Как да имплементираме режима на съгласие относно бисквитките (Google Consent Mode)?

by | GDPR

Огромна част от сайтовете и онлайн магазините на компаниите не отговарят на Общия регламент за защита на личните данни (GDPR) в техните уеб сайтове. Този липсващ фокус върху защитата на личните данни и съгласието на потребителите може да се окаже още по-проблематичен с влизането в сила на Закона за цифровите пазари (ЗЦП) на 6 март 2024 година.

Този закон засяга най-пряко шестте големи компании – т.нар. “пазачи на информационния вход” (Гейткийпъри), както ги определя Европейската комисия, а именно компаниите Alphabet, Amazon, Apple, ByteDance (Tiktok), Meta и Microsoft. 

Какво е Google Consent Mode V2?

Google Consent Mode V2 е изцяло нова политика, която е пряко свързана със Закона за цифровите пазари (ЗЦП). Личните данни главно се събират чрез т.нар ,,бисквитки” (cookies) – малки файлове, които се съхраняват на устройството, което използва потребителя, при посещение в даден уеб сайт. Те следят всяка активност от устройството при сърфиране в интернет и подават данни към пазачите, като те персонализират съдържанието, което потребителят вижда, като реклами. 

ЗЦП въвежда строги ограничения върху основанията, на които пазачите могат да обработват лични данни, ограничавайки ги до конкретни такива. Един от основните аспекти на ЗЦП е фокусът върху изричното  и информирано съгласие на потребителя за обработка на личните му данни за конкретни цели. Изискването за изрично съгласие при обработката на лични данни е средство за защита на поверителността на потребителите, гарантирайки, че те имат контрол върху начина, по който техните данни се използват.

ЗЦП ще засегне и всички компании с цифрови операции в ЕС, които зависят от тези платформи и услуги на големите технологични гиганти. Този регламент изисква компаниите с бизнес в Европейския съюз и Европейското икономическо пространство да получат изрично съгласие от потребителите, преди да обработват личните им данни. 

Законът за цифровите пазари задължава гейткипърите да гарантират, че уебсайтовете и компаниите, които използват техните услуги, събират, управляват и записват потребителското съгласие по ясен и удобен начин за потребителите. Вече е ясно, че ползвателите на услугите на гейткипърите – уеб сайтове, онлайн магазини и приложения и компании, които ги използват, ще играят ключова роля в събирането на съгласие, въпреки че те може да не са тези, които са пряко отговорни за спазването на поверителността според Закона за цифровите пазари.

Необходимо ли е да имплементираме Режима за Съгласие V2?

При условие, че отговаряте на едно или повече от изброените долу условия, Вие сте длъжни да имплементирате Режима на съгласие V2 преди да влезе в сила на 6 март 2024 г.:

  1. Ако имате трафик от Европейското икономическо пространство към вашия уебсайт или използвате аналитични инструменти като Google Analytics, Facebook Pixel, Microsoft Clarify и други. 
  2. При изпращане на  данни от Вашият сайт или онлайн магазини, които към Google (например) чрез интерфейс за програмиране на приложения (API).
  3. Използвате инструменти за платена реклама към Meta, Google

Единствената хипотеза при която не следва да имплементирате този режим е под условие, че не събирате никакви аналитични данни за потребителското преживяване чрез бисквитки, както и интеграции и предаване на данни към посочените големи технологични компании.

Реално това съгласие не е задължително от техническа гледна точка, но на практика при настоящото развитие на технологиите и социалните мрежи е немислимо, да не използвате някоя от посочените услуги.

Видове режими на съгласие 

На собствениците на уеб сайтове и онлайн търговците, които използват са им предоставени два режима за избор – Основен режим за съгласие V2 (Basic Consent Mode V2) и Разширен режим за съгласие V2 (Advanced Consent Mode V2). 

Основен режим за съгласие V2

С Основния режим, ако потребител се съгласи с бисквитките, уебсайтът ще събира потребителски данни както обикновено. Но ако потребителят откаже съгласието за бисквитки, сайтът няма да събира никакви данни от тях. Това гарантира пълно съответствие с ЗЦП, но недостатъкът му е, че собствениците на уебсайтове и търговците няма да могат да се възползват от данните, записани от  посещението на този потребител на сайта по никакъв начин.

Разширен режим за съгласие V2

Разширеният режим за съгласие V2 дава малко повече контрол върху това, което се случва, когато потребител не се съгласи с бисквитките. С Разширения режим, дори ако потребителят не се съгласи със събирането на данни, сайтът ще активира маркери за проследяване, преди потребителят да взаимодейства с банера за бисквитки. Google препоръчва използването на Разширен режим на Съгласие, за да получите най-точните данни и да гарантирате успешността на вашата кампания.

Какво ще се случи, ако уеб сайтовете не съобразяват с измененията в ЗЦП?

