ich stronie internetowej, oraz o tym, czy osoby trzecie mają dostęp do danych użytkownika.

Podsumowanie TSUE i ważnej zgody

Jedyną ważną formą zgody na przetwarzanie danych użytkownika w UE jest świadoma zgoda. Domyślnie zaznaczone pola na banerze plików cookie są zabronione, z wyjątkiem ściśle niezbędnych plików cookie.

Zgoda musi być konkretna i udzielona aktywnie poprzez zaznaczenie okienka, nie zaś odznaczanie uprzednio zaznaczonego pola. Zgoda jest ważna tylko w sytuacji, kiedy użytkownicy zostali poinformowani o czasie trwania plików cookie w operacji oraz o tym, czy osoby trzecie uzyskają dostęp do ich danych.

Świadoma zgoda vs. domniemana zgoda

Teraz być może zastanawiacie się, co zrobić z zarządzaniem zgodami na swojej stronie internetowej i jak upewnić się, że przestrzegacie orzeczenia TSUE obowiązującego we wszystkich 28 państwach członkowskich UE.

Wyjaśnijmy najpierw terminologię…

Świadoma zgoda pojawia się w orzeczeniu TSUE także jako aktywna zgoda, ponieważ wymaga udzielenia zgody poprzez podjęcie działań przez użytkownika końcowego, który jest aktywny, potwierdzający i konkretny.

Świadoma zgoda (explicit consent)

Świadoma zgoda była do tej pory znana jako konkretny typ zgody, którą strona musi uzyskać, kiedy przetwarza wrażliwe informacje osobowe (takie jak przekonania polityczne i religijne czy dane na temat zdrowia).

Jednakże, wraz z orzeczeniem TSUE, wszystkie dane użytkowników – niezależnie od tego, czy są osobowe, wrażliwe lub żadne z powyższych – mogą być przetwarzane dopiero po tym, gdy użytkownicy końcowi udzielą swojej świadomej zgody, nazywanej także aktywną zgodą w oficjalnym rozporządzeniu TSUE.

Domniemana zgoda (implied consent)

Domniemana zgoda to z kolei typ zgody, która do tej pory była ważna w UE, jeżeli strona internetowa przetwarzała tylko dane osobowe (a nie wrażliwe dane personalne).

Ten rodzaj zgody jest znany także jako miękkie włączenie się (soft opt in). Jeżeli użytkownik odwiedza stronę internetową i natyka się na baner ze zgodą na pliki cookie, ale zamiast kliknąć „OK” po prostu przewija stronę lub odwiedza którąś z jej podstron, ta aktywność ze strony użytkownika stanowi ważną zgodę, nawet jeżeli użytkownik nie jest tego świadomy.

Ten typ zgody nie jest już dłużej ważny w UE.

Niemniej jednak jest to forma zgody dalej respektowana przez inne ustawy o prywatności na całym świecie, na przykład brazylijskie LGPD, które było ściśle wzorowane na europejskim RODO.

Przed rozporządzeniem, ważny baner zgody mógł mieć domyślnie zaznaczone pola na niezbędne, preferencyjne i statystyczne pliki cookie – ale nie na marketingowe.

Po wejściu w życie orzeczenia TSUE tylko niezbędne pliki cookie mogą być domyślnie zaznaczone.

Zarządzanie zgodami w Twojej witrynie

Po rozporządzeniu TSUE, strony internetowe nie mogą już dłużej mieć baneru zgody na pliki cookie z domyślnie zaznaczonymi polami. Cookiebot ochrania prywatność Twoich użytkowników, jednocześnie oferując zrównoważone i kompletne zarządzanie zgodami na Twojej stronie.

Cookiebot jest rozwiązaniem na zarządzanie zgodami, które skanuje Twoją domenę i znajduje pliki cookie i moduły śledzące, blokuje wszystko, dopóki użytkownik końcowy nie udzieli swojej świadomej zgody, a następnie bezpiecznie przechowuje zgody użytkowników do dokumentacji prawnej.

Cookiebot umożliwia zgodność Twojej strony z rozporządzeniem TSUE (razem z ePrivacy Directive oraz RODO), a także z innymi prawami na temat prywatności, od CCPA do LGPD.

Wypróbuj Cookiebot za darmo.

Konsekwencje dla Ciebie jako właściciela lub operatora strony internetowej

Rozporządzenie TSUE ma konsekwencja dla niemal wszystkich stron internetowych w UE, niezależnie od ich wielkości i rodzaju, jeżeli używają one plików cookie, które nie są ściśle niezbędne do podstawowych operacji.

Nowe orzeczenie ma także konsekwencje dla stron internetowych poza UE. Jeżeli Twoja strona znajduje się poza Europą, ale mu europejskich użytkowników i przetwarza dane obywateli Europy, jesteś zobowiązany do przestrzegania zarządzeń TSUE.

Musisz uzyskać świadomą zgodę europejskich obywateli przed umieszczeniem na ich urządzeniach plików cookie, które nie są absolutnie niezbędne.

Analytics a ważna zgoda

Nie jest zaskakujące, że zgodność z rozporządzeniem TSUE oznacza istotne zmiany dla prowadzenia strony.

Jeżeli używasz Google Analytics, Matomo lub podobnych narzędzi analitycznych, tak jak robi to większość stron na świecie w celu zoptymalizowania operacji na swojej witrynie, to orzeczenie może znacząco utrudnić wgląd i tworzenie statystyk.

Dlaczego? Cóż, nie możesz umieścić domyślnie zaznaczonych pól na swoim banerze zgody, z wyjątkiem tych niezbędnych. Oznacza to, że będziesz musiał lub musiała polegać na swoich użytkownikach, że udzielą swojej zgody także w tych kategoriach, które służą statystycznym i analitycznym informacjom o ich zachowaniu na Twojej stronie.

Zgodność z unijnym precedensem prywatności od TSUE oznacza mocniejszą i bardziej realną ochronę prywatności dla europejskich użytkowników, ale jednocześnie  – prawdopodobnie – utratę danych analitycznych o użytkownikach Twojej strony.

Tak obecnie przedstawia się nowy krajobraz prywatności w UE. Niewątpliwie zwiększa to oczekiwania wobec długo oczekiwanego ePrivacy Regulation, które ma wejść w życie w 2020 r. Czekamy, aby zobaczyć, czy skonsoliduje ono rozwój prywatności, czy też ponownie przesunie granicę prawną.

Źródła

The official press release on the ruling from the Court of Justice of the European Union

The full judgement from the CJEU

Digest of the CJEU ruling by the global lawfirm Hogan Lovells

Europe’s top court says active consent is needed for tracking cookies, TechCrunch

What is the GDPR?

What practical impacts do recent CJEU rulings have on adtech?, privacylawblog by lawfirm Fieldfisher

Wraz z wejściem w życie ustawy o ochronie prywatności konsumentów (California Consumer Privacy Act – CCPA), jest teraz także granicą praw prywatności danych w USA.

W tym artykule przyjrzymy się bliżej CCPA.

Pliki cookie (zwłaszcza te pochodzące od osób trzecich, osadzone za pomocą wtyczek) mogą zbierać informacje osobowe takie jak imiona i nazwiska, fizyczny adres, adres IP i dane lokalizacji, ale także wrażliwe dane osobowe, jak przekonania religijne, opinie polityczne czy orientacja seksualna.

CCPA wymaga, żeby przedsiębiorstwa umożliwiały mieszkańcom Kalifornii rezygnację z tego, aby ich informacje osobowe były sprzedawane osobom trzecim, a także ujawnienie zebranych już danych i usunięcie ich na życzenie konsumenta. 

Zgodność z CCPA

Jeżeli zastanawiacie się, co jest konieczne, żeby spełniać wymagania kalifornijskiej ustawy (CCPA), tutaj znajdziecie listę kontrolną dla biznesów i stron internetowych.

Poniższy wykaz nie jest wyczerpujący, niemniej pokrywa główne wymagania CCPA. Strona zgodna z kalifornijską ustawą:

• Zawiera na swojej stronie link o nazwie Do Not Sell My Personal Information (nie sprzedawaj moich informacji osobowych), którego użytkownicy mogą użyć do wycofania swoich danych ze sprzedaży osobom trzecim.
• Informuje klienta o rodzajach informacji personalnych, które gromadzi i w jakim celu. Powiadomienie o tym musi być pokazane przed faktem lub w momencie gromadzenia rzeczonych informacji. 
• Reaguje na żądanie rezygnacji z udostępniania danych w ciągu 15 dni poprzez zaprzestanie dalszego sprzedawania oraz powiadomienie wszystkich stron, którym informacje zostały sprzedane w ciągu poprzednich 90 dni.
• Uzyskuje zgodę od nieletnich w wieku 13 do 16 lat przed sprzedażą ich informacji osobistych oraz zgodę rodziców lub opiekunów prawnych użytkowników poniżej 13 roku życia.
• Zapewnia klientom bezpłatną dokumentację informacji osobowych zebranych w minionych 12 miesiącach (zawierającą źródła, cele komercyjne oraz kategorie stron trzecich, którym zostały one udostępnione), jeżeli użytkownik zażąda ujawnienia lub usunięcia. 
• Odpowiada w ciągu 10 dni od otrzymania żądania ujawnienia lub usunięcia, informując, jak wniosek będzie przetwarzany. Merytoryczne odpowiedzi muszą zostać wysłane do klienta w ciągu 45 dni od otrzymania zweryfikowanego żądania.
• Zawiera dwuetapowe żądanie usunięcia, w którym konsument może złożyć wniosek, a następnie wyrazić zgodę na usunięcie informacji osobowych. 
• Oferuje zachęty finansowe (np. różne ceny, stawki i jakość) na towary i usługi tylko w przypadku, gdy różnice są uzasadnione wartością dostarczoną firmie przez dane konsumenta.
• Powstrzymuje się od dyskryminacji na podstawie wyboru klienta do skorzystania z prawa do rezygnacji, żądania ujawnienia lub usunięcia informacji.

