Witold Wrodarczyk – wywiad po semKRK#19 BIG

Witold Wrodarczyk – Założyciel i CEO Adequate Interactive Boutique na scenie semKRK#19 BIG zagościł z prezentacją o intrygującym tytule: „Czy ciastka nas zjedzą?” Tytuł okazał się równie ciekawy, co samo wystąpienie, które uznaliście jednym z dwóch najlepszych na całej konferencji! Nasz prelegent postanowił zaspokoić Waszą ciekawość związaną z ciasteczek i odpowiedzieć na Wasze pytania zadane w dniu barcampu. Zobaczcie, co miał do powiedzenia!

Czy consent management jest wymagany również wobec stron, które nie zbierają danych marketingowych? Jeśli nie ma tam dużego ruchu, to chyba trudne do wdrożenia?

Z zastrzeżeniem, że to kwestia prawna i moją odpowiedź proszę traktować poglądowo, a w indywidualnej kwestii, wątpliwości powinien rozwiać prawnik – consent management jest wymagany na stronach, które stosują pliki cookies (lub podobnie działające technologie) w celach innych, niż jest to niezbędne dla funkcjonowania strony.
Cel marketingowy na pewno nie jest niezbędny i wymaga zgody, ale to nie jedyny cel przetwarzania danych na stronie czy w aplikacji.

W kwestii celu analitycznego legislatorzy pracują nad zmianami, by w pewnym zakresie (ale węższym, niż obecna analityka e-commerce) statystyka ruchu na stronie stanowiła „uzasadniony interes jej właściciela” lub mogła być uznana za „niezbędną do administrowania stroną www”. Niemniej obecnie przyjmuje się, że, na analitykę śledzącą użytkownika trzeba mieć zgodę. Planowane zmiany prawa w przyszłości i tak prawdopodobnie zostawią użytkownikowi prawo wniesienia sprzeciwu (opt-out), czyli też zarządzanie zgodami będzie przypuszczalnie potrzebne również do celów analitycznych.

I wreszcie inne cele, takie jak personalizacja strony do preferencji użytkownika – one również wymagają zgody.
Tak więc to, że strona nie wykorzystuje danych do celów marketingowych jeszcze nie znaczy, że to ją zwalnia z zarządzania zgodami.

Na jakiej zasadzie wychodzi konwersja dla tych użytkowników, którzy nie dali zgody na śledzenie?

W razie braku zgody i przy wdrożonym consent mode system cały czas zbiera dane o wizytach i innych eventach, takich jak konwersje, ale nie łączy ich z sobą (nie przypisuje konwersji do wizyt), choć są one oflagowane jako zdarzenia bez zgody użytkownika. Następnie, na bazie wiedzy o zachowaniach użytkowników, którzy zgodę wyrazili, próbuje poskładać tę układankę wg najbardziej prawdopodobnego scenariusza.

Przykładowo, w grupie zdarzeń bez zgody na śledzenie widzimy 1000 wizyt z Google i 1000 wizyt bezpośrednich oraz 100 konwersji. Widzimy też, że tam, gdzie możemy śledzić konwersje, wizyty bezpośrednie mają 3 x wyższy współczynnik konwersji. W ten sposób możemy przyjąć, że prawdopodobnie z Google mamy 25 konwersji, a pozostałe 75 konwersji jest z wizyt bezpośrednich. To oczywiście duże uproszczenie. Sam algorytm nie jest publicznie znany, ale polega on właśnie na tego rodzaju ekstrapolacjach. Polecam również artykuł pomocy Google na ten temat.

Czy server side jest legalny pod względem obchodzenia nie śledzenia ciastek?

Server-side omija ograniczenia wynikające z technologii, a nie prawa. Jeśli więc mamy prawidłowy consent management, który respektuje preferencje użytkownika również dla śledzenia po stronie serwera, to jest to jak najbardziej legalne. Zastosowanie server-side zamiast skryptów jest co do zasady kwestią techniczną i jest neutralne na gruncie prawa.

Jak i gdzie zgłosić serwis, który blokuje dostęp do strony przez odmowę ciasteczek?

Na ogół, zgoda na przetwarzanie danych powinna być dobrowolna, a „​​realizacja umowy lub świadczenie usługi nie może być uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do realizacji umowy lub świadczenia usługi”.

