Kontrola prywatności w witrynie

Przewodnik dla firm

Zawartość

Regulacja śledzenia online
Dochodzenie OAG
Błędy, których należy unikać
Identyfikacja i zapobieganie problemom
Zgodność z prawem stanu Nowy Jork
Co robić, a czego nie

Wstęp 

Większość stron internetowych korzysta z technologii, które śledzą odwiedzających witrynę. Weźmy na przykład ciasteczka. Plik cookie to mały plik tekstowy tworzony przez przeglądarkę internetową, gdy ktoś odwiedza witrynę. Często zawiera unikalny identyfikator, który pomaga stronom internetowym i innym usługom online rozpoznać odwiedzającego, gdy klika on z jednej strony na drugą. Pliki cookie obsługują koszyki zakupowe w witrynach handlu elektronicznego, pozwalają odwiedzającym pozostać zalogowanym na swoich kontach przez kilka dni lub tygodni i przechowują preferencje odwiedzających. Te i inne technologie śledzenia są również powszechnie wykorzystywane do analizy, marketingu i wykrywania oszustw. 

Technologie te mogą jednak również naruszać prywatność konsumentów. Aby rozwiązać ten problem, wiele witryn internetowych dostarcza odwiedzającym informacje o śledzeniu, które ma miejsce w witrynie i zapewnia elementy sterujące, które pozwalają odwiedzającym zarządzać tym śledzeniem. Ujawnianie informacji o ochronie prywatności i jej kontrola są ważnymi narzędziami dla wielu konsumentów. 

Kolorowe pudełko z tekstem: Używamy plików cookie na naszej stronie internetowej, aby zapewnić Ci najbardziej odpowiednie wrażenia poprzez zapamiętywanie Twoich preferencji i powtarzanie wizyt. Klikając "Akceptuję", użytkownik wyraża zgodę na wykorzystanie WSZYSTKICH plików cookie. Możesz odwiedzić ustawienia plików cookie, aby wyrazić kontrolowaną zgodę. Polityka dotycząca plików cookie

Wyskakujące okienko plików cookie

Niestety, nie wszystkie firmy podjęły odpowiednie kroki w celu zapewnienia, że ujawniane przez nie informacje są dokładne, a kontrole prywatności działają zgodnie z opisem. Śledztwo przeprowadzone przez Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) ujawniło, że w przypadku kilkunastu popularnych witryn internetowych, które łącznie odwiedzają dziesiątki milionów osób miesięcznie, kontrole prywatności były skutecznie złamane. Osoby odwiedzające te witryny, które próbowały wyłączyć technologie śledzenia, będą jednak nadal śledzone. OAG napotkała również strony internetowe z kontrolami prywatności i ujawnieniami, które były mylące, a nawet potencjalnie wprowadzające w błąd.

Stworzyliśmy ten przewodnik, aby pomóc firmom uniknąć tych pułapek. Czytaj dalej, aby dowiedzieć się o błędach popełnianych przez firmy podczas wdrażania technologii śledzenia, procesach, które firmy mogą wykorzystać, aby pomóc w identyfikacji i zapobieganiu problemom, oraz wskazówkach dotyczących zgodności z prawem stanu Nowy Jork.

Regulacja śledzenia online

Różne stany USA, a także inne kraje, stosują różne podejścia do regulacji śledzenia online. W zależności od jurysdykcji, strony internetowe i inne usługi online mogą być zobowiązane do ujawniania konsumentom informacji na temat śledzenia, umożliwienia konsumentom rezygnacji z niektórych rodzajów śledzenia lub uzyskania zgody konsumentów przed śledzeniem w określonych celach.

W chwili publikacji niniejszego przewodnika Nowy Jork nie uchwalił jeszcze kompleksowego prawa dotyczącego prywatności, które szczegółowo regulowałoby, kiedy i w jaki sposób nowojorscy konsumenci mogą być śledzeni online. Jednak praktyki i oświadczenia firm związane z prywatnością podlegają nowojorskim przepisom o ochronie konsumentów. Przepisy te, które zabraniają firmom angażowania się w zwodnicze działania i praktyki, skutecznie wymagają, aby oświadczenia stron internetowych dotyczące prywatności konsumentów były zgodne z prawdą i nie wprowadzały w błąd. Oznacza to, że oświadczenia o tym, kiedy i w jaki sposób odwiedzający witrynę są śledzeni, powinny być dokładne, a kontrole prywatności powinny działać zgodnie z opisem.

