Polityka prywatności, Google Analytics i RODO – co te 3 zagadnienia mają ze sobą wspólnego? Całkiem sporo. Poza tym, że są trudne, wiążą się ze sobą i będą nas coraz bardziej “prześladować”. W rozmowie z Wojtkiem Wawrzakiem z praKreacja.pl wymieniamy nasze spostrzeżenia i zastanawiamy się, co czeka nas w e-biznesie już w niedalekiej przyszłości.
A.B: Polityka prywatności na stronach www i w sklepach internetowych upowszechniła się i zyskała na znaczeniu 22 marca 2013 roku razem z wejściem w życie nowelizacji nakładającej na właścicieli stron www wymóg wprowadzenia komunikatu informującego użytkowników o tym, że dana strona korzysta z ciasteczek (cookies).
Od tego momentu nawet jeśli ktoś nie posiadał takiego dokumentu, musiał zarówno zrozumieć czym on jest jak i co powinien zawierać.
Wiele firm albo kopiowało treść tej polityki z innych stron albo kupowało szablon tego dokumentu, który wymagał uzupełnienia, ale był w swojej podstawowej formie sprawdzony pod katem prawnym.
Tak naprawdę ten dokument jest jednak bardzo indywidualną sprawą i w zależności od działań prowadzonych przez dana firmę, powinien zawierać konkretne informacje związane np. z tym jak wykorzystywane są dane użytkowników korzystających z witryny. Zdaje się, że w wielu przypadkach nadal jest to dokument traktowany po macoszemu i nie spełnia faktycznie swojej roli. Jak Ty to odbierasz pracując z firmami w zakresie obsługi prawnej e-biznesu? Z jakim nastawieniem się spotkałeś i jakim podejściem do tej kwestii?
W.W.: Rzeczywiście najczęściej jest tak, że polityka prywatności traktowana jest jako zło konieczne i ogrywana jakimś szablonem, który niekoniecznie pasuje do danej, indywidualnej sytuacji. Często jest również tak, że ktoś wprawdzie chce się należycie wywiązać ze swoich obowiązków, ale brakuje mu wiedzy technicznej, bo tematy związane z plikami cookies wcale nie są tak oczywiste i okazuje się, że dopiero audyt techniczny pokazuje, przy jak wielu okazjach cookies są wykorzystywane. Problemem jest również egzekwowanie prawa. Wprowadzamy bardzo rygorystyczne wymogi, ale potem nie jesteśmy ich w stanie realnie egzekwować, co sprawia, że prawo sobie a życie sobie. W dalszym ciągu większość przedsiębiorców działających w Internecie nie dopełnia wszystkich obowiązków związanych ze zbieraniem odpowiedniej treści zgód marketingowych, informowaniem użytkowników o przetwarzania danych oraz wykorzystywaniu plików cookies. Najczęściej spotykany argument jest taki, że skoro duzi gracze na rynku nie wdrażają wszystkiego tak jak trzeba, to dlaczego mam robić to ja. Wynika to właśnie z tego, że przepisy nie są egzekwowane. Zobaczymy, jak to wszystko potoczy się na gruncie RODO.
A.B.: Często stoimy równocześnie po dwóch stronach barykady. Z jednej strony prowadząc biznes, pracując w działach marketingu, tworząc i zarządzając stronami www czy będąc managerami e-commerce jesteśmy odpowiedzialni za politykę prywatności. Umniejszamy jej znaczenie, ślepo kopiujemy, nie aktualizujemy wraz ze zmieniająca się sytuacja biznesu czy otoczenia biznesowego. Spychamy to często na karb braku czasu i inne, ważniejsze zajęcia. Z drugiej strony, wracając do domu, po pracy, przemieniamy się w wysoce wymagających użytkowników internetu, o większej niż przeciętnie wiedzy na temat tego jakie mamy prawa w sieci. Oczekujemy od innych spełnienia wszystkich wymogów prawnych i dbałości o dokumenty takie jak polityka prywatności, regulamin etc.
Taki paradoks obserwuję na codzień – jak Ty to odczuwasz?
