Strona główna > Journal > Pasek plików Cookies. Co powinien zawierać i jak go zaprojektować?
Journal

Pasek plików Cookies. Co powinien zawierać i jak go zaprojektować?

Oceń artykuł:

Projektowanie Paska plików Cookies jest problemem, który łączy w sobie dwa aspekty: prawo oraz użyteczność, doświadczenia użytkownika (User Experience).

Pasek Cookies jest tym bardziej problemem w projekcie IT - w sensie najbardziej funkcjonalnych, wygodnych dla użytkownika i właściciela strony rozwiązań - im bardziej zmienna jest sytuacja prawna.

Wszystko wskazuje na to, że z kwestiami prawnego obowiązku informowania użytkownika, gwarantowania zabezpieczeń, konieczności pozyskiwania zgód od użytkownika będzie tak, jak to zwykle bywa, gdy prawo musi nadążać za technologią.

Musimy się spodziewać, że co jakiś czas będziemy prawnie zobligowani do dostosowania strony do nowych norm.

Problem Paska Cookie, dostosowania przede wszystkim jego zawartości, do norm prawnych jest tego klasycznym przykładem.

W jaki sposób sobie radzić z paskami plików Cookies? Co powinien zawierać Pasek plików Cookies?

Jeśli chcecie się dowiedzieć, w jaki sposób zaprojektować Pasek Cookies, skorzystać z darmowej lub odpłatnej wtyczki, by być w zgodzie z literą prawa i jednocześnie nie ograniczać witryny biznesowo, koniecznie przeczytajcie poniższy artykuł.

Serdecznie zapraszamy do lektury.

Szukasz rozwiązania?

Potwory w ciasteczkach, przeglądarce i na stronach internetowych

Prędzej, czy później nowe technologie, w szczególności jeśli potencjalnie mogą godzić w interesy użytkowników, są poddawane regulacjom prawnym.

Regulacjom mniej lub bardziej praktycznym, skutecznym, mniej lub bardziej wygodnym w codziennym korzystaniu z internetu. Ale za to powszechnie obowiązującym i wymuszającym na organizacjach szybkie dostosowanie się.

RODO jest bodaj najbardziej emblematycznych tego przykładem.

pasek cookies - Netflix

Czy RODO rozwiązało problemy, których rozwiązania się po nich spodziewano? Rzetelna, uczciwa odpowiedź na to pytanie to nadal kwestia czasu i przyjęcia trafnych kryteriów oceny.

Jedno jest pewne, RODO stworzyło nowe problemy oraz nowe usługi, którym zapobiegają i które świadczą wyspecjalizowane firmy.

Tak na rynku pojawiły się rozwiązania z zakresu obsługi zgód plików Cookie (Consent Management Platforms - CMP), które zauważmy są regulowane między innymi przez prawo przyjęte w ramach RODO.

Zazwyczaj nowe prawo nie spada z nieba z dnia na dzień. W szczególności, gdy ma obowiązywać powszechnie i ma się wiązać z koniecznością technicznego dostosowania stron internetowych. Ale to tylko połowiczna pociecha.

Z prawem jest ten oto szkopuł, że nawet, jeśli jego jest wejście w życie jest anonsowane z dużym wyprzedzeniem, to wciąż pozostaje problem jego jednoznaczności, interpretacji, wykładni oraz egzekucji.

A to, jak łatwo się domyślić, rodzi wiele nieporozumień, kontrowersji, ale przede wszystkim obaw, ryzyk i dylematów, których organizacje zazwyczaj nie chcą doświadczać. Czy tak jest także w kwestii plików Cookies?

baner cookies na stronie internetowej

No cóż, w dużym stopniu tak. Witajcie w świecie Ciasteczkowych potworów!

Co to są pliki Cookies (Ciasteczka Cookies)?

Nim przejdziemy do wzorców, rekomendacji odnośnie projektowania Paska Cookies, ustawienia Cookies powiedzmy trochę o samych Ciasteczkach i całym zamieszaniu, jakie powodują. A bez dwóch zdań, te małe, niewinne pliczki narobiły sporo rwetesu.