Dochodzenie OAG

Większość stron internetowych śledzi odwiedzających za pomocą "tagów" - fragmentów kodu umieszczonych na stronie internetowej, które kierują przeglądarkę odwiedzającego do połączenia się z usługą strony trzeciej. Strona trzecia zazwyczaj odpowiada, wysyłając unikalny identyfikator, który przeglądarka zapisuje w pliku cookie. Gdy przeglądarka napotka później znacznik od tej samej strony trzeciej na innej stronie internetowej lub witrynie, przeglądarka pobiera plik cookie i wysyła identyfikator z powrotem do strony trzeciej, umożliwiając stronie trzeciej rozpoznanie odwiedzającego.

W ciągu kilku miesięcy OAG przeanalizowała tagi stron trzecich i kontrole prywatności na różnych stronach internetowych. OAG ustaliła, że 13 witryn internetowych o dużym natężeniu ruchu - w większości dobrze znanych witryn e-commerce sprzedających produkty konsumenckie, takie jak odzież, książki i bilety na wydarzenia na żywo - miało kontrolę prywatności, która nie działała zgodnie z opisem. Szacuje się, że w marcu 2024 r. strony te odwiedziło łącznie 75 milionów użytkowników.

W tych witrynach niektóre tagi marketingowe lub reklamowe pozostawały aktywne nawet po tym, jak odwiedzający próbowali je wyłączyć za pomocą kontroli prywatności witryn. W rezultacie odwiedzający nadal byli śledzeni po rezygnacji ze śledzenia. OAG zaalarmowała firmy, które obsługiwały te strony internetowe i poprosiła je o zbadanie i naprawienie problemów. Wszystkie firmy rozwiązały problemy z kontrolą prywatności.

Błędy, których należy unikać podczas wdrażania tagów i innych technologii śledzenia

Nasze dochodzenie wykazało, że firmy często popełniają podobne błędy podczas wdrażania tagów i innych technologii śledzenia. Here are some of the key mistakes we found.

Nieskategoryzowane lub źle skategoryzowane tagi i pliki cookie

Większość witryn internetowych wdraża kontrolę prywatności za pomocą oprogramowania znanego jako narzędzie do zarządzania zgodą. Narzędzie to zazwyczaj umożliwia włączanie i wyłączanie kategorii tagów lub plików cookie. Na przykład tagi używane do celów marketingowych mogą zostać wyłączone, podczas gdy tagi używane do wykrywania oszustw lub analizy pozostają aktywne. 

Szare pole z tekstem: Cookie Preferences, Ta strona używa niezbędnych plików cookie, aby mogła działać. Lubimy również ustawiać opcjonalne "wydajnościowe" pliki cookie w celu gromadzenia anonimowych danych dotyczących odwiedzin witryny oraz "marketingowe" pliki cookie, które pomagają nam zrozumieć, które treści są najbardziej cenione przez odwiedzających. Włączając te pliki cookie, możesz pomóc nam zapewnić lepszą stronę internetową dla wszystkich użytkowników. Więcej informacji można znaleźć w naszej informacji o plikach cookie.

Kategorie plików cookie można włączać i wyłączać

Ta funkcja działa tylko wtedy, gdy tagi są odpowiednio skategoryzowane w narzędziu do zarządzania zgodami. Jeśli tag jest źle skategoryzowany lub w ogóle nie jest skategoryzowany, nie będzie reagował na elementy sterujące narzędzia. Często oznacza to, że tag pozostaje aktywny, niezależnie od ustawień prywatności dokonanych przez odwiedzającego witrynę.

Stwierdziliśmy, że nieskategoryzowane tagi były główną przyczyną naruszenia kontroli prywatności: Siedem z 13 zidentyfikowanych przez nas witryn miało co najmniej jeden tag, który nie został prawidłowo skategoryzowany.

Błędnie skonfigurowane narzędzia

Oprócz narzędzi do zarządzania zgodami, wiele firm korzysta z oprogramowania znanego jako narzędzie do zarządzania tagami. Jak sama nazwa wskazuje, narzędzia te zostały zaprojektowane w celu uproszczenia zarządzania tagami. Jednak korzystanie zarówno z narzędzi do zarządzania tagami, jak i do zarządzania zgodami na jednej stronie internetowej może wprowadzić złożoność techniczną i operacyjną. W większości przypadków każde narzędzie musi być w stanie współpracować z drugim i być odpowiednio skonfigurowane. 

