Google Consent Mode w trybie zaawansowanym gromadzi pewne informacje jeszcze zanim użytkownik wyrazi zgodę na pliki cookies lub inne technologie śledzące. Google posługuje się w tym zakresie pojęciem pingów bez plików cookies, które nie zawierają danych osobowych.
Anonimowość zbieranych w ten sposób informacji jest wykorzystywana jako argument za legalnością zaawansowanego trybu Google Consent Mode. Czy to faktycznie takie proste?
Spis treści
Wideo i podcast
Jeżeli wolisz oglądać niż czytać, przygotowałem wideo na temat Google Consent Mode.
Oprócz wideo, jest też dostępna wersja audio tego poradnika.
Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.
Wszystkie materiały wideo znajdziesz na moim kanale YT, a podcasty w aplikacji podcastowej, z której korzystasz lub w Spotify. Poniżej pełna wersja tekstowa poradnika.
Dane osobowe to nie wszystko
Przepisy prawa w zakresie prywatności użytkownika w internecie nie dotyczą wyłącznie danych osobowych.
To, że pliki cookies lub inne technologie śledzące nie gromadzą danych osobowych, nie oznacza z automatu, że mogą być aktywowane bez zgody użytkownika. Spójrzmy do polskiej ustawy Prawo telekomunikacyjne, która zawiera przepis poświęcony tej tematyce.
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:
[…]
2) abonent lub użytkownik końcowy […] wyrazi na to zgodę;
[…]
Przepis posługuje się pojęciem informacji. Nie muszą być to wcale dane osobowe.
Ustawę Prawo telekomunikacyjne zastąpi w przyszłości ustawa Prawo Komunikacji Elektronicznej, która jest w tej chwili na etapie opiniowania jej projektu. W zakresie plików cookies i innych technologii śledzących projekt ustawy powiela jednak, przynajmniej na ten moment, dotychczas obowiązującą regulację.
Nie jest to tylko nasze polskie rozwiązanie. Wręcz przeciwnie, ustawa Prawo telekomunikacyjne stanowi w tym zakresie implementację europejskiej dyrektywy.
Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę […] po otrzymaniu jasnych i wyczerpujących informacji […]
Dyrektywa ma zostać docelowo zastąpiona rozporządzeniem ePrivacy, którego projekt pochodzi z 10 stycznia 2017 roku i ciągle nie wiadomo, w jakim kształcie oraz kiedy akt ten ma szansę na zaistnienie.
W międzyczasie, tematem śledzenia użytkowników w internecie zajęła się Europejska Rada Ochrony Danych Osobowych (EROD), która wydała wytyczne, potwierdzające, że problematyka nie dotyczy wyłącznie danych osobowych, ale również innych informacji.
Podsumowując, pojęcie informacji obejmuje zarówno informacje nie mające charakteru danych osobowych, jak i dane osobowe, niezależnie w jaki sposób te informacje zostały zgromadzone i przez kogo […].
Wytyczne przywołują w tym zakresie również wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE).
[…] wszelkie informacje przechowywane w urządzeniach końcowych użytkownika sieci łączności elektronicznej należą do sfery prywatnej tego użytkownika, która podlega ochronie na mocy europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności. Ochrona ta ma zastosowanie do wszelkich informacji przechowywanych w takich urządzeniach końcowych, niezależnie od tego, czy są to dane osobowe, i ma na celu […] ochronę użytkowników przed ryzykiem wprowadzenia ukrytych identyfikatorów lub innych podobnych narzędzi do urządzeń końcowych użytkowników bez ich wiedzy.
Czy Google Consent Mode w trybie zaawansowanym faktycznie przechowuje lub uzyskuje dostęp do informacji w urządzeniu użytkownika?
Ustaliliśmy więc, że anonimowość informacji gromadzonych przez jakiś skrypt nie przesądza, że taki skrypt może zostać załadowany bez zgody użytkownika.
Wróćmy jednak jeszcze do przepisu regulującego omawianą tematykę.
Przepis dotyczy dwóch sytuacji:
- przechowywanie informacji w urządzeniu,
- uzyskiwanie dostępu do informacji przechowywanej w urządzeniu.
Czy faktycznie to, co robi Google Consent Mode w trybie zaawansowanym jeszcze zanim użytkownik wyrazi jakąkolwiek zgodę polega na przechowywaniu informacji w urządzeniu lub uzyskiwaniu dostępu do informacji już przechowywanej w urządzeniu?
Sprawdźmy czy pomocne w odpowiedzi na to pytanie są wytyczne EROD.
