Zgodny z RODO projekt banerów treści

Banery z plikami cookie krążą wokół nas jak irytujące muchy. Niektóre z nich są całkowicie zbędne, niektóre tylko udają, że są zgodne z RODO, a zdecydowana większość nie jest z nim zgodna. Dlatego poniżej postaram się rzucić trochę światła na najważniejsze kluczowe punkty.

1. RODO nie jest wszystkiemu winne!

Rzeczywistym powodem, dla którego zgoda musi być uzyskana z wyprzedzeniem od odwiedzającego witrynę w przypadku niektórych usług na stronach internetowych, nie jest RODO, ale art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej:

Państwa członkowskie zapewniają, aby przechowywanie informacji lub dostęp do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika były dozwolone wyłącznie wtedy, gdy dany abonent lub użytkownik wyraził na to zgodę na podstawie jasnych i wyczerpujących informacji przekazanych mu między innymi na temat celów przetwarzania. .....

Ponieważ dyrektywa o prywatności i łączności elektronicznej ma pierwszeństwo przed RODO, podstawą prawną korzystania z takich usług nie może być art. 6 ust. 1 lit. f RODO „prawnie uzasadniony interes“, ale wyłącznie art. 6 ust. 1 lit. a RODO „zgoda“.
Formę, w jakiej należy uzyskać zgodę, można ponownie znaleźć w RODO.

2. do czego właściwie potrzebna jest zgoda, a do czego nie?

a. Zgoda nie jest wymagana na przykład w przypadku

• Informacje o urządzeniu końcowym po stronie klienta (np. adresy IP, rozdzielczość ekranu, system operacyjny) w celu wyświetlania stron internetowych/aplikacji i zapewnienia bezpieczeństwa strony internetowej/aplikacji.
• Technicznie niezbędne pliki cookie do ustawień języka i czcionki, do uwierzytelniania użytkownika podczas logowania, do ustawień użytkownika, do funkcji koszyka zakupów lub udostępniania formularzy online (sesyjne pliki cookie)
• Integracja usług w celu poprawy prezentacji, skrócenia czasu ładowania lub optymalizacji strony internetowej (np. dostarczanie treści za pośrednictwem CDN, czcionek internetowych itp.)

Zasadniczo zatem Brak zgód niezbędne dla plików cookie/usług, które zapewniają działanie strony internetowej lub są wymagane do świadczenia usługi wyraźnie żądanej przez użytkownika. Jeśli korzystasz tylko z takich funkcji na swojej stronie internetowej, nie potrzebujesz w ogóle plików cookie ani banera zgody, a jedynie musisz odpowiednio uzupełnić swoją politykę prywatności.

Niesławne banery „Używamy plików cookie bla, bla, bla... OK“ są niepotrzebne i służą jedynie do dezorientowania i ogłupiania użytkowników.

Zgoda nie jest zwykle wymagana w przypadku narzędzi wykorzystywanych do przeprowadzania czysto statycznych analiz internetowych (np. w celu optymalizacji strony internetowej). Na przykład Matomo należy do tej kategorii, zwłaszcza że usługa może być również hostowana na naszych własnych serwerach. Korzystanie z takich usług może opierać się na podstawie prawnej uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). W niektórych przypadkach sensowne jest przeprowadzenie i udokumentowanie wyważenia interesów. Jest to jednak wyłącznie kwestia ochrony danych i nie ma nic wspólnego z projektowaniem banerów.

Google Analytics jest tutaj wyjątkiem, ponieważ jest to „prawdziwe“ narzędzie do śledzenia z punktu widzenia organów nadzorczych - nawet jeśli operator strony internetowej jest faktycznie zainteresowany jedynie statystykami strony internetowej. Google Analytics wymaga zatem zgody.

b. Zgoda jest wymagana w przypadku:

• Analiza statystyczna i pomiar zasięgu
• Reklama behawioralna/oparta na lokalizacji
• Wtyczki mediów społecznościowych

Alternatywą dla wtyczek mediów społecznościowych może być rozwiązanie Heise 2-click (przycisk Shariff). Możesz też po prostu użyć grafiki lub ikony z linkiem zamiast wtyczki. W takim przypadku zgoda nie jest wymagana, a jedynie odpowiednie informacje muszą być zawarte w polityce prywatności. Opcjonalnie można również użyć wyskakującego okienka po najechaniu myszą z powiadomieniem (np. „Zostałeś przekierowany na stronę Facebooka“ lub podobną). Wtedy jesteś już w czołówce.

