Гостьова стаття від компанії Proanalytics Academy
Ця стаття — невеликий бліц відповідей на питання, які мені, як веб-аналітику компанії Proanalytics Academy, часто ставлять під час консультацій з налаштування згоди (Consent).
Важливі нюанси
- Цей матеріал не є юридичною консультацію. Його мета — трохи розвінчати купу міфів та хибних тверджень про налаштування консенту, які ходять просторами інтернету. Так, я провів велику роботу зібравши відповіді, та поспілкувався з юристами багатьох компаній, але я сам не є юристом. Я веб-аналітик. Тому ви можете бути 100% впевнені в моїх відповідях на технічні питання, але не забудьте уточнити у свого юриста юридичні нюанси;
- Я також не хочу перевантажувати текст технічними термінами, тому буду використовувати термін “cookie ”. Але при цьому буду мати на увазі різні сховища даних: власне cookie, Local Storage та Session Storage та інші технології. Детальніше про це буде в пункті #3.
1
Це одне з найпопулярніших питань. Відповідь – ні.
Це стосується не тільки cookie третьої сторони, а також і cookie першої сторони. Тобто ви не маєте права загалом збирати персональні дані користувачів без їхньої згоди, незалежно від того, в які cookie це в результаті передається.
2
Так, можна. Якщо такі cookie прямо необхідні для надання послуги кінцевому користувачу.
Завжди існує група обов’язкових cookie. Якщо вони потрібні для коректної роботи сайту, наприклад, коли користувач додає товар у кошик в інтернет-магазині, то було б дуже незручно, якби при переході на наступну сторінку цей товар зникав.
Ще один приклад використання обов’язкових кук: збереження ваших даних входу в Facebook, або інші сервіси, щоб вам не потрібно було постійно вводити логін і пароль при кожному оновленні сторінки.
Тобто, якщо ці cookie є обов’язковими для функціонування сайту, ви маєте право їх використовувати.
Ще один важливий момент: коли користувач заповнює форму, він також вказує свої персональні дані. Згідно з GDPR, збирати такі персональні дані дозволено. Але важливо, щоб ви проінформували користувача, і він надав згоду щодо політики роботи з цими даними. Навіть якщо користувач натиснув на банері Deny, але заповнив форму та погодився на вашу політику роботи з даними, бажаючи, щоб ви зв’язалися з ним і залишив свої контактні дані, ви маєте право зібрати цю інформацію й перенести її, наприклад, у CRM-систему.
3
Коли ми говоримо про закони щодо захисту персональних даних користувачів, під загальним терміном “cookie” маються на увазі не лише cookie, але й Local Storage, Session Storage, певні піксельні теги, індекс DB та багато іншого. Загалом ці правила стосуються всіх вебтехнологій, які дозволяють зберігати інформацію про користувачів.
4
Чи стосуються правила згоди лише даних, що передаються третім сторонам?
Ми говоримо про закони, що регулюють збір і обробку персональних даних користувачів. Ніде в цих законах не вказано, що це стосується тільки третіх сторін. Правила охоплюють весь процес збору, зберігання та обробки персональних даних користувачів у межах вашої компанії.
Незалежно від того, чи збираєте ви дані для власних потреб або для третіх сторін, ці правила стосуються всіх етапів обробки персональних даних ваших відвідувачів та клієнтів.
5
Чи поширюються ці вимоги лише на Європу, чи діють також в інших регіонах?
Якщо ми говоримо про GDPR, то він працює саме у Європі, точніше, в Європейській Економічній Зоні (ЄЕЗ). Але в інших країнах є схожі закони: один з найбільш відомих — CCPA в Каліфорнії. Також подібні закони діють у Бразилії, Південній Африці, Японії та інших країнах та регіонах.
Загалом, майже в усіх країнах, де приділяють увагу захисту персональних даних, є відповідне законодавство. Проте, у деяких регіонах ці правила є лише рекомендаціями, а в інших — обов’язковими до виконання. Наприклад, у деяких країнах принципом є «дозволено, доки користувач не заборонить», тоді як у Європі, зокрема завдяки GDPR, діє правило, що «доки користувач не надасть згоди, збирати дані не можна».