Przedsiębiorstwa muszą także zaktualizować swoją politykę prywatności, tak aby zawierała:

• opis praw (do rezygnacji, ujawnienia, usunięcia) oraz jak z nich skorzystać.
• listę kategorii informacji osobowych, które firma gromadzi, sprzedaje i ujawnia oraz aktualizację tej listy co 12 miesięcy.
• bezpłatny numer telefoniczny lub, jeżeli przedsiębiorstwo działa wyłącznie online, link to strony, przez którą konsument może wyegzekwować swoje prawa.

Bądź zgodny z CCPA za darmo dzięki Cookiebot

CCPA – prawo do rezygnacji

CCPA daje konsumentom prawo do wymagania od przedsiębiorstwa niesprzedawania ich informacji osobowych osobom trzecim (1798.120.). W przypadku otrzymania takiego żądania firma nie może sprzedawać danych osobowych użytkownika.

Definicja “informacji osobowych” według CCPA

Informacja osobowa jest definiowana w ustawie jako “informacja, która identyfikuje, odnosi się do, opisuje lub która daje uzasadnioną możliwość skojarzenia z, lub może być uzasadnienie powiązana, bezpośrednio lub pośrednio, z określonym konsumentem lub gospodarstwem domowym”.

Dane osobowe w CCPA obejmują:

• Identyfikatory, takie jak pliki cookie, sygnały nawigacyjne, znaczniki pikselowe, numery telefonów, adresy IP, nazwy kont…
• Dane biometryczne, takie jak twarz, siatkówka oka, odciski palców, DNA, nagrania głosu, dane na temat zdrowia…
• Dane o geolokacji, takie jak historia lokalizacji za pośrednictwem urządzeń
• Aktywność w Internecie, taka jak historia przeglądania
• A także dane odnoszące się do cech osobowych, zachowania, przekonań religijnych lub politycznych, preferencji seksualnych i tym podobne.

„Rezygnacja” oznacza po prostu, że konsument może nakazać firmie zaprzestania sprzedaży jego informacji osobowych osobom trzecim. 

Zgodność z prawem do rezygnacji

Przedsiębiorstwo musi zapewnić wyraźny link na swojej stronie internetowej zatytułowany “Do Not Sell My Personal Information” (1798.135.a.1).

Link ten nie może wymagać od użytkownika założenia konta w celu nakazania firmie zaprzestania sprzedaży jego danych.

Jeśli konsument jest poniżej 13 roku życia, firma nie jest upoważniona do sprzedaży jego informacji osobowych bez uprzedniej autoryzacji przez rodziców lub opiekunów prawnych.

Jeśli konsument ma pomiędzy 13 a 15 lat,  firma nie jest upoważniona do sprzedaży jego informacji osobowych, chyba że wcześniej wyraził na to zgodę.

CCPA zakazuje dyskryminacji użytkowników opartej o ich wybór do skorzystania ze swoich praw.

Oznacza to, że jeżeli konsument rezygnuje z udostępniania swoich danych do sprzedaży osobom trzecim lub jeżeli zażąda ich usunięcia, przedsiębiorstwo nie może np. pobierać wyższych opłat za swoje usługi, zapewniać innego poziomu jakości usług lub odmówić mu ich świadczenia (1798.125.a).

Jednakże, CCPA pozwala biznesom oferować finansowe zachęty, jak na przykład inne ceny lub jakość świadczonych usług w zamian za gromadzenie, sprzedaż lub usunięcie informacji osobowych, jeżeli różnice te są w uzasadniony sposób powiązane z wartością dostarczaną firmie przez dane konsumenta (1798.125.a.1.b).

Wypróbuj Cookiebot i zapobiegaj sprzedaży danych Twoich użytkowników

CCPA – prawo do żądania ujawnienia

CCPA przyznaje użytkownikom “prawo do żądania, aby firma gromadząca informacje osobowe konsumenta ujawniła mu rodzaje oraz konkretne fragmenty informacji osobowych, które zostały zgromadzone” (1798.100.a).

Klient ma prawo do dostępu i uzyskania kopii informacji osobowych, które zostały zgromadzone przez przedsiębiorstwo w ciągu ostatnich 12 miesięcy.

CCPA precyzuje, że konsument ma prawo do żądania ujawnienia (1798.110/115):

• rodzajów oraz konkretnych fragmentów informacji osobowych, które są gromadzone.
• rodzajów źródeł, z których informacje są zbierane.
• celu zbierania lub sprzedaży informacji osobowych.
• rodzajów osób trzecich, z którymi firma dzieli się uzyskanymi informacjami.

Zgodność z “prawem do żądania ujawnienia”

Żądanie do ujawnienia musi być możliwe do zweryfikowania, zanim firma zapewni informacje (1798.100.c).

Jeżeli sprawdzalne, przedsiębiorstwo musi bezzwłocznie podjąć kroki w celu bezpłatnego ujawnienia i dostarczenia informacji osobowych do konsumenta (1798.100.d).

Firma musi umożliwić dwie lub więcej metod zgłaszania żądań (1798.130.a.1) oraz bezpłatnie ujawnić wymagane informacje w ciągu 45 dni od otrzymania sprawdzalnego wniosku (1798.130.a.2).

Aby spełniać wymagania CCPA, firma musi zaktualizować swoją politykę prywatności, tak aby zawierała:

• Opis praw do (żądania ujawnienia, usunięcia) oraz instrukcje jak je wyegzekwować.
• Wykaz rodzajów informacji osobowych, które przedsiębiorstwo gromadzi, sprzedaje oraz ujawnia. Wykaz musi być aktualizowany co 12 miesięcy.
• Utrzymywać bezpłatny numer telefoniczny i/lub stronę internetową na potrzeby korzystania z tych praw.

Chroń dane swoich użytkowników przed dostępem osób trzecich razem z Cookiebot

Definicja “przedsiębiorstwa” według CCPA

W CCPA, przedsiębiorstwo (business) to ogólny termin odnoszący się do zarówno do firm, korporacji, stowarzyszeń, spółek, jak i do każdej osoby prawnej, która jest zorganizowana lub działa dla zysku bądź finansowej korzyści swoich udziałowców, lub innych właścicieli.

Jednakże, aby być uznawaną za przedsiębiorstwo w świetle CCPA, firma musi spełnić przynajmniej jedno z trzech poniższych wymagań (1798.140.c):

• mieć roczny dochód brutto przekraczający 25 milionów USD,
• czerpać 50% lub więcej rocznego dochodu ze sprzedaży informacji osobowych klientów,
• kupować, otrzymywać, sprzedawać lub dzielić informacje osobowy co najmniej 50 000 rezydentów Kalifornii, gospodarstw domowych lub urządzeń rocznie.

Oznacza to, że jeżeli posiadasz mały biznes zarabiający poniżej 25 milionów dolarów rocznie, mniej niż połowa przychodów twojej firmy polega na sprzedawaniu informacji osobowych osobom trzecim, a twoje przedsiębiorstwo nie sprzedaje więcej niż informacje pięćdziesięciu tysięcy Kalifornijczyków, CCPA cię nie dotyczy.

Natomiast, jeżeli twoje przedsiębiorstwo dzieli common branding (tj. wspólne znaki firmowe) z firmą przekraczającą choć jeden z powyższych progów, od twojego biznesu także będzie wymagana zgodność z CCPA.

Common branding oznacza, że firmy dzielą nazwę, znak usługowy lub znak towarowy.

CCPA – prawo do żądania usunięcia

CCPA przyznaje konsumentowi “prawo do żądania, aby przedsiębiorstwo usunęło wszelkie informacje osobowe o konsumencie, które od niego zgromadziło”(1798.105.a).

Precyzuje, że “firma zbierająca informacje osobowe jest zobowiązana ujawnić prawo konsumenta do żądania usunięcia jego informacji osobowych (1798.105.b).

Definicje “gromadzenia”, “sprzedaży” oraz  “usunięcia” według CCPA

CCPA definiuje gromadzenie jako cokolwiek odnoszącego się do dostępu do informacji osobowych, zarówno aktywnego, jak i pasywnego.

Innymi słowy, zamierzone i bierne zbieranie informacji osobowych, takich jak adresy IP lub inne identyfikatory sieciowe jest uznawane za gromadzenie.

Sprzedaż jest definiowana jako każde udostępnianie, ujawnianie lub sprzedaż informacji osobowych osobom trzecim w zamian za pieniądze bądź inną wartość.

Usunięcie jest dosyć proste. Oznacza permanentne wymazanie informacji osobowych jak wymagane przez użytkownika.

Przedsiębiorstwo musi wyjaśnić konsumentom, że mają prawo żądać usunięcia swoich danych oraz opisać, w jaki sposób można do tego doprowadzić.

CCPA – dane gospodarstwa domowego

Jednym z głównych obszarów wątpliwości w kalifornijskiej ustawie jest definicja danych, szczególnie dwóch rodzajów “indywidualnych danych” oraz “danych gospodarstwa domowego”.

Dane gospodarstwa domowego nie są osobno zdefiniowane w CCPA.

