Reklamodawcy będą musieli zmienić sposób śledzenia użytkowników sieci, bowiem stosowane dotychczas zgody na pliki cookies były w dużej mierze nieprawidłowe i niewystarczające, aby legalnie przetwarzać dane użytkowników. Zapoczątkowane w Belgii i Francji zmiany są nieuniknione, gra toczy się bowiem o 64 miliardy euro – na taką kwotę szacowany jest europejski rynek reklam.
Zacznijmy od tego, że przeglądanie internetu tak naprawdę nie jest i nigdy nie było darmowe. I nie chodzi tu o konkretne kwoty. Z chwilą wejścia na dowolną stronę rozpoczyna się walka o klienta. Z pomocą plików cookies serwisy internetowe nie tylko starają się dostosować zawartość strony do naszych preferencji, ale też spersonalizować reklamę pod konkretne potrzeby konsumentów. W tym celu wykorzystywane są dane o urządzeniach z jakich korzystamy, wieku, lokalizacji, zainteresowaniach, przeglądanych witrynach.
“W zasadzie wszystkie informacje dotyczące naszych działań w sieci trafiają do reklamodawców i partnerów przeglądanego serwisu. To pozwala reklamodawcom stworzyć profil użytkownika. Znajdują się w nim jego zachowania, upodobania, a także cała historia przeglądania. To potężna baza wiedzy. Uzupełniona o odpowiednio przygotowaną kampanię reklamową, targetowanie klienta pozwala dotrzeć do niego z odpowiednim przekazem” – tłumaczy Robert Stolarczyk, prezes zarządu Promotraffic, agencji digital marketingowej.
W gromadzeniu wspomnianych danych pomagają pliki cookies, które dzielą się na pliki pierwszej kategorii oraz cookies stron trzecich. Kiedy przeglądamy stronę z wiadomościami, wszystkie znajdujące się na niej pliki cookies są plikami pierwszej kategorii. Natomiast każde inne umieszczone na tej stronie przez inne witryny – np. przez portale społecznościowe lub reklamodawców – są plikami cookies stron trzecich. I właśnie one są wykorzystywane w remarketingu i retargetingu w celu identyfikacji użytkownika. Dzięki tym procesom podczas przeglądania internetu wyświetlają się reklamy produktów, które już oglądaliśmy lub podobnych. Jeśli ktoś lubi czytać książki i zagląda na strony księgarń, będzie widział bannery właśnie z literaturą zamiast zabawek.
Orzeczenie TSUE
Aby chronić prywatność użytkowników internetu, w Europie wprowadzono przepisy dotyczące akceptacji plików cookies. Wchodząc na daną stronę powinniśmy więc kliknąć “zgodę” na śledzenie. Miało to chronić przed pozyskiwaniem danych, których nie chcemy ujawniać. Jednak już w 2019 roku, Trybunał Sprawiedliwości Unii Europejskiej orzekł, że powszechnie stosowany od lat pasek “ta strona używa cookies, korzystając z tej strony, akceptujesz to” jest niezgodny z RODO.
TSUE uznał bowiem, że użytkownik powinien móc nie zgodzić się na przetwarzanie danych zanim dane zostaną przesłane. I to w prosty sposób, a nie przez zmianę ustawień przeglądarki, która dla laika może być skomplikowana. Strona www nie może więc zmuszać konkretnej osoby do udostępniania danych, które nie są niezbędne do korzystania z niej. Co więcej, użytkownik musi mieć też możliwość odwołania udzielonej zgody w prosty sposób.
Zbieranie niektórych zgód niezgodne z prawem w Belgii
W ślad za wspomnianym wyrokiem TSUE, w dwóch europejskich krajach zapadły niedawno decyzje, które mogą doprowadzić do zmiany sposobu śledzenia ruchu internautów oraz dania im realnego wpływu na to, co akceptują, a czego nie. Jednym z takich orzeczeń była decyzja belgijskiego Urząd Ochrony Danych, który stwierdził, że jedno z “nowych” okienek zbiera zgody w sposób niezgodny z prawem. Stosowały je różne portale, które swoim partnerom reklamowym nie tylko sprzedają powierzchnię reklamową, ale również udostępniają – z pomocą ciasteczek – informacje o korzystaniu ze strony przez danego użytkownika. To pozwala budować profil zainteresowań i kierować odpowiednie reklamy o większej skuteczności dla reklamodawców.