W.W.: Coś w tym jest. Ale jak to w życiu – łatwo wymagać od innych, trudniej od siebie. Prawda jest też jednak taka, że o ile konsumenci wiedzą już, że polityka prywatności i regulamin muszą być, to nadal nie wiedzą, co w takich dokumentach powinno się znaleźć i często nie są w stanie rozpoznać, czy dokument jest dobrze przygotowany czy jest po prostu jakimś wzorem nieprzystającym do rzeczywistości. Podobnie jest np. ze zgodami marketingowymi – wiemy, że powinny być jako dodatkowe checkboxy, ale już nie do końca wiemy, jakiej treści te zgody powinny być. Cały czas mamy tutaj zatem sporo pracy domowej do odrobienia. Przy czym oczywiście ciężar powinien ciążyć na przedsiębiorcach, którzy jako profesjonaliści powinni edukować swoich klientów poprzez należyte wypełnianie wszystkich obowiązków na swoich stronach. Na to kładzie nacisk RODO – na przyjazne informowanie użytkowników o tym, co dzieje się z ich danymi oraz o ich uprawnieniach.
A.B.: Czy masz jakieś rady jak tworzyć zapisy w polityce prywatności aby spełniała swoją role i była zgodna z wymogami prawnymi?
W.W: Nie ograniczać się wyłącznie do własnych przekonań na temat stosowania plików cookies, ale wykonać audyt techniczny, który pokaże, jakie pliki cookies są rzeczywiście przez naszą stronę wykorzystywane. Są już do tego odpowiednie narzędzia, również bezpłatne, jak np. wtyczki do Google Chrome.
Uważam również, że polityka prywatności nie musi być dokumentem formalnym, zredagowanym jako jakaś formalna umowa. Na gruncie RODO przechodzimy trochę do takiego modelu amerykańskiego, czyli pisania wszystkiego własnymi słowami tak, by przeciętny użytkownik wszystko rozumiał. Pamiętajmy, że polityka prywatności nie jest po to, by straszyć użytkownika, ale po to, by mógł on dzięki niej powziąć realną wiedzę na temat tego, co dzieje się z jego danymi osobowymi oraz w jaki sposób jego działania na stronie są śledzone przez pliki cookies i inne mechanizmy.
A.B.: Ostatnio przyglądam się tematowi Google Analytics i tego jak korzystanie z tego narzędzia wpływa na dokument polityki prywatności. GA za pomocą ciasteczek zbiera szereg danych o zachowaniach użytkowników, korzystanie z takich statystyk wymaga uwzględnienia tego faktu w polityce prywatności.
Czy firmy się do tego stosują? Pamiętają o tym?
W.W: Tu już nie chodzi tylko o GA, ale o brak świadomości, w jaki sposób pliki cookies działają i jak są wykorzystywane. Przedsiębiorcy najczęściej ograniczają się do stwierdzenia “nasza witryna wykorzystuje pliki cookies”, nie mając tak naprawdę pojęcia, co się za tym kryje. GA to tylko wierzchołek góry lodowej. Wystarczy likebox Facebooka, wtyczka społecznościowa, embedowany film z YT czy chat na żywo z konsultantem, by pojawiły się kolejne pliki cookies. Podchodząc do tego tematu, zawsze warto wgryźć się szczegółowo, jakie narzędzie wykorzystują pliki cookies i w jakich celach.
A.B.: Wszystkie przykłady, które wymieniłeś są faktycznie popularnymi funkcjami na stronach internetowych, co jeszcze bardziej pokazuje, jak wiele informacji powinniśmy zawrzeć w polityce prywatności. W dodatku samo GA poza podstawowym śledzeniem, które wymaga uwzględniania w dokumencie polityki prywatności, oferuje też bardziej zaawansowane raporty i funkcje, przy wykorzystaniu których Google nakłada dodatkowe obowiązki informacyjne. Są to:
- raporty demograficznych i zainteresowań użytkowników,
- funkcje remarketingu z wykorzystaniem Google Analytics,
- raporty wyświetleń w sieci reklamowej Google,
- zintegrowane usługi, które wymagają od Google Analytics zbierania danych do celów reklamowych, w tym z wykorzystaniem identyfikatorów i plików cookie dotyczących reklam.
Uruchomienie tych raportów wymaga osobnej konfiguracji na koncie (włączenie funkcji reklamowych).
“Jeśli włączysz jakiekolwiek Funkcje reklamowe Google Analytics, musisz powiadomić o tym użytkowników, umieszczając w polityce prywatności informacje na temat:
- wdrożonych Funkcji reklamowych Google Analytics,
- sposobu korzystania przez Ciebie i dostawców zewnętrznych z własnych plików cookie (np. Google Analytics), innych własnych identyfikatorów, plików cookie firm zewnętrznych (np. plików cookie dotyczących reklam Google) i innych identyfikatorów firm zewnętrznych;
- sposobów rezygnacji z używanych przez Ciebie Funkcji reklamowych Google Analytics, w tym za pomocą ustawień reklam, ustawień reklam aplikacji mobilnych i wszelkich innych dostępnych metod (np. funkcji rezygnacji konsumenckiej NAI).
