Pliki cookie koszyka

Czy pliki cookie koszyka wymagają zgody?

Podstawy techniczne

Pliki cookie koszyka są używane, gdy użytkownik dodaje produkty do koszyka w sklepie internetowym. Służą one do identyfikacji użytkownika przez serwer lub sklep internetowy między sesjami.

Bez możliwości identyfikacji sklep internetowy nie mógłby przypisać koszyka do użytkownika, jeśli zamknąłby on przeglądarkę przed finalizacją zakupu lub gdy sesja zakończy się z innych powodów (np. timeout z powodu dłuższej nieaktywności użytkownika).

Dlatego serwer lub sklep internetowy zapisuje plik cookie na urządzeniu użytkownika, który go identyfikuje. Dzięki temu sklep internetowy może, gdy użytkownik odwiedza sklep, sprawdzić poprzez odczytanie pliku cookie, czy użytkownik ma już niezrealizowany koszyk i ponownie wywołać zawartość koszyka z bazy danych.

Poprzez zapisanie pliku cookie koszyka na urządzeniu użytkownika i późniejsze odczytanie go przez serwer/sklep internetowy, sklep może zidentyfikować użytkownika po zakończeniu sesji i przypisać mu zawartość jego koszyka.

Konieczność techniczna / Zgoda

Rozsądnie jest założyć, że użytkownik oczekuje działającego rozwiązania koszyka, gdzie zawartość koszyka nie zostanie utracona przez samo zamknięcie przeglądarki lub dłuższą nieaktywność. Kto chciałby ponownie wyszukiwać wszystkie produkty tylko dlatego, że w międzyczasie przeprowadził rozmowę telefoniczną lub porównał ceny w innych sklepach?

W związku z tym pliki cookie koszyka powinny być klasyfikowane zgodnie z art. 5 (3) dyrektywy 2002/58/WE (lub w Austrii § 96 (3) TKG) jako pliki cookie, które są absolutnie niezbędne do świadczenia usługi wyraźnie żądanej przez użytkownika.

W związku z tym nie byłaby wymagana zgoda na przechowywanie i odczytywanie plików cookie koszyka.

Proces przetwarzania „Koszyk”

Ustawienie pliku cookie koszyka nie jest jednak samodzielnym procesem przetwarzania, lecz tylko częścią przedumownego procesu przetwarzania „Koszyk”. Koszyk jest przedumownym procesem przetwarzania, który jest uruchamiany, gdy użytkownik dodaje produkty do koszyka. Proces przetwarzania „Koszyk” jest zatem niezbędny zgodnie z art. 6 ust. 1 lit. b RODO do realizacji działań przedumownych podejmowanych na żądanie osoby, której dane dotyczą.

W związku z tym nie byłaby wymagana zgoda na cały przedumowny proces przetwarzania „Koszyk”.

Zgodna z prawem implementacja

Do tej pory wszystko w porządku. Jednak, jak często bywa, również w przypadku koszyka kluczowa jest właściwa implementacja.

Pliki cookie sesji

Całkowicie bezproblemowe byłyby pliki cookie sesji, czyli pliki cookie, które są usuwane po zakończeniu sesji przy zamknięciu okna przeglądarki. Zawartość koszyka mogłaby wtedy być nadal obecna w bazie danych, ale nie mogłaby zostać przypisana do żadnego użytkownika z powodu braku odpowiedniego pliku cookie koszyka.

Jednak pliki cookie sesji nie są optymalne dla rozwiązań koszykowych. Klienci często dodają produkty do koszyka, ale nie kupują ich od razu z różnych powodów. Jeśli klient zamknie okno przeglądarki, aby przed zakupem porównać ceny lub przemyśleć decyzję, to w przypadku pliku cookie sesji zawartość koszyka zniknie przy ponownym otwarciu strony.

To nie jest optymalne ani dla właściciela sklepu, ponieważ znacząco obniżyłoby to wskaźnik finalizacji zakupów, ani dla klientów, którzy musieliby ponownie wyszukiwać swoje produkty.

Ciasteczka trwałe

Dlatego w koszyku używane są trwałe pliki cookie, czyli pliki cookie, które przetrwają zakończenie sesji. Ściśle mówiąc, określenie „trwałe” jest niedokładne, ponieważ nawet trwałe pliki cookie koszyka wygasają. Dokładny moment wygaśnięcia pliku cookie jest określany przez atrybut Expiry lub Max-Age pliku cookie.

Zgodna z prawem data wygaśnięcia

Teoretycznie można by skonfigurować plik cookie koszyka tak, aby wygasał dopiero za 10 lat. Nie byłoby to jednak technicznie konieczne do osiągnięcia celu sensownego rozwiązania koszykowego, ponieważ jest to zdecydowanie za długi okres. Żaden klient nie wraca po 10 latach mówiąc: „dobra, dziś to kupię”. Dlatego tak długi okres ważności, ze względu na brak technicznej konieczności, byłby dozwolony tylko za zgodą klienta. Ponieważ tak długi okres ważności jest i tak bezsensowny, uzyskanie zgody nie jest oczywiście opcją.

Właściwie data wygaśnięcia pliku cookie koszyka powinna być dostosowana do rzeczywistych potrzeb klientów. Jest to proste, jeśli można oprzeć się na doświadczeniu lub odczytać niezbędne informacje ze statystyk witryny. Idealna data wygaśnięcia jest ustawiona tak, aby większość klientów, którzy wracają później i dokonują zakupu, nadal znajdowała pełny koszyk.

Bezproblemowy jest okres 7 do 14 dni. Wszystko, co jest dłuższe, powinno być dobrze uzasadnione statystykami. Egzotyczne przypadki w stylu „mieliśmy kiedyś kogoś, kto wrócił po tygodniach i kupił” nie powinny być brane pod uwagę przy ustalaniu daty wygaśnięcia.

Zgoda nie jest wymagana

Jeśli data wygaśnięcia jest rozsądnie skonfigurowana, uznaje się to za technicznie niezbędne, aby zapewnić funkcję koszyka oczekiwaną przez klienta. W związku z tym w tym przypadku nie jest wymagana zgoda klienta na przechowywanie i odczytywanie pliku cookie.

Obowiązek informacyjny

Niezależnie od tego istnieje obowiązek informacyjny, który zawsze obowiązuje. Funkcja koszyka musi być zatem mimo wszystko uwzględniona w polityce prywatności.