Pliki Cookies najczęściej definiuje się jako mały fragment tekstu, który serwis internetowy wysyła do przeglądarki i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę.

Taką definicję podaje kancelaria prawna Maruta Wachta.

Pliki Cookies używane są zazwyczaj do:

  • utrzymywania sesji (poprzez wygenerowanie i odesłanie tymczasowego identyfikatora po logowaniu)
  • zapamiętania dowolnych danych, które można zakodować jako ciąg znaków.

W drugim wariancie, z perspektywy użytkownika aplikacji webowych, pliki Cookies stają się bardzo użyteczne, bowiem użytkownik nie musi każdorazowo wprowadzać tych samych danych.

Wymiana informacji, do jakiej dochodzi za sprawą Ciasteczek, jest więc niezbędna do płynnego, wygodnego korzystania ze stron internetowych.

projektowanie ux paska cookies

Proces zaczyna się wraz z uruchomieniem przeglądarki internetowej, wpisaniem adresu strony lub kliknięciem w linku do niej odsyłający (np. w wynikach wyszukiwania wyszukiwarki Google).

W odpowiedzi na takie działanie użytkownika, serwer wysyła plik Cookie z unikalnym ID, który następnie jest zapisany na dysku urządzenia użytkownika.

W momencie ponownego odwiedzenia aplikacji webowej, strony internetowej z komputera użytkownika jest wysyłana na serwer informacja o pliku Cookie, dzięki czemu możliwa jest identyfikacja po unikalnym ID oraz przypisanie kolejnych informacji.

baner cookies w wersji mobilnej

Większość stron (np. strony instytucji, proste strony firmowe, portale społecznościowe, strony usługowe, strony związane z E-Commerce), z jakimi mamy do czynienia na co dzień w czasie użytkowania internetu, używa plików Cookie.

Czy za każdym razem robią to w tym samym celu i w taki sam sposób? Oczywiście nie. Możemy wyróżnić kilka rodzajów plików Cookie.

W najbardziej ogólnym sensie, pliki Cookie można podzielić na:

  • niezbędne
  • pozostałe.

Niezbędne pliki Cookie to pliki:

  • uwierzytelniające (Authentication Cookies)
  • zapewniające bezpieczeństwo (User Centric Security Cookies)
  • wykorzystywane w odtwarzaczach multimedialnych (Multimedia Player Session Cookies).

Pozostałe pliki Cookie to pliki służące celom:

  • analitycznym
  • marketingowym
  • reklamowym
  • funkcjonalnym (dzięki którym możliwe jest aktywowanie preferencji).

Zgodnie z innym podziałem, w którym kryterium czasu jest kluczowe, możemy wyróżnić pliki Cookie:

  • sesyjne, zwane także tymczasowymi (Session Cookies)
  • stałe (Persistent Cookies).

Ciasteczka Sesyjne są usuwane po wylogowaniu się ze strony lub zamknięciu przeglądarki internetowej.

Ciasteczka Stałe przechowywane są przez określony czas. Zazwyczaj są wykorzystywane do celów statystycznych, analitycznych, związanych z personalizacją zawartości strony.

Ciasteczka Stałe pozwalają także przyspieszyć niektóre działania wykonywane na stronie internetowej (np. logowanie, wyszukiwanie).

Na pliki Cookies można także spojrzeć przez pryzmat ich pochodzenia i w takim wypadku także możemy wyróżnić ich dwa rodzaje: 

  • ciasteczka własne (First-Party Cookies)
  • ciasteczka stron trzecich (Third-Party Cookies).

Te pierwsze są zapisywane na urządzeniu użytkownika przez odwiedzaną przez niego witrynę, natomiast Third-Party Cookies są to pliki, które są tworzone i zapisywane przez podmioty, które nie są aplikacją, stroną internetową, domeną, którą odwiedza użytkownik.