Dostęp do informacji przechowywanych w urządzeniu zwykle wiąże się z proaktywnym wysyłaniem określonych instrukcji do urządzenia w celu zwrotnego otrzymania docelowych informacji. Dzieje się tak na przykład w przypadku plików cookies, gdy podmiot uzyskujący dostęp do informacji wysyła instrukcję do urządzenia, żeby proaktywnie przesyłało informacje przy każdym połączeniu HTTP.
Najczęściej informacje nie są przechowywane w urządzeniu końcowym poprzez uzyskanie dostępu do tego urządzenia przez podmiot trzeci, ale raczej poprzez instrukcję wydaną oprogramowaniu na urządzeniu końcowym do wygenerownia określonych informacji. To obejmuje m.in. pliki cookies.
Nie ma żadnych minimalnym ani maksymalnych wymogów co do czasu obecności informacji w urządzeniu, żeby można było mówić o przechowywaniu informacji, podobnie jak nie ma żadnych wymogów co do miminalnej lub maksymalnej objętości tych informacji.
Uzupełnieniem ogólnych wyjaśnień zawartych w wytycznych są przykłady rozwiązań technicznych, które podlegają omawianej regulacji:
- linki i pixele śledzące,
- przekazywanie lokalnych informacji z wykorzystaniem API,
- śledzenie oparte wyłącznie o adres IP,
- unikalne identyfikatory internetowe.
Czy sposób działania Google Consent Mode w trybie zaawansowanym łapie się pod to, co jest opisane w wytycznych? Żeby odpowiedzieć na to pytanie, zajrzyjmy jeszcze do wyjaśnień Google.
Gdy użytkownik wyrazi zgodę, powiązane tagi będą działać normalnie.
Jeśli odmówi, tagi wymagające zgody nie będą przechowywać plików cookie. Zamiast tego będą przekazywać informacje o stanie zgody użytkownika oraz o jego aktywności, wysyłając do serwera Google następujące typy pingów bez plików cookie (sygnały).
Pingi dotyczące stanu zgody użytkownika związane z tagami Google Ads i Floodlight: przekazują domyślny, skonfigurowany przez Ciebie stan zgody użytkownika oraz stan zaktualizowany po udzieleniu lub odmówieniu przez użytkownika poszczególnych rodzajów zgody, np. ad_storage albo analytics_storage. Pingi dotyczące stanu zgody użytkownika są wysyłane ze wszystkich odwiedzanych przez niego stron, na których włączony jest tryb uzyskiwania zgody. Są one też wywoływane w przypadku niektórych tagów, jeśli stan zgody użytkownika zmieni się z denied (odrzucono) na granted (przyznano), np. gdy użytkownik wyrazi zgodę w oknie z prośbą o zgodę na przetwarzanie danych osobowych.
Pingi dotyczące konwersji: wskazują, że wystąpiła konwersja.
Pingi dotyczące Google Analytics: są wysyłane z każdej strony witryny, na której zaimplementowany jest kod GA, podczas jej wczytywania i rejestrowania zdarzeń.
We wszystkich przypadkach pingi mogą obejmować następujące dane:
– informacje funkcyjne (np. nagłówki dodane pasywnie przez przeglądarkę),
– sygnatura czasowa,
– klient użytkownika (tylko internet),
– strona odsyłająca.
– informacje zbiorcze / nieidentyfikujące: określenie, czy bieżąca lub poprzednia strona w obszarze nawigacyjnym użytkownika w witrynie zawiera w adresie URL informacje o kliknięciu reklamy (np. identyfikator kliknięcia Google /DCLID); informacje o stanie zgody użytkownika (wartość logiczna); losowa liczba wygenerowana podczas każdego wczytania strony; informacje o platformie do uzyskiwania zgody użytkownika używanej przez właściciela witryny (np. identyfikator dewelopera).
Czytając wyjaśnienia Google, sam nie wiem, co myśleć. Nie potrafię ustalić czy Google Consent Mode w trybie zaawansowanym przechowuje jakieś informacje lub uzyskuje dostęp do już przechowywanych informacji w urządzeniu użytkownika. Porozmawiałem więc z Michałem Osińskim, web developerem.
Poniżej krótki wyciąg z tej rozmowy.
M.O.: Dane, które są w tym przypadku zbierane pochodzą z tzw. żądnia HTTP – czyli jak wchodzisz na stronę np. prakreacja.pl, to Twoja przeglądarka wysyła żądanie do serwera – „weź mi daj stronę prakreacja.pl”. Takie żądanie zawiera podstawowe informacje – adres IP, jaką masz przeglądarkę, jaki jest ustawiony język w systemie i – jeżeli byłeś np. na pixelsonfire.pl – to tzw. referer, czyli informacje skąd przychodzę do Ciebie.