Nie wchodząc głębiej w tę kwestię, odpowiem bardziej ogólnie – skargi na nieprawidłowe przetwarzanie danych i związane z tym nadużycia należy składać do Urzędu Ochrony Danych Osobowych. Można też próbować zainteresować konkretnymi sprawami aktywistów zajmujących się tą problematyką jak np. Fundacja Panoptykon lub Internet. Czas działać! Czy nawet słynni NOYB Maxa Schremsa, którzy już nieraz pokazali, że „nie odpuszczają” i doprowadzają sprawy do końca.

Na ile korzystanie z plików cookie 1st party zmniejsza możliwości analizy danych?

Pliki cookie 3rd party w analityce potrzebne są do śledzenia wyświetleń reklamy i innych interakcji poza naszą własną stroną. Ze względu na już obecne restrykcje na stosowanie impression tags, dane te już teraz są bardzo ograniczone i zazwyczaj dotyczą zamkniętych ekosystemów, w których są danymi 1st party, jak np. YouTube czy Facebook. Do analizy kliknięć, czyli wejść na naszą stronę/aplikację i tego, co dzieje się później na tej stronie, w zupełności wystarczą pliki 1st party.

Jak działają rozszerzone konwersje w Google Ads?

Dane osobowe użytkownika, który skonwertował (lead lub transakcja) są hashowane i wysyłane do Google. Jeśli hash ma odpowiednik w bazie użytkowników Google i system widzi kliknięcia reklamy tego użytkownika, wtedy jest w stanie połączyć te kliknięcia z konwersją. Więcej w artykule pomocy Google.

Czym Google Privacy Sandbox zastąpi cookies?

Zacznijmy od tego, że 1st party cookies z nami zostaną. Wycofana zostanie obsługa 3rd party cookies, które są niezbędne np. do remarketingu. Aby prowadzić remarketing, bez konieczności zbierania i przetwarzania całej historii przeglądanych przez użytkownika stron, Google chce, aby w przeglądarce odbywała się dodatkowa aukcja reklam, uwzględniająca historię przeglądanych stron.

Reklama oparta o zainteresowania wciąż będzie możliwa, ale już nie w oparciu o tak szczegółową wiedzę o zachowaniach użytkownika. Wg aktualnej propozycji, dostępne będzie ok. 350 kategorii zainteresowań.

Google proponuje ponadto m.in. rozwiązania umożliwiające uwierzytelnianie i zwiększające bezpieczeństwo (Trust Tokens), a także ułatwienia dla właścicieli wielu domen (First Party Sets). Zainteresowanym szczegółami Privacy Sandbox polecam serię filmików z Google Chrome Developers.

1-2 rzeczy, które powinien wdrożyć sklep internetowy, aby w statystykach nie ginęły konwersje e-commerce?

Przede wszystkim: wdrożenie consent management (bo to wymóg prawny), ale z consent mode – by nie tracić niepotrzebnie danych, które możemy zbierać bez zgody.

1st party data, czyli Enhanced Conversions (Google) i Advanced Matching (Facebook), a także User ID w Google Analytics. A dokładniej w Google Analytics 4, choć to już powoli oczywiste wobec zbliżającej się daty zaprzestania zbierania danych w Universal Analytics.

Dla tych, którym zależy na najwyższej jakości danych – wdrożenie śledzenia server-server (w tym Facebook Conversion API), wykorzystując np. Server-side Google Tag Manager.

Powiedziałeś, że Google nie kradnie danych. To skąd ma raporty statystyk typu wskaźniki konwersji w różnych branżach (np. w Google Ads)?

Tam od razu kradnie 🙂 Na początek zwrócę uwagę, że moja wypowiedź dotyczyła nie Google w ogólności, ale Google Analytics – systemu analitycznego, który jest oprogramowaniem SaaS i to nie bezpłatnym, ale sprzedawanym w modelu freemium – bo przecież Analytics 360 jest wersją odpłatną i to kosztującą niemałe pieniądze. Wspominam o tym, by odnieść się do często słyszanego argumentu, że „skoro to jest za darmo, to musi być jakiś haczyk”.