Bez względu na to z jakiej perspektywy spojrzymy na pliki Cookie, warto pamiętać, że problem śledzenia, identyfikowania użytkowników jest problemem, który ma i będzie miał charakter procesualny.

zezwolenia cookies - projektowanie paska cookies

Nowe rozwiązania (np. Google Privacy Sandbox) nie tyle rozwiążą problem z Cookies (w szczególności z Third-Party Cookies), co po prostu otworzą nowy rozdział w sensie technologicznym oraz prawnym.

Pamiętajmy, że w Cookies nie tyle chodzi o taką, czy inną technologię, co o ochronę użytkowników.

Dlatego też aktualne rozwiązania prawne nie tyle koncentrują się na konkretnej technologii, co na problemie. A jest nim zbieranie, archiwizowanie i przetwarzanie informacji o tożsamości, zachowaniach oraz preferencjach użytkowników.

Działania takie mogą być - jak łatwo się domyślić - potencjalnie niekorzystne, a nawet szkodliwe dla użytkownika, dlatego zbieranie takich informacji wymaga jego zgody.

Co znajdziemy w Ciasteczkach?

Zakres, powody zbierania i przetwarzania danych w plikach Cookies są dość powtarzalne.

Właściciele aplikacji webowych najczęściej używają Ciasteczek do:

  • zapisania zapytań oraz dostosowania odpowiedzi, sugestii, rekomendacji, porad podczas kolejnych wizyt użytkownika
  • dostosowania wyświetlanych na stronie reklam do preferencji użytkownika
  • budowania profili konsumenckich (jednostkowych i grupowych)
  • poznania rodzajów oraz cech urządzeń, na których strona jest wyświetlana
  • optymalizacji strony pod kątem jej użyteczności, funkcjonalności.

W Ciasteczkach bardzo często znajdują się informacje odnoszące się do preferencji klientów.

W szczególności dotyczą one:

  • sposobu, formy oraz zakresu wyszukiwania na stronie
  • popularności danych podstron, elementów na stronie
  • najczęściej klikanych elementów
  • czasu spędzonego na stronie
  • wykonywanych działań, sposobów zachowania
  • częstotliwości korzystania ze strony.

Powyższe informacje najczęściej służą celom marketingowym, handlowym, programistycznym, związanym z optymalizacją Doświadczeń Użytkowników (UX) strony. Stąd też powstała potrzeba uregulowania tych problemów.

projektowanie paska cookies na stronie www

Przyjęte rozwiązania prawne dotyczą:

  • każdej technologii śledzącej aktywność użytkowników
  • każdego właściciela strony internetowej, który jest zobowiązany do określenia, z jakiej technologii korzysta i w jakim celu
  • każdej aktywności - nie tylko motywowanej kwestiami marketingowymi.

W jaki sposób uzyskiwać zgodę na wykorzystywanie plików Cookies?

Problem prawnego uregulowania kwestii związanych z Cookies w Polsce sięga roku 2012, kiedy to dokonano zmiany artykułu 173 prawa telekomunikacyjnego. Kolejnym kamieniem milowym było wejście w życie RODO w 2018 roku.

Przyjmowane w różnych krajach europejskich rozwiązania dalekie są od jednorodności oraz jednoznaczności.

Krajobraz prawny jest dość niejasny i skomplikowany. Jest także szalenie daleki od ustanowienia oraz przyjęcia wspólnych dla krajów EU norm, rozwiązań prawnych oraz wykładni.

Ramy prawne dla problemu plików Cookie w Polsce stanowią:

  • prawo telekomunikacyjne (art. 173 oraz 174), które reguluje problem zapisywania Ciasteczek
  • RODO oraz Ustawa o świadczeniu usług drogą elektroniczną (art. 18 ust. 4), które regulują problem przetwarzania danych.

Warto przy tym zwrócić uwagę, że w praktyce przyjęło się traktować pliki Cookies jako rodzaj danych osobowych. Stąd też wymienione powyżej przepisy - choć dalekie od spójności - są traktowane w praktyce jako komplementarne.

zgoda na wykorzystywanie plików cookies - Facebook

Z punktu widzenia projektowania paska plików Cookie, obie podstawy prawne mają równoważne znaczenie. Zalecane jest zatem uwzględnianie ich konsekwencji w procesie projektowania, wdrażania konkretnych rozwiązań.

