Wstęp
Pewnie coraz częściej zdarza Ci się słyszeć nt konieczności wdrożenia ich nowszej wersji oraz mechanizmu Google Consent Mode. Zapraszam Cię do przewodnika gdzie dowiesz się:
- Jak przetwarzać pliki cookies zgodnie z RODO
- Czym są platformy CMP
- Czym jest Google Consent Mode
- Jak Wdrożyć Consent Mode
- Co wprowadza Google Consent Mode V2 w ramach aktualizacji z 2024
oraz jak powinien wyglądać odpowiednio wdrożony mechanizm do zarządzania marketingowymi i analitycznymi plikami cookies. Zapraszam!
Spis Treści
Aspekt Prawny Cookies - czemu potrzebujemy Consent Mode?
Cała burza w okół banera zgody na cookies rozchodzi się de facto w odniesieniu do cookiesów, które zbieramy aby korzystać z systemów typu Google Analytics, reklam Google Ads, Facebook Ads itp. i funkcji które nam one dają czyli remarketingu, pomiaru konwersji i skuteczności działań marketingowych. Otóż w świetle RODO i wytycznych Europejskiej Rady Ochrony Danych Osobowych, używanie tych narzędzi nie jest do końca legalne… No chyba, że robisz to we właściwy sposób.
O co chodzi z legalnością skryptów analitycznych typu Google Analytics i narzędzi reklamowych (Google Ads Remarketing, Facebook Meta Piksel itp.)?
→ Wszystkie one do działania używają plików cookies, które są instalowane w przeglądarce użytkownika i są identyfikatorem jego danych osobowych → W świetle RODO i wytycznych UE musisz je przetwarzać we właściwy sposób wdrażając zestaw czynności prowadzący do tzw. cookie compliance.
Kary za Brak Cookie Compliance i Consent Mode
Wysokość Kar za Brak Cookie Complaince
Jak możesz się domyślać skoro prawo Unii Europejskiej w postaci RODO definiuje pewne reguły przetwarzania danych osobowych – a już wiemy, że cookiesy analityczne i marketingowe również wchodzą w ich zakres – wówczas ustawodawca przewiduje pewne kary za brak dostosowania się do wspominanego prawa.
Tak też jest w tym przypadku.
Karą za niewłaściwe przetwarzanie plików cookies wynikającą z RODO jest:
- do 4% rocznego globalnego przychodu firmy (tak przychodu, a nie dochodu lub zysku)
- lub do 20.000.000 EUR
Kary za cookies dotychczas
Pierwszym najgłośniejszym przypadkiem był case firmy Planet49 z Niemiec (ta firma już się tak nie nazywa, gdyż po aferze prawnej z nią związanej musiała przejść rebranding).
Planet49 używało uprzednio zaznaczonej zgody na cookies instalując cookiesy w przeglądarkach użytkowników bez ich zgody. Firmie został wytoczony proces karny a w 2019 r. TSUE orzekł w tej sprawie, że zgoda na cookies powinna być dobrowolna i w pełni świadoma, jednocześnie nałożył na Planet49 karę finansową (nie znamy dokładnie wysokości tej kary)
Inny przypadek miał miejsce w Hiszpanii, gdzie lokalne linie lotnicze Vueling stosowały ten sam zabieg co Planet49 a lokalny Urząd Ochrony Danych Osobowych nałożył na tą firmę karę 30.000 EUR.
Łącznie od wejścia w życie RODO do 2022r. suma kar nałożonych na firmy w związku z nieprzestrzeganiem przepisów – w tym niedostosowaniem się do cookie compliance wyniosła 2,1 miliarda EUR.
W Polsce pierwszy przypadek upomnienia przez UODO polskiej firmy miał miejsce w 2021r. Co pokazuje, że organ stojący na straży RODO w Polsce również ma świadomość istotności cookie compliance i jest gotów karać firmy za jego brak.
Kary za brak Consent Mode
Taka blokada jest poprzedzona wysyłką maila od Google, w którym reklamodawca dostaje ok 2 mieś. na wdrożenie Consent Mode.