Najważniejszą rzeczą w przypadku elementów wymagających zgody jest to, że zgoda musi być zawsze uzyskana przed jakimkolwiek gromadzeniem i/lub przekazywaniem danych!

3. usługi mapowe, platformy wideo i streamingowe

Obecnie nie ma konsensusu w tej sprawie. Niektórzy eksperci ds. ochrony danych zakładają, że uprzednia zgoda będzie wymagana również w przypadku tych usług po przyjęciu rozporządzenia o prywatności i łączności elektronicznej (które powinno wejść w życie w tym samym czasie co RODO - ale zajmie to trochę czasu). Obecne wyroki ETS (jesień 2019 r.) i Federalnego Trybunału Sprawiedliwości (maj 2020 r.) również wskazują na ten kierunek.

Bawarski Krajowy Urząd Nadzoru Ochrony Danych (LDA Bayern) stwierdza obecnie na swojej stronie internetowej, że osadzanie filmów bez uprzedniej zgody jest dozwolone, jeśli film uruchamia się dopiero po aktywnym kliknięciu go przez użytkownika i do tego momentu nie nastąpił żaden transfer danych (rozwiązanie 2-kliknięć lub Embetty). Ponadto filmy z YouTube powinny być zintegrowane w trybie rozszerzonej ochrony danych (no-cookie).

LDA Bayern ma podobny pogląd na sytuację z Google Maps. Zawartość Google Maps powinna być ładowana tylko wtedy, gdy użytkownik aktywnie korzysta z usługi map, np. za pomocą dodatkowego kliknięcia (rozwiązanie 2-kliknięć).

Zwróciłem się w tej sprawie do bawarskiego organu ochrony danych. Powyższy opis obecnie nadal odpowiada ocenie organu. Wskazano jednak, że uzasadnienie wyroku wymaga jeszcze szczegółowej analizy. Może to skutkować zmianą oceny.

Jeśli więc chcesz być przygotowany na przyszłość, powinieneś rozważyć współpracę ze zgodą na te usługi już teraz. Ponieważ w ochronie danych zawsze możliwe jest więcej!

4. zasady wyrażania zgody

Zgoda musi być udzielona z wyprzedzeniem, poinformowana i dobrowolna. Oznacza to w prostym języku:

a. PRZED:
Przy pierwszym otwarciu strony internetowej należy najpierw dezaktywować wszystkie skrypty, które potencjalnie zbierają dane użytkownika i przekazują je stronom trzecim.
b. INFORMOWANIE:
Użytkownik powinien otrzymywać zwięzłe informacje o wdrożonych usługach w prostym, jasnym języku. Przejrzysty projekt naprawdę ma tutaj sens. W końcu użytkownik powinien być poinformowany, a nie zniechęcony.
c. FREE:
Zgoda nie może być wstępnie przypisana do żadnego pola wyboru. Użytkownik musi aktywnie wyrazić zgodę, a nie usuwać zaznaczenie.

Uwaga:
Ogólne informacje, takie jak „Ta witryna wykorzystuje pliki cookie do analizy sieci i reklam“ lub „... w celu poprawy komfortu przeglądania“ nie są wystarczające, ponieważ związane z tym przetwarzanie nie jest przejrzyste.

Ponadto dobrowolność oznacza, że odwiedzający ma rzeczywisty wybór - tj. może korzystać ze strony internetowej, nawet jeśli nie wyrazi zgody na korzystanie z usług opcjonalnych.

5 Dokumentacja i obowiązek przedstawienia dowodów

Zgoda musi być udokumentowana i możliwa do zweryfikowania. W opinii wielu ekspertów ds. ochrony danych dowód w postaci „abstrakcyjnych“ informacji jest wystarczający (np. tekst zgody z datą, skrypt lub kod banera z datownikiem, znacznikiem czasu i wersji, identyfikator pliku cookie użytkownika itp.) Gromadzenie dodatkowych danych użytkownika w celu dostarczenia dowodu nie jest konieczne i jest sprzeczne z zasadą minimalizacji danych.

6. funkcja anulowania/opuszczenia

Użytkownicy mają prawo do wycofania swojej zgody w dowolnym momencie. Oznacza to, że zawsze musi istnieć możliwość rezygnacji z wykorzystywanych usług. Ta funkcja rezygnacji musi być łatwo dostępna dla odwiedzających witrynę w dowolnym momencie i oczywiście musi faktycznie działać.