Jednak projekt regulacji Prokuratora Generalnego Kalifornii wydany w październiku 2019 definiuje je jako “osoba lub grupa osób zamieszkująca pojedynczy lokal mieszkalny” (§ 999.301, h).

W projekcie przepisów wyjaśniono również, że wszyscy konsumenci w gospodarstwie domowym muszą wspólnie złożyć wniosek o ujawnienie informacji, zanim firma będzie musiała go zastosować.

Jeżeli żądanie wychodzi od konsumentów, którzy nie mają kont chronionych hasłem, przedsiębiorstwo może zapewnić łączone informacje o gospodarstwie domowym.

CCPA vs RODO, porównanie Kaliforni i Europy

Jak więc California Consumer Privacy Act ma się do swojego europejskiego odpowiednika, Rozporządzenia o Ochronie Danych Osobowych, które weszło w życie w maju 2018?

Przypomnienie: czym jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (ang. The General Data Protection Regulation – GDPR) to europejskie prawo o ogólnoświatowej jurysdykcji, co oznacza, że chroni informacje osobowe i dane użytkowników będących obywatelami Europy, niezależnie od miejsca na świecie gdzie jest zlokalizowana strona internetowa lub biznes operującymi tymi danymi.

Sednem RODO jest fakt, że strony internetowe oraz firmy muszą uzyskać jasną i jednoznaczną zgodę od swoich użytkowników przed przetwarzaniem danych osobowych, po określeniu wszystkich typów plików cookie lub innych technologii śledzenia obecnych i działających na ich stronach. Wymaga także bezpiecznej i poufnej dokumentacji zgody każdego użytkownika.

Zakres RODO jest szeroki i odnosi się do wszystkich typów danych (nie tylko informacji osobowych), tego, jak firmy i organizacje muszą zapewnić transparentność i dokumentować zgody użytkowników.

Zgoda vs żądanie: główne różnice między CCPA a RODO

Najjaśniejszym i ważnym rozróżnieniem między europejskim i kalifornijskim prawem jest moment zgody.

RODO przyznaje użytkownikowi prawo zgody, oznaczające, że ich dane nie mogą być użyte, zanim użytkownik nie wyrazi na to zgody.

Zgoda ta może być udzielona na różne sposoby, niemniej sednem jest to, że w przypadku RODO, wcześniejsza zgoda jest wymagana przez prawo.

Z kolei CCPA nic o tym nie wspomina.

Przedsiębiorstwo nie potrzebuje wcześniejszej zgody aby operować informacjami osobowymi, nie potrzebuje jej także strona, aby sprzedawać dane osobom trzecim.

Co robi CCPA, to przyznaje konsumentom prawo do żądania – czy to ujawnienia, usunięcia lub zaprzestania sprzedaży ich informacji przez firmę. To jednak dzieje się po fakcie zarówno zgromadzenia, jak i sprzedaży.

Gdzie RODO tworzy dla użytkownika drzwi, które ten może zamknąć, CCPA stwarza okno do otworzenia, aby dowiedzieć się, jakie informacje osobowe zostały już uzyskane przez biznes.

RODO jest zapobieganiem, podczas gdy CCPA jest środkiem do przejrzystości i usunięcia (danych zgromadzonych 12 miesięcy wstecz).

Historia stojąca za CCPA

W 1972 kalifornijscy wyborcy zmienili konstytucję Kalifornii, aby włączyć prawo do prywatności do niezbywalnych praw wszystkich ludzi.

Cztery dekady później, 1 stycznia 2020 weszło w życie CCPA.

California Consumer Privacy Act zaczął się jako oddolna inicjatywa niespodziewanych aktywistów  – prowadzona przez milionera, będącego deweloperem nieruchomości, byłego analityka CIA, dyrektora i dziennikarza nagrodzonego nagrodą Pulitzera za pracę nad wyciekami Snowden dla Washington Post.

Californians for Consumer Privacy jest prowadzone przez biznesmena z San Francisco, Alastaira Mactaggarta, który stworzył projekt inicjatywy głosowania nad prywatnością konsumentów, aby wypełnić lukę prawną.

“Powiedz mi, co o mnie wiesz. Przestań to sprzedawać. Chroń to.” –  tak Alastair Mactaggart podsumował projekt ustawy.

Wraz z ujawnieniem skandalu Facebook/Cambridge Analytica, kalifornijska inicjatywa nagle dostała wiatru w żagle.

Inicjatywa głosowania (ang. ballot initiative) jest sposobem dla kalifornijskiego społeczeństwa na zalegalizowanie oddolnych inicjatyw poprzez przygotowanie projektu nowego prawa i zebranie pod nim wystarczającej ilości podpisów (osiem procent obywateli, którzy głosowali w ostatnich wyborach gubernatorskich); propozycja staje się wtedy częścią listopadowych ogólnych wyborów w konkretnym stanie. Głosujący muszą wybrać “tak” lub “nie” w ten sam dzień, kiedy wybierają prezydenta lub kongres.

W przypadku CCPA, Mactaggart wydał 3 miliony dolarów z własnej kieszeni, aby zebrać ponad 600 000 podpisów pod swoim projektem (który był mocniejszy i bardziej restrykcyjny, niż to, co finalnie widnieje w CCPA) i tym sposobem zapewnił ustawie miejsce na generalnych wyborach w listopadzie 2018.

Zagrożony: jak przemysł techniczny zmienił CCPA

Wraz z groźbą ostrego prawa prywatności nadchodzącą po otrzymaniu większości głosów na wyborach w listopadzie 2018, przemysł techniczny rozpoczął mocne naciski przeciw wersji CCPA zaproponowanej przez obywateli.

Jedną z największych walk między autorami projektu a wielkimi korporacjami, szczególnie Facebookiem, było tak zwane prywatne prawo do działania.

Oryginalnie było to prawo upoważniające konsumentów do pozywania firm za jakiekolwiek jego pogwałcenie, nie tylko naruszenie danych. Branża technologiczna była bardzo wyraźna w swoim sprzeciwie, obawiając się ogromnego ryzyka odpowiedzialności – “Wspieramy więcej jawności jako zasadę, lecz stawka jest dużo wyższa z uwagi na prywatne prawo do działania” powiedział Will Castleberry, wiceprezydent stanowej i lokalnej polityki Facebooka.

Google, Facebook, Verizon, Comcast i AT&T wniosło 200 000 $ każdy na rzecz komitetu sprzeciwiającego się proponowanemu głosowaniu.

Zostało także oszacowane, że firmy te wydały około 100 milionów dolarów na kampanię przeciwko ustawie, będącej przedmiotem głosowania w listopadzie 2018.

Tak więc inicjatywa została okrojona tak, aby zawierała tylko prywatne prawo do działania w przypadku naruszenia danych (nieautoryzowany dostęp, kradzież etc.).

Wtedy właśnie CCPA zostało zaprojektowane przez Mactaggarta; współtworzone i sponsorowane przez dwóch demokratycznych prawodawców, przemknęło przez stanową legislaturę, zostało jednogłośnie uchwalone i podpisane przez Gubernatra Kaliforni w czwartek, 28 czerwca 2018 – wszystko to w mniej niż jeden tydzień.

Jeden ze współautorów ustawy, Ed Chau nazwał ją “światłem RODO”.

Bitwy wygrane i walki do stoczenia

Bitwa, aby zawęzić lub poszerzyć egzekwowanie CCPA.

Wysiłki przemysłu technologicznego to próba zawężenia zakresu działania CCPA.

Jak mówi CCPA, to Prokurator Generalny Kalifornii jest odpowiedzialny za jego  egzekwowanie. Szczegółowe zasady wykonania tego muszą zostać zdefiniowane na piśmie przez Prokuratora Generalnego nie później niż w lipcu 2020.

Oznacza to, że w przypadku potencjalnych procesów sądowych i grzywien za pogwałcenie CCPA, to na Prokuratorze Generalnym spoczywa obowiązek narzucenia ich firmom takim jak Google, Facebook lub innym technologicznym gigantom, których bazą jest Dolina Krzemowa na południe od San Francisco.

“Jest coś niesprawiedliwego w dawaniu kalifornijskim konsumentom nowych praw i jednoczesnym odbieraniu im możliwości samoobrony w przypadku ich naruszenia” powiedział “L.A Times” Prokurator Generalny Becera 19 kwietnia 2019, jako odpowiedź na wysiłki, aby uniemożliwić użytkownikom egzekwowanie CCPA.

Jak dokładnie będzie wyglądać wprowadzanie w życie ustaleń CCPA, zobaczymy nie później niż w lipcu 2020, jednak propozycja regulacji Prokuratora Generalnego opublikowana w październiku 2019 rzuca światło na kierunek egzekutywy.

Projekt regulacji zostanie podany do wiadomości publicznej w Kalifornii na początku grudnia 2019, po czym spodziewane jest opublikowanie drugiego szkicu rozporządzenia.

Bitwa o federalne prawo ochrony danych

Kolejnym niepewnym elementem egzekwowania CCPA jest możliwość uchwalenia i egzekwowania prawa federalnego we wszystkich Stanach Zjednoczonych. To mogłoby potencjalnie zostawić w tyle stanowe regulacje, takie jak CCPA i stworzyć zupełnie nowy obszar dla wyższych organów prawnych.

To może także prowadzić do słabszej, ogólnopaństwowej wersji  bardziej restrykcyjnego stanowego prawa, jak CCPA.

Leży to, rzecz jasna, w interesie Doliny Krzemowej, która aktywnie lobbuje przeciwko CCPA.