Kurs Online
Google Consent Mode – Wdrożenie w Praktyce
Cookie Compliance i jego składowe
Cookie compliance – zgodność przetwarzania cookies w świetle przepisów prawa (RODO i wytycznych EROD) sprowadza się do wprowadzenia mechanizmu wg. którego:
- pozwalasz użytkownikowi zdecydować jakie rodzaje plików cookies są instalowne w jego przeglądarce,
- posiadasz na stronie odpowiedni baner zgody na cookies,
- rejestrujesz zgody na cookies oraz informujesz użytkownika w polityce prywatności jakie dokładnie pliki cookies instaluje Twoja strona w jego przeglądarce,
- uruchamiasz i blokujesz kody śledzące w zależności od preferencji użytkownika
Aby zrealizować powyższe punkty potrzebujesz:
- Zainstalować Consenet Management Platform (CMP) – rodzaj narzędzia, które wygeneruje właściwy baner, będzie rejestrowało zgody na cookies i generowało cookie declaration.
- Mechanizm zarządzania kodami śledzącymi narzędzi typu Google Analytics czy Google Ads, Facebook Ads etc. → Tu najlepszym rozwiązaniem jest właśnie wprowadzenie Consent Mode do Google Tag Managera, a następnie potrzebujesz:
- Wdrożyć Consent Mode w Google Tag Managerze poprzez przeprowadzenie integracji CMP z Google Tag Managerem i ustawienie uruchamiania kodów w zależności od nadanych zgód na cookies
Pasek Zgody na Cookies - Jaki Powinien Być?
To właśnie taki pasek zgody na cookies stwarza wspomniane ryzyko kary do 4% rocznych obrotów Twojej firmy. Jak możesz zauważyć na obrazku to:
- typowy prosty i czysto informacyjny pasek zgody na pliki cookies,
- nie pozostawia on użytkownikowi opcji odmowy instalowania plików cookies w jego przeglądarce,
- i nie warunkuje też uruchamiania kodów śledzących z narzędzi typu Google Analytics, Google Ads, Facebook Ads etc.
Charakter Zgody na Cookies
Co należy uwzględnić aby baner cookies spełniał wymogi RODO?
Po pierwsze zgoda jej treść i charakter. Zgoda w banerze cookies powinna być:
- dobrowolna
- wyrażona w sposób konkretny,
- wyrażona świadomie,
- być jednoznacznym okazaniem woli.
Dlatego też zgodna na cookies nie może mieć jedynie charakteru informacyjnego bez możliwości złożenia odmowy. Nie może być również domyślnie zaznaczona (tak jak to miało miejsce w przypadku Planet49 i Vueling opisanych powyżej).
Dodatkowe Funkcje Banera Cookies
Nie tylko, kategorie zgód. Co jeszcze musi mieć pasek cookies?
Prawidłowy baner zgodnie ze sztuką powinien, mieć charakter opt-in dając możliwość wyboru kategorii cookies spośród:
- analityki
- marketingu
- personalizacji
Przykład poprawnego banera wygląda tak:
Zwróć uwagę na to, że suwaki zgody na banerze są odznaczone. Możesz sobie zadawać pytanie czy suwaki powinny być na pierwszym ekranie – otóż nie muszą. Ważne natomiast jest to aby użytkownik miał możliwość kliknięcia Odmowy na pierwszym widoku bez konieczności przeklikiwania się.
Do kompletu baner powinien mieć dwie rzeczy.
1. Rejestr uzyskanych zgód
2. Pozwalać na sterowanie uruchamianiem tagów śledzących
Przez tagi śledzące rozumiem kody java script z narzędzi typu Google Analytics, Facebook Piksel etc.) w zależności od uzyskanych zgód w ramach powyższych kategorii. Do tego służy m.in. mechanizm Consent Mode dostępny w Google Tag Managerze.
Aby twój pasek zgody / baner cookies spełniał wszystkie powyższe kwestie należy wdrożyć go za pośrednictwem platformy CMP (Consent Management Platform) o niej dowiesz się poniżej.
Platforma CMP – Consent Management Platform – czym jest, jakie powinna mieć funkcje, jakie platformy są dostępne?
Czym jest platforma Consent Management Platform (Platforma CMP)
Platforma CMP – w rozwinięciu skrótu Consent Management Platform – czyli po polsku platforma do zarządzania zgodami na cookies. Jest to de facto aplikacja, która obsługuje nam kilka funkcji – instaluje baner z właściwymi zgodami, kategoriami zgód a do tego spełnia warunki RODO i ma możliwość integracji z Google Tag Managerem w ramach Google Consent Mode.
