CookieBot CMP – Przepis na strawne dla EU ciasteczka

Ciastka lubią prawie wszyscy i każdy ma swoje ulubione, które z chęcią chrupie :). Agencje marketingowe też je lubią! Powodem jest generowany przez nie cudowny, informacyjny tłuszczyk. Unia Europejska jednak ma na nie uczulenie. Co roku mocniej i mocniej walczy o ich kontrolowanie i odpowiednie użycie. Oczywiście piszemy tutaj o ciastkach wirtualnych, które rozdają nam firmy big tech (Google, Facebook, Amazon) przy każdej wizycie, a które nasze przeglądarki pożerają w setkach, jak nie tysiącach. UE postanowiło w trosce o bezpieczeństwo danych wyegzekwować własne przepisy. Niestety wpłynie to, jak zawsze, na każdą firmę działającą w internecie.

Przepis babci na ciastka

Nie od dziś Unia Europejska ma na celowniku wielkie firmy technologiczne, zwłaszcza te z USA. Nie ma też co ukrywać, że zapewne słusznie patrzy im na ręce dość wnikliwie! W końcu na własnym podwórku są w stanie dowieść, że nie można im do końca ufać (kaszel-kaszel Dylemat Społeczny).

Pierwszym pokłosiem tych obserwacji stało się sławne wdrożenie RODO/GDPR, które mocno przestraszyło wiele biznesów i praktycznie zapoczątkowało nową gałąź gospodarki dla radców prawnych i firm technologicznych. Jednak RODO weszło i po pierwszym strachu… rozeszło się po kościach. Niektórzy dodali link do polityki prywatności i dodatkowy checkbox przy formularzu, inni przebudowali stronę, dodając wielkie popupy i kilkustronicowe regulaminy, ale generalnie wszystko się uspokoiło. Użytkownicy przyzwyczaili się, żeby klikać w zgody i nie czytać niczego, a właścicielom stron to wystarczało. Tylko UE nadal miała “ale”. Właśnie na podstawie tego “ale” pojawiły się kolejne iteracje sporu o prywatność użytkowników.

Najpierw pojawił się wyrok Trybunału Sprawiedliwości UE, który jednoznacznie mówi, że zgoda użytkownika nie może być domyślna i że musi on dokonać wyboru, czy chce instalować ciastka, czy nie. Nie można zainstalować ich przed jego zgodą i pozostawić mu tylko możliwość ich usunięcia. To ważne postanowienie, bo tym samym oznacza, że większość banerów informujących o ciasteczkach jest bezużyteczna, bo nie zapewniają one takiej funkcjonalności. Wychodzi na to, że ci, którzy robili rozbudowane popupy przy wdrożeniu RODO, mogą spać spokojnie 🙂 . Wszyscy inni powinni się jednak bać. UODO bowiem zaczął nakładać kary za błędną obsługę RODO, a także przygląda się kwestiom plików cookies. Jest to więc element, o który warto zadbać już teraz, aby uniknąć problemów w przyszłości.

Lista składników do ciasteczek

Na szczęście zawsze tam, gdzie pojawia się potrzeba, pojawiają się też firmy z rozwiązaniem. Przykładem mogą być CMP – Consent Management Platform, które w swoim założeniu mają pomagać w zarządzaniu i kontroli plików cookies właścicielom stron. Z wielu opcji dostępnych na rynku (o których piszemy niżej), postanowiliśmy skupić się na jednym.

CookieBot, bo o nim mowa, jest narzędziem udostępnionym za darmo pod warunkiem, że nasza strona nie ma więcej niż 100 stron, co w większości branż SMB powinno być wystarczające. Aby z niego skorzystać, trzeba założyć konto, wygenerować kod widgetu i można działać.

Niestety sam CookieBot nie wystarczy. Każde wywołanie kodów tj. Google Analytics czy Pixel Facebook, powinno być odpowiednio “okodowane”, aby brać pod uwagę ustawienia użytkownika wprowadzone za pomocą CookieBota. Z racji, iż jako agencja w codziennej pracy wykorzystujemy GTM (Google Tag Manager) do zarządzania wszelkimi tagami, postanowiliśmy połączyć nasze dwa składniki, aby stworzyć idealne ciasteczka.

Pieczemy te ciacha!

Sekretem dobrego ciasteczka według UE jest to, żeby wyrosło dopiero wtedy, gdy klient tego chce. Aby to zrobić, w GTM trzeba włączyć specjalny tryb consent.

Po jego uruchomieniu pojawią się nowe opcje triggerów i dodatkowa sekcja, dzięki której zweryfikujemy jakie zgody mają nasze tagi, a także jakie chcemy dodać do nich.

Następnym elementem jest dodanie Cookie Bota do naszego GTM przez import gotowego tagu z Community Template Gallery.

Uzupełniamy ten nowy tag o ID, które pobieramy z panelu CookieBot i ustawiamy go jako jedyny trigger Consent Initialization – All Pages

Na tym etapie to, co stworzyliśmy, pojawi się na stronie jako popup cookie (w darmowej wersji nie mamy wpływu na kolorystykę i niektóre elementy wyglądu).

To jednak nie koniec, a właściwie początek! Panel ten jest tylko miejscem sterowania dla użytkownika, na jakie pliki cookies wyraża zgodę i sam w sobie niczego jeszcze nie kontroluje.

Na kolejnym etapie musimy przekonfigurować albo stworzyć na nowo triggery do wszystkich tagów, jakie mamy na stronie, by uwzględniały to, co użytkownik wybrał w popupie.

Z racji, iż każdy przypadek jest inny, nie jesteśmy w stanie przestawić kompletnej i całościowej konfiguracji. Pokażemy za to najważniejszy i najczęściej potrzebny element – ustawienie Google Anaytics 4.

Wpierw musimy udać się do sekcji triggerów i stworzyć dwa nowe typy oparte o zdarzenia. Mowa tutaj o cookie_consent_marketing oraz cookie_consent_statistics.

Po utworzeniu tych triggerów podpinamy je do naszego tagu konfiguracyjnego GA4 i ustawiamy oba w pętli OR – w zależności czy konfigurujemy GA jako narzędzie marketingowe, czy tylko statystykę, możemy zrezygnować z któregoś z triggerów i pozostawić jeden.

Przy powyższej konfiguracji nasz Google Analytics przy wejściu użytkownika na stronę nie zostanie odpalony. Zacznie on działać tylko w momencie, gdy użytkownik w ustawieniu popup CookieBota wybierze Statystyka lub Marketing (w zależności od tego, jak skonfigurowaliśmy triggery).

I to wszystko jeśli chodzi o tworzenie pysznych, podstawowych, europejskich ciasteczek :).

A może jednak Muffinki?

Jak pisałem na początku artykułu – nie samym CookieBotem przeglądarka żyje. Może jeść też z innych cukierni:

• https://www.commandersact.com/
• https://www.consentmanager.net/
• https://www.cookieyes.com/
• https://www.cookiehub.com/
• https://cookieinformation.com/