Strach aktywistów na rzecz prywatności oraz grup konsumentów, tak samo, jak autorów i sponsorów CCPA, opiera się na tym, że choć federalne prawo może brzmieć jak zwycięstwo, które zapewni jednolite prawo w całych Stanach Zjednoczonych, w rzeczywistości okaże się przegraną konsumentów, ponieważ prawo federalne może zapewniać słabszy poziom prywatności niż CCPA.

Nadzieje aktywistów są, paradoksalnie, także takie, że prawo federalne może okazać się lepsze niż kalifornijskie.

Liczą na to, że Kalifornia będzie niższą poprzeczką, nad którą federalne prawo będzie mogło raczej nadbudowywać niż obcinać.

As California goes, so goes the nation, jak mówi stare amerykańskie powiedzenie, co znaczy Jak Kalifornia, tak idzie cały naród.

Lub, jak powiedział Alastair Mactaggart, gdy odwiedział Waszyngton, aby spotkać się z najważniejszymi senatorami i urzędnikami administracji Trumpa: “California leads, the others follow” – “Kalifornia prowadzi, inni podążają”

Chroń prywatność swoich użytkowników za darmo razem z Cookiebot

Dane są nową ropą… gdyby ropa była żywa

Przemysł technologiczny jest często porównywany do przemysłu naftowego sto lat temu – nieuregulowany, zmonopolizowany i zbyt potężny.

Mówi się, że dane są nową ropą, paliwem XXI wieku.

Jest to na wiele sposobów trafne porównanie, biorąc pod uwagę, że zarówno gorączka złota, jak i boom naftowy ostatnich wieków rozpoczęły się w Południowej Kalifornii. Nie da się jednak zapomnieć o ważnym rozróżnieniu:

Ropa była nieożywionym zasobem napędzającym maszyny; dane są mapowaniem ludzkiego zachowania, które zasila cyfrowe infrastruktury prawdopodobieństwa, aby przewidzieć i uczynić przewidywalnym co znaczy być osobą.

Gromadzenie i monetyzacja naszych wewnętrznych i zewnętrznych przeżyć uczyniło Dolinę Krzemową siłą równą narodowym stanom w kwestiach władzy i bogactwa.

Podczas gdy nieuregulowany przemysł naftowy uczynił garstkę ludzi bardzo bogatymi, a w konsekwencji bardzo potężnymi, nieuregulowany przemysł technologiczny czyni garstkę ludzi bardzo bogatymi i jednocześnie bardzo dobrze poinformowanymi, a w konsekwencji nieporównanie potężniejszymi niż potentatów naftowych ubiegłego wieku.

Ta wiedza to zbiorowe wzorce behawioralne społeczeństw i prywatne życie wewnętrzne miliardów ludzi.

Gromadzenie i monetyzacja rzeczonej wiedzy wprowadza nową erę kapitalizmu inwigilacyjnego, w którym, według profesor Harvardu, Shoshany Zuboff, “imperatywy ekonomiczne zmuszają wiodące firmy technologiczne do przyjęcia kursu kolizyjnego z demokracją. ”

Cóż, demokracja nie pozostaje dłużna.

CCPA odnosi się konkretnie do Złotego Stanu, nie jest prawem federalnym – ale Kalifornia jest jednocześnie piątą co do wielkości gospodarką na świecie i jest dalece prawdopodobne, że CCPA wyznaczy nowy standard praw prywatności w całym kraju, i że firmy będą spełniały wymogi CCPA w całych Stanach Zjednoczonych.

CCPA jest niewątpliwie punktem zwrotnym z historii cyfrowej prywatności w USA.

Google i Facebook są wciąż darmowe do użytku. Razem z CCPA, obywatele Kalifornii nie są już dłużej darmowi do użytku Google.

Zewnętrzne zasoby

Przetestuj Cookiebot za darmo już dziś!

The official CCPA law text

The official GDPR law text

The proposed draft regulations from the Attorney General of California

CCPA vs GDPR

The fascinating story of how a group of citizens took on Silicon Valley from the bottom-up and created the CCPA (California Consumer Privacy Act)

Brave’s letter urging stronger privacy for new proposed CPERA bill

California has become a battleground for the protection of consumer privacy laws

A look into the tech industry and big business lobbying in California going on now

A federal privacy law could do better than California’s

California law could be Congress’ model for data privacy. Or it could be erased.

After avoiding Congress for years, tech companies are now asking for help

Take a look at “The Age of Surveillance Capitalism” by Harvard Business professor Shoshana Zuboff

Jak RODO wpływa na pliki cookies i śledzenie użytkowników online? Jak zapewnić zgodność? Jak RODO wpływa na politykę cookies i sposób otrzymywania zgody na użycie plików cookies?

W tym artykule dowiemy się czym jest RODO i jakie znaczenie ma dla Twojej witryny internetowej.

RODO a pliki cookies

RODO to część nowych regulacji Unii Europejskiej będących najbardziej znaczącą inicjatywą w zakresie ochrony danych od 20 lat. Nowa regulacja ustala ścisłe wymagania odnośnie przetwarzania danych osobowych obywateli Unii Europejskiej.

Pliki cookies są wspomniane raz w 88 stronach regulacji. Jednak te kilka linii ma ogromne znaczenie dla użycia plików cookies:

(30): “Natural persons may be associated with online identifiers […] such as internet protocol addresses, cookie identifiers or other identifiers […]. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.”

(30): „Naturalne osoby mogą zostać powiązanie z identyfikatorami online […] takimi jak adresy IP, identyfikatory plików cookies i inne identyfikatory […]. To może zostawiać ślady, w szczególności gdy połączone z unikalnymi identyfikatorami i innymi informacjami otrzymanymi przez serwery, może zostać użyte do tworzenia profili naturalnych osób i identyfikować je.”

Innymi słowy: kiedy pliki cookies mogą identyfikować osobę, są uważane za dane osobowe.

O co chodzi z tymi plikami cookies?

Pliki cookies to małe pliki automatycznie zapisywane w przeglądarce użytkownika kiedy ten przegląda witryny internetowe. Same w sobie są nieszkodliwymi ciągami tekstu które są przechowywane lokalnie, mogą być przeglądane i usuwane.

Jednak pliki cookies mogą zawierać wiele informacji o Twojej aktywności i preferencjach. Mogą być używane do zidentyfikowania Ciebie bez Twojej wyraźnej zgody.

To stwarza poważne naruszenie z prawnego punktu widzenia, podczas gdy technologie przetwarzania danych rozwijają się w zastraszającym tempie i są coraz bardziej wyrafinowane, Twoja prywatność jako użytkownika jest coraz bardziej zagrożona.

Często pliki cookies nie pochodzą z witryny którą odwiedzasz ale z usług stron trzecich, które śledzą Cię w celach marketingowych itp. To wszystko dzieje się „w tle”, niewidocznie dla użytkownika.

Nie wszystkie pliki cookies są używane w celu identyfikowania użytkowników, ale większość z nich tak, zwłaszcza te najbardziej użyteczne dla właścicieli witryny i dlatego są przedmiotem podlegającym RODO.

Cookies dla analityki, reklamy i usług funkcjonalnych jak np Google Analytics czy przycisku „Lubię to” Facebooka, są przykładami plików cookies które mogą identyfikować użytkowników.

Problemy z plikami cookies to z jednej strony prywatność – jakie dane są rejestrowane – i z drugiej strony przejrzystość – kto zbiera informacje, w jakim celu, dokąd dane są przesyłane i na jak długo?

Dowiedz się więcej o plikach cookies z tego artykułu.

Nie wiesz czy Twoja witryna używa plików cookies? Sprawdź naszym darmowym testem, podaj tylko nazwę domeny i adres email. Darmowy test sprawdza 5 stron witryny. Potrzebujesz pełnego skanu? Załóż darmowe konto rejestrując swoją domenę.

Wymagania: Jak mieć pewność, że Twoja witryna i użycie plików cookies jest zgodne z RODO?

Jako właściciel witryny aby zapewnić zgodność z RODO musisz zrewidować procesy zarządzania danymi i upewnić się, że dane osobowe są zarządzane zgodnie w nowymi regulacjami (ang).

Sprawdź także stronę z infografiką udostępniona w witrynie Unii Europejskiej: Data protection: Better rules for small business(ang)

Rozporządzenie o Ochronie Danych Osobowych wymienia imię, nazwisko, zdjęcie, adres email, dane bankowe, posty z sieci społecznościowych, informacje medyczne, adres IP urządzenia jako dane osobiste.

Jeśli Twoja witryna internetowa lub organizacja przetwarza dane które są (a) bezpośrednimi danymi osobowymi lub (b) danymi które w połączeniu z innymi danymi mogą zidentyfikować osobę jako jednostkę, takie dane podlegają rozporządzeniu RODO i muszą być zarządzane zgodnie z nowymi przepisami.

Zmapuj i oszacuj dane wrażliwe w Twojej organizacji, sprawdź politykę bezpieczeństwa i upewnij się, że dane są bezpieczne.

Dwa kluczowe aspekty na które należy zwrócić uwagę to:

• Jak przechowujesz dane klientów i użytkowników w Twojej organizacji, oraz
• Pliki cookies na Twojej stronie (bezpośrednie oraz pochodzące od stron trzecich).

Dostosowanie polityki prywatności oraz polityki cookies jest ważną częścią tego procesu zapewnienia zgodności z RODO.

Jakie cechy powinna mieć zgoda na użycie plików cookies spełniająca wymagania RODO?

