Parafrazując pewne powiedzenie można powiedzieć: Jaki jest baner cookies każdy widzi. Czy jednak jest tak na pewno? Rzecz w tym, że szczególnie obecnie można w Internecie spotkać tak wiele rodzajów banerów cookies, że można raczej nabrać wątpliwości jak powinien być on skonstruowany, niż utwierdzić się w tym, że ten, czy inny jego rodzaj jest prawidłowy. Na części stron możemy zobaczyć – jak to przywykliśmy wiedzieć jeszcze kilka lat temu – zwykłe „Ok” przy informacji o tym, że strona wykorzystuje ciasteczka, a na innych mamy do czynienia z rozbudowanymi banerami, gdzie ilość opcji do wyboru przekracza zdecydowanie naszą chęć do ich analizy. No chyba, że jesteśmy pasjonatami wyrażania do granic możliwości świadomych zgód. Jak więc powinien wyglądać baner cookies i dlaczego teraz jest to ważniejsze niż kiedykolwiek wcześniej? O tym właśnie będzie ten artykuł.

Consent mode, czyli baner cookies w 2024 roku

Zanim przejdziemy do praktyki odrobina teorii jest wskazana. Jako podstawową regulację, przynajmniej w Polsce, warto wymienić Prawo telekomunikacyjne, które jest w tym zakresie implementacją dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej). Zgodnie z tą regulacją (dla zainteresowanych chodzi tu o art. 173):

Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1. abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
   • celu przechowywania i uzyskiwania dostępu do tej informacji,
   • możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;
2. abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa powyżej, wyrazi na to zgodę;
3. przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Warunki, o których mowa powyżej nie mają zastosowania, jeżeli przechowywanie lub uzyskanie dostępu do informacji jest konieczne do:

1. wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;
2. dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Zgodnie z przepisami abonent lub użytkownik końcowy może wyrazić zgodę za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Warto jednak zwrócić uwagę, że już sama formuła tego wyjątku budzi pewne wątpliwości. Jak bowiem, mówiąc wprost, w ustawieniach przeglądarki wyrazić zgodę na cookies na przyszłość, a jednocześnie po otrzymaniu informacji o ich celu i pozostałych wymaganych prawem kwestia. Wydaje się, że zgodnie z prawem raczej możliwe jest odmówienie w ten sposób takiej zgody.

Rzecz jasna, regulacje Prawa telekomunikacyjnego to bynajmniej nie wszystkie przepisy, które będą miały w tym przypadku znaczenie. O cookies zrobiło się bowiem głośno bynajmniej nie w związku z treści przytoczonego powyżej przepisu prawa telekomunikacyjnego, który – w tej czy innej formie- obowiązuje od roku 2004 kiedy to zostało uchwalone Prawo telekomunikacyjne. Temat stał się nośny w zasadzie dopiero z chwilą uchwalenia RODO.

Czy cookies to dane osobowe?

O cookies zrobiło się co prawda głośno w związku z uchwaleniem RODO, jednak warto byłoby zacząć od tego, czy ciasteczka w ogóle są danymi osobowymi. Z pewnością jest to bardzo dobre pytanie szczególnie jeśli ktoś zamierza zrobić odpowiadając na nie habilitację. W tym miejscu pozwolę sobie w pewnym sensie odpowiedzieć na nie wymijająco i stwierdzić, że skoro dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”) to w znacznej mierze odpowiedź na to pytanie będzie zależeć od konkretnych okoliczności.

Jak wyjaśniają nam przepisy RODO możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Tym samym, osobiście twierdziłbym, że w wielu przypadkach ciasteczka mogą z danymi osobowymi nie mieć nic wspólnego, ale z ostrożności proponowałbym traktować je jako dane osobowe. Motywacją dla takiego ich traktowania niech będzie choćby fakt, że kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych są znacznie surowsze niż te nakładane przez Prezesa Urzędu Komunikacji Elektronicznej, a finalnie – uwzględniając obecny stan prawny – wiele nie zyskamy dla naszego biznesu czyniąc odmienne założenie.

