Choć nazwa brzmi niebywale smakowicie, to ciasteczka (ang. Cookies) w internecie nie mają nic wspólnego ze smakołykiem uwielbianym przez dużych i małych. Zwykle mamy z nimi do czynienia w postaci dokuczliwych banerów cookies, zmuszających nas do podjęcia decyzji, co i dlaczego chcemy zaakceptować. Nienawidzimy ich, ale nareszcie Unia Europejska zapowiada uproszczenie przepisów ciasteczek dotyczących! Czy jednak zmiany idą w dobrym kierunku? I jak sobie radzić z ciasteczkami i banerami teraz, nim nowe przepisy dot. Stron internetowych wejdą w życie? Wyjaśniam!
Ciasteczka (ang. Cookies, ale też HTTP cookies, pliki cookies) to tak naprawdę fragmenty tekstu, pełne tajemniczo brzmiącej treści, nierzadko zawiłej, choć równie często krótkiej, które przeglądarka przesyła między witryną www a naszym komputerem. Wszystko, oczywiście w teorii, dzieje się wyłącznie za naszą zgodą, a my dzięki funkcjonalności plików cookies nie musimy choćby za każdym razem od nowa zapisywać hasła do Facebooka czy rezerwując wymarzone wakacje na Bookingu nie musimy przechodzić przez procedurę logowania – nasza sesja jest już w ciasteczku zapamiętana! To bardzo przydatna cecha, fakt. Dlaczego więc o plikach cookies / ciasteczkach internetowych mówi się tyle złego i w ostatecznym rozrachunku często uchodzą za wroga, a nie przyjaciela, użytkownika?
Czym są ciasteczka internetowe, czyli skrócona definicja cookies
Mechanizm ciasteczek, czyli pliki cookies, zostały wymyślone już w 1994 roku w Netscape. Powstał raczej w szlachetnym celu – po to, by można było odróżnić poszczególne osoby odwiedzające dany portal. Zatem sama idea stojąca za powstaniem ciasteczek http jest bardzo przydatna, ponieważ to właśnie dzięki nim niektóre nasze dane zostają zapamiętywane, a my nie musimy w kółko powtarzać nudnych czynności, choćby logowania. Jednak, jak wspomniałam wcześniej, pliki cookies to przede wszystkim pliki tekstu, a jak łatwo się domyślić – w takim pliku można zapisać różne informacje! Istnieje kilka rodzajów ciasteczek, mają one różny cel.
Tabela: Typy ciasteczek i ich zastosowanie
| Sesyjne | Utrzymanie logowania | Nie | Facebook login |
| Analityczne | Statystyki odwiedzin | Tak | Google Analytics |
| Marketingowe | Reklamy profilowane | Tak | Facebook Ads |
Nic dziwnego, iż z czasem twórcy stron internetowych zaczęli wykorzystywać ciasteczka do przechowywania różnych danych, a my, użytkownicy internetu, zaczęliśmy być bombardowani choćby celowanymi w nas reklamami. A w Unii Europejskiej rozpoczęła się dyskusja o prawach użytkowników, w tym o prawach do anonimowości, bezpieczeństwa i prywatności.
Historia regulacji cookies w Polsce i UE dla laików
Przed 2009 rokiem (w Polsce przed 2013) każdy twórca stron www mógł używać mechanizmów ciasteczek tak, jak chciał, bez żadnej kontroli. Dopiero nowelizacja ustawy Prawo Telekomunikacyjne (wymuszona przez Unię Europejską) wymusiła na właścicielach stron internetowych, by na ich portalach pojawiły się informacje dotyczące gromadzonych na temat użytkownika danych. Przepisy jednak były niepełne, ponieważ np. nie wymuszały zbierania świadomych zgód, a pozwalały na przyjęcie założenia, iż użytkownik, który korzysta z naszej strony, akceptuje jej politykę dotyczącą ciasteczek.
Prawdziwą rewolucję przyniósł w Polsce dopiero rok 2018, kiedy to w życie wszedł unijny akt prawny dotyczący ochrony danych. Nowe przepisy nałożyły bardzo rygorystyczne zasady na właścicieli stron internetowych – między innymi wymusiły zbieranie świadomych zgód na śledzenie (stąd wszechobecne ciasteczkowe banery). Ponadto każda strona musiała jasno opisywać jakie dane w jakim celu wykorzystuje oraz czy przesyła je dalej i do kogo. Użytkownik według tych właśnie – zresztą wciąż panujących – przepisów zyskał pełną ochronę, ponieważ mógł odmówić przechowywania jakichkolwiek danych na jego temat, a mimo to konkretna strona www musiała pozostać użyteczna.
