Ця стаття — невеликий бліц відповідей на запитання, які мені часто задають під час консультацій із налаштування згоди (Consent). Тут немає певної послідовності або загальної теми, тому для навігації використовуйте зміст.
Обов’язково ознайомтесь із примітками, перш ніж ви почнете читати далі.
Примітка 1. Цей матеріал не є юридичною консультацію. Його мета трохи розвінчати купу міфів і хибних тверджень про налаштування консенту, які ширяться в інтернет. Так, я провів велику роботу, зібравши відповіді, та поспілкувався з юристами багатьох компаній, але я сам не є юристом. Я вебаналітик. Тому ви можете бути 100% впевнені у моїх відповідях на технічні питання, але не забудьте уточнити у свого юриста юридичні нюанси.
Примітка 2. На те, що зараз, працюючи на Європейську економічну зону (ЄЕЗ), ми керуємося принципом Privacy by Default, вплинуло багато «законів». Найбільше GDPR та DMA, але є й інші. Зверніть увагу, трішки раніше я вжив слово «закони», хоча насправді той же DMA є актом, але я не хочу перевантажувати цей матеріал юридичними термінами, тому для спрощення завжди буду використовувати слово «закони».
Примітка 3. Я також не хочу перевантажувати текст технічними термінами, тому буду використовувати термін «cookie». Водночас матиму на увазі різні сховища даних: власне cookie, Local Storage та Session Storage та інші технології. Детальніше про це буде в пункті № 3 «Чи стосується «cookie» виключно файлів cookie, чи включає також інші подібні технології збору даних?»
- Чи налаштування згоди стосується тільки cookie третьої сторони?
- Чи можна хоча б якісь cookie назначити користувачу без його згоди?
- Чи стосується cookie виключно файлів cookie, чи включає також інші подібні технології збору даних?
- Чи стосуються правила згоди лише даних, що передаються третім сторонам?
- Чи поширюються ці вимоги лише на Європу, чи діють також в інших регіонах?
- Чи поширюються ці налаштування на Україну?
- Чи стосуються налаштування згоди лише сервісів Google, чи охоплюють й інші платформи?
- Чи стосується консент сайтів, які купують рекламу, а не продають її?
- Чи потрібно мати окрему сторінку із Privacy Policy?
- Чому краще робити банер консенту через CMP?
- Чи можна використовувати GTM (Google Tag Manager) для управління згодою? Чи дозволяється використання GTM, якщо користувач заборонив використання cookie?
- Чи вважається порушенням консенту, якщо банер згоди, що налаштований через GTM, не показується через використання блокувальників реклами?
- Чи потрібно кожного разу, коли користувач заходить на сайт, збирати згоду-повтор?
- Замість висновку.
№ 1. Чи налаштування згоди стосується тільки cookie третьої сторони?
Це одне з найпопулярніших питань. Відповідь — ні.
Це стосується не тільки cookie третьої сторони, а також і cookie першої сторони. Тобто ви не маєте права загалом збирати персональні дані користувачів без їхньої згоди, незалежно від того, в які cookie це в результаті передається.
№ 2. Чи можна хоча б якісь cookie назначити користувачу без його згоди?
Так, можна. Якщо такі cookie прямо необхідні для надання послуги кінцевому користувачу.
У статті «Чому Consent це не просто банер і як налаштувати його правильно» я розповідав, що завжди є група обов’язкових cookie. Якщо вони потрібні для коректної роботи сайту, наприклад, коли користувач додає товар у кошик в інтернет-магазині, то було б дуже незручно, якби при переході на наступну сторінку цей товар зникав.
Ще один приклад використання обов’язкових cookie збереження ваших даних входу в Facebook, або інші сервіси, щоб вам не потрібно було постійно вводити логін і пароль при кожному оновленні сторінки. Тобто, якщо ці cookie є обов’язковими для функціонування сайту, ви маєте право їх використовувати.
Ще один важливий момент: коли користувач заповнює форму, він також вказує свої персональні дані. Згідно з GDPR, збирати такі персональні дані дозволено. Але важливо, щоб ви проінформували користувача, і він надав згоду щодо політики роботи з цими даними. Навіть якщо користувач натиснув на банері Deny, але заповнив форму та погодився на вашу політику роботи з даними, бажаючи, щоб ви зв’язалися з ним і залишив свої контактні дані, ви маєте право зібрати цю інформацію й перенести її, наприклад, у CRM-систему.
Резюмуючи, нам не потрібно просити згоду користувача на збір персональних даних, які необхідні для забезпечення функціоналу надання основної послуги користувачу. Але обов’язково потрібно отримати дозвіл на збирання даних для інших цілей.
№ 3. Чи стосується «cookie» виключно файлів cookie,чи включає також інші подібні технології збору даних?
Коли ми говоримо про закони щодо захисту персональних даних користувачів, під загальним терміном «cookie» маються на увазі не лише cookie, але й Local Storage, Session Storage, певні піксельні теги, індекс DB та багато іншого. Загалом ці правила стосуються всіх вебтехнологій, які дозволяють зберігати інформацію про користувачів.