Warto też podkreślić, że w motywie 30 RODO mowa jest o kwestiach, które niewątpliwie mieszczą się w zakresie cookies. Motyw ten wyjaśnia, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Nie wchodząc w tym miejscu niepotrzebnie w szczegóły warto także podkreślić, że do wniosku, że cookies to dane osobowe doszedł nie tylko polski Urząd Ochrony Danych Osobowych, choć tu pozostaje w pewnym sporze z Sądem Administracyjnym co do trafności konkretnych przyjęć, ale przede wszystkim Trybunał Sprawiedliwości Unii Europejskiej (Wielka Izba) w swoim wyroku z dnia 1 października 2019 ., C-673/17.

Dobre praktyki w zakresie ciasteczek, czyli jak uczynić baner cookies legalnym?

Tak jak wspomniałem, do tej pory kwestia ciasteczek ograniczała się zasadzie do dwóch aktów prawnych to jest do Prawa telekomunikacyjnego i RODO. Nie oznacza to rzecz jasna, że nie warto było śledzić w tym zakresie także orzecznictwa, czy wytycznych. Jednym w podstawowych dokumentów, który został wydany w tym zakresie były “Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679” na podstawie których można wyróżnić następujące zasady dotyczące tworzenia banerów cookies oraz trybu zgody:

1. Warunkowość zgody. Zgoda powinna być wyrażana dobrowolnie i nie powinna być uzależniona od świadczenia usług, które nie są konieczne do wykonania umowy. Sytuacje, w których użytkownik musi wyrazić zgodę na dodatkowe przetwarzanie danych (które nie są niezbędne do świadczenia usługi), aby móc korzystać z podstawowej usługi, mogą być traktowane jako naruszenie zasady dobrowolności​​. Przetwarzanie danych powinno być konieczne do świadczenia konkretnej usługi lub wykonania umowy. Jeśli dane są przetwarzane poza tym zakresem, zgoda może być uznana za nieważną​​.
2. Szczegółowość zgody. Zgoda powinna być szczegółowa i konkretna w odniesieniu do celów przetwarzania danych. Jeśli usługa obejmuje wiele operacji przetwarzania lub służy różnym celom, użytkownik powinien mieć możliwość wyboru, na które cele przetwarzania wyraża zgodę​​.
3. Warunkowość zgody. Zgoda powinna być wyrażana dobrowolnie i nie powinna być uzależniona od świadczenia usług, które nie są konieczne do wykonania umowy. Sytuacje, w których użytkownik musi wyrazić zgodę na dodatkowe przetwarzanie danych (które nie są niezbędne do świadczenia usługi), aby móc korzystać z podstawowej usługi, mogą być traktowane jako naruszenie zasady dobrowolności. Przetwarzanie danych powinno być konieczne do świadczenia konkretnej usługi lub wykonania umowy. Jeśli dane są przetwarzane poza tym zakresem, zgoda może być uznana za nieważną.
4. Szczegółowość zgody. Zgoda powinna być szczegółowa i konkretna w odniesieniu do celów przetwarzania danych. Jeśli usługa obejmuje wiele operacji przetwarzania lub służy różnym celom, użytkownik powinien mieć możliwość wyboru, na które cele przetwarzania wyraża zgodę.
5. Niekorzystne konsekwencje. Administrator musi wykazać, że użytkownik może odmówić lub wycofać zgodę bez ponoszenia negatywnych konsekwencji. Przykłady niekorzystnych konsekwencji mogą obejmować przymus, zastraszanie, wprowadzenie w błąd, lub inne znaczące negatywne skutki dla osoby, która nie wyraziła zgody. Szczególnie w zakresie wprowadzania w błąd warto pamiętać o dark patterns, które także w zakresie cookies będą pozostawać aktualne.
6. Cookie Wall. Zgoda uzyskana za pomocą tzw. “cookie wall” (sytuacja, w której dostęp do usługi jest uzależniony od zgody na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika) jest uważana za nieważną, ponieważ taka praktyka pozbawia użytkownika rzeczywistego wyboru.
7. Rzeczywisty wybór. Osoba, której dane dotyczą, powinna mieć możliwość rzeczywistego wyboru co do udzielenia zgody. Nie można uznać zgody za dobrowolną, jeżeli osoba nie może wyrazić zgody osobno na różne operacje przetwarzania danych lub jeśli od zgody uzależnione jest świadczenie usługi, mimo że do jej wykonania zgoda nie jest niezbędna.