Na rynku jest dostępnych bardzo wiele rozwiązań oferujących banery cookies zgodne z wytycznymi UE.
Ale czy każde z nich jest dobre?
– Nie
Wybór platformy CMP – na co warto zwrócić uwagę?
Z racji na fakt, że rozwiązań, które implementują pasek cookies na stronie jest bardzo wiele – łatwo się pogubić.
Natomiast de facto jest kilka elementów must to have, które musisz mieć u siebie ale i tych nice to have, które dużo ułatwiają.
Co powinna dokładnie spełniać platforma CMP?
4 podstawowe funkcje platform CMP
- możliwość wygenerowania banera zgody na cookies, który posiada trzy kategorie zgód do wyboru:
- statystyka / analityka
- marketing / reklama
- preferencje / personalizacja
- Platforma CMP powinna prowadzić rejestr zgód, który można łatwo wyeksportować w przypadku kontroli,
- Powinien posiadać skaner cookies, który rejestrowałby cookies instalowane przez Twoją stronę i uwzględniał je w szczegółowym wykazie,
- Powinna łatwo integrować się z Google Consent Mode w Google Tag Managerze.
Dodatkowe funkcje platform CMP, które warto mieć
- szablony treści zgód w języku polskim,
- potrafi wykryć skąd wchodzi użytkownik i zaserwować mu treść w języku ustawień jego przeglądarki,
- baner zgody można konfigurować na różne sposoby optymalizując liczbę przycisków, ich treści czy sposób wyświetlania (baner vs pasek).
Ważne i często pomijane kwestie
- jeśli reklamujesz się w USA, szczególnie mam na myśli Kalifornię to w grę wchodzi stanowy odpowiednik naszego RODO czyli CCPA, dobrze jeśli system daje nam opcje dostosowania się i do tego prawa.
- niektóre kraje jak np Włochy mają ściśle sprecyzowane kwestie wyglądu i treści banerów oraz ich umiejscowienia czy przycisków – tu działając na rynkach zagranicznych warto zwrócić na to uwagę wchodząc lokalnie na dany rynek w UE.
Jakie Platformy CMP są dostępne na rynku?
Jest ich cała masa! Szukając w Google za każdym razem można spotkać coś czego nie widzieliśmy wcześniej. Ale to na co trzeba zwrócić uwagę to zdecydowanie komunikacja z Consent Mode w Google Tag Managerze. I tu uwaga bo nie każda platforma CMP ma to dobrze wypracowane. Na całe szczęście Google na stronie swojego supportu prowadzi zestawienie różnych dostawców z oceną stopnia integracji z GTMem. Pełną listę, tych które mają integrację z Consent Mode znajdziesz tu: https://support.google.com/tagmanager/answer/10718549#consent-types (przewijając w dół strony).
Która platforma CMP jest najlepsza?
Część platform CMP to typowo rozwiązania klasy enterprise, z ukrytymi cennikami lub abonamentem pow. €100.
Są też tańsze zwykle ok €20-€40 / mieś. i te oferują bezpłatne darmowe wersje z limitem odsłon strony (zwykle okolice 5,000 odsłon miesięcznie) ale również nie zawsze są to pełne darmowe wersje… Liderów wśród platform CMP jest kliku i warto tu wspomnieć:
Cookiebot – Cechy
Cookiebot jest kompletną platformą CMP do zarządzania Cookies. Znajdziemy tu zarówno rejestr zgód jaki skaner cookis i deklarację cookies. Jest to narzędzie płatne ale nie dla każdego:
- pełna wersja darmowa wersja (z rejestrem i skanerem cookies) do 100 podstron w ramach jednej domeny
- ~53 zł / miesięcznie dla stron do 500 podstron – co jest całkiem przystępną ceną.
Inne zalety? Najważniejsza: Komunikacja z API Consent Mode Google Tag Managera. Ułatwia to zintegrowanie tagów w GTMie z informacjami płynącymi z banera a zatem kontrolę nad kodami śledzącymi tak aby działały wedle preferencji 'śledzenia’ ustawionych przez użytkowników Twojej strony.
WIęcej o Cookiebot i wdrożeniu Consent Mode w kontekście tej platformy piszę w tym artykule.