Clue problemu oczywiście stanowi pozyskiwanie zgody użytkownika na wykorzystywanie plików Cookie.

Generalnie zgodę można uzyskać z poziomu:

  • przeglądarki
  • strony internetowej, aplikacji webowej.

Przy czym z prawnego punktu widzenia ta pierwsza jest niewystarczająca. Stajemy zatem przed problemem właściwego zaprojektowania paska Cookie.

Najbardziej istotną z projektowego punktu widzenia kwestią jest oczywiście sposób, w jaki użytkownik udziela zgody na wykorzystywanie danych zapisanych w plikach Cookies.

Najważniejszą kwestią jest tak zwana domyślność zgody. Mówiąc jeszcze bardziej konkretnie, chodzi o to, czy wyrażenie zgody może być domyślną wartością w formularzu wyboru. W tej kwestii sprawa całe szczęście jest jasna.

Zgoda na zapisanie oraz przetwarzanie Ciasteczek nie może przybierać wartości domyślnej. Musi wynikać z aktywnego działania użytkownika strony internetowej.

Użytkownik korzystając z danego serwisu www nie tyle powinien wyrażać swoją niezgodę, co powinien wyrażać swoją zgodę.

preferencje cookies - lubimyczytać

Aktywne wyrażenie zgody użytkownika powinny wspierać zaimplementowane na stronie internetowej, aplikacji webowej narzędzia do zarządzania preferencjami dotyczącymi Cookies (CMT - Cookie Management Tool, CMP - Cookie Management Platform, CMS - Cookie Management Software).

Ponadto właściciel serwisu www, aplikacji webowej jest zobowiązany:

  • zapewnić rozliczalność przekazania stosownych informacji oraz wyrażonej zgody przez konkretnego użytkownika i określonej treści
  • zapewnić wyrażenie zgody przed zapisaniem plików Cookies na ich urządzeniach (tzw. Model Opt-In)
  • przekazywać użytkownikom informacje w sposób zrozumiały i wystarczająco dokładny, aby umożliwić zrozumienie działania plików Cookie
  • oferować możliwość wyrażenia w sposób aktywny zgody, nawet jeśli została ona już wyrażona za pomocą ustawień przeglądarki
  • oferować wyrażenie zgody oraz jej odmowy w sposób równie prosty (identyczny w ilości koniecznych kliknięć oraz identyczny w kwestii poziomu dostępności odpowiedniego pola i narzędzia)
  • zapewnić możliwość wyrażenia zgody lub odmowy dla wszystkich lub każdej kategorii Cookies z osobna
  • ustalić wszystkie pliki Cookie, określić okres ich używania oraz wskazać strony trzecie, które mogą mieć do nich dostęp.

Ważną kwestią, której nie można ignorować, jest także rodzaj zbieranych informacji.

Nawet jeśli strona za pomocą plików Cookies nie pozyskuje danych osobowych to wciąż, musi uzyskać zgodę użytkownika na zbieranie i przetwarzanie danych.

Wyrażenie woli użytkownika musi być w pierwszej kolejności swobodne (nie wynikające z żadnego przymusu, konieczności, czy niedogodności), konkretne (opis warunków udzielania zgody powinien być wyczerpujący) oraz świadome (użytkownik powinien rozumieć komu i na co udziela zgody).

Podsumowując, zgoda użytkownika danej strony internetowej odnośnie plików Cookie powinna być:

  • wyraźna
  • czytelna
  • zrozumiała i jednoznaczna
  • dobrowolna
  • świadoma
  • konkretna
  • konstruktywna - pasek plików Cookies powinien pozwalać użytkownikowi strony w równie łatwy sposób udzielić zgody, jak również jej odmówić
  • wyczerpująca - informacje dostępne na  pasku plików Cookies powinny określać wszystkie podmioty, które będą miały dostęp do danych, także podmioty trzecie.