6
Чи поширюються ці налаштування на Україну?
Так, ці вимоги поширюються і на Україну, хоча на трохи іншому рівні.
Я б сказав, що є більш і менш прогресивні підходи, і, на жаль, Україна наразі використовує менш прогресивний. У нас також є аналог GDPR, прийнятий уже багато років тому.
Але якщо дивитись на ту ж Європу, GDPR почав діяти там у 2018 році, але основні зміни почались в березні 2024, коли вступив у силу DMA (Закон про цифрові ринки). Тому те, що зараз відбувається, є скоріше наслідком впровадження DMA, ніж впливом GDPR.
В Україні є аналог GDPR, але оскільки у нас немає DMA, то рекомендація щодо банерів є бажаною, але не обов’язковою. Тобто якщо в Європі збирати дані можна тільки після отримання згоди користувача, в Україні в більшості випадків дозволено збирати дані, доки користувач прямо не заборонить цього. Наприклад, банери з кнопкою «ОК», які вважаються некоректними в ЄС, в Україні наразі не є порушенням.
Отже, Україна тут дещо осторонь. Але пам’ятайте, що є дві групи вимог: перша стосується законодавства, а друга — вашої взаємодії з рекламними та аналітичними системами. На законодавчому рівні в Україні це все ще перебуває на початкових етапах. Можливо, Google з часом вимагатиме передачі сигналів про згоду користувачів і від українських сайтів.
Поки що це не є обов’язковим, але є дуже рекомендованим. Наразі можна використовувати альтернативні варіанти, такі як OK-банери з умовою, що користувач дає згоду, залишаючись на сайті. Ну і не забувайте про моральну сторону питання: завжди добре, коли твої дані використовують зі згоди.
7
Чи стосуються налаштування згоди лише сервісів Google, чи охоплюють і інші платформи?
Налаштування згоди — це загальне правило щодо захисту персональних даних, яке стосується всіх систем, до яких передаються дані. Отже, це охоплює всі рекламні та аналітичні платформи.
Але я здогадуюсь, чому складається враження, що ці вимоги більше стосуються Google. На законодавчому рівні правила стосуються всіх, але дійсно здається, що Google запровадив найсуворіші вимоги. Наприклад, поки що Facebook не обмежує рекламу, якщо немає сигналів згоди користувача, а Google вже почав впроваджувати це в деяких рекламних кабінетах. Саме тому складається враження, що ці правила стосуються переважно Google. Але, як уже згадувалося, вони діють для всіх платформ. І у того ж Facebook, і у Bing вже теж з’являються відповідні розділи в довідках.
8
Чи стосується консент сайтів, які купують рекламу, а не продають її?
Так. Це питання регулюється дещо іншим законом — TCF (Transparency and Consent Framework). Ви можете детальніше про це почитати на сайті Interactive Advertising Bureau. Проте, повертаємось до відповіді на перше питання: це стосується будь-яких дій компанії, які зв’язані зі збором, збереженням чи аналізом персональних даних користувачів.
9
Чи потрібно мати окрему сторінку з Privacy Policy?
Офіційної вимоги немає, але я та юристи, з якими я спілкувався, однозначно рекомендуємо створити таку сторінку. Це допомагає користувачам отримати всю необхідну інформацію, а вам — відповідати вимогам прозорості. Більше про вимоги до інформування користувачів можна знайти у GDPR Article 13: Personal Data Collected.
10
Краще робити банер консенту через СМР (платформу керування consent) чи власний?
CMP, або платформа керування згодою, є зручним і швидким рішенням для компаній малого та середнього розміру. При використанні CMP ви значно зменшите витрати на розробку. Також банери будуть автоматично оновлюватися відповідно до змін у законодавстві. Окрім цього, CMP дозволяє легко кастомізувати банери з урахуванням бренду і підтримує мультимовність та геотаргетинг для відповідності локальним вимогам. Однак є один суттєвий недолік — це вартість послуг.