Alternatywy dla Cookiebot
Ciekawie i dość atrakcyjnie cenowo wypada wspomniany wyżej CookieHub. Dlaczego? O ile Cookiebot ma swój cennik uzależniony od ilości podstron w domenie to CookieHub od ilości sesji na stronie. Darmowy plan jest do 5,000 sesji miesięcznie co jest idealne dla małych firm i blogów. Ale jest jeden haczyk – brakuje w tym planie raportu zgód na cookies na wypadek styczności z UODO. Jest on dostepny dopiero w wyższym planie za €8 miesięcznie z limitem 25,000 sesji.
Consent Mode Google – czym jest? I jak go wdrożyć?
Wreszcie przechodzimy do sedna sprawy, przez które czytasz ten poradnik – Google Consent Mode.
Czym jest Google Consent Mode?
Mówiąc najprościej jest to mechanizm w Google Tag Managerze, który pozwala uruchamiać i wstrzymywać kody śledzące typu: skrypty Google Analytics, Google Ads, Facebook Pixel, Optimizely itp. w zależności od uzyskanych zgód na cookiesy. Mechanizm ten dzięki połączeniu przez API komunikuje platformę CMP i Google Tag Managera (GTMa). Dzięki temu kategorie zgód, które użytkownik określa w ramach baneru są tłumaczone na język techniczny:
✓ ad_storage
✓ analytics_storage
✓ personalization_storage
Informacja o uzyskanych zgodach powinna być odbierana przez GTMa z wybranego przez Ciebie narzędzia klasy CMP i następnie decydować o uruchomieniu lub zapauzowaniu skryptu instalującego pliki cookies.
Modelowanie danych dzięki Google Consent Mode
Consent Mode pozwala częściowo uratować to co pozornie tracisz – czyli dane! Jak to jest możliwe? Dzięki mechanizmowi modelowania konwersji. Jeśli zadbasz o to aby kody Google uruchamiały się niezależnie od zgód (ale z odpowiednim statusem gcs) wówczas nawet jeśli skrypt Google nie zainstaluje ciasteczka trackującego to odbierze informację potrzebną do modelowania utraconych konwersji w Google Ads oraz ruchu w Google Analytics 4.
Wdrożenie Google Consent Mode
Aby wdrożyć Consent Mode należy przejść przez sekwencję kroków opisanych poniżej.
- odblokować tą funkcję w ustawieniach kontenera wewnątrz GTMa,
- zintegrować GTMa ze wspomnianym narzędziem CMP aby rejestrować odpowiednie zdarzenia w dataLayer,
- ustawić uruchamianie kodów śledzących na odpowiednich zdarzeniach oraz dla nieGooglowych kodów ustawić Additional Consent Checks
- dzięki temu uruchamianie kody będzie niemożliwe bez zarejestrowania określonej kategorii zgody.
Jeśli wdrażasz Consent Mode samodzielnie zwróć uwagę na poniższe punkty.
Niuanse przy wdrożeniu Google Consent Mode
Wdrożenie Consent Mode ma wiele niuansów. Z rzeczy, na które warto zwrócić uwagę warto wymienić kilka poniższych.
- Kody Google mają wbudowane Additional Consent Checks – nie musisz definiować ich ręcznie.
- Te same kody powinny być uruchamiane ze statusem gcs:G100 do momentu otrzymania zgody lub w przypadku całkowitej odmowy. Inaczej nici z modelowania utraconych konwersji…
- Jeśli te same kody uruchamiają się w przypadku braku zgód, bez parametru gcs i HTTP Request ma status 200 wówczas użytkownik nadal jest trackowany wbrew swojej woli i prawu.
- Sprawdź i upewnij się, że tagi GA nie uruchamiają się dwukrotnie – to zdarza się dość często i jest błędem.
Konfigurowanie Consent Mode może być dla wielu uciążliwe i czasochłonne. Dlatego też nagrałem dla was cały proces w ramach kursu online na wideo. Jest on dostępny tu.
Pozareklamowe aspekty wdrażania ‘zgodności cookies’ i Consent Mode
Oprócz wielokrotnie poruszanego aspektu kontroli nad kodami narzędzi analitycznych typu Google Analytics czy pikseli remarketingowych z systemów reklamowych warto zwrócić uwagę na trzy poza marketingowe aspekty dostosowania się do zgodności przetwarzania cookies.