7. Jak może wyglądać baner zgody?

Następujące treści są obowiązkowe w banerze:

• Osoba odpowiedzialna (jeśli nie jest to wystarczająco jasne na stronie)
• Nazwa narzędzia
• Cel przetwarzania danych
• Odbiorca danych
• Odniesienie do dobrowolnego charakteru z opcją odwołania (rozwiązanie opt-out)
• Link do polityki prywatności
• Zachowaj ostrożność podczas umieszczania banera: dostęp do informacji prawnej i polityki prywatności nie może być zasłonięty!

Określona jest tylko niezbędna zawartość; użytkownik może dowolnie zaprojektować baner. Aby nie przeciążać wyświetlacza, informacje mogą być dostępne w różnych podmenu. W ten sposób można zaprojektować pierwszą warstwę banera obejmującą minimalne wymagania:

Ten przykład jest tylko jednym z wielu możliwych wariantów projektu pierwszej warstwy informacyjnej i służy jedynie jako orientacja.

Istnieje cała gama narzędzi Consent Management Provider (CMP). Informacje na temat zakresu usług i różnic można znaleźć w Internecie. Niektóre przykłady bardziej znanych narzędzi to Cookiebot, Borlabs Cookie, Usercentrics lub Consentmanager.

Podstawowe wymagania dotyczące narzędzia do zarządzania treścią powinny obejmować

• Wyświetlanie narzędzia zgody natychmiast po wejściu na stronę (dotyczy również aplikacji)
• Wyświetlanie banera bez uwzględnienia obowiązkowych informacji prawnych na stronie internetowej, takich jak nota prawna, regulamin lub polityka prywatności.
• Pliki cookie lub identyfikatory reklamowe mobilnych urządzeń końcowych mogą być ustawiane/przetwarzane tylko wtedy, gdy użytkownik aktywnie wyrazi na to zgodę (tj. nie można wyrazić zgody poprzez bierne zachowanie, takie jak nawigacja na stronie internetowej, automatyczne zamknięcie po pewnym czasie lub kliknięcie narzędzia zgody).
• Odwiedzanie strony internetowej/aplikacji musi być również możliwe, jeśli użytkownicy odrzucają pliki cookie lub identyfikatory reklamowe itp.
• Funkcja rezygnacji
• Rejestrowanie i raportowanie w celu wsparcia obowiązku dostarczania dowodów przez system

Dalsze informacje można znaleźć na przykład w poradniku dla dostawców usług telemedialnych konferencji ochrony danych orazliście FAQ na temat plików cookie i śledzenia organu ochrony danych Badenii-Wirtembergii.

Każdy operator strony internetowej - również za radą swojej agencji internetowej - musi ostatecznie zdecydować, które rozwiązanie jest dla niego odpowiednie. Warto sprawdzić i porównać narzędzia wszystkich odpowiednich dostawców, jeśli chcesz zaoszczędzić sobie wysiłku związanego z samodzielnym programowaniem rozwiązania.
Z punktu widzenia ochrony danych kryteria wyboru powinny również obejmować to, czy dostawca gwarantuje zgodność z RODO lub jakie lokalizacje serwerów są używane.

8 A marketing?

Nie można zaprzeczyć, że wielu odwiedzających witrynę nie chce być śledzonych i dlatego klika „odrzuć wszystko“. Nawet jeśli może to być godne ubolewania z marketingowego i analitycznego punktu widzenia, odwiedzający witrynę korzystają jedynie z prawnie zagwarantowanego prawa do samostanowienia w zakresie informacji.

Niedawno uczestniczyłem w wydarzeniu informacyjnym, podczas którego pracownik szwedzkiego dostawcy consent manager Jaohawi AB przedstawił prezentację. Prezentacja zawierała kilka bardzo interesujących danych w tym zakresie:

Analizując wskaźnik akceptacji, nasi koledzy ustalili na przykład, że średnio 40-50% odwiedzających witrynę wybiera przycisk „Zaakceptuj wszystkie usługi“. I odwrotnie, oznacza to oczywiście, że 50-60% odmawia udzielenia zgody.

Według prelegenta wskaźnik akceptacji można zwiększyć do około 65% poprzez optymalizację banera. W przypadku lojalnych, stałych klientów wskaźnik akceptacji wzrasta do około 70%.

Zgodnie z jego wyjaśnieniami można założyć, że średnio około połowy danych marketingowych brakuje w analizach, gdy tylko zostanie wdrożony baner zgody. Wartości te można statystycznie zrekompensować poprzez uwzględnienie ich w prognozie.

Możliwe jest uwzględnienie ochrony danych, a jednocześnie, z marketingowego punktu widzenia, próba przekonania większej liczby odwiedzających witrynę do zezwolenia na usługi wymagające zgody poprzez optymalizację banera (np. poprzez pozycjonowanie, kolorystykę, brzmienie itp.).