Jednym z najważniejszych wymagań które stawia RODO znajduje się w definicji prawidłowego uzyskania zgody na użycie plików cookies. Zgoda powinna:

• Informować: Dlaczego, jak i gdzie są używane dane osobowe? Dla użytkownika musi być jasne na co się zgadza. Użytkownik musi mieć możliwość zaakceptowania lub odrzucenia różnych plików cookies.

• Bazować na prawdziwym wyborze: Znaczy to, że użytkownik musi mieć możliwość używania witryny i jej funkcji nawet gdy zgoda na użycie plików cookies innych niż niezbędne do prawidłowego działania witryny, nie zostanie wyrażona.

• Być wydana jako dobrowolne działanie i nie może być błędnie interpretowana.

• Powinna być wydana zanim jakiekolwiek przetwarzanie danych osobowych ma miejsce.

• Być odwracalna. Użytkownik musi mieć możliwość zmiany ustawień wydanej zgody w prosty sposób w dowolnym momencie.

Co więcej,

• Użytkownik ma prawo do bycia zapomnianym. Na życzenie użytkownika, wszystkie jego dane osobowe muszą być usunięte.

• Wszystkie wydane zgody muszą być przechowywane jako dokumentacja wydania zgody.

Jakie wymagania ma zgodna z RODO informacja o użyciu plików cookies?

Wyżej wymienione wymagania sprawiają, że większość obwieszczeń i banerów użycia plików cookies staje się zdezaktualizowanych nie spełniając wymogów RODO.

Na przykład, zgoda domyślna informująca o „Zgodzie na używanie plików cookies przy dalszym używaniu strony internetowej” już nie wystarczy.

To samo dotyczy wyskakujących okienek i banerów z podobną informacją dla użytkowników.

Prosty przycisk „Zgadzam się” również nie wystarczy.

Poniżej przykład banera zgody na użycie plików cookies nie zgodnego z wymaganiami RODO.

Przykład zgodnego z RODO banera na użycie plików cookies:

Poniżej baner zbierający zgody na pliki cookies z systemu Cookiebot (dostępny w 43 językach), zgodny z RODO i unijną dyrektywą e-prywatności:

Baner zgody na cookies jest zgodny z nowymi regulacjami dlatego, że:

• Przede wszystkim, mimo, że to niewidoczne dla oka, uruchamianie wszystkich skryptów, poza niezbędnymi dla działania strony, jest zatrzymane dopóki zgoda nie zostanie wyrażona. Nazywa się to ’uprzednią zgodą’ i jest wymogiem zarówno RODO jak i dyrektywy e-prywatności. (wymaga to drobnych zmian w kodzie strony). W przypadku RODO, zgoda musi być wyrażona dla plików cookies śledzących dane osobiste, podczas gdy dyrektywa e-prywatności wymaga zgody użytkownika przed zapisaniem w przeglądarce użytkownika jakichkolwiek plików cookies innych niż ściśle wymagane.

• Informacja o plikach cookies jest dokładna i szczegółowa oraz jest wyrażona prostym i zrozumiałym językiem, tak jak wymagają tego przepisy RODO.

• Jeśli użytkownik wybierze opcję pokazania szczegółów, baner rozwija się wyświetlając pełną listę wszystkich aktywnych plików cookies i technologii śledzących w użyciu na stronie. Lista pochodzi z comiesięcznych skanów witryny identyfikujących wszystkie znane rodzaje cookies i technologii śledzących wraz ze szczegółami takimi jak pochodzenie, czas życia i opis przeznaczenia.

• Pliki cookies są pogrupowane w cztery kategorie, na które użytkownik może wyrazić zgodę bądź je odrzucić. Niezbędne pliki cookies nie mogą być odrzucone, ponieważ są wymagane do prawidłowego działania witryny. Kategorie plików cookies które nie zbierają danych osobistych mogą być zaznaczone domyślnie, pozostałe muszą być aktywnie zaznaczone przez użytkownika zgodnie z wymogami.

• W przykładzie powyżej, statystyczne pliki cookies nie zbierają danych osobowych, mogą być zatem domyślnie zaznaczone. Cookies z kategorii marketing śledzą dane osobowe, zatem domyślnie nie są zaznaczone.

• Użytkownik ma dostęp do ustawień wyrażonej zgody i może w dowolnym momencie ją zmienić czy odrzucić.

• Wszystkie wydane zgody są bezpiecznie przechowywane jako dokumentacja tego, że zgoda została wydana.

• Po 12 miesiącach od pierwszej wizyty użytkownika na stronie, baner zgody pojawia się ponownie prosząc użytkownika o odnowienie zgody.

Jak zapewnić zgodność polityki cookies z RODO?

Rozporządzenie o Ochronie Danych Osobowych stawia nowe wymagania polityce cookies.

RODO i dyrektywa e-prywaności wymaga uprzedniej zgody informującej użytkowników witryny a RODO stawia wymaganie dokumentowania każdej wydanej zgody.

W tym samym czasie musisz udzielić informacji jakie dane użytkowników są udostępniane usługom stron trzecich używanym w Twojej witrynie (np Google Analytics czy Facebook) i dokąd w świecie dane te są wysyłane.

Polityka cookies zgodna z RODO i dyrektywą e-prywatności musi spełnić następujące wymagania:

Polityka cookies musi być przejrzysta

Polityka cookies musi w dowolnym momencie dać użytkownikowi jasny i dokładny obraz jak pliki cookies są używane w witrynie. Wymogiem jest to, żeby polityka cookies była napisana prostym i zrozumiałym językiem.

Przegląd i odpowiedzialność za pliki cookies na Twojej stronie

Twoja organizacja może być poddana kontroli i zmuszona do wyczerpującego opisania procesów zarządzania danymi przetwarzanymi na Twojej witrynie internetowej.

To łatwiej powiedzieć niż zrobić ponieważ większość witryn używa dużej liczby plików cookies stron trzecich.

Zgoda wydana jako pozytywna, dobrowolna akcja

Największą zmianą dla plików cookies i śledzenia online w związku z RODO jets to że zgoda musi być wydana w jasny i dobrowolny sposób.

Obywatele UE przyzwyczaili się już, chociaż to nadal irytujące, do banerów na stronach internetowych informujących o użyciu plików cookies, czasem zapraszających do poznania więcej informacji i jednym przyciskiem, nie dającym prawdziwego wyboru.

Według nowych przepisów to nie wystarczy. Zgoda musi być wyrażona w jasny i dobrowolny sposób a opcja odrzucenia plików cookies musi być dostępna.

Możliwość odrzucenia plików cookies w dowolnym momencie.

Użytkownik musi mieć możliwość dorzucenia zgody.

Należy zapewnić użytkownikom możliwość wglądu w wyrażone zgody w dowolnym momencie lub jej zmiany lub całkowitego odrzucenia.

Odnowienie zgody

Po każdych 12 miesiącach, zgoda powinna być odnowiona podczas kolejnej wizyty na stronie.

Przyjazny dla użytkownika opis

Wyzwanie RODO to z jednej strony to, że użycie plików cookies powinno być przejrzyste a użytkownicy powinni być informowani jak ich dane są używane.

Z drugiej strony, komunikacja powinna być prosta i czytelna tak aby użytkownik miał prawdziwy wybór i wiedział na co się zgadza.

Uprzednia zgoda

Wraz z RODO i dyrektywą e-prywatności zgoda użytkownika musi być wyrażona zanim pliki cookies zostaną zapisane. W RODO potrzebujesz uprzedniej zgody aby ustawić pliki cookies zapisujące dane osobiste, podczas gdy dyrektywa e-prywatności idzie znacznie dalej, wymagając zgody do ustawienia wszystkich plików cookies, poza ściśle wymaganymi.

Zgoda musi być przechowywana jako dowód.

Wszystkie zgody muszą być bezpiecznie przechowywane aby stanowić dowód w razie kontroli.

Czy mogę używać szablonu polityki cookies?

W internecie istnieje wiele usług udostępniających generatory lub szablony dla polityki cookies. Wystraczy wygooglować „szablon polityki cookies”.

Należy jednak zachować ostrożność. Nie zalecamy użycia szablonów ponieważ wymaganiem RODO jest to, żeby informacja o plikach cookies i śledzeniu online była dokładna i szczegółowa.

Po pierwsze, wszystkie strony są różne a po drugie pliki cookies zmieniają się bez poinformowania właścicieli witryn o tym fakcie, zwłaszcza jeśli używasz usług stron trzecich takich jak zagnieżdżone treści, reklamy czy narzędzia analityczne.

Z Cookiebot oferowanym na zgodnosczrodo.pl  możesz opublikować raport comiesięcznego skanu Twojej witryny jako część Twojej polityki prywatności lub polityki cookies.

W ten sposób informacja o użyciu plików cookies jaką udostępniasz odwiedzającym Twoją witrynę jest dokładna i szczegółowa przez cały czas.

Jak w prosty sposób sprawić aby użycie plików cookies i śledzenia użytkowników było zgodne z RODO i dyrektywą e-prywatności?

Aby spełnić wymagania RODO, możesz stworzyć własny mechanizm zbierania i przechowywania zgód na użycie plików cookies. Lub założyć konto Cookiebot, jedno z niewielu w pełni zgodnych z RODO rozwiązań dla plików cookies i śledzenia online.

Cookiebot łączy politykę cookies z monitorowaniem aktywności cookies w Twojej witrynie, dając pewność, że polityka cookies jest aktualna i prawdziwa przez cały czas.