“Problem w tym, że część zgód jest domyślnie zaznaczona, a ewentualna odmowa zgody wymaga uciążliwego przewijania i często klikania wielu przycisków, aby odmówić przesyłania danych poszczególnym firmom” – wyjaśnia Wiktor Wrodarczyk, CEO Adequate, ekspert w dziedzinie zbierania i zarządzania danymi oraz RODO.
Belgijski urząd zakwestionował stanowisko, że wykorzystywanie tych danych stanowi tzw. “uzasadniony interes” wydawcy, który utrzymuje się z reklamy i profilowania użytkowników. Zarzucił też niedostateczną kontrolę nad przesyłanymi danymi. Decyzja nie jest jeszcze ostateczna.
Francja: przekazywanie danych z Google Analytics do USA narusza RODO
Z kolei we Francji, Narodowa Komisja ds. Informatyki i Wolności (CNIL) wykryła przypadki, w których korzystanie z Google Analytics naruszało rozporządzenie o ochronie danych osobowych (RODO). Chodzi o art. 44 zakazujący przesyłania danych osobowych z wewnątrz Unii do “krajów trzecich”, które nie mają równoważnej polityki ochrony prywatności. “Dane użytkowników internetu gromadzone przez Google Analytics używane przez miliony stron internetowych do mierzenia zachowania użytkowników Internetu są przekazywane do USA z naruszeniem RODO” – stwierdziła instytucja, która odpowiada za ochronę danych osobowych we Francji.
To przełomowe orzeczenie, mimo że CNIL badała sprawę lokalnej strony internetowej. Instytucja do dochodzenia włączyła 100 innych skarg złożonych do grupy zajmującej się ochroną prywatności. Co w praktyce oznacza decyzja francuskiego organu? Wspomniana strona musi wprowadzić mechanizm gwarantujący jej zgodność z RODO. Jeśli tego nie zrobi, będzie musiała przestać korzystać z Google Analytics.
CNIL zaznaczył też, że korzystanie z Google Analytics będzie spełniało wymogi RODO w przypadku zapewnienia, że używane będzie wyłącznie do generowania anonimowych danych statystycznych. To oznacza, że część właścicieli francuskich stron internetowych będzie musiało zmienić sposób śledzenia i raportowania ruchu internautów.
Co to oznacza dla konsumentów?
Decyzje belgijskiego i francuskiego organu mogą oznaczać koniec udostępniania na szeroką skalę danych osobowych lub przynajmniej ograniczenie tego procederu. Podobnie może być w Polsce. O tym, że Urząd Ochrony Danych Osobowych poważnie podchodzi do problemu prywatności i bezpieczeństwa w sieci świadczy decyzja z ubiegłego roku. Upomniano wtedy pierwszą firmę za zły pasek cookie. Sprawiał on, że użytkownik korzystający ze strony nie mógł wyrazić zgody lub odmowy przed rozpoczęciem korzystania z niej. Sprawa zakończyła się co prawda na upomnieniu, ale pokazuje jednak pewien trend.
Stosowane dotychczas zgody na cookie zostały więc w znacznej mierze uznane za nieprawidłowe i niewystarczające, by legalnie przetwarzać dane. Reklamodawcy będą zatem musieli dostosować się do regulacji prawnych. I jak uważają specjaliści, z pewnością to zrobią, bo walka toczy się o gigantyczne kwoty. Wartość europejskiego rynku reklam jest szacowana na 64 miliardy euro.
Już wiadomo, że Google od pewnego czasu pracuje nad stworzeniem nowego systemu, który śledziłby całe grupy użytkowników. To Federated Learning Cohorts (FLoC). Jest on częścią większego projektu o nazwie The Privacy Sandbox, o którym pisaliśmy już na łamach serwisu ITwiz.
“Zadaniem FloC będzie wykrywanie aktywności użytkowników sieci. Różnica polega na tym, że dane nie będą przechowywane osobno dla każdego użytkownika. Preferencje wyszukiwania konkretnych osób będą przypisane do grupy podobnych osób. Według Google takie rozwiązanie ma sprawić, że nasze dane będą anonimowe. FLoC ma być tak samo skuteczny jak pliki cookies stron trzecich” – komentuje Robert Stolarczyk.
Wycofywanie tych ostatnich ma nastąpić w dwóch etapach. Pierwszy, zakończy się z końcem 2022 roku. Drugi, w którym pliki cookies stron trzecich zostaną całkowicie wycofane – ma potrwać do końca roku 2023.
