Rodo, Consent Mode, WCAG – szybki i pomocny przewodnik.
1. Rodo (Regulacje Ogólne o Ochronie Danych)
RODO (Regulacje Ogólne o Ochronie Danych), znane również jako GDPR (General Data Protection Regulation), weszło w życie 25 maja 2018 roku. Jest to zestaw przepisów UE mający na celu ochronę danych osobowych mieszkańców Unii Europejskiej. Główne wymagania RODO obejmują:
- Uzyskiwanie świadomej zgody użytkowników na przetwarzanie ich danych.
- Zapewnienie użytkownikom prawa do dostępu do swoich danych oraz ich poprawiania.
- Wdrożenie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych.
- Powiadamianie organów nadzoru o naruszeniach danych osobowych w ciągu 72 godzin.
Kogo dotyczy RODO w kontekście stron internetowych i sklepów i w jaki sposób, w astronomicznym skrócie, je wprowadzić?
RODO z pewnością dotyczy wszystkich sklepów internetowych. Bez zbierania danych klientów, sklep nie jest w stanie ich obsłużyć poprzez choćby wysyłkę towaru.
Natomiast strony internetowe wymagają pochylenia sie nad sprawami RODO jedynie wtedy, gdy zbierają jakiekolwiek dane osobowe, czy też umożliwiają ich dostarczenie np poprzez formularz kontaktowy. Jeśli strona internetowa jest tylko wizytówką bez jakiejkolwiek możliwości nawiazania kontaktu i zbierania danych osobowych, wtedy możemy nie zajmować się kwestiami RODO.
Jeżeli jednak takie funkcje wysyłki lub/i zbierania danych osobowych posiadamy, a w sklepie internetowym to już z pewnością tak, wówczas musimy w skrócie:
- Zadbać o bezpieczeństwo przesyłanych danych (certyfikat SSL)
- Umieścić na stronie Politykę prywatności oraz Regulamin strony
- Wypełnić obowiązki informacyjne dotyczące zbierania danych i jasnego sformułowanej zgody na zbieranie danych z check boxem i klauzulą informacyjną. Ma to zostać zrealizowane we wszystkich miejscach, gdzie takowe dane są zbierane (np przy formularzu kontaktowym, przy danych Klienta w koszyku sklepu itd).
- Tyle w skrócie, ale niejako pokłosiem Rodo jest tzw Consent Mode czyli zarządzanie zgodami na pliki cookies, o którym w kolejnych rozdziałach. Consent Mode również stanowi część Rodo i również powinno być zrealizowane. Dokładniej o Conent Mode – dalej.
Na koniec tego punktu napiszę, że wpis dotyczy polskich stron i sklepów internetowych.
2. WCAG 2.1
Wytyczne WCAG wyjaśniają, jak tworzyć strony internetowe i aplikacje, aby udostępnić je osobom z niepełnosprawnościami np. wzroku, słuchu, ruchu, ale też z niepełnosprawnością intelektualną czy zaburzeniami poznawczymi. Strony internetowe i aplikacje mobilne, które spełniają wytyczne WCAG, nazywamy dostępnymi cyfrowo.
WCAG 2.1 opiera się na 4 zasadach:
To są zasady dość ogólne.To, w jaki sposób wdrożyć na stronie WCAG 2.1 to dłuższa sprawa, wymagająca osobnego wpisu. Dobrze opisane są te zasady na stronie serwisu rządowego: https://www.gov.pl/web/dostepnosc-cyfrowa/wcag-21-w-skrocie.
W tym wpisie skupiam się na tym, kogo dotyczy WCAG 2.1 w kontekście Internetu.
Mianowicie aktualnie (piszę ten wpis 10 listopada 2024 roku) muszą być dostępne cyfrowo wszystkie strony internetowe i aplikacje mobilne podmiotów publicznych, czyli np. strony rządowe i strony administracji publicznej oraz witryny internetowe instytucji takich jak muzea czy biblioteki .
Update: kolega z grupy FB zwrócił uwagę, że napisałam nieprecyzyjnie, więc posilając się tekstem z sages.pl :, cytuję:
„Art. 2 ustawy o dostępności stron internetowych i aplikacji mobilnych stanowi o podmiotach publicznych objętych obowiązkiem przestrzegania przepisów o dostępności cyfrowej. Są to: jednostki sektora finansów publicznych np. uczelnie publiczne, samodzielne publiczne zakłady opieki zdrowotnej, państwowe i samorządowe instytucje kultury (np. biblioteki, muzea), sądy rejonowe, sądy okręgowe, sądy administracyjne, jednostki samorządu terytorialnego, organy administracji rządowej, organy kontroli państwowej i ochrony prawa, państwowe jednostki organizacyjne nieposiadające osobowości prawnej np. szkoły, przedszkola, spółki osobowe (jawna, partnerska, komandytowa, komandytowo-akcyjna), wspólnoty mieszkaniowe, spółki kapitałowe (akcyjna i z ograniczoną odpowiedzialnością), stowarzyszenie zwykłe, “osoby prawne, utworzone w celu zaspokajania potrzeb o charakterze powszechnym, jeśli:
- finansują je w ponad 50% lub
- posiadają ponad połowę udziałów albo akcji, lub
- sprawują nadzór nad organem zarządzającym, lub
- mają prawo do powoływania ponad połowy składu organu nadzorczego lub zarządzającego. Ponadto również związki tych podmiotów.”