Nasze dochodzenie wykazało, że w kilku witrynach narzędzie do zarządzania zgodami nie przekazywało prawidłowo sygnałów rezygnacji do narzędzia do zarządzania tagami. W rezultacie, gdy odwiedzający witrynę wyłączyli marketingowe pliki cookie za pomocą narzędzi do kontroli prywatności, narzędzia do zarządzania tagami nadal pozwalały na uruchamianie tagów marketingowych. 

Zakodowane tagi

W niektórych witrynach kilka tagów nigdy nie zostało skonfigurowanych do pracy z kontrolami prywatności witryn. Zamiast tego tagi zostały zakodowane na stałe w witrynie.  Ponieważ tagi były zakodowane na stałe, narzędzie do zarządzania zgodami nie było w stanie ich kontrolować i uruchamiały się za każdym razem, gdy ładowały się określone strony internetowe. 

Ustawienia prywatności tagów 

Kilka powszechnie używanych tagów oferuje ustawienia, które operatorzy witryn mogą skonfigurować, aby ograniczyć sposób wykorzystywania informacji gromadzonych przez tagi. Meta, na przykład, oferuje opcję zwaną ograniczonym wykorzystaniem danych (LDU), która, jak twierdzi, zapewnia firmom "większą kontrolę nad tym, w jaki sposób [] dane są wykorzystywane w systemach Meta i lepiej wspiera [] wysiłki na rzecz zgodności z różnymi przepisami dotyczącymi prywatności w Stanach Zjednoczonych". Google oferuje podobną funkcję, ograniczone przetwarzanie danych (RDP), która, jak twierdzi, może "ograniczyć sposób, w jaki wykorzystuje dane", "aby pomóc klientom i partnerom w zarządzaniu zgodnością z nowymi przepisami dotyczącymi prywatności w Stanach Zjednoczonych".

Jednak wiele z tych funkcji zostało włączonych tylko w stanach z kompleksowymi przepisami dotyczącymi prywatności, które regulują śledzenie online, takich jak Kalifornia, Connecticut i Kolorado. W innych stanach, w tym w Nowym Jorku, dostawcy tagów nie mogą zaprzestać gromadzenia i wykorzystywania danych odwiedzających, gdy operatorzy witryn włączyli te funkcje. Kilka firm, z którymi się skontaktowaliśmy, błędnie polegało na tych funkcjach w celu ograniczenia gromadzenia danych, gdy nowojorczycy zdecydowali się zrezygnować z działań marketingowych.

Niepełne zrozumienie gromadzenia i wykorzystywania danych ze znaczników

Przed wdrożeniem nowego tagu firma powinna zrozumieć, jakie dane gromadzi tag i w jaki sposób dane te mogą być wykorzystywane lub udostępniane. Niestety, informacje te nie zawsze są łatwo dostępne, ponieważ materiały marketingowe i przewodniki techniczne mogą być niekompletne lub niejasne. 

Śledzenie bez plików cookie

Chociaż pliki cookie stron trzecich są najczęściej używaną technologią śledzenia, nie są one jedyną technologią śledzenia używaną przez strony internetowe. Na przykład jedna z firm, z którą się skontaktowaliśmy, przekazywała zebrane informacje o odwiedzających jej witrynę bezpośrednio firmom reklamowym, bez tagów stron trzecich lub plików cookie i poza kontrolą narzędzia do zarządzania zgodą.

Niezależnie od stosowanych technologii śledzenia, firmy muszą upewnić się, że nie wprowadzają konsumentów w błąd co do prywatności i możliwości wyboru. Wiele mechanizmów kontroli prywatności wyraźnie lub w sposób dorozumiany wskazuje, że wybory dotyczące prywatności dokonane przez odwiedzającego będą respektowane, niezależnie od technologii śledzenia używanej przez witrynę. W takich przypadkach firmy powinny upewnić się, że wybory dokonane przez odwiedzających są stosowane we wszystkich technologiach śledzenia. 