Неспазването на ЗЦП представлява значителен финансов риск за големите компании-пазачи, тъй като за нарушаването му са предвидени високи глоби и имуществени санкции, но също така влияе отрицателно и на останалите търговци. Ако не се спазват изискванията, Гейткипърите ще направят услугите си недостъпни или ще ги ограничат драстично за компаниите, които не изпълняват новите изисквания. Нарушенията могат да доведат до:

  • Загуба на данни, аудитория, приходи и неефективно управление на рекламен бюджет
  • Застрашаване или цялостно блокиране на достъпа до потребителската база и данните, предоставяни от пазачите като Google, Meta и др.;
  • Спиране на достъпа до Google Ads, което ще доведе до невъзможност за ползване на платена реклама;
  • Ограничаване на проследяването на трафика на сайта – колко реално потребители са го посетили, какво са търсили;

Какви са начините за имплементация на Режима на съгласие V2

В най-общ план са налице две различни методики, които може да приложите по Ваш избор,  за да изпълните всички изисквания спрямо ДМА. 

Първият вариант е да създадете сами или чрез помощ от софтуерна компания, собствено решение, който да конфигурирате на Вашия сайт или онлайн магазин, т.е изцяло custom разработка. Подобно решение обаче крие много рискове, доколкото коства солиден ресурс (човешки и финансов), което ще отнеме време. На второ място рискувате в крайна сметка отново да не отговорите на изискванията ако нещо не е направено в пълно съответствие с изискванията на ЗЦП. Създаването на инструмент за съгласие за бисквитки не е толкова просто, колкото изграждането на банер с няколко бутона. Трябва да отговаряте на конкретни законови изисквания и действително да изпълнявате това, което казвате на потребителите, че ще направите.

В случай че изберете този подход, от Google са подготвили подробни указания как да го настройте, така че да работи правилно. Един функционален инструмент за съгласие за бисквитки трябва:

  • Да се свърже  с различните бисквитки на уебсайта си;
  • Да ги изпраща към  браузъра на потребителя или да ги блокирай въз основа на техните предпочитания за съгласие;
  • Да съхранява записите за съгласие и да ги актуализира, ако потребителят промени решението си по-късно;
  • Да има минимално въздействие върху ефективността на уебсайта Ви;

Вторият вариант е Използване на т.нар CMP (Consent management platform) т.е готово решение предоставено от трета страна, което да бъде свързано с Google Tag Manager. Тук обаче изборът на различни third party решение е голям. За да проверите за всички решения, които са сертифицирани от Google, т.е такива които изцяло и в пълнота отговарят на законовите изисквания, можете да посетите тази страница. Множество от тях предоставят безплатни версии, които обаче макар да са привлекателни за голяма част от българския пазар, крият много рискове.

На първо място в миналото безплатните версии на подобни модули бяха обект на атака от хакери, което води до солиден риск от пробив в сигурността по отношение на съхраняваните лични данни. Напълно резонно е това да зачести с оглед увеличения брой сваляния на тези модули. При подобна ситуация всички рискове носите изцяло Вие и евентуалните глоби ще следва да бъдат заплатени от Вас.

На второ място те поставят редица ограничения. Такива могат да бъдат ограничен брой преглеждания на уебсайта, ограничен брой домейни и поддомейни на които да се показват. Освен това е налице е невъзможност за промени по дизайна им от гледна точка на цветови палитри и други. 

На трето място, немалка част от тях, не дават възможност за запазване на съгласието за продължителен период от време, което крие юридически рискове в дългосрочен план.

Поради гореизложените причини, съветът ни е да не пестите разходи, а да изберете платена версия в съответствие с Вашите конкретни нужди измежду решенията от списъка по-горе. 

Необходими ли са допълнителни действия, освен всичко изброено до тук? 

Ако сте собственик на малък блог или корпоративен сайт с малък трафик и ограничено събиране на лични данни, то при изпълнение на горните изисквания ще сте достатъчно подсигурени. В случай че имате сериозен трафик, използвате дълъг списък (над 20) с бисквитки или сте собственик на онлайн магазин, силно препоръчително е да се консултирате с адвокат или юрист с опит в сферата на защита на личните данни. Консултацията с адвокат може да се разглежда като инвестиция в защитата на бизнеса ви от правни рискове и в осигуряването на доверието на потребителите. На второ място е налице и риск от това инструмента за съгласие (дори и платените версии) да категоризират погрешно Вашите бисквитки.  За да бъдете сигурни че всичко е конфигурирано правилно и правната документация отговаря на нормативните изисквания е силно препоръчително да включите външен експерт, който да работи с Вашата дигитална агенция или маркетингов екип.

Гореизброените рискове могат да допринесат за потенциалните глоби и накърняване на репутацията в резултат на неспазване на изискванията, които винаги ще надхвърли цената на адвокатска консултация. Подобен съвет ще намерите и във всеки сайт на доставчик на Consent management platform.