To są najbardziej standardowe informacje, które każda przeglądarka przesyła do serwera, za każdym razem jak przeglądasz internet.
Natomiast w przypadku sygnałów bezciasteczkowych (pingi) wysyłane są tylko ogólne informacje, takie jak fakt odwiedzenia strony, bez przechowywania żadnych danych na urządzeniu użytkownika. Zbierane są tylko informacje absolutnie niezbędne do zrozumienia, że strona została odwiedzona.
W.W.: Czyli można powiedzieć, że ten mechanizm wymusza na przeglądarce przesłanie do Google informacji o tym, że z pomocą tej przeglądarki nastąpiło połączenie z określoną stroną internetową?
M.O.: No w dużym uproszczeniu.
Biorąc pod uwagę wnioski płynące z rozmowy oraz przytoczone wcześniej wytyczne EROD („dostęp do informacji przechowywanych w urządzeniu zwykle wiąże się z proaktywnym wysyłaniem określonych instrukcji do urządzenia w celu zwrotnego otrzymania docelowych informacji”), uważam, że tryb zaawansowany Google Consent Mode podpada pod uzyskiwanie dostępu do informacji przechowywanej w urządzeniu.
Czy pingi wykorzystywane w trybie zaawansowanym Google Consent Mode są konieczne do dostarczania usługi świadczonej drogą elektroniczną?
Jeżeli uznamy, że to, co robi Google Consent Mode w trybie zaawansowanym polega na uzyskiwaniu dostępu do informacji przechowywanej w urządzeniu użytkownika, można zadać jeszcze inne pytanie – czy faktycznie jest potrzebna na to zgoda?
Odpowiedź znajdziemy w przepisach prawa.
Warunków, o których mowa w ust. 1 [konieczność uzyskania zgody – przyp. red.], nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do […] dostarczania […] usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich […] gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.
Czy pingi wykorzystywane przez Google Consent Mode w trybie zaawansowanym są niezbędne do świadczenia usługi? Nie, nie są.
Strona internetowa czy aplikacja mogłaby z powodzeniem działać bez tych pingów. Ich celem jest wykorzystywanie zgromadzonych informacji w celu modelowania danych na potrzeby poprawienia jakości wyników analitycznych przy korzystaniu z usług Google, np. Google Analytics.
Plus – jak sprawdzić czy faktycznie tylko do tego? A może gromadzone w pingach informacje są wykorzystywane przez Google jako jeden z puzzli przy budowaniu profilu użytkownika, na które to zagrożenie zwraca uwagę w swoim artykule Brian Clifton, ekspert od prywatności w internecie?
Nie widzę możliwości uznania pingów z Google Consent Mode za niezbędne. One zawierają wiele informacji przeznaczonych tylko dla oczu Google i jest to dla Google prosta sprawa, żeby połączyć te puzzle razem w celu identyfikacji konkretnych użytkowników.
Pingi zawierają informacje takie jak user_ID odwiedzającego lub transaction_ID oraz adres IP, które są przesyłane do serwera Google. Gromadzenie, przechowywanie i przetwarzanie takich informacji, gdy użytkownik nie wyraził na to zgody, należy uznać za bezprawne.
Innego zdania jest Krzysztof Radzikowski, specjalista od analityki internetowej.
Po obseracji ruchu na kilkudziesięciu stronach internetowych i testach mogę powiedzieć, że w trybie zaawansowanym Google Consent Mode nie dostarcza mi danych, które mogę wykorzystywać do bezpośredniego targetowania reklam do osób, które zgody nie wyraziły. Jednocześnie otrzymuję dane sumaryczne, które mogę samodzielnie zebrać w dowolny inny sposób, nawet nie pytając użytkownika.
Google nadaje losowe ID w obrębie sesji po to, by wiedzieć czy dana sesja i dane z niej pochodzące są od nowego użytkownika, czy to cały czas ta sama przeglądarka – jest to używane do zliczenia unikalnych użytkowników. Wartość ta nie trafia jednak do finalnych danych o eventach w GA czy też potem do danych do BIGquery – po ich odebraniu i zakończeniu sesji odwiedzającego nie mam jak ich potem dopasować.
Co do przekazywania IP, to na tym generalnie bazuje internet. Aby otrzymać dane o stronie, serwer musi poznać IP pytającego o stronę. Czyli odwiedzając jakąkolwiek stronę i tak zostawiamy swoje IP.