Złe praktyki banerów cookies, czyli jakich błędów unikać?

Skoro wiemy już jakie są dobre praktyki w zakresie tworzenia banerów cookies warto przeanalizować najczęstsze błędy, które do tej pory się pojawiały w tej materii. Tu niezmiernie pomocny okazuje się “Raport Grupy Roboczej ds. Banerów Cookie” (EDPB Cookie Banner Taskforce Report), który został opublikowany 18 stycznia 2023 roku. Dokument ten z jednej strony można odczytywać jako kontynuacje poprzedniego jednak na jego podstawie przede wszystkim możemy dowiedzieć się jakiego rodzaju błędy najczęściej pojawiają się w kontekście banerów cookies.

Na podstawie Raportu można w szczególności wyprowadzić poniższe najważniejsze problemy dotyczące nieprawidłowego tworzenia banerów Cookies, które prowadzą do tego, że użycie plików cookie, będzie niezgodne z prawem:

1. Brak przycisku odrzucenia na pierwszej warstwie (Type A Practice). Niektóre banery cookie zawierają przycisk akceptacji przechowywania plików cookie oraz przycisk umożliwiający dostęp do dalszych opcji, ale nie zawierają przycisku umożliwiającego odrzucenie plików cookie. Większość władz uznała, że brak opcji odmowy, odrzucenia lub braku zgody na jakiejkolwiek warstwie z przyciskiem zgody na banerze zgody na cookie jest niezgodny z wymogami dotyczącymi ważnej zgody i stanowi naruszenie.
2. Wstępnie zaznaczone pola (Type B Practice). Wieu dostawców dostarcza użytkownikom kilka opcji (zwykle reprezentujących każdą kategorię plików cookie, które dostawca chce przechowywać) z wstępnie zaznaczonymi polami na drugiej warstwie banera cookie (po kliknięciu przez użytkownika przycisku „Ustawienia” na pierwszej warstwie). Uznaje się natomiast, że wstępnie zaznaczone pola do wyboru nie prowadzą do ważnej zgody.
3. Mylący design linku (Type C Practice). Niektóre banery cookie zawierają link, a nie przycisk jako opcję odrzucenia przechowywania plików cookie. Baner powinien jasno wskazywać, na czym polega zgoda, oraz jak wyrazić zgodę na pliki cookie, a jak ją odmówić. Kolejny raz warto podkreślić, że wszystkie zwodnicze interfejsy są zakazane.
4. Mylące kolory i kontrasty przycisków (Type D & E Practices). Konfiguracja niektórych banerów cookie pod względem kolorów i kontrastów przycisków może prowadzić do wyraźnego wyróżnienia przycisku „zaakceptuj wszystko” nad dostępnymi opcjami. Ogólny standard banerów dotyczący kolorów i/lub kontrastu nie może być narzucony kontrolerom danych, ale należy przeprowadzić analizę każdego przypadku, aby sprawdzić, czy użyte kolory i kontrasty nie wprowadzają użytkowników w błąd. Nie będzie zaskoczeniem jeśli kolejny raz wspomnę w tym kontekście o zwodniczych interfejsnach.
5. Lista celów oparta na domniemanym uzasadnionym interesie (Type H Practice). Niektóre pola wyboru cookies umieściły baner, który podkreśla możliwość zaakceptowania operacji odczytu/zapisu na pierwszym poziomie (banera), ale nie zawiera opcji odmowy na tym poziomie, co może prowadzić przeciętnego użytkownika do przekonania, że nie ma możliwości sprzeciwu wobec przechowywania plików cookie w ogóle, a co za tym idzie, wobec dalszego przetwarzania wynikającego z nich.
6. Niewłaściwie sklasyfikowane jako “niezbędne” pliki cookie (Type I Practice). Niektóre banery klasyfikują jako „niezbędne” lub „ściśle konieczne” pliki cookie i operacje przetwarzania, które wykorzystują dane osobowe i służą celom, które nie byłyby uważane za „ściśle konieczne” w rozumieniu art. 5(3) Dyrektywy ePrivacy lub zwykłego znaczenia „ściśle konieczne” lub „niezbędne” na mocy RODO.
7. Brak ikony wycofania (Type K Practice). Gdzie kontrolerzy zapewniają opcję wycofania zgody, różne formy opcji są wyświetlane. W szczególności niektórzy kontrolerzy nie zdecydowali się na możliwość pokazania małej unoszącej się i stale widocznej ikony na wszystkich stronach witryny, która pozwala osobom, których dane dotyczą, powrócić do ustawień prywatności, gdzie mogą wycofać swoją zgodę.