Identyfikacja i zapobieganie problemom 

Istnieje kilka prostych procesów, które firmy mogą wykorzystać, aby pomóc w identyfikacji i zapobieganiu problemom podczas wdrażania technologii śledzenia. Procesy odpowiednie dla danej firmy mogą zależeć od wykorzystywanych technologii śledzenia i sposobu ich wdrożenia. Procesy te mogą obejmować następujące elementy:

  • Wyznaczyć: Wyznaczenie wykwalifikowanej osoby (lub osób) odpowiedzialnej za wdrażanie i zarządzanie technologiami śledzenia witryn internetowych. Osoby te powinny zostać odpowiednio przeszkolone, w tym w zakresie technologii śledzenia i polityki firmy. 
  • Zbadaj: Przed wdrożeniem nowego znacznika lub narzędzia lub zmianą sposobu korzystania z istniejącego znacznika lub narzędzia należy podjąć odpowiednie kroki w celu określenia rodzajów danych, które będą gromadzone oraz sposobu ich wykorzystania i udostępniania. W niektórych przypadkach może to wymagać zwrócenia się do twórcy tagu lub narzędzia o dostarczenie informacji, które nie są publicznie dostępne. 
  • Konfiguracja: Wdrażając nowy tag lub narzędzie lub zmieniając sposób, w jaki firma korzysta z tagu lub narzędzia, należy upewnić się, że jest on odpowiednio skategoryzowany i skonfigurowany.
  • Test: Przeprowadź odpowiednie testy, aby upewnić się, że znaczniki i narzędzia działają zgodnie z przeznaczeniem. Testuj zarówno regularnie, jak i wtedy, gdy Twoja firma wprowadziła zmiany, które wpływają na sposób śledzenia odwiedzających witrynę. Zautomatyzowane narzędzia skanujące mogą być pomocne, ale upewnij się, że rozumiesz rodzaje problemów, które te narzędzia mogą i nie mogą zidentyfikować. 
  • Przegląd: Regularnie przeprowadzaj przeglądy, aby upewnić się, że znaczniki i narzędzia są prawidłowo skonfigurowane. Zakres każdego przeglądu będzie zależeć od tagów i narzędzi używanych przez witrynę. W większości przypadków przeglądy powinny zapewniać, że tagi są prawidłowo skategoryzowane w narzędziu do zarządzania zgodami i że każde narzędzie do zarządzania tagami jest prawidłowo zsynchronizowane.

Zapewnienie zgodności kontroli prywatności i ujawniania informacji z prawem stanu Nowy Jork  

Kontrole prywatności i informacje udostępniane nowojorskim konsumentom muszą być zgodne z nowojorskimi przepisami o ochronie konsumentów. Oznacza to, że oświadczenia firmy dotyczące śledzenia - wyraźne lub dorozumiane - muszą być zgodne z prawdą i nie mogą wprowadzać w błąd. Oto kilka kluczowych kwestii, na które należy zwrócić uwagę.  

Upewnij się, że oświadczenia dotyczące kontroli prywatności są dokładne

Witryny z kontrolą prywatności zazwyczaj przekazują odwiedzającym różne informacje o tym, jak witryna radzi sobie ze śledzeniem i wyborem. Oświadczenia te mogą być zarówno wyraźne (zawarte w oświadczeniach w wyskakujących okienkach plików cookie lub informacjach o prywatności), jak i dorozumiane (przekazywane przez obecność i konfigurację samych mechanizmów kontroli prywatności). W większości, jeśli nie we wszystkich przypadkach, strona internetowa informuje, że kontrola prywatności będzie honorować wybór dokonany przez odwiedzającego.

Należy upewnić się, że oświadczenia na stronie internetowej dotyczące kontroli prywatności, wyraźne lub dorozumiane, są dokładne. Oznacza to, że kontrola prywatności powinna działać prawidłowo i zgodnie z opisem. 

Unikaj języka, który tworzy mylące wrażenie.  

Język używany w wyskakujących okienkach plików cookie często sugeruje pewne rzeczy. Sformułowanie na przycisku może na przykład sprawiać wrażenie, że odwiedzający może włączyć lub wyłączyć śledzenie. Twoja firma powinna unikać języka, który tworzy mylące wrażenie na temat tego, w jaki sposób Twoja witryna obsługuje śledzenie i wybór. 