Ja stoję na stanowisku, że bez zgody użytkownika dostaję tylko część danych statystycznych i nie mam jak ich wykorzystać w targetowaniu reklam. Dane, które dostaję przy braku zgody nie są możliwe do powiązania z konkretnym odwiedzającym przy jego kolejnej wizycie ani do kierowania do tego użytkownika targetowanych reklam. Nie da się z nich wykonać procedury customer match.
Wprawdzie w ramach Google Consent Mode mogą być nadawane tymczasowe unikalne identyfikatory i zbierane są adresy IP przez serwer (nasz, Google, serwery DNS operatora, proxy itp.) na czas odwiedzin, ale czy to narusza prawo, to już kwestia interpretacji.
Dla mnie zasadniczym deal breakerem jest to czy mogę je wykorzystać w dalszym „nękaniu” odwiedzającego swoją ofertą, czy nie. Użytkownik odmawia zgody do wykorzystania tych danych do marketingu i cookie-less ping takich danych nie dostarczy.
Przedstawiona opinia odpowiada po części temu, co w swoim artykule napisał Brian Clifton.
Informacje zbierane od użytkowników, którzy nie wyrazili zgody, nie trafiają do Twojego Google Analytics – one są widoczne tylko dla oczu Google.
Jednak zdaniem Briana Cliftona, to, że informacje są anonimowe i niewidoczne dla administratora strony, na której został wdrożony Google Consent Mode, nie oznacza, że sytuacja jest „czysta”.
Problem polega na tym, że informacje są przesyłane do Google, który ma możliwości, żeby je łączyć z innymi danymi przy tworzeniu profilów użytkowników.
Owszem, moim zdaniem istnieje coś takiego jak anonimowa analityka, która nie wymaga zgody użytkownika, ale wysyłanie informacji do „masowego agregatora” takiego jak Google nie można uznać za anonimową analitykę.
Z artykułu Briana Cliftona można wyciągnąć wniosek, że gromadzenie anonimowych informacji analitycznych nie wymaga zgody, jeśli informacje te nie wypływają poza zasoby administratora strony. Jeśli jednak do takich informacji mają dostęp podmioty trzecie, w szczególności takie, które dysponują możliwościami agregowania i zestawiania informacji z wielu źródeł, takie postępowanie wymagania uprzedniej zgody użytkownika.
Zgadzam się z tą opinią i podobnie jak Brian Clifton uważam, że gromadzenie informacji z wykorzystaniem pingów bez cookies jeszcze zanim użytkownik wyrazi zgodę (tryb zaawansowany Google Consent Mode) należy uznać za naruszenie prawa w zakresie prywatności w internecie.
Nie zamykam się przy tym na odmienne opinie. Jeśli masz takową, napisz komentarz, podyskutujmy.
Kary za Google Consent Mode w trybie zaawansowanym
Nie dotarłem do żadnych decyzji organów nadzorczych kwestionujących korzystanie z Google Consent Mode w trybie zaawansowanym do gromadzenia anonimowych informacji jeszcze przed wyrażeniem przez użytkownika zgody na pliki cookies lub podobne technologie.
Nie jestem tym zaskoczonym, bo temat jest stosunkowo świeży.
Podejmując decyzję o korzystaniu z trybu zaawansowanego Google Consent Mode należy mieć jednak na uwadze możliwe konsekwencje zakwestionowania legalności tego rozwiązania.
Niewłaściwe postępowanie dotyczące plików cookies lub podobnych technologii może być w Polsce przedmiotem zainteresowania następujących organów:
- Urząd Ochrony Danych Osobowych (UODO)
- Urząd Komunikacji Elektronicznej (UKE)
- Urząd Ochrony Konkurencji i Konsumentów (UOKiK).
UODO może działać w sprawach dotyczących przetwarzania danych osobowych i nakładać kary w wysokości do 20 mln euro lub 4% obrotu z poprzedniego roku.
Nawet jeśli pliki cookies lub podobne technologie nie służą do przetwarzania danych osobowych, Prezes UKE może nałożyć karę (do 3% przychodu z poprzedniego roku) za niewypełnianie obowiązku uzyskania zgody użytkownika na przechowywanie informacji lub uzyskiwanie dostępu do już przechowywanej informacji w urządzeniu końcowym użytkownika.
Jeśli UOKiK uzna nieprawidłowości związane z plikami cookies lub podobnymi technologiami za praktykę naruszającą zbiorowe interesy konsumentów, może nałożyć karę do 10% obrotu z poprzedniego roku.
Polska praktyka w sprawie cookies i podobnych technologii
Zgodnie z prawem, konsekwencje związane z niewłaściwym postępowaniem dotyczącym plików cookies lub podobnych technologii mogą być dotkliwe. Postanowiłem jednak sprawdzić, jak wygląda praktyka.