Google oficjalnie wskazuje, że zbierane przez Analytics dane są wykorzystywane wyłącznie do świadczenia usługi Analytics, a naruszanie tej publicznej obietnicy, a w zasadzie warunku świadczenia usługi, naraziłoby Google na odpowiedzialność na gruncie prawa – a amerykańscy (i nie tylko) prawnicy na pewno nie przepuściliby takiej okazji. Analytics jako program analityczny (który na rynku ma przecież pewne alternatywy) stałby się w ten sposób znacznie mniej atrakcyjny. W tak dużej organizacji utrzymanie takiego procederu w konspiracji wydaje się mało możliwe. Tak więc zakładanie, że Google nas okłamuje w tej kwestii, jest daleko idącą i mało prawdopodobną teorią spiskową.

Ale pamiętajmy, że w Google Analytics można włączyć dodatkowe funkcje, które np. podadzą nam dane o zainteresowaniach naszych użytkowników (na podstawie danych posiadanych przez Google) lub do tworzenia list remarketingowych. Po ich włączeniu tag Analytics zaczyna realizować funkcje reklamowe i wtedy oczywiście Google zasila swój ekosystem reklamowy pewnymi danymi o aktywności użytkownika na naszej stronie. Niemniej, ta funkcja nie jest domyślnie włączona.

Przy tej okazji zwrócę uwagę, że jeśli stosujemy consent mode, a użytkownik da zgodę na analitykę, ale nie na marketing, to w odniesieniu do wizyt tego użytkownika, funkcje reklamowe zostaną zdezaktywowane.

Poza tagami Analytics, Google stosuje tagi reklamowe (Google Ads) oraz tagi przeznaczone dla wydawców (Google Ad Manager, AdSense) – wszystkie one zbierają mnóstwo informacji dla Google. Zasadniczo, Google ma naprawdę tak wiele danych, że raczej nie musi ich wyłudzać od użytkowników Google Analytics, którzy wykorzystują tagi Google wyłącznie do własnych celów analitycznych.

GA przetwarza dane, o czym powinniśmy poinformować w polityce prywatności. Co w sytuacji, jak mamy podpięte GA, ale Klient nie chce dodać lub zaktualizować polityki prywatności?

Klient nie chce wdrożyć poprawnej polityki prywatności? No cóż, każdy jest kowalem swojego losu 🙂

Oczywiście, Google Analytics przetwarza dane wykorzystując ciasteczka, w których użytkownikowi przypisany jest identyfikator, przez co można powiązać ze sobą wizyty i konwersje. Ponadto, w module e-commerce mamy ID transakcji, które właściciel strony może powiązać z konkretną osobą i jej danymi teleadresowymi. Tak więc mamy tam przetwarzanie danych osobowych i użytkownik powinien być o tym informowany i zapytany o zgodę.

Jeśli mamy wdrożone zarządzanie zgodami, użytkownik uzyskuje informację, że strona zamierza go śledzić. Jeśli będzie zainteresowany, klikając w odpowiednie pola widgetu znajdzie bardziej szczegółowe informacje o tym, kto i jak będzie te dane przetwarzał, w tym o Google Analytics. Będzie również mógł tam wyrazić zgodę. W samym widgecie można też zawrzeć wiele informacji, które powinny się znaleźć w polityce prywatności (pola są edytowalne). Tak więc, w takiej sytuacji consent management może, przynajmniej w znacznej części, zrealizować nasze obowiązki prawne. Proszę to jednak potraktować jako wskazówkę na rozwiązanie tej kwestii, a nie gotowe rozwiązanie – bo tak naprawdę to jest pytanie do prawnika.

Czy jeżeli dane w GA są anonimizowane, to czy naprawdę jest to taka poważna sprawa?

Jak już wspomniałem, Analytics przetwarza różne dane, Client ID (identyfikator „ciasteczka” czy opcjonalne User ID (1st party data) lub ID transakcji (spseudonimizowane dane osobowe). Owszem, IP jest traktowany jako dane osobowe i jego anonimizacja jest wymagana, by stracił on tę właściwość, ale to samo z siebie nie rozwiązuje kwestii przetwarzania danych przez systemy śledzące, bo wykorzystują one również inne identyfikatory niż IP.

Czym zostaną zastąpione ciastka?