Переходимо до наступного питання. Воно схоже на перше, але має певну відмінність.
№ 4. Чи стосуються правила згоди лише даних, що передаються третім сторонам?
Ще раз звертаю вашу увагу: ми говоримо про закони, що регулюють збір і обробку персональних даних користувачів. Ніде в цих законах не вказано, що це стосується тільки третіх сторін. Правила охоплюють весь процес збору, зберігання та обробки персональних даних користувачів у межах вашої компанії.
Незалежно від того, чи збираєте ви дані для власних потреб або для третіх сторін, ці правила стосуються всіх етапів обробки персональних даних ваших відвідувачів і клієнтів.
№ 5. Чи поширюються ці вимоги лише на Європу, чи діють також в інших регіонах?
Якщо ми говоримо про GDPR то він працює саме у Європі, а якщо точніше то в Європейській економічній зоні. Але у інших країнах є схожі закони: один з найбільш відомих CCPA в Каліфорнії. Також подібні закони діють у Колорадо, Бразилії, Південній Африці, Японії та інших країнах і регіонах.
Загалом, майже в усіх країнах, де приділяють увагу захисту персональних даних, є відповідне законодавство. Проте, у деяких регіонах ці правила є лише рекомендаціями, а в інших — обов’язковими до виконання. Наприклад, у деяких країнах принципом є «дозволено, доки користувач не заборонить», тоді як у Європі, зокрема завдяки GDPR, діє правило, що «доки користувач не надасть згоди, збирати дані не можна».
№ 6. Чи поширюються ці налаштування на Україну?
Так, ці вимоги поширюються і на Україну, хоча на трохи іншому рівні.
Я б сказав, що є більш і менш прогресивні підходи, і, на жаль, Україна наразі використовує менш прогресивний. У нас також є аналог GDPR, прийнятий уже багато років тому. Але якщо дивитись на ту ж Європу: GDPR почав діяти там у 2018 році, але основні зміни почалися в березні 2024-го, коли вступив у силу DMA. Тому те, що зараз відбувається, є скоріше наслідком впровадження DMA, ніж впливом GDPR.
В Україні є аналог GDPR, але оскільки у нас немає DMA, то рекомендація щодо банерів є бажаною, але не обов’язковою. Тобто якщо в Європі збирати дані можна тільки після отримання згоди користувача, в Україні в більшості випадків дозволено збирати дані, доки користувач прямо не заборонить цього. Наприклад, банери з кнопкою «ОК», які вважаються некоректними в ЄС, в Україні наразі не є порушенням.
Отже, Україна тут дещо осторонь. Але пам’ятайте, що є дві групи вимог: перша стосується законодавства, а друга — вашої взаємодії з рекламними та аналітичними системами. На законодавчому рівні в Україні це все ще перебуває на початкових етапах. Можливо, Google з часом вимагатиме передачі сигналів про згоду користувачів і від українських сайтів.
Поки що це не є обов’язковим, але є дуже рекомендованим. Наразі можна використовувати альтернативні варіанти, такі як OK-банери з умовою, що користувач дає згоду, залишаючись на сайті. Ну і не забувайте про моральну сторону питання: завжди добре, коли твої дані використовують зі згоди.
№ 7. Чи стосуються налаштування згоди лише сервісів Google, чи охоплюють й інші платформи?
Згадаємо відповідь на перше питання на початку статті: це загальне правило щодо захисту персональних даних, яке стосується всіх систем, до яких передаються дані. Отже, це охоплює всі рекламні й аналітичні платформи.
Але я здогадуюсь, чому складається враження, що ці вимоги більше стосуються Google. Спробую пояснити це детальніше. На законодавчому рівні правила стосуються всіх, але дійсно здається, що Google запровадив найсуворіші вимоги.
Наприклад, поки що Facebook не обмежує рекламу, якщо немає сигналів згоди користувача, а Google вже почав впроваджувати це на деяких рекламних кабінетах. Саме тому складається враження, що ці правила стосуються переважно Google. Але, як уже згадувалося, вони діють для всіх платформ. У тих же Facebook і Bing вже теж з’являються відповідні розділи в довідках.
№ 8. Чи стосується консент сайтів, які купують рекламу, а не продають її?
Так, стосується.
Це питання регулюється дещо іншим законом — TCF (Transparency and Consent Framework). Ви можете детальніше про це почитати за цим посиланням. Проте повертаємося до відповіді на перше питання: це стосується будь-яких дій компанії, які пов’язані зі збором, збереженням чи аналізом персональних даних користувачів.
№ 9. Чи потрібно мати окрему сторінку із Privacy Policy?
Офіційної вимоги немає, але я та юристи, з якими я спілкувався, однозначно рекомендуємо створити таку сторінку. Це допомагає користувачам отримати всю необхідну інформацію, а вам — відповідати вимогам прозорості. Більше про вимоги до інформування користувачів можна знайти у GDPR Article 13: Personal Data Collected.
№ 10. Краще робити банер консенту через СМР чи власний?
CMP є зручним і швидким рішенням для компаній малого та середнього розміру. Вона значно зменшує витрати ресурсів на розроблення, забезпечує автоматичне оновлення відповідно до змін у законодавстві, що дає змогу бізнесу дотримуватися вимог GDPR та інших регуляцій без необхідності вручну відслідковувати зміни.