- Playery multimedialne YouTube czy Soundcloud itp również instalują pliki cookies marketingowe do profilowania odbiorców swoich treści. Należy je blokować jeśli użytkownik nie wyraził zgody na cookiesy marketingowe.
- Warto wzbogacić politykę cookies o deklarację cookies czyli tabelę będącą efektem działania skanera cookies, która prezentuje listę cookiesów rejestrowanych na naszej stronie wraz z opisem celu ich wykorzystania, dostawcą/odbiorcą informacji oraz długością życia. Spełniamy w ten sposób obowiązek informacyjny wobec użytkowników strony.
- Zadbaj aby na stronie mieć albo pływający widget umożliwiający przywołanie okna wyrażenia preferencji na cookies lub też widoczny link w nawigacji np footerze. Realizuje to jedną z wytycznych UE, która mówi, że: “Odwołanie zgody na cookies powinno być tak samo łatwe jak jej wyrażenie”.
Consent Mode v2 – Ważna Aktualizacja 2024
Na przełomie 2023 i 2024 Google zdecydowało się zaktualizować mechanizm działania Consent Mode pod wpływem Digital Markets Act (DMA). Nowa wersja wprowadza dwie istotne zmiany:
- dodatkowe statusy zgody: ad_user_data oraz ad_personalization
- parametr gcd wykorzystywany do bezcookiesowych pingów (równorzędnie z gcs=1xx), które umożliwiają modelowanie danych w przypadku odmowy lub braku określonej zgody/odmowy.
Warto nadmienić, że jeśli nie wprowadzisz Google Consent Mode v2 do Marca 2024 Google przestanie gromadzić na Twoich listach remarketingowych Google Ads nowych użytkowników a co za tym idzie Twoje kampanie przestaną działać.
Więcej na temat GCM v2 piszę w oddzielnym artykule Consent Mode V2 – Co zmienia i Co muszisz wiedzieć?
Kurs Online
Google Consent Mode – Wdrożenie w Praktyce
Kurs Wdrażania Google Consent Mode
Wdrożenie Consent Mode może przysporzyć problemów wielu osobom.
Dlatego też postanowiłem przygotować kurs online w formie lekcji wideo, gdzie krok po kroku pokazuję jak wdrożyć Google Consent Mode z uwzględnieniem:
- właściwej reorganizacji kodów śledzących,
- wdrożenia platformy Consent Management Platform,
- Integracji CMP z Consent Mode w Google Tag Managerze,
- ustawienia właściwych triggerów dla kodów śledzących w GTMie
- konfiguracji kodów Google z właściwymi statusami gcs
- weryfikacji wdrożenia
oraz dodatkowo pokazuję:
- jak blokować playery multimedialne, które instalują cookies w przeglądarkach użytkowników,
- jak zainstalować deklarację cookies w polityce prywatności,
- jak umożliwić uruchomienie popupu zgody na cookies z poziomu nawigacji w footerze
Cały kurs ma ponad 35 lekcji wideo i trwa ponad 3h. Kurs nagrałem tak aby przeprowadzić przez cały proces od początku do końca również osoby, które nie używały do tej pory Google Tag Managera.
Kurs dedykowany jest dla:
- właścicieli firm,
- specjalistów marketingu w działach in-house,
- pracowników agencji marketingowych i interaktywnych,
- twórców stron www
Kurs możesz nabyć w tym miejscu
Kurs Online
Google Consent Mode – Wdrożenie w Praktyce
Podsumowanie
Niewątpliwie każda osoba, która pracuje w digitalu, ecommerce lub posiada stronę www powinna bliżej zainteresować się tematem zgodności cookies swojej strony. Szczególnie jeśli używasz reklam Google Ads wdrożenie Consent Mode to must to have, który musisz zrobić wcześniej czy później. Pamiętaj o tym, że do pełni cookie compliance potrzebujesz wielu elementów składowych – nie tylko właściwego banera zgody na cookies ale również funkcjonalności, które ten baner posiada oraz mechanizmów i integracji banera. Zachęcam Cię do skorzystania z wspomnianego kursu online Wdrażania Consent Mode i Zgodności Cookies, jest on w stanie zaoszczędzić Tobie tydzień poszukiwań informacji nt. wdrożenia oraz godzin prób i błędów przy samym wdrożeniu.