Ciastka lubią prawie wszyscy i każdy ma swoje ulubione, które z chęcią chrupie :). Agencje marketingowe też je lubią! Powodem jest generowany przez nie cudowny, informacyjny tłuszczyk. Unia Europejska jednak ma na nie uczulenie. Co roku mocniej i mocniej walczy o ich kontrolowanie i odpowiednie użycie. Oczywiście piszemy tutaj o ciastkach wirtualnych, które rozdają nam firmy big tech (Google, Facebook, Amazon) przy każdej wizycie, a które nasze przeglądarki pożerają w setkach, jak nie tysiącach. UE postanowiło w trosce o bezpieczeństwo danych wyegzekwować własne przepisy. Niestety wpłynie to, jak zawsze, na każdą firmę działającą w internecie.
Przepis babci na ciastka
Nie od dziś Unia Europejska ma na celowniku wielkie firmy technologiczne, zwłaszcza te z USA. Nie ma też co ukrywać, że zapewne słusznie patrzy im na ręce dość wnikliwie! W końcu na własnym podwórku są w stanie dowieść, że nie można im do końca ufać (kaszel-kaszel Dylemat Społeczny).
Pierwszym pokłosiem tych obserwacji stało się sławne wdrożenie RODO/GDPR, które mocno przestraszyło wiele biznesów i praktycznie zapoczątkowało nową gałąź gospodarki dla radców prawnych i firm technologicznych. Jednak RODO weszło i po pierwszym strachu… rozeszło się po kościach. Niektórzy dodali link do polityki prywatności i dodatkowy checkbox przy formularzu, inni przebudowali stronę, dodając wielkie popupy i kilkustronicowe regulaminy, ale generalnie wszystko się uspokoiło. Użytkownicy przyzwyczaili się, żeby klikać w zgody i nie czytać niczego, a właścicielom stron to wystarczało. Tylko UE nadal miała “ale”. Właśnie na podstawie tego “ale” pojawiły się kolejne iteracje sporu o prywatność użytkowników.
Najpierw pojawił się wyrok Trybunału Sprawiedliwości UE, który jednoznacznie mówi, że zgoda użytkownika nie może być domyślna i że musi on dokonać wyboru, czy chce instalować ciastka, czy nie. Nie można zainstalować ich przed jego zgodą i pozostawić mu tylko możliwość ich usunięcia. To ważne postanowienie, bo tym samym oznacza, że większość banerów informujących o ciasteczkach jest bezużyteczna, bo nie zapewniają one takiej funkcjonalności. Wychodzi na to, że ci, którzy robili rozbudowane popupy przy wdrożeniu RODO, mogą spać spokojnie 🙂 . Wszyscy inni powinni się jednak bać. UODO bowiem zaczął nakładać kary za błędną obsługę RODO, a także przygląda się kwestiom plików cookies. Jest to więc element, o który warto zadbać już teraz, aby uniknąć problemów w przyszłości.
Czego potrzebujemy do wdrożenia Consent Mode?
Na szczęście zawsze tam, gdzie pojawia się potrzeba, pojawiają się też firmy z rozwiązaniem. Przykładem mogą być CMP – Consent Management Platform, które w swoim założeniu mają pomagać w zarządzaniu i kontroli plików cookies właścicielom stron. Z wielu opcji dostępnych na rynku (o których piszemy niżej), postanowiliśmy skupić się na jednym.
Cookiebot, bo o nim mowa, jest narzędziem udostępnionym za darmo pod warunkiem, że nasza witryna nie ma więcej niż 50 stron, co w większości branż SMB powinno być wystarczające. Aby z niego skorzystać, trzeba założyć konto, wygenerować kod widgetu i można działać.
Niestety sam Cookiebot nie wystarczy. Każde wywołanie kodów tj. Google Analytics czy Pixel Facebook, powinno być odpowiednio “okodowane”, aby brać pod uwagę ustawienia użytkownika wprowadzone za pomocą Cookiebota. Z racji, iż jako agencja w codziennej pracy wykorzystujemy GTM (Google Tag Manager) do zarządzania wszelkimi tagami, postanowiliśmy połączyć nasze dwa składniki, aby stworzyć idealne ciasteczka.