CMP також дозволяє легко кастомізувати банери з урахуванням бренду і підтримує мультимовність та геотаргетинг для відповідності локальним вимогам. Однак є один суттєвий недолік — це вартість послуг, що може стати значним витратним фактором для великих бізнесів.
Самостійне налаштування через GTM — це безкоштовний метод, що дає більше гнучкості. Однак він вимагає більше часу на розробку та тестування, а також вищого рівня технічних знань. Для налаштування через GTM необхідно створити власні теги, тригери й змінні, що може бути складним для компаній без технічних фахівців. Крім того, власноручне налаштування вимагає постійного моніторингу змін у законодавстві та їх адаптації.
Вибір між CMP і GTM залежить від розміру бізнесу, наявних ресурсів і технічних можливостей. CMP є оптимальним рішенням для бізнесів, які шукають простоту, автоматизацію і швидку відповідність вимогам, тоді як GTM підходить для тих, хто має ресурси на налаштування та хоче більше контролю над процесом.
Тому, на мою думку, використання готового рішення CMP є більш доцільним. Консент — це переважно юридичний аспект, і штрафи за його недотримання можуть бути суттєвими. Тому краще довірити це питання професіоналам, які вже мають досвід та необхідні інструменти для відстеження всіх аспектів цього процесу.
№ 11. Чи можна використовувати GТМ (Google Tag Manager) для управління згодою? Чи дозволяється використання GТМ, якщо користувач заборонив використання cookie?
Так, звісно, можна використовувати GTM, але є нюанси.
Поясню. Перше, якщо ми говоримо про чистий код тег-менеджера, то слід розуміти, що він не встановлює ніяких cookie.
Якщо бути дуже точним, то GTM, насправді, встановлює cookie, але тільки коли активується режим попереднього перегляду в GTM. Це робить лише людина, яка налаштовує GTM у компанії. Тому це уточнення це більше мій перфекціонізм у розборі питань, а не корисна інформація на тему налаштувань консенту.
Для відвідувачів сайту GTM ніяких cookie самостійно не встановлює, саме код тег-менеджера. Однак через GTM можна запускати скрипти, які можуть встановлювати cookie.
Тобто, резюмуючи, сам по собі GTM не є порушенням GDPR. Дуже важливо, щоб всередині нього без згоди користувача не запускалися коди, які встановлюють cookie, які вже можуть порушувати GDPR.
№ 12. Чи вважається порушенням консенту, якщо банер згоди, що налаштований через GTM, не показується, через використання блокувальників реклами?
Це цікаве питання, але, за словами юристів, це не є порушенням GDPR. Незважаючи на те, що банер не показано користувачу і згоди не отримано, при правильній реалізації це не є порушенням GDPR. Поясню чому.
Уявіть, на сайті встановлено банер згоди, налаштований через Google Tag Manager, але певні блокувальники реклами можуть блокувати не тільки рекламу, а й GTM. І в результаті банер не відображається користувачу, хоча він зайшов на сайт.
Правильна реалізація означає, що є Google Tag Manager із реалізованою згодою через CMP або власний банер. Основний код і всі маркетингові та аналітичні коди також знаходяться всередині Google Tag Manager. Якщо GTM не заблоковано, то все працює правильно: з’являється банер, людина дає згоду, і всі коди запускаються, або банер з’являється, користувач не дає згоди, і коди не запускаються. Все чітко. Якщо є блокувальник реклами, він блокує GTM і показ банера, а разом з цим не запускаються аналітичні та маркетингові коди.
Таким чином, персональні дані не збираються, і це не є порушенням GDPR. Більше того, розширення, яке блокує певні скрипти, — кастомізація сайту з боку користувача. Ви виконали вимоги закону, а те, що банер не з’явився, — це наслідок розширення користувача, яке заблокувало GTM.
Висновок: використання GTM для управління згодою — це нормальна, навіть дуже хороша практика.
№ 13. Чи потрібно кожного разу, коли користувач заходить на сайт, збирати згоду-повтор?
Кожного разу показувати банер згоди немає сенсу, щоб не втомлювати користувача. Але в законодавстві різних країн є додаткові вимоги: час від часу вам може бути потрібно оновлювати дані згоди. Найменший рекомендований інтервал — раз на пів року, у деяких країнах — раз на рік. Це потрібно для того, щоб банер не надокучав користувачу і щоб дозвіл не був «вічним».
Рекомендую уточнити вимоги в конкретній країні, де ви працюєте.
Замість висновку
Сподіваюся, що ви знайшли тут відповіді на запитання, які шукали або в яких не були впевнені. Якщо вам цікаво заглибитися в тему більше, дізнатися нюанси та подробиці налаштувань ви можете пройти безкоштовний курс Consent & GDPR in Marketing, де зібрано не лише теорію, але й вказівки по практичним налаштування консенту з додатковими матеріалами для кращого засвоєння.
Редакція не несе відповідальності за інформацію, викладену у блогах. Це особиста думка автора.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