Tym samym, poza dobrymi praktykami warto poznać także te, które zostały uznane za nieprawidłowe przy analizie wielu witryn internetowych. Część z nich nie jest co prawda dość oczywista, ale pewne kwestia tak oczywiste już nie są.

Jakie zmiany zaszły w regulacjach prawnych dotyczących banerów cookies?

Mimo, że od ostatnich ważniejszych rozstrzygnięć w sprawie cookies, nie mówiąc już o rozpoczęciu obowiązywania RODO, minęło sporo czasu to o ciasteczkach ostatnio znowu zrobiło się głośno. Z czego to wynika?

Z praktycznego punktu widzenie niewątpliwie z faktu, że Google wdraża Google Analitics 4 oraz Consent Mode 2.0. U podłoża tych zmian rzecz jasna stoi jednak nie troska o prywatność (to akurat najrzadziej jest motywacją firm technologicznych bazujących na danych o użytkownikach) a zmiany w prawie. Mowa tu o tak zwanym akcie o usługach cyfrowych, czyli – nazywając rzecz bardziej formalnie – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych), które przede wszystkim nałożyło nowe obowiązki na – mówiąc ogólnie – największe platformy internetowe, które swoją działalność opierają na pozyskanych od użytkowników danych czyli na podmioty świadczące usługi społeczeństwa informacyjnego.

Co konkretnie się zmieniło? Od strony użytkowników, kluczowa jak się wydaje, regulacja nie jest novum w świetle przedstawionych powyżej kwestii. Wynika z niej, że przechowywanie informacji lub uzyskiwanie dostępu do informacji przechowywanej w urządzeniu końcowym użytkownika jest dopuszczalne tylko w przypadku, gdy użytkownik wyraził na to zgodę na podstawie jasnych i pełnych informacji, w tym o celach przetwarzania tych informacji, zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679. Powołanym aktem prawnym jest nic innego jak rozporządzenie RODO, a tym samym – zgoda może być wyrażona także przez wyraźne działanie potwierdzające.

Zgodnie z nowymi przepisami w przypadku świadczenia usługi społeczeństwa informacyjnego bezpośrednio użytkownikowi końcowemu nie jest wymagane uzyskanie zgody na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanej w urządzeniu końcowym użytkownika, jeżeli przechowywanie lub dostęp jest absolutnie konieczne do świadczenia tej usługi. Finalnie, wprost zostało wyartykułowane nowe uprawnienie użytkowników. Obecnie, użytkownik końcowy powinien mieć także możliwość wycofania zgody w każdym czasie, co jest równoznaczne z możliwością odmowy zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji przechowywanej w urządzeniu końcowym użytkownika.

Warto jednak podkreślić, że prócz innych zmian rozporządzenie wprowadziło też nowe istotne obowiązku w zakresie związanym właśnie z wykorzystywaniem danych w celach reklamowych. Najszerszy katalog obowiązków nałożono na bardzo duże platformy cyfrowe i wyszukiwarki to jest takie, które mają co najmniej 45 milionów aktywnych użytkowników miesięcznie. Na listę bardzo dużych platform internetowych trafiły: Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando.