Jak współcześnie działają cookies?
Banery cookies – bezpieczeństwo czy uciążliwość?
Przepisy powstały, by nas chronić, ale jednocześnie spotkały się z ogromną niechęcią i niezrozumieniem. Ludzie podzielili się na różne obozy. Jest grupa, która zawsze na wszystko wyraża zgodę i albo się tym nie przejmuje, albo tego nie rozumie. Inna grupa nie akceptuje niczego, uznając, iż nie pozwoli wykorzystywać siebie do celów statystycznych, choćby jeżeli cel jakichś ciasteczek miałby być szczytny. Istnieją też osoby, które za każdym razem dokładnie czytają wszystkie definicje i świadomie wybierają, którymi informacjami chcą się dzielić, a którymi nie. To najdojrzalsze podejście do tematu, jednocześnie najbardziej pracochłonne. Ponadto wymaga byśmy rozumieli, czym są te dane i co znaczą te wszystkie dziwne słowa niejednokrotnie pojawiające się na banerach.
Czytaj też: AmIUnique, czyli jak sprawdzić swój ślad w internecie
Badania dotyczące cookies – jak nie projektować banerów ciasteczek?
Co ciekawe, według badań Privacy Policies and Consent Management Platforms: Growth and Users’ Interactions over Time jeżeli użytkownik od razu ma dostęp do przycisku „Odrzuć wszystko”, na tak zwanej pierwszej warstwie baneru, prawdopodobnie go kliknie – robi tak 60% badanych. Ale banery często są projektowane niezgodnie z zasadami, twórcy stosują tzw. dark patterns i ukrywają ten przycisk. jeżeli więc odrzucenie wymaga więcej niż jednego kliknięcia, według badań 90% użytkowników zaakceptuje wszystko. To pojedynczy przykład, więc nie może być dowodem, ale skłania do zastanowienia, czy którakolwiek z tych osób w ogóle wie, do czego bannery cookies służą? I czy w ogóle ją obchodzi, kto i jak skorzysta z jej danych?
– Potrzebujemy uproszczenia, bo przeklikiwanie się przez 2137 ekranów powoduje u nas stratę czasu i chęci, a i tak mało kto tego przestrzega! – komentuje dla Homodigital.pl Mateusz Chrobok, specjalista od cyberbezpieczeństwa, ceniony youtuber technologiczny i założyciel platformy do nauki uczmnie.pl.
Jakie jeszcze banery cookies możemy określić jako spełniające dark patterns? Oto kilka powszechnych błędów:
- zbyt mały przycisk „odrzuć wszystko”,
- brak przycisku „odrzuć”,
- ukryte opcje w drugiej warstwie,
- automatyczne ustawianie ciasteczek przed zgodą,
- brak podziału ciasteczek ze względu na ich typ – jedna akceptacja do wszystkiego,
- błędy w designie np. źle dobrane kontrasty, kolory itd.
Czytaj też: Meta chce byś płacił za prywatność, UE twierdzi, iż nie ma prawa
W internecie można zjeść ciasteczko i mieć plik cookies
Chrobok w trakcie rozmowy zwraca uwagę na jeszcze jedną ważną, o ile nie najważniejszą, rzecz:
– To, iż baner się pojawia, nie zawsze oznacza, iż dane będą wysyłane dopiero po wybraniu opcji. Czasem strona od razu wysyła już jakieś dane, a dopiero potem prosi o zgodę.
Co Chrobok ma na myśli? Postaram się wyjaśnić to jak najprościej.
Różne portale podają różne dane, ale spokojnie możemy przyjąć, iż 40% stron internetowych powstała w technologii WordPress – aktualnie najpopularniejszej technologii CMS, dzięki której choćby laik może stworzyć stronę www od podstaw. Wystarczy odrobina uporu i kilka kursów z sieci, by stworzyć bardzo prostą wizytówkę albo reklamę sklepu. Taka statyczna strona często nie zbiera danych na nasz temat, ale jeżeli tylko podepniemy do niej statystyki pozwalające np. sprawdzić ilu użytkowników dzisiaj szukało u nas poradnika przedświątecznego – ciasteczka internetowe są już w natarciu!