Przypomnę raz jeszcze, 1st party cookies, przynajmniej te serwerowe, generowane przez strony www, a nie przez skrypty śledzące, zostaną z nami przez długie lata, by nie powiedzieć na zawsze. Ich wyłączenie spowodowałoby paraliż Internetu i ogromne koszty dostosowania technologii (wystarczy wyłączyć obsługę cookie w przeglądarce i szybko okaże się, że żaden e-commerce, portal społecznościowy czy bank nie będą działać). Zresztą, taka czy inna forma 1st party storage wydaje się niezbędna dla stabilnego i bezpiecznego świadczenia większości usług cyfrowych.

Apple, który nie ma własnego systemu reklamowego, generalnie nie dał istotnych alternatyw poza PCM (Private Click Management) w Safari oraz SKAdNetwork dla aplikacji w iOS, które pozwalają na przetwarzanie zanonimizowanych, zagregowanych i ograniczonych informacji dla potrzeb śledzenia skuteczności reklam.

Google, dla przeglądarki Chrome i systemu Android przygotowuje pakiet rozwiązań pod nazwą Privacy Sandbox, o którym wspominałem wyżej. W wielu aspektach jest on podobny do rozwiązań Apple, ale zawiera też dodatkowe funkcje umożliwiające realizację zadań reklamowych, takich jak reklama oparta o zainteresowania czy remarketing. Dane będą mniej precyzyjne, ale celem Google jest dostarczenie technologii, w której cena, jaką musimy zapłacić za prywatność i bezpieczeństwo w sieci – będzie jak najniższa.

Jak zmiana polityki Google wpłynie na prowadzone obecnie kampanie Google Ads?

Jak wspomniałem, Google szuka rozwiązań, które zminimalizują skutki utraty danych. Z pewnością, mikrotargetowanie i hiperoptymalizacja nie będą już możliwe. Pytanie, czy rzeczywiście były nam potrzebne? Czy obsesja danych i szczegółowego kierowania reklamy nie odciągnęła nas od pracy nad strategią i komunikacją?
Osobiście nie spodziewam się kataklizmu, a być może – mam nadzieję – spowoduje to przywrócenie zdrowych proporcji między danymi i kreacją.

Jak długo jeszcze przedsiębiorcy, którzy nie mają wdrożonego consent-mode na stronie, mogą spać spokojnie?

Pojęcia consent mode i consent management są często mylone (sam je myliłem przez pewien czas).

Obowiązek prawny to wdrożenie consent management platform (CMP), czyli systemu zarządzania zgodami użytkownika na zbieranie danych, przy czym „pasek cookie”, który informuje o ciasteczkach, nie realizując przy tym żadnej funkcji, w szczególności nie umożliwiając odmowy – to nie jest consent management.
Z kolei Consent mode to sposób uruchamiania tagu Google, w którym jako parametr przekazywany jest status zgody użytkownika, dzięki czemu nie musimy go blokować w razie braku określonej zgody i wciąż możemy zbierać dane, które, choć okrojone, pozwalają uzyskać pełniejszy obraz tego, co się dzieje w naszych reklamach i na stronie www. Oczywiście o consent mode można mówić wyłącznie wtedy, gdy mamy wdrożone zarządzanie zgodami.

Consent mode jest więc ważny, ale zakładam, że pytanie dotyczyło consent management.

Uważam, że czasy bagatelizowania tego wymogu mijają. W 2021 roku pierwsza firma w Polsce została ukarana za brak właściwego zarządzania zgodami. W innych krajach UE coraz częściej spotykamy się z dotkliwymi karami finansowymi. Trudno powiedzieć, kiedy również Prezes UODO zacznie nakładać kary pieniężne, ale moim zdaniem jest to tylko kwestia czasu. Nie jestem w stanie wyrokować, kto i kiedy będzie tym pierwszym ukaranym. Nie zwlekałbym więc ze wdrożeniem CMP.

Prezentację Witolda, z którą wystąpił na semKRK, znajdziesz tutaj!

Zobacz prezentację!

Zachęcamy również do odwiedzenia naszej platformy MYVOD , gdzie wśród dostępnych nagrań znajdziecie wystąpienie Wojciecha Wrodarczyka! 

Witold Wrodarczyk

Założyciel i CEO Adequate Interactive Boutique. Ekspert w zakresie pomiaru skuteczności kampanii marketingowych i modelowania atrybucji. Absolwent Politechniki Warszawskiej, doradca inwestycyjny, certyfikowany specjalista Google Ads, Analytics oraz Facebooka.