Prawidłowe wdrożenie Consent Mode
Sekretem dobrego ciasteczka według UE jest to, żeby wyrosło dopiero wtedy, gdy klient tego chce. Aby to zrobić, w GTM trzeba włączyć specjalny tryb consent.
Po jego uruchomieniu pojawią się nowe opcje triggerów i dodatkowa sekcja, dzięki której zweryfikujemy jakie zgody mają nasze tagi, a także jakie chcemy dodać do nich.
Następnym elementem jest dodanie Cookiebota do naszego GTM przez import gotowego tagu z Community Template Gallery.
Uzupełniamy ten nowy tag o ID, które pobieramy z panelu Cookiebot i ustawiamy go jako jedyny trigger Consent Initialization – All Pages
Na tym etapie to, co stworzyliśmy, pojawi się na stronie jako popup cookie (w darmowej wersji nie mamy wpływu na kolorystykę i niektóre elementy wyglądu).
To jednak nie koniec, a właściwie początek! Panel ten jest tylko miejscem sterowania dla użytkownika, na jakie pliki cookies wyraża zgodę i sam w sobie niczego jeszcze nie kontroluje.
Na kolejnym etapie musimy przekonfigurować tagi jakie mamy na stronie, by uwzględniały to, co użytkownik wybrał w popupie.
Z racji, iż każdy przypadek jest inny, nie jesteśmy w stanie przestawić kompletnej i całościowej konfiguracji. Pokażemy za to 2 najważniejsze i najczęściej potrzebne element – ustawienie Google Analytics 4 (GA4) i Pixela Facebooka. Wybraliśmy te 2 aby pokazać pełne spektrum działania Consent Mode z racji iż jest zasadnicza różnica pomiędzy tagami Google a innymi.
GA4 jest jednym ze specjalnych tagów w GTM. Po włączeniu obsługi Consent Mode na koncie GTM, wszystkie tagi GA4 oraz Google Ads obecne i przyszłe będą miały wbudowaną obsługę flag Consent Mode.
Oznacza to tyle że nie musimy wprowadzać w nich żadnych zmian odnośnie triggerów. Tagi będą się odpalać w opublikowanym kontenerze GTM, jednak nie będą przesyłać żadnych danych personalizowanych bez zgody z baneru.
W przypadku Pixela Facebooka jak i wszystkich tagach nie Googlowych, trzeba ręcznie wskazać zgody, jakich wymaga dany tag.
Dodatkowo w przypadku nie Googlowych tagów które odpalają się na wszystkich stronach (tj. Pixel Facebooka) trzeba stworzyć nowe zdarzenie cookie_consent_update, które będzie triggerem takich tagów. W przypadku gdybyśmy zostawili w takich tagach domyślny trigger All Pages – zbieranie danych zadziała dopier po odświeżeniu strony lub przejściu na kolejną podstronę! Zdarzenie cookie_consent_update sprawia że taki tag, odpala się w chwili wyrażenia zgody.
I to wszystko jeśli chodzi o tworzenie pysznych, podstawowych, europejskich ciasteczek :).
Aby sprawdzić jak dobrze nam poszło wdrożenie w zakresie tagów Google, w GA4 uruchomiono specjalną sekcję na poziomie strumienia danych, która pokazuje czy wdrożenie poprawnie zbiera dane. Status ten odświeża się dopiero po 24-48h od wdrożenia więc nie panikujcie gdy zaraz po wdrożeniu nic się nie zmieni tutaj 🙂
A może jednak Muffinki?
Jak pisałem na początku artykułu – nie samym Cookiebotem przeglądarka żyje. Może jeść też z innych cukierni:
- https://www.commandersact.com/
- https://www.consentmanager.net/
- https://www.cookieyes.com/
- https://www.cookiehub.com/
- https://cookieinformation.com/