Odnalazłem w internecie informacje na tematów dwóch decyzji PUODO dotyczących cookies. Obie decyzje zawierają upomnienie za naruszenie polegające na udostępnieniu ID z cookies podmiotom trzecim bez odpowiedniej zgody użytkownika. Trzeba jednak zaznaczyć, że obie te decyzje nie są ostateczne, a stany faktyczne, których dotyczą nadal są przedmiotem sporów. Po szczegóły odsyłam do poniższych artykułów:
Nie znalazłem żadnych decyzji UKE ani UOKIK dotyczących niewłaściwego postępowania z plikami cookies lub podobnymi technologiami. Wysłałem do organów prośbę o udzielenie informacji co do ilości postępowań kontrolnych i kar dotyczących tego tematu. Jeśli otrzymam odpowiedź, uzupełnię ten artykuł.
Wniosek z moich poszukiwań jest taki, że cookies i podobne technologie nie są w centrum zainteresowania polskich organów nadzorczych. Wydaje się, że nadal jesteśmy w Polsce na etapie kwestii podstawowych, takich jak np. właściwe zabezpieczenie danych przed dostępem osób nieupoważnionych, a problematyka śledzenia w internecie, choć szeroko komentowana wśród prawników, jest pomijana przez organy nadzorcze.
Czy jest to jednak wystarczający powód, żeby ignorować wymogi dot. zgód na cookies / podobne technologie?
Kary za cookies w Europie
Dużo więcej w zakresie cookies i podobnych technologii dzieje się w innych europejskich państwach.
Za zaniedbania w tym zakresie (dotyczące najczęściej nieprawidłowości w procesie odbierania zgody), zostały nałożone m.in. następujące kary:
- 10 mln euro kary dla Yahoo – francuski organ nadzorczy,
- 60 mln euro kary dla Microsoft – francuski organ nadzorczy,
- 50 tys. euro kary dla grupy prasowej Roularta – belgijski organ nadzorczy,
- 30 tys. euro kary dla spółki Vueling – hiszpański organ nadzorczy,
- łącznie 50 tys. euro dla firmy hazardowej i bukmacherskiej – chorwacki organ nadzorczy,
- łącznie 185. tys. euro dla różnych stron internetowych – czeski organ nadzorczy.
Z ręką na sercu przyznaję, że nie weryfikowałem czy i z jakim skustkiem ukarane podmioty odwoływały się od decyzji nakładających kary, ale niezależnie od tego trend jest jasny – cookies i podobne technologie są przedmiotem kontroli prowadzonych przez europejskie organy nadzorcze.
Uważam, że prędzej czy później ten trend przełoży się również na polską praktykę.
Podsumowanie
Google Consent Mode w trybie zaawansowanym gromadzi pewne informacje z wykorzystaniem pingów bez cookies jeszcze przed wyrażeniem zgody przez użytkownika.
Zdania na temat legalności takiego działania są podzielone.
Argumentem za zgodnością z prawem trybu zaawansowanego Google Consent Mode jest anonimowy charakter informacji gromadzonych na wstępnym etapie (przed wyrażeniem zgody).
Przeciwne opinie zasadzają się na tym, że nawet jeśli informacje są anonimowe dla administratora strony, to dla Google już nie, bo może je zestawiać z innymi danymi i identyfikować w ten sposób użytkowników.
Zgadzam się z tym drugim poglądem i uważam, że korzystanie z trybu zaawansowanego Google Consent Mode jest ryzykowne pod kątem prawnym.
Nie są mi znane żadne decyzje ani nawet wypowiedzi organów nadzorczych dotyczące Google Consent Mode. Zakładam, że na praktykę w tym zakresie trzeba poczekać. Zapewne w Polsce nastąpi to jeszcze później niż w innych krajach europejskich, ponieważ jak dotąd polskie organy nadzorcze nieszczególnie interesowały się plikami cookies i podobnymi technologiami, w przeciwieńdstwie do organów z innych państw, które prowadzą w tym zakresie kontrole i nakładają kary finansowe, czasem bardzo dotkliwe.
Doradzając, jako radca prawny, klientom z branży e-commerce, zawsze rekomenduję wdrożenie mechanizmu prywatności, który blokuje cookies lub podobne technologie inne niż rzeczywiście niezbędne do świadczenia usług, do momentu wyrażenia przez użytkownika zgody.
Dodatkowa pomoc
Jeżeli potrzebujesz szybko przygotować politykę prywatności, tutaj znajdziesz rozwiązanie.
Jeżeli potrzebujesz indywidualnej pomocy prawnej, napisz na wojciech.wawrzak@prakreacja.pl.