Inną zobowiązaną grupą są organizacje pozarządowe działające na rzecz promocji i ochrony zdrowia osób z niepełnosprawnościami i seniorów.”
Zgodnie z ustawą o dostępności cyfrowej, podmiot publiczny ma obowiązek opublikowania deklaracji dostępności – oświadczenia o stanie dostępności cyfrowej każdej swojej strony i aplikacji.
Od 28 czerwca 2025 r. wymóg ten będzie dotyczyć również sektora prywatnego, w tym e-commerce.
3. WCAG 2.2
Standardy WCAG ewoluują tzn sa ciągle zmieniane. 5 października 2023 roku wprowadzano WCAG 2.2, który nieco zmienia i uzupełnia i rozszerza zapisy WCAG 2.1. WCAG 2.2 dodają 9 kryteriów sukcesu. Są one omówione w dokumencie Nowe w WCAG 2.2 (po angielsku). Jak to z dokumentami prawnymi bywa, sprawa nie jest prosta 🙂 Ale bywają w Internecie źródłą podejmujące tłumaczenie tych zapisów na język dla osób technicznych, czyli co konkretnego zrobić żeby spełnić te kryteria.
WCAG 2.2. jest obowiązkowy dla podmiotów publicznych , gdyż jest niejako rozszerzeniem WCAG 2.1. (czy raczej – ewolucją).
Od 28 czerwca 2025 r. wymóg ten będzie dotyczyć również sektora prywatnego, w tym e-commerce.
Co do przyszłości i zakresu w jakim WCAG ma obowiazywać od czerwca 2025 to jak opisuje Adequate w artykule : https://adequate.digital/dostepnosc-cyfrowa-2-2-i-eu-accessibility-act/, pod kątem usług cyfrowych, w skrócie chodzi m.in. o:
- Usługi związane z transportem pasażerskim,
- Usługi audiowizualne i telekomunikacyjne oraz związane z nimi urządzenia,
- Usługi bankowe i finansowe oraz powiązane urządzenia;
- Komputery, smartfony, aplikacje mobilne oraz systemy operacyjne;
- Dostęp do mediów, rozrywki i edukacji, e-booki, bilety elektroniczne;
- Zgłoszenia alarmowe i dostęp do służb ratunkowych;
oraz, a może przede wszystkim:
E-commerce – sklepy internetowe.
Przy czym obowiązek nie będzie dotyczył mikroprzedsiębiorstw, czyli:
Wyjątkiem objęte będą mikroprzedsiębiorstwa definiowane jako „przedsiębiorstwa zatrudniające mniej niż 10 osób, których roczny obrót lub bilans roczny nie przekracza 2 mln EUR”.
4. ConsEnt MODE
Wracamy do tematu Rodo. Jednym z elementów Rodo jest tzw. Consent Mode. Strony internetowe, które zbierają jakiekolwiek cookies inne niż funkcjonalne (czyli niezbędne do działania strony) muszą posiadać system zarządzania zgodami na wykorzystanie cookies czyli właśnie Consent Mode.
Consent Mode v1 Google wdrożył już w 2020 roku
System ten jest wdrażany najczęściej w postaci baneru z wypisanymi zgodami i ich podziałem na kategorie (funkcjonalne, analityczne itd) oraz możliwością udzielenia zgody na poszczególne kategorie. Domyślnie ma być zakładana odmowa i tylko cookies funkcjonalne traktowane jako dozwolone. Ponadto rozwiązanie powinno umożliwiać odwołanie zgody.
Jeśli zgoda nie została wyrażona, strona czy sklep ma działać zgodnie z tym, czyli nie używac, nie zapisywac na dysku , nie przechowywać cookies, na które zgoda nie została wyrażona.
Tyle pod względem prawnym i opisowym, co do rozwiązań technicznych: wszystko zalezy od platformy, na której działamy. W przypadku WordPress istnieje sporo wtyczek, które możemy skonfigurować celem wdrożenia rozwiązania.
Podsumowując: dla kogo obowiązkowe? dla wszystkich stron korzytających dodatkowo z cookies innych niż funkcjonalne . Od kiedy? od 2020 roku.
Jeśli posiadacie nadal stary, tylko informacyjny baner dotyczący plików Cookies, to najwyższy czas to zmienić, ponieważ kary bywają wysokie.