Самостійне налаштування через GTM — це безкоштовний метод, що дає більше гнучкості. Однак ви витратите більше часу на розробку та тестування, а також вам потрібний вищий рівень технічних знань. Для налаштування через GTM необхідно створити власні теги, тригери і змінні, що може бути складним для компаній без технічних фахівців. Крім того, власноручне налаштування вимагає постійного моніторингу змін у законодавстві.
На мою думку, використання готового рішення CMP є більш доцільним. Консент — це переважно юридичний аспект, і штрафи за його недотримання можуть бути суттєвими. Тому краще довірити це питання професіоналам, які вже мають досвід та необхідні інструменти для відстеження всіх аспектів цього процесу.
11
Так, звісно, можна використовувати GTM, але є нюанси.
Якщо ми говоримо про чистий код тег-менеджера, то слід розуміти, що він не встановлює ніяких cookie.
Якщо бути дуже точним, то GTM, насправді, встановлює cookie, але тільки коли активується режим попереднього перегляду в GTM. Це робить лише людина, яка налаштовує GTM у компанії.
Для відвідувачів сайту GTM ніяких cookie самостійно не встановлює. Однак через GTM можна запускати скрипти, які можуть встановлювати cookie.
Тобто, резюмуючи, сам по собі GTM не є порушенням GDPR. Дуже важливо, щоб всередині нього без згоди користувача не запускалися коди, які встановлюють cookie, які вже можуть порушувати GDPR.
12
Чи вважається порушенням консенту, якщо банер згоди, налаштований через GTM, не показується через використання блокувальників реклами?
За словами юристів, це не є порушенням GDPR. Незважаючи на те, що банер не показано користувачу і згоди не отримано, при правильній реалізації це не є порушенням GDPR.
Уявіть, на сайті встановлено банер згоди, налаштований через Google Tag Manager, але певні блокувальники реклами можуть блокувати не тільки рекламу, а й GTM. І в результаті банер не відображається користувачу, хоча він зайшов на сайт.
Правильна реалізація означає, що є Google Tag Manager із реалізованою згодою через CMP або власний банер. Основний код і всі маркетингові та аналітичні коди також знаходяться всередині Google Tag Manager. Якщо GTM не заблоковано, то все працює правильно: з’являється банер, людина дає згоду, і всі коди запускаються, або банер з’являється, користувач не дає згоди, і коди не запускаються. Все чітко. Якщо є блокувальник реклами, він блокує GTM і показ банера, а разом з цим не запускаються аналітичні та маркетингові коди.
Таким чином, персональні дані не збираються, і це не є порушенням GDPR.
Більше того, розширення, яке блокує певні скрипти, – це кастомізація сайту з боку користувача. Ви виконали вимоги закону, а те, що банер не з’явився, – це наслідок розширення користувача, яке заблокувало GTM.
13
Чи потрібно кожного разу, коли користувач заходить на сайт, збирати згоду-повтор?
Кожного разу показувати банер згоди немає сенсу, щоб не втомлювати користувача. Але в законодавстві різних країн є додаткові вимоги: час від часу вам може бути потрібно оновлювати дані згоди. Найменший рекомендований інтервал – раз на півроку, в деяких країнах – раз на рік. Це потрібно для того, щоб банер не надокучав користувачу. Але при цьому, щоб і дозвіл не був “вічним”.
Рекомендую уточнити вимоги в конкретній країні, де ви працюєте.
Замість висновку
- Сподіваюся, що ви знайшли тут відповіді на запитання, які шукали або в яких не були впевнені. Якщо вам цікаво заглибитися в тему ще більше, дізнатися нюанси та деталі налаштувань, ви можете пройти безкоштовний курс Consent & GDPR in Marketing. В цьому курсі зібрано не лише теорію, але й вказівки по практичних налаштуваннях консенту з додатковими матеріалами для кращого засвоєння.