Artur Piechocki, radca prawny, założyciel kancelarii APLAW. / Media

Cookies, czyli popularne ciasteczka są często kojarzone ze śledzeniem użytkowników w sieci. Spróbujmy wytłumaczyć, czym są w zasadzie te narzędzia i jakie znaczenie mają w marketingu i sprzedaży?

Funkcjonowanie świata reklamy internetowej opiera się w znacznym stopniu o identyfikację i śledzenie użytkowników, a dokładniej ich preferencji, zainteresowań, czy potrzeb. Precyzyjne określenie tych elementów decyduje o skuteczności dotarcia z reklamą do osób, które mogą być zainteresowane reklamowanymi produktami lub usługami. Przekłada się to oczywiście na przychody sklepów lub dostawców usług. Mechanizm technologiczny odpowiedzialny za śledzenie i identyfikację użytkowników oraz dostarczanie im sprofilowanych reklam jest bardzo skomplikowany. W ramach tego mechanizmu najczęściej nazywanego ogólnie reklamą programatyczną („programatic”), na podstawie aktywności użytkownika na stronach internetowych dostawców treści, np. serwisów informacyjnych, platform zakupowych, użytkownik przypisywany jest do profili, dla których przeznaczone są z kolei reklamy możliwie dokładnie do nich dostosowane.

W procesie zbierania danych osobowych użytkownika, jego zainteresowań, potrzeb, wiązania ich ze sobą oraz danymi dostępnymi z innych źródeł, a następnie ich profilowania i w końcu serwowania sprofilowanych reklam, uczestniczy wiele podmiotów: wydawcy (supply-site-platform), dostawcy zapotrzebowania na reklamę (demand-site-platform), pośrednicy (agency trading desk), dostawcy usług ad-server oraz inne pośrednicy ad-tech. Pomimo wielopodmiotowego i skomplikowanego charakteru programatic, reklama dostarczana jest do użytkownika w ciągu milisekund od momentu jego sprofilowania. Właśnie z tego powodu, gdy szukamy w internecie, np. butów i przełączamy się na strony portalu informacyjnego, aby sprawdzić, co ciekawego dzieje się na świecie, to natychmiast widzimy wyświetlane obok reklamy butów.

Czy „cookiesy” rzeczywiście są niezbędne i skuteczne?

Efektywność i precyzję reklamy programatycznej zapewniają obecnie w największym stopniu cookies (istnieją wprawdzie również inne metody śledzenia użytkownika, ale cookies są najłatwiejsze do wykorzystania i najbardziej rozpowszechnione), czyli pliki, najczęściej o charakterze tekstowym, które zapisują się w pamięci urządzenia końcowego (np. smartfon) podczas wizyty użytkownika na stronach wydawcy (np. serwisu informacyjnego albo platformy zakupowej). Przy pomocy cookies, a w zasadzie informacji pozyskanych dzięki cookies, działania użytkownika mogą być śledzone na innych stronach, które później odwiedza użytkownik.

Czym są third party cookies?

Cookies zapisywane w pamięci urządzenia użytkownika mogą pochodzić od samego wydawcy serwisu lub platformy (first party cookies) albo od podmiotu trzeciego (third party cookies), któremu wydawca serwisu lub platformy zezwolił na zamieszczanie cookies w pamięci urządzeń użytkowników tego serwisu lub platformy, podczas przeglądania przez użytkownika. Third party cookies pochodzą od wymienionych wcześniej pośredników, czy nawet samych reklamodawców i służą realizacji programatic i mierzeniu jej skuteczności.

Dlaczego third party cookies znalazły się „na cenzurowanym”?

Od chwili wejścia w życie RODO, reklama programatyczna zaczęła stanowić poważny problem z punktu widzenia ochrony danych osobowych, a szczególnie jej część dotycząca pobierania informacji na temat użytkowników przy pomocy third party cookies. Okazało się bowiem, że nie tylko podstawa przetwarzania danych osobowych bywa trudna do jednoznacznego określenia, tj. prawnie uzasadniony interes strony trzeciej albo zgoda, ale również złożoność wypełnienia obowiązku informacyjnego wobec użytkowników nie odpowiada RODO. Dostrzegły to organy nadzoru i w konsekwencji zaczęły wymierzać kary, m.in. za brak transparentności w przetwarzaniu danych osobowych przy wykorzystaniu third party cookies. Konieczne stało się poszukiwanie alternatywy wobec tego rodzaju cookies.

Co się pojawi w zamian third party cookies?

się sytuację dostrzegł również Google — główny gracz na rynku reklamy programatycznej. Już w 2019 roku powstała w ramach Google Sand Box możliwość zgłaszania projektów, które mają pomóc w zastąpieniu modelu third party cookies. Według informacji zamieszczonych w czerwcu 2021 na stronach Chrome, Google, po wybraniu docelowego projektu, pozwoli to wydawcom i branży reklamowej na migrację usług do nowego rozwiązania, aby w połowie 2023 rozpocząć usuwanie third party cookies ze środowiska Google. Docelowo mają one zniknąć w 2023. Zgłaszane projekty bazują na różnych rozwiązaniach, począwszy od określania z góry całkowitej ilości potencjalnie identyfikowalnych danych, do których witryny mogą uzyskać dostęp, poprzez wyznaczanie zakresu aktywności, która może określać tożsamość, modele bazujące na zbiorczym określaniu zainteresowań, bez wskazywania konkretnych użytkowników, kończąc na tokenach kryptograficznych wydawanych przez podmiot zaufany, pozwalających w sposób pośredni na identyfikację zainteresowań użytkowników.

Poza środowiskiem Google powstają alternatywne projekty zmierzające do zastąpienia third party cookies. Przykładem jest tutaj universal id, który zakłada stworzenie identyfikatora użytkownika (user ID) przez znane konsorcjum/firmę ad-tech w celu zapewnienia tożsamości służącej do identyfikacji użytkownika bez korzystania z 3rd party cookies. Jeden z wariantów tego modelu bazuje na informacjach pozyskanych za zgodą użytkownika, np. ankiety, formularze.

Jaka czeka nas rzeczywistość po rezygnacji z third party cookies?

Wydaje się, że sytuacja, z którą musi obecnie zmierzyć się cała branża e-commerce i marketingu internetowego wynika z pewnej niefrasobliwości polegającej na tym, że wobec wymogów RODO przyjęto początkowo rozwiązania powierzchowne, zamiast zapewnić pełną zgodność z tymi wymogami. Trudno jednoznacznie przesądzić, jaki model docelowo zyska uznanie branży reklamowej, wydawców oraz użytkowników. Z pewnością będzie musiał gwarantować wyższy poziom prywatności niż third party cookies, jednak koszty jego wprowadzenia będą wysokie dla wszystkich uczestników rynku i przypuszczalnie nie wszyscy przetrwają rewolucję w świecie przetwarzania danych osobowych w Internecie.

Artur Piechocki – radca prawny, założyciel kancelarii APLAW, wieloletni doradca prawny w NASK, założyciel Sądu Polubownego ds. Domen Internetowych przy PIIT, członek trzech grup roboczych przy KPRM do spraw: Cyberbezpieczeństwa, Internet of Things oraz Sztucznej Inteligencji AI.