Celem wdrożenia Consent Mode najlepiej skorzystać z rozwiązań autoryzowanych partnerów Google: https://cmppartnerprogram.withgoogle.com/?fbclid=IwY2xjawGddydleHRuA2FlbQIxMAABHYY3g412DwF9DtEnUn2xU6XQc83xLJpJ4_DJ-MfhXuu9dtXwxTBdv_QmLg_aem_f6RPLNA6-BjHQRhYKY2Dow.
5. CONSENT MODE V2
Naprawdę dobry artykuł na temat zmian wymaganych w ramach wprowadzonego Consent Mode v2 znalazłam tutaj: https://adequate.digital/consent-mode-v2-pytania-i-odpowiedzi/. Dość klarownie odpowiada na wiele pytań. Tyle w skrócie, jeśli chodzi o technikalia to zamierzam zgłębić i opisać w kolejnym poście.
Natmiast w tym wpisie odpowiadam na pytania, kogo dotyczy dany konstrukt prawny. Otóż Consent Mode v2 dotyczy to zaktualizowany mechanizm Google do zarządzania zgodami użytkowników na wykorzystanie ich danych za pomocą plików cookies (ciasteczek). Dotyczy on takich usług Google jak Google Analytics, Google Ads, Google Tag Manager.
Z czego wynika, że jeśli nie korzystamy z tych „wynalazków ” 🙂 to nie musimy zajmować się tematem Consent Mode v2. Jeśli natomiast korzystamy to już nie ma tak dobrze, że możemy śledzić poczynania klientów w jakikolwiek sposób bez wdrożenia pełnego rozwiązania umożliwiającego im wyrażenie zgody na to albo też – nie wyrażenie zgody. Jeśli nie wyrażą zgody, Google umożliwia obejścia w postaci estymowania średnich – modelowania behawioralnego (w wersji zaawansowanej tego trybu).
Tak czy owak, jako, że ten wpis ma na celu wyłączne wyjaśnienie , co kogo obowiązuję, o samym Consent Mode v2 rozpiszę sie później:).
Jeśli masz sklep albo stronę a nie masz wdrożonego Google Analytics i żadnych innych rozwiązań Google do reklam, konwersji itd to nie musisz sie w ogóle tym tematem przejmować.
6. Appendix – koniec z „zimnymi kontaktami” w dniu 10 listopada 2024
Próbuję nadążać 🙂 Zdolny Kolega z grupy WordPress Polska zwrócił uwagę, że nie napisałam o prawie wchodziacym dzisiaj . Dziekuję!
Ale niestety, jest niedziela, wracam do twórczosci innej:) rozrywkowej. (w sumie ta też jest czesciowo rozrywkowa), więc tylko tyle, poczytajcie!
Prawo weszło 10 listopada 2024 czyli dzisiaj ! i wymaga bardzo oczywistych zgód na komunikacje mailową i telefoniczną.
Podsumowanie 🙂
| Element prawny | Dla kogo | WYJĄTKI | Skrótowy opis sposobo realizacji (zapoznajcie sie z szerszymi materiałami!) |
|---|---|---|---|
| RODO | dla wszystkich poza tymi z kolumny „wyjątki” | strony internetowe nie posiadające możliwości przesłania danych (jakichkolwiek nawet formularzy) | 1. certyfikat SSL 2. checkboxy ze zgodami 3. regulaminy |
| WCAG 2.1 | podmioty publicznych, czyli np. strony rządowe i strony administracji publicznej oraz witryny internetowe instytucji takich jak muzea czy biblioteki | – | wymaga dokładnego zrozumienia zasad i zaimplementowania ich na stronach internetowych; jest tego sporo, technicznych niuansów |
| WCAG 2.2 | jw. plus sektor prywatny np. e-commerce za wyjątkami | Wyjątkiem objęte będą mikroprzedsiębiorstwa definiowane jako „przedsiębiorstwa zatrudniające mniej niż 10 osób, których roczny obrót lub bilans roczny nie przekracza 2 mln EUR” | jw. plus rozszerzenia |
| Consent Mode v1 | wszyscy, którzy zbierają cookies | – | odpowiedni banner ze zgodami, implmentacja zachowania strony czy sklepu zgodnie z udzielonymi zgodami, egulamin cookies |
| Consent Mode v2 | wszyscy, którzy korzystają ze śledzenia preferencji użytkowników poprzez zbieranie cookies (wykorzystanie Google Analytics, Google Ad, Google Tag Manager | dłuuga historia, będzie kolejny wpis, sa materiały w internecie |
Zachęcam do komentarzy!
Uściski dla Walczących na Froncie Stron internetowych:) w sumie na Backendzie też:)
ps. swoją drogą ciekawszą nazwą dla Front-developerów byłaby Developer-Awangarda a dla Backend-develeoperów : Developer-Ariergarda 😉
Olga
W MyBeeWeb realizuję strony internetowe i sklepy zgodnie w powyższymi prawnymi wymogami ! Zapraszam:) https://mybeeweb.pl/cennik-uslug/