A to jednocześnie oznacza, że zgoda użytkownika nie może być:

  • domyślna - uznawana za wartość bardziej prawdopodobną i oczywistą
  • uniwersalna w zakresie celów - każdy cel musi znaleźć potwierdzenie w osobnej zgodzie
  • wymuszona poprzez utrudnianie dostępu do informacji koniecznych do podjęcia decyzji i  jej wyrażenia
  • nieokreślona - w sensie czasu jej obowiązywania oraz zakresu jej stosowania.

Obowiązkiem właścicieli stron jest nie tylko uzyskanie zgody na przetwarzanie danych osobowych oraz informacji zbieranych w plikach Cookies, ale także mają oni obowiązek poinformować użytkownika w kwestii:

  • celów, jakie będą realizowane z pomocą danych
  • tożsamości wszystkich administratorów oraz organizacji przetwarzających dane.

Wartością wynikającą z prawidłowego zarządzania plikami Cookie, wdrożenia CMT jest przede wszystkim:

  • mniejsze ryzyko skarg, kar nakładanych na organizację
  • mniejsze ryzyko kontroli
  • większa wiarygodność biznesowa (np. dla inwestorów, partnerów biznesowych)
  • większa wiarygodność dla systemów reklamowych, partnerów marketingowych.

Na rynku pojawiła się znaczna ilość gotowych do implementacji rozwiązań z zakresu Cookie Management Tool.

projektowanie paska cookies w serwisie internetowym

Wybierając konkretne rozwiązanie, konkretny system warto sprawdzić, czy zapewnia on możliwość:

  • inwentaryzacji Cookies wykorzystywanych w serwisie (First-Party Cookies, jak również Third-Party Cookies)
  • wyrażenia zgody w kwestii celów
  • wyrażenia zgody w zakresie danej kategorii
  • poznania czasu, jaki obejmować będzie zgoda
  • łatwego wycofania zgody
  • łatwego zrozumienia treści, zakresu zgody
  • łatwego dotarcia do informacji o Zaufanych Partnerach 
  • aktualizowania CMT przy zachowaniu dotychczasowych zgód.

Wybierając dostawcę usług CMT warto także mieć na uwadze:

  • możliwość kastomizacji narzędzia
  • zapewniane usability, User Experience
  • łatwość implementacji
  • dostępność wsparcia technicznego, prawnego
  • rozszerzalność standardów (np. regulacji prawnych spoza obszaru UE).

Niemniej istotną kwestią jest także dostrojenie potrzeb prawnych do potrzeb biznesowych. W tej kwestii można wyróżnić trzy podejścia, które różnicuje stosunek do konsekwencji, z jaką chce się normy prawne urzeczywistnić oraz od tego, jakie pliki Cookie są wykorzystywane oraz w jakim celu.

Jeśli strona wykorzystuje pliki Cookie techniczne, nie korzysta z żadnych narzędzi analitycznych, czy marketingowych pasek plików Cookie może przyjąć formę bardzo podstawową w postaci komunikatu.

We wszelkich innych sytuacjach należy wdrożyć rozwiązania, w którymś z modeli.

Model bezpieczny daje możliwość użytkownikowi:

  • akceptacji plików Cookie w sensie ogólnym
  • odrzucenia plików Cookie w sensie ogólnym
  • akceptacji / odrzucenia plików marketingowych oraz analitycznych
  • akceptacji / odrzucenia plików konkretnych dostawców
  • informacji o wszystkich plikach Cookies.

Model wyważony - obarczony jednak pewnym ryzykiem prawnym - daje możliwość użytkownikowi:

  • akceptacji plików Cookie w sensie ogólnym
  • akceptacji / odrzucenia plików marketingowych oraz analitycznych
  • akceptacji / odrzucenia plików konkretnych dostawców
  • informacji o wszystkich plikach Cookies.

Model wysoce ryzykowny pod względem prawnym, biznesowym daje możliwość użytkownikowi:

  • akceptacji / odrzucenia plików Cookie w sensie ogólnym.

Projektując pasek plików Cookies należy także pamiętać o przygotowaniu Polityki Cookie, która może:

  • przyjąć formę osobnego dokumentu, stanowiącego część strony internetowej, aplikacji webowej
  • stanowić część Polityki Prywatności
  • stanowić część Regulaminu strony internetowej.