Generowany co miesiąc raport o użyciu plików cookies i przetwarzania danych na stronie daje kontrolę przez cały czas.

Zgoda użytkownika jest zbierana przy użyciu zrozumiałego banera umożliwiającego użytkownikom w prosty sposób wyrażenie zgody lub odrzucenie cookies.

Użytkownicy mają w każdej chwili dostęp do ustawień zgody z możliwością zmiany lub odrzucenia zgody.

Po każdych dwunastu miesiącach zgoda jest odnawiana przy kolejnej wizycie użytkownika na stronie.

Informacja w banerze jest komunikowana w przyjazny dla użytkownika sposób, dając przejrzystość bez nadmiaru informacji.

Zgoda jest wymagana zanim pliki cookies są zapisane, poza cookies niezbędnymi do działania strony a zatem legalnymi.

Wszystkie zgody są zbierane automatycznie przy użyciu bezpiecznego połączenia i przechowywane jako zaszyfrowane dane.

Zasoby i źródła

The GDPR
What the EU’s General Data Protection Regulation means for website compliance
How do you make your website gdpr compliant and what is the general data protection regulation anyway?
“6 steps to GDPR compliance” in Information Age Digital Edition
Informative blogpost on GDPR-consent
How the GDPR affect cookie policies
GDPR: When do you need to seek consent
Data protection – Better rules for small business
2018 reform of EU data protection rules
Video: GDPR in 97 seconds

Cookiebot to usługa która pomaga zapewnić zgodność użycia plików cookies i śledzenia online z prawem UE o ochronie danych osobistych i prywatności online: RODO i dyrektywą e-prywatności.

W tej instrukcji krok po kroku pokażemy Ci jak:

1. Zaimplementować baner zgody na cookies w Google Tag Manager
2. Kontrolować pliki cookies
3. Wyświetlić deklarację cookies na stronie

1. Implementacja banera zgody na cookies w Managerze Tagów Google (GTM)

Wszyscy gotowi? Najpierw, upewnij się, że już masz…

1. konto w Google Tag Manager (dalej: GTM),
2. utworzony kontener strony w GTM oraz,
3. dodany kod kontenera z GTM do swojej strony zgodnie z wymaganiem: Manager Tagów: 6103696

W Twoim kontenerze GTM stwórz nowy tag klikając „DODOAJ NOWY TAG” > „Niestandardowy Tag HTML”.

W polu „HTML” wklej następujący kod, zmieniając klucz „00000000-0000-0000-0000-000000000000” na Twój własny klucz z zakładki „Your scripts” w Cookiebot Manager:

<script id="Cookiebot" src="https://consent.cookiebot.com/uc.js?cbid=00000000-0000-0000-0000-000000000000" type="text/javascript"></script>
<script>
function CookiebotCallback_OnAccept() {
    if (Cookiebot.consent.preferences)
        dataLayer.push({'event':'cookieconsent_preferences'});
    if (Cookiebot.consent.statistics)
        dataLayer.push({'event':'cookieconsent_statistics'});
    if (Cookiebot.consent.marketing)
        dataLayer.push({'event':'cookieconsent_marketing'});
}
</script>

Wybierz  „All pages” jako regułę uruchamiania taga i dodaj nazwę taga np „Cookie Consent”. Kliknij „Zapisz” aby utworzyć tag. Konfiguracja Twojego taga powinna wyglądać mniej więcej jak poniżej (poza Twoim kluczem):

Na końcu, opublikuj zmiany klikając „Prześlij” aby zmiany zostały uruchomione na Twojej stronie.

Upewnij się, że masz zarejestrowaną domenę swojej strony na swoim koncie Cookiebot. Baner zgody na cookies jest już aktywny na Twojej stronie.

2. Kontrolowanie plików cookies

Aby uaktywnić skrypty zależnie od zgody wyrażonej przez odwiedzającego witrynę, trzeba dodać logikę kontrolującą pliki cookies dla skryptów zapisujących pliki cookies w Twojej witrynie.

Przykład: Google Analytics

W tym przykładzie, zobaczymy jak zaimplementować i kontrolować Google Analytics Universal (GAU) z Cookiebot w Managerze Tagów Google (GTM), tak aby GAU zapisywało cookies tylko gdy użytkownik wyraził zgodę na użycie statystycznych plików cookies.

W GTM wybierz „Reguły” i kliknij „NOWE”.

Wybierz „Zdarzenie niestandardowe” i wpisz tekst „cookieconsent_statistics” w polu „Nazwa zdarzenia”.

Kliknij „Zapisz” aby utworzyć regułę.

Konfiguracja Twojej reguły powinna wyglądać tak:

Powtórz powyższe kroki dla każdego typu plików cookes, tak aby utworzyć trzy reguły z następującymi nazwami „cookieconsent_preferences”, „cookieconsent_statistics” i „cookieconsent_marketing”.

Teraz utwórz tag GAU klikając „NOWY” z listy tagów albo edytuj Twój istniejący tag GAU.

Jeśli tworzysz nowy tag GAU, pod „Wybierz typ tagu” wybierz „Universal Analytics” .

Pod „Ustawienia Google Analytics” wybierz „Nowa zmienna…” i w polu „Identyfikator śledzenia” wpisz Twój identyfikator śledzenia (Tracking ID) z GAU (dostępne w Google Analytics.

Kliknij „Zapisz”.

Jako regułę, wybierz właśnie utworzoną regułę, „cookieconsent_statistics”.

Kliknij „Zapisz” aby utworzyć lub uaktualnić tag.

Tak powinna wyglądać Twoja konfiguracja taga GAU (poza identyfikatorem śledzenia/Tracking ID):

Na końcu, kliknij „Prześlij” aby przesłać zmiany na swoją stronę.

Google Analytics Universal jest teraz włączone na Twojej stronie i działa zgodnie ze zgodą wydaną przed odwiedzającego Twoją witrynę, tak jak tego wymaga ją nowe przepisy o ochronie prywatności.

Kontrolowanie cookies wieloma regułami

Podczas gdy powyższe podejście jest wystarczające kiedy używamy jednej reguły dla taga, gdy musimy użyć wielu reguł naraz potrzebne jest inne podejście.

W GTM, tag zostanie uruchomiony jeśli jakakolwiek reguła będzie spełniona. Podczas gdy my chcemy aby tag został uruchomiony tylko jeśli dana reguła jest spełniona oraz odpowiednia zgoda na cookies jest wydana naraz. W tym celu należy dodać warunek do istniejącej reguły zamiast dodać regułę zgody na cookies do tagu. Wszystkie warunki reguły muszą być spełnione aby tag został uruchomiony.

Wartości warunku które należy dodać to The values of the cookie consent trigger condition to add are: Event – równa się – cookieconsent_marketing.

Zmień  „cookieconsent_marketing” z  „cookieconsent_preferences”  lub  „cookieconsent_statistics”, zależnie od typu cookies ustawianych przez tag.

Przykład dodania warunku do istniejącej reguły:

Jeśli Twoja reguła jest typu innego niż „Zdarzenie niestandardowe” np „Kliknięcie Tylko linki”, nie będzie można zdefiniować warunku reguły bazując na zdarzeniu (Event) jak to miało miejsce powyżej. W tym przypadku trzeba zdefiniować nową „Zmienną zdefiniowaną przez użytkownika” typu „Niestandardowy kod JavaScript” dla każdej kategorii plików cookies.

Przykład:
Utwórz nową zmieną zdefiniowaną przez użytkownika i nazwij ją „Cookiebot.consent.marketing”. W polu „Niestandardowy kod JavaScript” dodaj następujący kod:

Powtórz to aby stworzyć zmienne dla „preferences” i „statistics” cookies zmieniając „marketing” w nazwie zmiennej i kodzie Javascript.

Teraz wróć do konfiguracji reguł i dodaj nowy warunek odnosząc się do jednej lub więcej zdefiniowanych powyżej zmiennych, np „Cookiebot.consent.marketing” – zawiera – true

Uwaga: Jeśli Twoja istniejąca reguła ma typ zdarzenia typu „Page View„, trzeba zmienić ją na typ „Wczytanie okna” (ang. „Window Loaded”) ponieważ zgoda użytkownika nie jest dostępna dla GTM przed wczytaniem okna.

3. Implementacja deklaracji cookies

Jeśli chcesz wyświetlić deklarację cookies dla swojej strony w pełnej długości na określonej podstronie np na osobnej stronie „deklaracja cookies” lub jako część polityki prywatności, GTM może dodać dekaracje w czasie rzeczywistym do pustego elementu HTML zidentyfikowanego atrybutem „id” lub nazwą klasy.

Najpierw utwórz nową regułę ze ścieżką do strony np „/privacypolicy”.

Z listy reguł kliknij „NOWA” i wybierz typ reguły  „Wyświetlenie strony” (ang „Page View”).

Wybierz „Niektóre wyświetlenia strony” i zdefiniuj warunek uruchomienia reguły:

Page ULR – równa się – /privacypolicy

Kliknij „Zapisz” aby utworzyć regułę.

Tak powinna wyglądać konfiguracja reguły (poza adresem url):

Z listy tagów utwórz nowy „Niestandardowy Tag HTML”. Do pola „HTML” skopiuj i wklej poniższy kod zmieniając klucz „00000000-0000-0000-0000-000000000000” na Twój własny z Managera Cookiebot jak to wyjaśniono wcześniej.

Upewnij się, że zmienna „contentPlaceholder” jest przypisana do odpowiedniego elementu HTML z Twojej strony zmieniając id elementu „bodycontent” na id elementu na Twojej stronie.