Jednym z najczęstszych problemów, jakie napotkaliśmy, były wyskakujące okienka plików cookie, które sugerowały, że odwiedzający mogą wyrazić zgodę na śledzenie. Na przykład wyskakujące okienko z przyciskiem oznaczonym "Akceptuj pliki cookie" lub "Akceptuj wszystko", któremu towarzyszy tekst stwierdzający, że kliknięcie przycisku oznacza "wyrażenie zgody" na korzystanie z plików cookie, może przekazać odwiedzającym, że pliki cookie będą używane tylko po kliknięciu przycisku. Jest to mylące, jeśli pliki cookie są faktycznie wdrażane bez uprzedniego uzyskania zgody odwiedzających - na przykład w momencie, gdy odwiedzający trafiają na stronę internetową. 

Kolorowe pudełko z tekstem: Klikając "Akceptuj wszystko", wyrażasz zgodę na przechowywanie plików cookie i innych technologii na Twoim urządzeniu w celu usprawnienia nawigacji w witrynie, analizy korzystania z witryny i personalizacji marketingu. Więcej informacji można znaleźć w naszej Polityce plików cookie.
Kolorowe pole z tekstem: Klikając "Akceptuj pliki cookie", wyrażasz zgodę na nasze Warunki świadczenia usług określone w naszej Polityce prywatności. Używamy plików cookie, aby poprawić komfort korzystania z witryny, analizować korzystanie z witryny i pomagać w naszych działaniach marketingowych.

Wyskakujące okienka z mylącym przyciskiem "Akceptuj"

Upewnij się, że interfejs użytkownika nie wprowadza w błąd. 

Kontrolki prywatności mogą przybierać różne formy: na przykład pojedynczego przycisku, wielu przycisków lub zestawu suwaków lub pól wyboru. Sposób, w jaki zaprojektowano mechanizmy kontroli prywatności, przekazuje informacje o tym, co te mechanizmy robią i jak są wykorzystywane. Interfejs, który wydaje się honorować wybory użytkownika, ale tak nie jest, może być mylący. 

Kontrola prywatności na jednej z witryn, które sprawdziliśmy, ilustruje, w jaki sposób mylący interfejs może podważyć wybory odwiedzających. Na tej stronie internetowej odwiedzający, którzy chcieli wyłączyć niektóre pliki cookie (np. "Targetujące pliki cookie"), musieli najpierw kliknąć wirtualny suwak, a następnie kliknąć słowa "Zapisz ustawienia". Ten drugi krok łatwo było przeoczyć. Słowa "Zapisz ustawienia" pojawiły się w innym obszarze ekranu, w wyblakłym szarym kolorze i bez żadnych wizualnych wskazówek, że można je kliknąć. Rzeczywiście, kiedy po raz pierwszy sprawdziliśmy witrynę, całkowicie pominęliśmy ten krok.

Upewnij się, że interfejs kontroli prywatności nie sprawia mylnego wrażenia. Strona internetowa z intuicyjnym sterowaniem ma mniejsze szanse na naruszenie nowojorskich przepisów o ochronie konsumentów. 

Przykładowa grafika opcji plików cookie pokazująca wszystkie rodzaje plików cookie, które można włączać i wyłączać w witrynach gromadzących dane użytkownika.

Łatwy do przeoczenia przycisk "save" 

Zalecenia dotyczące ujawniania informacji i kontroli związanych z prywatnością

Informacje i opcje śledzenia online mogą być prezentowane w różnych miejscach i na różne sposoby: w banerach i wyskakujących okienkach, za linkami w stopkach stron internetowych i ukryte w polityce prywatności. Twoja firma może pomóc konsumentom zrozumieć, jak poruszać się po tym wszystkim, zapewniając skuteczne ujawnianie informacji i łatwe w użyciu mechanizmy kontroli. Oto kilka zaleceń i zakazów, o których należy pamiętać. 

Do:
    • używać prostego, jasnego języka  
    • oznaczyć przyciski tak, aby jasno wskazywały, do czego służą
    • udostępnić interfejs. Na przykład, odwiedzający powinien mieć możliwość używania klawiatury do przechodzenia do elementów sterujących prywatnością
    • nadać równoważnym opcjom równą wagę. Na przykład, jeśli konsumenci mogą wyrazić zgodę na śledzenie za pomocą jednego kliknięcia, pozwól im odmówić za pomocą jednego kliknięcia. Model opt-in może mieć wyskakujące okienko śledzenia, które zapewnia przyciski "Akceptuj" i "Odrzuć", które mają taki sam rozmiar, kolor i nacisk

Ostatnia aktualizacja 15 lipca 2024 r.