Lista bardzo dużych wyszukiwarek internetowych jest krótsza i zawiera dwie pozycje: Bing, Google Search. Google znalazło się jednak na jeszcze jednak, ważniejszej w tym kontekście, liście. Otóż niemal równolegle procedowane rozporządzenie o rynkach cyfrowych ustanowiło Google tak zwanym „strażnikiem dostępu”. Nazwa ta brzmi prawie jak z filmu lub książki fantazy, ale niesie za sobą szereg konsekwencji dla wszystkich – choć nielicznych – podmiotów, które mieszczą się w tej definicji. Strażnicy dostępu mają szereg obowiązków, ale jeden jest niezmiernie istotny w kontekście cookie’s i consent mode. Rzecz w tym, że ich zadaniem jest między innymi zakaz wykorzystywania danych osobowych z podstawowej usługi platformowej w innych usługach świadczonych odrębnie przez strażnika dostępu bez zgody użytkownika końcowego oraz zakaz łączenia danych z różnych podstawowych  usług platformowych lub oferowanych przez podmioty trzecie bez zgody użytkownika. Innymi słowy, unijny akt o rynkach cyfrowych wprowadza nowe, zdecydowanie bardziej rygorystyczne zasady, według których najwięksi rynkowi gracze – zwani “strażnikami dostępu” – mogą wykorzystywać dane użytkowników dla celów reklamowych.  To właśnie “strażnicy dostępu” mają gwarantować przestrzeganie przepisów dotyczących ochrony prywatności na rynku cyfrowym Unii Europejskiej.

Obowiązek „strażników dostępu” jest zbieżny z obowiązkami platform internetowych. Te ostatnie, zgodnie z Aktem o usługach cyfrowych, nie mogą bazować na nielegalnych treściach, gdzie termin ten zgodnie z rozporządzeniem należy rozumieć maksymalnie szeroko i nie ograniczać go bynajmniej do zdjęć, czy tekstów na stronach internetowych. Jak wynika z motywów rozporządzenia reklama internetowa odgrywa ważną rolę w środowisku internetowym, w tym w odniesieniu do udostępniania platform internetowych, na których świadczenie usługi jest niekiedy w całości lub po części finansowane bezpośrednio lub pośrednio z przychodów reklamowych. Reklama internetowa może jednak przyczyniać się do powstania znaczących zagrożeń, począwszy od reklam, które same w sobie stanowią nielegalne treści, poprzez zapewnianie zachęt finansowych do publikowania lub akcentowania nielegalnych lub w inny sposób szkodliwych treści i działań w Internecie, aż po dyskryminujące prezentowanie reklam, które ma wpływ na równe traktowanie i równość szans obywateli. Jak więc widzimy, nowe regulacje mają na celu – w pewnym sensie – odebranie władzy nad naszymi danymi osobowymi gigantom i przywrócenie ich każdemu z nas. To właśnie aby dostosować się do nowych wymogów Google wprowadza obecnie Consent mode 2.0, który – w połączeniu z AI, z którego korzysta gigant – ma weryfikować, czy platformy internetowe, ale i zwykłe strony internetowe, legalnie i zgodnie z prawem wykorzystują dane osobowe do prowadzenia własnych działań reklamowych.

Jakie realne konsekwencje dla użytkowników spowodowały zmiany prawne w zakresie cookies?

W ramach istotnych dla wszystkich użytkowników zmian w zakresie cookies przede wszystkim trzeba wskazać tę, że obecnie Google będzie weryfikować, czy dana strona internetowa ma poprawnie wdrożony consent mode. Już sam ten fakt oznacza, że jeśli na danej stronie są ciasteczka inne niż niezbędne do funkcjonowania strony zamieszczenie tam niezgodnego z prawem banera cookies przyniesie opłakane skutki.