Pod sekcją „Reguły” wybierz właśnie utworzoną regułę. Kliknij „Zapisz” aby utworzyć tag. Konfiguracja tagu powinna wyglądać podobnie jak poniżej (poza kluczem):

W końcu kliknij „Prześlij” aby opublikować zmiany na Twojej stronie.

Deklaracja cookies będzie teraz wyświetlana na stronie która została ustawiona w konfiguracji.

Końcowe uwagi: co trzeba wiedzieć o RODO

---

RODO czyli Rozporządzenie o Ochronie Danych Osobowych z angielskiego The GDPR, ‘The General Data Protection Regulation’, to najbardziej znacząca inicjatywa dotycząca prywatności online i ochrony danych osobowych od ostatnich 20 lat.

Data wprowadzenia to 25 maja 2018 i dotyczy wszystkich stron położonych na terenie UE oraz tych które mają użytkowników z terenu UE.

Kary za niedostosowanie się do RODO są bardzo wysokie: do 20 milionów euro lub 4% globalnego rocznego obrotu organizacji, którekolwiek wyższe.

RODO i cookies

Dla właścicieli stron i blogów, główny aspektem na który trzeba zwrócić uwagę jest użycie plików cookies i technologii śledzenia użytkowników witryny. To dotyczy cookies pochodzących bezpośrednio z danej witryny jak i pochodzące z usług stron trzecich (np Google lub Facebook itp).

Prawie wszystkie strony używają plików cookies. Czy Twoja witryna też? Sprawdź swoją stronę skanem użycia cookies zgodnie z RODO dostępnym tutaj.

Większość plików cookies zbiera dane, które samodzielnie lub w połączeniu z innymi danymi mogą stanowić dane osobiste zgodnie z definicją RODO.

Zatem musisz bezwzględnie dostosować użycie plików cookies w Twojej witrynie zgodnie z przepisami RODO.

Dwa najważniejsze aspekty aby zapewnić zgodność z wymaganiami RODO:

1. Zgodna z RODO polityka cookies

Upewnij się, że Twoi użytkownicy mają dostęp do właściwiej polityki cookies na Twojej stronie. Aby polityka cookies była zgodna z RODO musi dostarczać dokładnych, szczegółowych i aktualnych informacji o plikach używanych w Twojej witrynie oraz instrukcje jak wydać zgodę na użycie plików cookies a także jak zgodę odrzucić.

Poza tym nie ma znaczenia czy polityka cookies jest niezależnym dokumentem czy jest częścią polityki prywatności tak długo jak dane są łatwo dostępne dla użytkowników.

Przeczytaj pełen wstęp do polityki cookies zgodnej z RODO tutaj.

2. Zgoda na użycie plików cookies zgodna z RODO i dyrektywą e-prywatności

Aby użycie plików cookies było zgodne z RODO i dyrektywą e-prywatności musisz najpierw zdobyć zgodę użytkownika.

Zgoda musi być…

• wydana przed ustawieniem plików cookies. Znaczy to, że musisz zaimplementować rozwiązanie które wstrzyma ustawienie plików cookies zanim zgoda na ich ustawienie zostanie wydana.
• wydana na podstawie prawdziwych informacji. Twoi użytkownicy muszą mieć udostępnioną dokładną i szczegółówą informację czego dotyczy zgoda.
• odwracalna. Musisz dać swoim użytkownikom dostęp do ich ustawień tak aby mogli w dowolnym momencie zmienić lub odrzucić zgodę dotyczącą Twojej witryny.
• wydana na podstawie prawdziwego wyboru. Użytkownicy muszą mieć możliwość używania strony nawet gdy odrzucili wszystkie pliki cookies które nie są niezbędne.
• przechowywana jako dokumentacja. Wszystkie wydane zgody muszą być przechowywane bezpiecznie jako dowód, że zgoda została wydana.
• odnawiana raz na rok. Po każdych 12 miesiącach, zgoda użytkownika musi być odnowiona.

Przeczytaj nasz artykuł zgoda na cookies i dowiedz się więcej o wymaganiach oraz jak zapewnić zgodność ze wszystkimi przepisami za jednym zamachem.

WordPress, wtyczki i cookies

Jeśli masz stronę opartą na WordPress możesz w prosty sposób zapewnić zgodność dodając wtyczkę Cookiebot.

Przeczytaj więcej o WordPress, cookies i wtyczkach tutaj.

Pliki cookies są najlepiej znaną technologią służącą do tego celu.

Śledzenie użytkowników online służy organizacjom, firmom, witrynom internetowym itp do poznania użytkowników, ich zachowań i preferencji.

Ten wgląd służy optymalizacji przyjazności i doświadczeń użytkownika a także do celów statystycznych, personalizacji, handlu, profilowania i kierowanej reklamy.

Co to jest śledzenie użytkowników online?

Kiedy użytkownicy przeglądają internet, potencjalnie wszystko może być śledzone:

• ich zapytania w wyszukiwarkach internetowych
• strony które odwiedzają
• częstotliwość powracania na strony
• na co klikają
• jak długo przebywają na stronie
• z jaką prędkością przewijają
• kiedy się zatrzumują
• komentarze i reakcje które mogą dodawać na stronach lub w mediach społecznościowych
• itd.

Śledzenie online to 'monitorowanie lub nagrywanie aktywności użytkowników w cyfrowym świecie’. Jest to zjawisko bardzo powszechne, ale świadomość i informowanie o istnieniu tego faktu pozostawia wiele do życzenia:

• nie jest jasne dla użytkowników kiedy są śledzeni, jak, przez kogo i dokąd dane są wysyłane i w jakim celu

oraz,

• śledzenie odbywa się bez zgody użytkowników.

To jest główny cel dlaczego Unia Europejska wprowadziła ścisłe regulacje ochrony danych osobowych osób prywatnych GDPR (The General Data Protection Regulation) w Polsce znane jako RODO (Rozporządzenie o Ochronie Danych Osobowych).

Głównym powodem wprowadzenia RODO jest oddanie kontroli nad własnymi danymi osobowymi w ręce użytkowników przez powiększenie przejrzystości i wglądu w to jak użytkownik jest śledzony, przez kogo, w jakim celu wraz z możliwością zapobiegania temu śledzeniu.

Kto śledzi użytkowników internetu i dlaczego?

Nie ma na to prostej odpowiedzi ponieważ na śledzenie składa się wiele rzeczy. Najpopularniejsze powody to:

1. Śledzenie użytkowników dla statystyki, funkcjonalności, wydajności itp.

Strony śledzą użytkowników bezpośrednio a także używając zintegrowanych usług stron trzecich takich jak Google Analytics, głównie aby zdobyć wgląd jak strony są używane.

To daje właścicielowi witryny możliwość zoptymalizowania funkcjonalności strony tak aby spełniła wymagania użytkownika jak najlepiej.

2. Śledzenie użytkowników dla handlu internetowego

Sklepy internetowe i witryny ecommerce śledzą użytkowników aby zmaksymalizować zyski.

W prostych słowach, im więcej komercyjna witryna wie o użytkownikach, ich zachowaniach, zainteresowaniach i potrzebach, tym lepiej może zaprezentować produkty poszczególnym użytkownikom i tym samym zwiekszyć sprzedaż.

3. Śledzenie użytkowników do profilowania i kierunkowej reklamy

Witryny umożliwiają także reklamodawcom (stronom trzecim) śledzenie ich użytkowników i wyświetlanie reklam w witrynie umożliwiając w ten sposób zarabianie.

W szczególności strony z wiadomościami i inne strony z treściami redakcyjnymi zawierają duże ilości trackerów stron trzecich. Wiele z tych stron dostarcza treści za darmo bez żadnego finansowania zewnetrznego. Zatem muszą zarabiać na wyświetleniach stron ze znacznie wiekszą ilością reklam niż strony promujące komercyjne produkty czy stony będące własnością rządową czy podmiotów publicznych.

Reklamodawcy śledzą użytkowników po to aby ukierunkować marketing z największą możliwą dokładnością i wyświetlać ich reklamy do najbardziej istotnych potencjalnych klientów.

Sieci reklamowe

Typowo reklamodawcy używają wielkich sieci reklamowych do pomocy w marketingu ich produktów do najbardziej istotnej publiczności w internecie. Największa sieć reklamowa to Google Adsense.

Badania na temat śledzenia użytkowników w internecie

W styczniu 2016, w badaniach Uniwersytetu Princeton przeanalizowano śledzenie użytkowników online w milionie największych stron internetu.

To największe badanie do tej pory o technologii śledzenia użytkowników w internecie.

Kluczowym wynikiem badań było to, że trackery usług stron trzecich obecne w internecie mają postać klasycznego wykresu długiego ogona (long tail graph):

Pomimo, że naukowcy w sumie wykryli ponad 81 tys. trackerów stron trzecich obecnych przynajmniej na dwóch witrynach (wskazując tym, że to trackery stron trzecich), tylko garść była obecna na większości z miliona przeanalizowanych stron.

Top pięć narzędzi śledzących pochodzi od Google.

Google Analytics, produkt używany do logowania użytkowników odwiedzających witryny ze zintegrowanymi systemami wyświetlania kierunkowych reklam, został znaleziony w prawie 70% przebadanych stron. DoubleClick, dedykowany system wyświetlania reklam Google, został znaleziony w prawie 50% stron.

Ilustracja z badań Study nad Web Transparency

Jak strony śledzą użytkowników?

