Ukryty koszt banerów zgody
Banery zgody to nie tylko problem UX. To problem danych. Na rynkach europejskich z aktywnymi platformami zarządzania zgodą 30–50% odwiedzających odrzuca lub ignoruje baner. Ten ruch znika całkowicie z Twojej analityki. Dane, na podstawie których podejmujesz decyzje, nie są reprezentatywną próbką Twoich rzeczywistych odbiorców.
Strony o wysokiej wartości często mają najgorsze wskaźniki zgody. Odwiedzający na urządzeniach mobilnych, nowi odwiedzający i odwiedzający z niektórych regionów odmawiają częściej. Segment odbiorców, który rozumiesz najmniej, jest często tym, który musisz dotrzeć najbardziej.
Czy potrzebujesz banera zgody, zależy wyłącznie od tego, co Twoje narzędzie analityczne robi technicznie — nie od faktu, że prowadzisz analitykę.
Co faktycznie wyzwala obowiązek zgody
Prawny obowiązek banerów zgody w Europie wynika z dwóch oddzielnych tekstów, które są często mylone:
- Dyrektywa ePrivacy (2002/58/WE), art. 5(3): Wymaga zgody przed przechowywaniem jakichkolwiek informacji na urządzeniu użytkownika lub dostępem do nich. Obejmuje pliki cookie, localStorage i każdą formę trwałości po stronie klienta.
- RODO: Wymaga podstawy prawnej do przetwarzania danych osobowych, gdzie zgoda jest jedną z opcji, ale nie jedyną.
Baner zgody dla analityki jest przede wszystkim wymogiem ePrivacy, nie RODO. Jeśli Twoje narzędzie analityczne umieszcza plik cookie w przeglądarce odwiedzającego, art. 5(3) ma zastosowanie i zgoda jest wymagana przed ustawieniem tego pliku cookie.
Jeśli Twoje narzędzie analityczne nie przechowuje niczego na urządzeniu odwiedzającego, art. 5(3) nie ma zastosowania. Obowiązek banera zgody znika u swojego prawnego źródła.
Jak bezciasteczkowa analityka omija ten obowiązek
Bezciasteczkowe narzędzia analityczne działają inaczej na poziomie technicznym. Zamiast umieszczać identyfikator na urządzeniu odwiedzającego i odczytywać go przy każdej kolejnej wizycie, przetwarzają sygnały dostępne po stronie serwera: adres IP, ciąg user-agent, nagłówek referrer i ścieżkę strony.
Z tych sygnałów narzędzie wywodzi źródło ruchu, typ urządzenia, kraj i dane sesji bez przechowywania czegokolwiek w przeglądarce odwiedzającego. Żaden plik cookie nie jest ustawiany. Żaden klucz localStorage nie jest zapisywany. Art. 5(3) dyrektywy ePrivacy po prostu nie ma zastosowania.
To nie jest luka regulacyjna. To bezpośrednia konsekwencja sposobu, w jaki jest napisane prawo. Obowiązek zgody jest powiązany z przechowywaniem na urządzeniu końcowym, a nie z analityką jako kategorią.
RODO nadal obowiązuje: dlaczego to nie jest problem
Nawet bez plików cookie adresy IP są danymi osobowymi zgodnie z RODO. Bezciasteczkowe narzędzie analityczne nadal przetwarza dane osobowe, gdy odbiera żądanie z przeglądarki. Pytanie brzmi, jaka podstawa prawna ma zastosowanie.
Dla narzędzi analitycznych, które:
- anonimizują lub haszują adresy IP natychmiast po odbiorze
- nie tworzą indywidualnych profili użytkowników
- nie udostępniają danych stronom trzecim
- przechowują dane wyłącznie w UE
- używają danych wyłącznie do agregowanego pomiaru odbiorców
Uzasadniony interes (art. 6(1)(f) RODO) jest ważną podstawą prawną. Przetwarzanie jest proporcjonalne, wpływ na jednostkę jest minimalny, a cel jest uzasadniony. Zgoda nie jest wymagana.
To jest podstawa prawna stosowana przez Plausible Analytics, Fathom, Simple Analytics i Sublim, między innymi. Każdy opublikował dokumentację wyjaśniającą, w jaki sposób jego przetwarzanie kwalifikuje się w ramach uzasadnionego interesu.
Kryteria CNIL: najbardziej szczegółowe wytyczne UE
CNIL (francuski organ ochrony danych) opublikował konkretne kryteria dla narzędzi analitycznych, które mogą działać bez zgody. Chociaż są to francuskie wytyczne regulacyjne, odzwierciedlają podejście kilku europejskich organów ochrony danych i są najbardziej operacyjnie szczegółowymi dostępnymi wytycznymi.
Aby się zakwalifikować, narzędzie analityczne musi:
Narzędzie spełniające wszystkie pięć kryteriów może działać na podstawie uzasadnionego interesu we Francji bez banera zgody.
Gdzie Google Analytics nie spełnia wymagań
- Pliki cookie: GA4 ustawia pliki cookie first-party trwające między sesjami:
_ga(unikalny identyfikator przeglądarki, przechowywany przez 2 lata),_gid(identyfikator sesji, 24 godziny). To natychmiast wyzwala obowiązek zgody z art. 5(3). - Własne wykorzystanie danych przez Google: Warunki korzystania z usług Google pozwalają Google używać danych analitycznych do własnego ulepszania produktów. Dane są udostępniane stronie trzeciej mającej własne cele przetwarzania.
Orzeczenie CNIL nie mówi „analityka wymaga zgody". Mówi „Google Analytics wymaga zgody ze względu na sposób działania Google Analytics". Wymóg jest specyficzny dla narzędzia, nie dla całej kategorii.
| Google Analytics 4 Zobacz porównanie → |
Sublim Analytics Wypróbuj za darmo → |
|
|---|---|---|
| Wymagany baner zgody | Tak | Nie |
| Kompletność danych | ~60% | 100% |
| Dane hostowane w UE | Nie | Tak |
| Udostępnianie danych stronom trzecim | Brak |
Praktyczne implikacje dla Twojej konfiguracji analitycznej
Widzisz 100% swojego ruchu. Nie ma lejka zgody, przez który tracisz odwiedzających. Odwiedzający, który przybywa, czyta jedną stronę i odchodzi, jest liczony. Twoje dane odpowiadają Twoim rzeczywistym odbiorcom.
Twoja strona nie ma banera zgody dla analityki. Możesz nadal potrzebować banera w innych celach (reklamowe pliki cookie, piksele marketingowe, osadzenia stron trzecich). Ale jeśli analityka jest głównym powodem wyświetlania banera, ten powód znika.
Dla porównania kwalifikujących się narzędzi, sprawdź nasze porównanie narzędzi analityki internetowej.
Jak sprawdzić, czy Twoje obecne narzędzie się kwalifikuje
Jeśli którakolwiek odpowiedź brzmi „tak", potrzebujesz banera zgody. Narzędzia takie jak Sublim, Plausible, Fathom i Simple Analytics są zaprojektowane tak, aby odpowiedzieć „nie" na wszystkie pięć.
Jedna rzecz do dopracowania w polityce prywatności
Działanie bez banera zgody nie oznacza działania bez przejrzystości. Nawet na podstawie uzasadnionego interesu RODO wymaga informowania użytkowników o przetwarzaniu danych. Twoja polityka prywatności powinna opisywać:
- Jakie dane są zbierane (ścieżka strony, referrer, kraj, typ urządzenia)
- Podstawę prawną (uzasadniony interes do pomiaru odbiorców)
- Okres przechowywania
- Jak użytkownicy mogą zrezygnować