Standardowa Polityka Cookies powinna zawierać:

  • opis stosowanych plików Cookie
  • opis celów, jakie będą osiągane dzięki plikom Cookies
  • pełną listę Zaufanych Partnerów
  • wskazanie czasu wykorzystywania plików Cookies
  • opis sposobów zarządzania wyrażonymi zgodami
  • podstawy prawne
  • uprawnienia podmiotów danych.
  1. Projektowanie Paska plików Cookies jest jednocześnie problemem prawnym, technologicznym oraz związanym z zapewnieniem satysfakcjonujących Doświadczeń Użytkownika (User Experience).
  2. Pliki Cookie najczęściej definiuje się jako mały fragment tekstu, który serwis internetowy wysyła do przeglądarki i który przeglądarka wysyła z powrotem przy następnych wejściach na witrynę.
  3. Pliki Cookies używane są zazwyczaj do utrzymywania sesji oraz zapamiętania dowolnych danych, które można zakodować jako ciąg znaków.
  4. Większość stron używa plików Cookie.
  5. Pliki Cookie można podzielić na niezbędne oraz pozostałe. Jest to podział najbardziej podstawowy.
  6. Pliki Cookie można także podzielić na pliki sesyjne oraz pliki stałe.
  7. Zgodnie z innym podziałem możemy wyróżnić ciasteczka własne (First-Party Cookies) oraz ciasteczka stron trzecich (Third-Party Cookies).
  8. Właściciele stron internetowych najczęściej używają Ciasteczek do zapisania zapytań oraz dostosowania odpowiedzi, sugestii, rekomendacji, porad podczas kolejnych wizyt użytkownika, dostosowania wyświetlanych na stronie reklam do preferencji użytkownika, budowania profili konsumenckich (jednostkowych i grupowych).
  9. Ramy prawne dla problemu plików Cookie w Polsce stanowią prawo telekomunikacyjne, przepisy RODO oraz Ustawa o świadczeniu usług drogą elektroniczną.
  10. Pozyskiwanie zgody użytkownika na wykorzystywanie plików Cookie stanowi istotę problemu z plikami Cookies.
  11. Zgodę na wykorzystywanie plików Cookies można uzyskać z poziomu przeglądarki i/lub strony internetowej, aplikacji webowej.
  12. Kwestią niezwykle istotną jest jest tak zwana domyślność zgody.
  13. Zgoda na zapisanie oraz przetwarzanie Ciasteczek nie może przybierać wartości domyślnej.
  14. Zgoda musi wynikać z aktywnego działania użytkownika www.
  15. Nawet jeśli strona za pomocą plików Cookies nie pozyskuje danych osobowych to wciąż, musi Zgoda użytkownika danej strony internetowej odnośnie plików Cookie musi być wyraźna, czytelna, zrozumiała, jednoznaczna, dobrowolna, świadoma, konkretna, konstruktywna, wyczerpująca.
  16. Wybierając konkretne Cookie Management Tool warto sprawdzić, czy zapewnia on możliwość inwentaryzacji Cookies, wyrażenia zgody w kwestii celów, wyrażenia zgody w zakresie danej kategorii, poznania czasu, jaki obejmować będzie zgoda, łatwego wycofania zgody.
  17. Jeśli strona wykorzystuje pliki Cookie techniczne, nie korzysta z żadnych narzędzi analitycznych, czy marketingowych baner Cookies może przyjąć formę bardzo podstawową w postaci komunikatu, który można stworzyć za pomocą wtyczki.
  18. We wszelkich innych sytuacjach właściciel musi wdrożyć rozwiązania, przekazać konieczną informację, w którymś z modeli ustawienia witryny, polityki prywatności – od bezpiecznego po bardzo ryzykowny pod względem prawnym i biznesowym.
Oceń artykuł:
Journal / Redaktor
Autor: Radek
UX Writer i badacz z wykształcenia + doświadczenia. Zbiera wiedzę The Story i dzieli się nią na Journalu.

Jesteś zainteresowany współpracą z nami? Zajrzyj do Portfolio