Zachęcamy również do kierowania użytkowników na stronę z aktualnie dostępnymi narzędziami do blokowania Google Analytics. (https://tools.google.com/dlpage/gaoptout/)”
źródło:https://support.google.com/analytics/answer/2700409
Google zwraca również uwagę uwagę na fakt, że nie może podać dokładnych zapisów jakie muszą znaleźć się w polityce prywatności, gdyż każdy biznes ma swoją specyfikę.
“Ze względu na niejednolitość przepisów w poszczególnych krajach i terytoriach oraz możliwość użytkowania Google Analytics na wiele sposobów Google nie jest w stanie podać dokładnego brzmienia zapisów, jakie musisz umieścić w swojej polityce prywatności. Tylko Ty znasz konkretne aspekty i uwarunkowania swojej działalności, a polityka prywatności wymaga podania informacji, które są znane wyłącznie Tobie.”
źródło:https://support.google.com/analytics/answer/2700409
Konfrontując te informacje z podejściem przedsiębiorców, mamy tu dwa zupełnie inne światy. Biznes do opisów w polityce prywatności podchodzi często bardzo ogólnie. Panuje przekonanie że im mniej szczegółowo opiszemy aspekty korzystania z ciastek i systemów reklamowych w polityce prywatności, tym lepiej się zabezpieczamy od strony prawnej. Jak Ty to widzisz i z jakimi zachowaniami i opiniami w tym temacie się spotkałeś jako prawnik i praktyk?
W.W.: Problemem jest czas. Dogłębna analiza wykorzystania cookies wymaga czasu. Mało kto chce się temu poświęcać, póki przepisy nie są szczególnie egzekwowane i nikomu nic złego się nie dzieje, nawet gdy informowanie o cookies pozostawia wiele do życzenia. Myślę, że na gruncie RODO oraz kolejnych przepisów europejskich o prywatności ta sytuacja się zmieni. Myślę, że jesteśmy dopiero na samym początku naszej przygody z cookies, a świadomość będzie w tym zakresie rosła.
Z Wojciechem Wawrzakiem rozmawiała Aleksandra Błaszczak.
Jeśli temat RODO jest Ci zupełnie obcy poczytaj o tym u Wojtka oraz posłuchaj jego podcastu: https://prakreacja.pl/rodo-czy-naprawde-trzeba-sie-bac/
Wojciech Wawrzak
Prawnik kreatywnych, autora bloga praKreacja.pl. Pomaga przedsiębiorcom, freelancerom, twórcom, artystom, sklepom internetowym, statupom oraz innym przedstawicielom branży kreatywnej i e-commerce.
Jeśli nasze rozważania są wg Ciebie interesujące – podziel się tym postem z innymi!
Ja się zastanawia jak to wygląd od strony techniczne, puszczam taki pop up z informacją… i co wtedy, gdy ktoś kliknie, że nie akceptuje… co wówczas zrobić, aby ten ktoś nie był zliczany, bo o ile można go przekierować do Google, aby zablokował zliczanie Analytics, tak co w przypadku innych wtyczek śledzących.
Masz rację – decyzja o tym, by nie było się zliczanym do Google Analytics jest dość prosta do urzeczywistnienia. Można decydować o tym poprzez ustawienia w przeglądarce lub wtyczki do przeglądarek. Jeśli chodzi o inne wtyczki śledzące, to pewnie każda powinna dać możliwość wycofania swojej zgody na śledzenie. Na gruncie RODO producenci powinni zadbać o takie opcje. Na ile jednak to umożliwiają – to już różnie bywa. Masz jakąś konkretną wtyczkę na myśli?
Wydaje mi się, że szczególnie trudnym tematem jest RODO. Uważam tak ze względu na żarty dotyczące RODO.
Tak, aktualnie zauważalne są 2 skrajne stanowiska – z RODO się albo kpi, albo aż za bardzo się próbuje je wdrożyć (ze zbyt zachowawczym podejściem w stylu im więcej napiszę i zrobię, tyle lepiej). Zbyt zachowawcze podejście powoduje, że strony przestają być przyjazne dla użytkowników i idea RODO rozmywa się i zaczyna kojarzyć z masą niepotrzebnych komunikatów, treści i checkboxów. To z kolei pożywka dla tych, którzy z tematu kpią.