Najbardziej powszechną i najlepiej znaną technologią śledzenia użytkowników są pliki cookies.

Inne znane technologie śledzenia online to pixel tag, ultradźwiękowe nadajniki, i odcisk palca przeglądarki (browser fingerprinting), i inne.

Cookies, web cookies, HTTP cookies i ciasteczka internetowe.

Cookie czyli ciasteczko to prosty łańcuch tekstu zapisywany w przeglądarce użytkownika kiedy odwiedzają witrynę. Ma na celu umożliwić stronie rozpoznanie i zapamiętanie użytkowników.

Cookie zostało wynalezione w 1994 przez Lou Montulli i John Giannandrea z Netscape i oryginalnie służyło udostępnieniu witrynie 'pamięci’ aby mogła na przykład przechowywać zawartość koszyka zakupowego kiedy użytkownik przeglądał przedmioty dostępne w sklepie internetowym.

Ciasteczka nadal służą do tego celu, to jednak mogą również monitorować użytkowników i dać duży wgląd w zachowanie użytkowników.

Cookies są szeroko używane w profilowaniu i kierunkowym marketingu i większość stron ustawia setki plików cookies pochodzenia bezpośredniego jak i pochodzące ze stron trzecich.

Ostatnimi czasy jednak pliki cookies zyskują złą sławę i wielu użytkowników wybiera możliwość blokowania plików cookies w swoich przeglądarkach.

Przeczytaj nasze pełne wprowadzenie do plików cookies.

Co to są śledzące tagi pixel?

Śledzące pixele nazywane również tagami pixel lub pixelami 1×1 to przezroczyste obrazy zawierające pojedynczy pixel, obecne (jednak właściwie niewidoczne) na stronie internetowej lub we wiadomości email.

Kiedy użytkownik ładuje stronę lub otwiera wiadomość email, pixel jest również ładowany, przeważnie serwer reklamodawcy odczytuje i zapisuje otwarcie strony internetowej lub wiadomości email i innych czynności użytkownika.

Cel jest tem sam co pliki cookies stron trzecich: zyskanie wiedzy o użytkownikach dla marketingu kierunkowego.

Nadajniki ultradźwiękowe (ultrasound beacons): Czym są i jak działają?

Nadajniki ultradźwięków lub nadajniki ultrasoniczne, czasem w skrócie uBeacons, emitują wysokotonowe dźwięki z urządzenia używanego kiedy odwiedzasz stronę internetową która ma zainstalowany taki nadajnik.

Dźwięk jest niesłyszalny dla ludzi ale np psy mogą go usłyszeć i inne urządzenia w pobliżu tego którego używasz reagują na niego.

uBeacon służy jako most łączący świat cyfrowy ze światem fizycznym.

Podstawową zaletą beaconów ultradźwięków jest to, że umożliwiają wysyłającemu sygnał zdobycie wglądu jakie urządzenia są podłączone ze sobą; Twoj pc, smartphone, tablet itd rozwiązując problem sprzedawców i trackerów wynikający z tego, że użytkownik może poruszać się pomiędzy urządzeniami.

Coraz więcej aplikacji mobilnych potajemnie śledzi użytkowników przy pomocy beaconów w innych wyszukanych celach:

Na przykład niektóre sklepy mają zainstalowane beacony ultradźwięków przy wejściu które wchodzą w interakcję z Twoim telefonem gdy wchodzisz do środka umożliwając sprzedawcom śledzenie konsumentów w świecie fizycznym jak i online.

Więc jeśli na przykład wchodzisz do sklepu z firmowymi butami sportowymi, który ma zainstalwany nadajnik uBeacon, ta firma sprzedająca buty sportowe teraz wie, że możesz interesować się kupnem ich butów, nawet jeśli nigdy nie odwiedziłeś ich witryny ani nie szukałeś ich butów online.

Co to jest śledzenie odcisku palca przeglądarki (browser fingerprint tracking)?

Nawet gdy użytkownik blokuje pliki cookies i używa VPN aby ukryć rzeczywisty adres IP, nadal istnieją metody do śledzenia użytkownika.

Jeden z nich to odcisk palca przeglądarki. Odcisk jest unikalny dla Twojego komputera, urządzenia i przeglądarki.

Kiedy użytkownik odwiedza stronę, jego komputer czy urządzenie na którym odwiedza stronę, dostarcza stronie wysoko dokładne informacje na temat ich systemu i ustawień. Używając tych informacji do identyfikowania i śledzenia użytkowników jest znane jako zbieranie odcisków pala urządzenia lub przeglądarki (browser fingerprinting).

Unikalność może wynikać z Twojej szczególnej konfiguracji, ustawień, a nawet kurzu na obiektywie wbudowanej kamery!

Inne technologie i metody śledzenia użytkowników

W dodatku do standardowych plików cookies, tagów pixel, beacons ultradźwięków i odcisków palców przeglądarki, istnieją inne metody śledzenia użytkowników takie jak nieusuwalne pliki cookie zombie lub super cookies, dynamiczne cookies, Silverlight Isolated Storage, IndexedDB, itd.

Cały świat zaczyna sobie zdawać sprawę, że w cyfrowej epoce dane to wyjątkowo cenny towar mogące być używane do przejęcia kontroli nad rynkami, wpływaniem na masy ludzi a nawet wygrania wyborów.

Metody zbierania danych i śledzenia użytkowników ciągle ewoluują a używane środki są niesłychanie kreatywne.

RODO (GDPR) i dyrektywa e-prywatności to dwie inicjatywy Unii Europejskiej mające na celu uregulowanie śledzenia użytkowników i ochronę ich danych osobowych. Prawdopodobnie obie nie wystarczą ale są ważnym krokiem ku ochronie danych użytkowników internetu.

Jak działa Cookiebot?

Cookiebot,rozwiązanie oferowane na zgodnosczrodo.pl umożliwiające używanie plików cookies i innych technologii śledzących zgodnie z nowymi przepisami RODO i dyrektywy e-prywatności, przywracając przejrzystość informując użytkowników i zbierając od nich zgodę na śledzenie na Twojej witrynie.

To jedno z niewielu w pełni zgodnych z nowymi przepisami rozwiązań na rynku.

Cookiebot zawiera trzy główne funkcje:

Skan witryny

Skan wykrywa i identyfikuje wszystkie znane typy technologii śledzących na stronie.

Skanowanie Twojej strony odbywa się przy pomocy 7-8 symulowanych użytkowników odwiedzających stronę co 1,5 sekundy. To na tyle mało aby nie spowodować problemów z wydajnością ale wystarczająco aby wykryć wszystkie typy technologii śledzących na Twojej stronie, wliczając dynamiczne cookies, beacony ultradźwięków, tagi pixel i odciski palców.

Wypróbuj darmowy skan sprawdzający 5 stron Twojej witryny, podaj jedynie nazwę witryny i adres email na który zostanie przesłany raport.

System zgody na pliki cookies

Kiedy użytkownik odwiedza Twoją witrynę, Cookiebot deaktywuje ładownie wszystkich skryptów poza wyjątkim niezbędnych do działania witryny dopóki użytkownik nie wyda zgody na użycie plików cookies, zgodnie z wymogiem 'uprzedniej zgody’ nowych przepisów.

Wszystkie pliki cookies i technologie śledzące są pogrupowane w 4 kategorie na które użytkownik może się zgodzić lub je odrzucić.

Wszystkie zgody użytkowników są bezpiecznie przechowywane jako dokumentacja faktu wydania zgody, jako wymaganie RODO.

Przejrzystość i pełna kontrola

Comiesięczny skan tworzy raport wszystkich technologii śledzenia używanych na stronie, dając wgląd i kontrolę właścicielowi witryny nad tym jakie dane użytkowników są śledzone.

Deklaracja cookies z raportem wszystkich aktywnych plików cookies może zostać opublikowana jako część polityki prywatności lub polityki cookies, spełniając wymagania RODO o udostępnieniu przez cały czas dokładnych informacji użytkownikom o ich śledzeniu.

Zgodnie z wymogami RODO, użytkownicy mogą w dowolnym momencie, zmienić wydaną zgodę lub całkowicie odrzucić zgodę.

Zasoby i źródła

MIT Technology Review: Largest Study of Online Tracking Proves Google Really Is Watching Us All

Princeton University Study: Online Tracking: A 1-million-site Measurement and Analysis

AudioContext Fingerprint test page

Wired: Google tracks everything you do. Here’s how to delete it

Howstuffworks: How Internet Cookies Work

The Guardian: Behavioural tracking and neuroscience are tools for sustainable innovation

Electronic Frontier Foundation: New Cookie Technologies: Harder to See and Remove, Widely Used to Track You

Electronic Frontier Foundation: How Online Tracking Companies Know Most of What You Do Online (and What Social Networks Are Doing to Help Them)

Electronic Frontier Foundation: Browser Versions Carry 10.5 Bits of Identifying Information on Average

The Guardian: Tracking the trackers: What are cookies? An introduction to web tracking

Privacy Policies: Your ISP Is Tracking Every Website You Visit: Here’s What We Know

Verticalrail: What is an ad network

Earningguys: 15 top ad networks for publishers

Gizmodo: Facebook knows how to track you using the dust on your camera lens

VisualIQ: Cookies, Tags, Pixels and IDs: Tracking the Consumer Journey

Test if your browser is safe against tracking with the Electronic Frontier Foundation

Multiloginapp: About browser fingerprinting

The Hacker News: Hundreds of apps using ultrasonic signals to silently track smartphone users