WordPress i ciasteczka internetowe – jak działają cookies w praktyce
Od lat tworzę strony internetowe i wielokrotnie przejmowałam projekty po innych twórcach. Ponadto jako programistka często kładę duży nacisk na zrozumienie, jak dana technologia działa, ale wiem, iż wielu twórców stron w WordPressie nie ma technologicznego backgroundu i opiera się na różnych kursach. Bycie samoukiem nie jest złe, ale jak się mają do tego ciasteczka internetowe?!
Chodzi o to, iż wielokrotnie widziałam strony www, które zgodnie z kursami miały skonfigurowaną wizualną część banera o ciasteczkach internetowych… ale technologicznie nic tam nie było ustawione. W najlepszym razie dopiero kliknięcie „nie” blokowało wysyłanie danych, ale jeżeli zignorowałeś baner, ciasteczka chrupały na serwerze, iż aż miło. Były zbierane niezależnie od tego, jaką odpowiedź kliknięto na banerze.
Według badania Privacy Policies and Consent Management Platforms: Growth and Users’ Interactions over Time choćby 60% stron ustawia ciasteczkowe trackery jeszcze przed wyrażeniem zgody przez użytkowników! A my choćby się nie dowiemy, iż jakiekolwiek pliki cookies zostały przesłane…
Czytaj też: Google usunie Wasze dane z trybu Incognito. Ale tylko stare
Jak się chronić przed ciasteczkami internetowymi?
Jeśli jesteś spoza IT i nie interesują Cię te tematy, sam łatwo nie sprawdzisz, czy strona została prawidłowo zaprojektowana, czy baner cookies (np. w WordPress) pełni tylko funkcję ozdobną. Rodzi to niechęć, lęk i frustrację. Dlatego, by dbać o swoje bezpieczeństwo, warto korzystać z przeglądarki internetowej, która blokuje zbieranie danych. Mateusz Chrobok poleca Chrome Web Store. Ponadto, już nie w kwestii bezpieczeństwa, ale zwykłej ludzkiej wygody, Chrobok poleca też wtyczkę, która „klika” na banery cookies, iż nie zgadzasz się na używanie ciasteczek. Jego typ to Consent-O-Matic.
Nowe przepisy UE – Digital Omnibus i uproszczenie zasad, czyli nowe przepisy dotyczące ciasteczek uratują użytkowników
A co z nowymi przepisami, o których wspomniałam we wstępie? Jest nadzieja! Powstaje Zbiorczy Pakiet Cyfrowy (ang. Digital Package) o nazwie – Digital Services Package / Digital Omnibus Directive, którego celem jest uproszczenie wszystkich przepisów dot. Europejskich przedsiębiorstw, by miały więcej czasu w innowacje. W pakiecie zaproponowano wiele różnych zmian, ale nas najbardziej interesują zmiany dotyczące cookies. Według informacji ze strony Komisji:
„zmiany spowodują zmniejszenie liczby wyświetleń banerów cookies i umożliwią użytkownikom zaznaczenie zgody jednym kliknięciem oraz zapisanie preferencji dotyczących plików cookie poprzez centralne ustawienia preferencji w przeglądarkach”.
Czytaj też: Odcisk palca przeglądarki powie złodziejowi, kim jesteś
Nowe przepisy cookies – co to oznacza dla małych, a co dla dużych firm?
To rozwiązanie na pewno będzie ułatwieniem dla mniejszych przedsiębiorców, którzy gubią się w gąszczu przepisów. Pamiętajmy jednak, iż wejście zmian to jedno – wprowadzenie ich na stronach firm to drugie. Boję się o małych graczy, niewielkie lokalne firmy, na których barki może spaść kolejna modernizacja, której sensu nie rozumieją… I boję się też, iż w przypadku największych firm zasady dotyczące bezpieczeństwa użytkowników, jak zwykle, zostaną potraktowane po macoszemu. Bo jak mówi Chrobok:
– Brakuje nam więc wystarczająco dobrego „kijka”. Google za profilowanie bez zgody zapłaciło 50 mln EUR (jeśli dobrze pamiętam). Dla nich to były drobne. Dalej się to opłacało. Efekt jest taki, iż musi się przestać opłacać łamać prawo.
Źródło zdjęcia: Mikhail Nilov