Co także istotne, Google wprowadziło też zmiany w zakresie zgód cookies wprowadzając nowe ich kategorie, w zakresie, w którym wcześniej mowa była o tak zwanej zgodzie marketingowej. Jak dowiadujemy się z panelu Pomocy Google AdSens Google wdraża nowe wymagania dotyczące zarządzania zgodami na wyświetlanie reklam w EOG i Wielkiej Brytanii (dla wydawców). Jak zostaje w nich podkreślone od 16 stycznia 2024 r. wydawcy i programiści korzystający z Google AdSense, Ad Manager lub AdMob będą zobowiązani do korzystania z platformy zarządzania zgodą (CMP), która została certyfikowana przez Google i zintegrowana z zasadami przejrzystości i zgody IAB (TCF) podczas wyświetlanie reklam użytkownikom z Europejskiego Obszaru Gospodarczego lub Wielkiej Brytanii.

Ponadto, Google informuje też, że od 1 lutego 2024 r. zacznie egzekwować nowe wymagania dotyczące zarządzania zgodami dla partnerów korzystających z ich produktów dla wydawców reklam w wyszukiwarce (AdSense dla wyszukiwania, AdSense dla domen lub programowalna wyszukiwarka). Wydawcy mogą spełnić te wymagania, wdrażając certyfikowany CMP, który integruje się z ramami przejrzystości i zgody IAB Europe (TCF) w celu gromadzenia zgody podczas wyświetlania reklam użytkownikom z Europejskiego Obszaru Gospodarczego (EOG) lub Wielkiej Brytanii.

Do zarządzania zgodą użytkowników wymagane są zgodnie z nowymi zasadami Google:

• Uzyskanie od użytkownika zgody lub odmowy udzielenia zgody na przechowywanie informacji o jego zachowaniu. Obowiązkiem administratora danej strony jest uzyskanie zgody użytkowników w swojej witrynie lub aplikacji,
• To administrator strony jest zobowiązany do informowania Google o wyborze użytkownika dotyczącej zgody za pomocą trybu uzyskiwania zgody,
• Weryfikacja, czy tagi Google, tagi innych usług i pakiety SDK aplikacji działają zgodnie z wyborem użytkownika dotyczącym zgody.

W przypadku dwóch pierwszych wymagań administrator strony może wdrożyć zewnętrzną platformę do zarządzania zgodą użytkowników (CMP) lub rozwiązanie niestandardowe. Tryb uzyskiwania zgody pozwala ustawić w witrynie lub aplikacji domyślny stan zgody użytkownika, aby spełniał trzeci wymóg. Gdy użytkownik strony internetowej lub aplikacji wybierze swoje preferencje dotyczące zgody, tagi i pakiety SDK z mechanizmem sprawdzania zgody użytkownika będą dostosowywać jego działanie, a zgody użytkownika będą zachowywane podczas interakcji z daną stroną lub aplikacją.

Google wprowadza też nowy podział zgód wedle poniższego schematu:

Z powyższego wynikają przede wszystkim więc następujące kwestie. Google będzie bardzo skrupulatnie weryfikować, czy pozyskiwane przez administratorów zgody są prawidłowe. Ponadto, użytkownicy zyskują znacznie szerszy wachlarz zgód w stosunku do standardowego, którym jeszcze uprzednio dysponowali.

Jak skonfigurować baner cookies ?

Przede wszystkim powstanie więc zupełnie realne pytanie jak więc zgodnie z prawem skonfigurować baner cookies? Szereg kwestii podałem już powyżej, ale w związku z rozszerzeniem zakresu zgód przede wszystkim powstaje podstawowe pytanie jaki baner cookies wybrać, aby był zgodny tak z przepisami prawa jak i regulaminem usług Google.

Tu na szczęście z pomocą przychodzi nam Google, które stworzyło listę rekomendowanych dostawców banerów cookies. Z pewnością nie będziemy czuli się przymuszeni do wyboru konkretnego rozwiązania a to choćby z tego powodu, że lista ta zawiera kilkadziesiąt pozycji.

Kolejnym pytaniem jakie w praktyce powstaje jest to, czy baner cookies powinien zawsze zawierać wszystkie rodzaje zgód, które zostały wprowadzone przez Google. Odpowiedź na to pytanie jest już bardziej skomplikowana. Z całą pewnością warto wyjść od tego, że z perspektywy Google logika nakazywałaby przyjąć, że dostawcy CMP, który są przez Google rekomendowani zostali w tym zakresie zweryfikowani i ich układ banera cookies został uznany za akceptowalny.

Rozpatrując to od strony prawnej należy powiedzieć, że w pewnym zakresie można ewentualnie dopuścić połączenie zgód w ramach więcej niż jednego tagu choć zawsze tagi te muszą posiadać wspólny punkt styku – dla przykładu marketing. Wtedy jednak koniecznym jest bardzo wyraźne określenie zakresu takiej zgody. Rzecz jasna bardziej przejrzystą praktyką będzie rozdzielenie wszystkich zgód, choć jak wspomniałem – nie można wykluczyć, że taka praktyka będzie zakwestionowana.

Problematyczne w szczególności wydają się zgody ad_user_data i ad_personalization ponieważ z jednej strony dotyczą marketingu, nie prowadzą do instalowania nowych plików cookies, finalnie jednak są to zgody związane reklamami online i zgoda na personalizację reklam (remarketing) i dot. tylko narzędzi Google. W tym zakresie więc Google może okazać się szczególnie „wyczulone” ponieważ działania na tych cookies mogą obciążać właśnie jego. Z drugiej natomiast strony są to ewidentne działania marketingowe i ich podejmowanie mieści się w zakresie ogólnej zgody marketingowej pod warunkiem jednak, że zostanie to w niej wprost wskazane.

Finalnie, po przejściu tych jakże technicznych kwestii, warto pamiętać także o poniższych ośmiu zadach legalnego wdrożenia w Twojej firmie ciasteczek:

1. 
   Dobrowolność: Użytkownik powinien mieć rzeczywistą możliwość wyboru, czy wyrazić zgodę na przetwarzanie jego danych osobowych. Zgoda nie może być wymuszona lub uzależniona od negatywnych konsekwencji w przypadku jej niewyrażenia.
2. Konkretność: Zgoda powinna być wyrażona na konkretną operację przetwarzania danych lub wyraźne działanie. Nie powinno być możliwości interpretacji zgody w sposób rozszerzający jej zakres poza wyraźnie określone działanie.
3. Świadomość: Użytkownik wyrażający zgodę powinien być w pełni poinformowany o celu przetwarzania jego danych, o charakterze zbieranych danych oraz o jego prawach, w tym o możliwości wycofania zgody w każdym momencie.
4. Jednoznaczność: Wyrażenie zgody powinno wynikać z wyraźnego i jednoznacznego działania użytkownika, np. zaznaczenia pola wyboru. Nie może być domyślnie zaznaczone ani wynikać z braku działania (tzw. implied consent).
5. Unikanie warunkowości: Zgoda nie powinna być warunkiem dostępu do usługi, chyba że przetwarzanie danych jest bezwzględnie niezbędne do świadczenia tej usługi. W szczególności, zgoda na przetwarzanie danych nie niezbędnych do świadczenia usługi nie może być wymagana jako warunek korzystania z tej usługi (tzw. cookie wall).
6. Szczegółowość: W przypadku, gdy usługa obejmuje wiele operacji przetwarzania danych dla różnych celów, użytkownik powinien mieć możliwość wyrażenia zgody na każdy z tych celów osobno.
7. Możliwość odmowy bez negatywnych konsekwencji: Użytkownik powinien mieć możliwość odmowy lub wycofania zgody bez jakichkolwiek negatywnych konsekwencji dla dostępu do usługi czy jakości jej świadczenia.
8. Transparentność i dostępność informacji: Informacje dotyczące przetwarzania danych, w tym cel przetwarzania, charakter danych, prawa użytkownika oraz sposób wyrażenia, modyfikacji i wycofania zgody, powinny być łatwo dostępne i zrozumiałe dla użytkownika.

Tak więc, jeśli będziemy trzymać się tych wszystkich zasad to wszystkie zgody będziemy mieli zebrane legalnie, a Google nie powinno czynić nam problemów z prowadzeniem reklamy z wykorzystaniem jego usług pod warunkiem rzecz jasna, że wcześniej użytkownik wyrazi nam na nie zgodę.