Shopify banner cookies a RODO: dlaczego nie blokuje śledzenia

Shopify już jakiś czas temu wprowadził wbudowany banner cookies, więc wielu sprzedawców uznało, że temat RODO ma z głowy. Nie do końca. Banner pokazuje komunikat i zapamiętuje wybór klienta, ale nie powstrzymuje Google Analytics, Piksela Mety, TikToka ani Hotjara przed uruchomieniem się w momencie ładowania strony. Zanim klient kliknie „Odrzuć”, jego wizyta jest już śledzona.

Ta luka to dokładnie to, co liczy się pod RODO i czego natywny banner nie zamyka. Dla sklepów sprzedających na rynki UE, a zwłaszcza polskich sklepów pod okiem UODO, to właśnie tam siedzi ryzyko prawne.

Co właściwie robi banner cookies w Shopify

Natywny banner robi trzy rzeczy. Pokazuje komunikat. Zapisuje wybór klienta. Pokazuje tę preferencję we własnej analityce Shopify oraz właścicielowi sklepu.

Wszystko poza tym, czyli cookies i skrypty śledzące dodane w motywie albo w sekcji marketing i reklamy, uruchamia się przy standardowym ładowaniu strony. Shopify nie wstrzymuje tych skryptów do momentu udzielenia zgody. Większość sprzedawców orientuje się w tym dopiero wtedy, gdy w narzędziach deweloperskich widzi, że Google Analytics odpala przy świeżej wizycie, zanim banner został w ogóle kliknięty.

Co odpala się przed zgodą

W typowym sklepie Shopify z włączonym marketingiem, oto co uruchamia się natychmiast po wejściu odwiedzającego:

• Google Analytics (GA4). Odsłony, sesje i dane demograficzne zbierane są od razu.
• Piksel Mety. Zdarzenie odsłony odpala dla retargetingu i atrybucji konwersji.
• Piksel TikToka. Ten sam mechanizm, ten sam moment przy pierwszym ładowaniu.
• Hotjar, Microsoft Clarity i podobne narzędzia do nagrywania sesji. Nagrywanie zaczyna się od pierwszego wyświetlenia.
• Skrypty wpięte w motyw. Heatmapy, narzędzia do testów A/B i podobne, dodane do kodu motywu z biegiem czasu.

Nawet jeśli klient potem kliknie „Odrzuć”, jego dane były już zbierane przez pierwsze kilka sekund. I to jest dokładnie to okno, które RODO miało zamknąć.

Dlaczego to ma znaczenie dla sklepów w UE

RODO wymaga uprzedniej zgody dla każdego nieistotnego trackera. „Uprzedniej” to klucz. Banner, który informuje, a potem i tak pozwala skryptowi się uruchomić, nie spełnia tego wymogu.

Trzy rzeczy przekładają to z teorii na praktykę. Polski UODO, niemiecki DSB i francuski CNIL aktywnie nakładają kary, szczególnie za analitykę i piksele reklamowe odpalane bez zgody. Skargi klientów składa się łatwo i regularnie uruchamiają one postępowanie. A platformy reklamowe takie jak Google wymagają teraz sygnałów Consent Mode v2, więc źle skonfigurowany sklep traci jakość pomiaru na dokładkę do ryzyka prawnego.

Dla większości sprzedawców najpilniejsze ryzyko to nie nagłówkowa kara. To raczej powolne narastanie długu zgodnościowego, który staje się problemem przy kolejnym wzroście sklepu, audycie albo due diligence przed sprzedażą.

Co robi prawidłowy banner zgody inaczej

Zgodna z RODO warstwa zgody działa odwrotnie niż natywny banner Shopify. Stan domyślny to: zablokowane. Trackery są wstrzymane do momentu zaakceptowania ich przez klienta. Jeśli odmówi, skrypty nigdy nie odpalą. Jeśli zaakceptuje wybrane kategorie, uruchamiają się tylko te skrypty, które ich dotyczą.

Najważniejsze elementy:

• Domyślne blokowanie skryptów śledzących. Google, Meta, TikTok i Hotjar wstrzymane do momentu zgody.
• Google Consent Mode v2. Utrzymuje pomiar reklamowy po udzieleniu zgody, dzięki czemu kampanie nadal poprawnie przypisują konwersje.
• Skan trackerów w motywie. Wynajduje skrypty, o których dawno zapomniałeś, i też je blokuje do zgody.
• Granularne kategorie. Niezbędne, analityczne, marketingowe, preferencje. Klient wybiera, a nie po prostu „tak” albo „nie”.
• Log zgód gotowy do audytu. Plik CSV z zapisem kto, na co i kiedy się zgodził, na wypadek gdyby ktoś kiedyś zapytał.

Jak dodać zgodność bez kodu

Nie potrzebujesz programisty ani osobnej platformy do zarządzania zgodami, żeby to ogarnąć w mniejszym sklepie. ConsentPL, nasz banner cookies RODO dla Shopify, instaluje się jako theme app embed i trzyma Google Analytics, Piksel Mety, TikToka i Hotjara w stanie wstrzymanym do momentu, gdy klient udzieli zgody. Obsługuje Google Consent Mode v2, więc atrybucja reklamowa nadal działa po zgodzie, skanuje motyw w poszukiwaniu skryptów śledzących, które mogłeś dodać lata temu, i loguje każdą zgodę na potrzeby audytu.

Banner jest dostępny po polsku i po angielsku, z edytowalnymi kolorami, tekstem i pozycją. Plan darmowy daje podstawy, a Pro za $4,99 miesięcznie dorzuca Consent Mode v2 i skan trackerów w motywie. Możesz zainstalować ConsentPL ze Shopify App Store i być zgodny z RODO w kilka minut.

Które sklepy potrzebują tego najbardziej

Każdy sklep sprzedający na rynki UE potrzebuje porządnego zarządzania zgodami. Ryzyko jest skoncentrowane w kilku grupach:

• Polscy sprzedawcy. UODO jest jednym z aktywniejszych organów nadzorczych w UE, a polscy klienci wiedzą, jak składać skargi. Banner po polsku oszczędza też niezręczności angielskiego procesu zgody na polskim sklepie.
• Sklepy z aktywnymi kampaniami reklamowymi. Google Consent Mode v2 jest wymagany, żeby pomiar reklam nadal działał po zgodzie. Bez niego kampanie tracą atrybucję.
• Sklepy z wieloma trackerami. Im więcej masz wpiętych skryptów, tym bardziej widoczna jest luka między „banner się pokazuje” a „trackery i tak odpalają”.
• Sklepy planujące sprzedaż albo pozyskanie inwestora. Dług zgodnościowy to czerwona flaga w due diligence. Lepiej go posprzątać wcześniej.

Podsumowanie

Wbudowany banner Shopify to powiadomienie, a nie blokada śledzenia. Google Analytics, Piksel Mety, TikTok i Hotjar uruchamiają się zanim klient się zgodził, czyli dokładnie tym, czemu RODO miało zapobiec. Prawidłowa warstwa zgody wstrzymuje te skrypty do momentu udzielenia zgody, obsługuje Google Consent Mode v2, dzięki czemu reklamy nadal mierzą poprawnie, i daje Ci log audytowy na wypadek regulatora, którego nikt nie chce poznać. Jeśli Twój sklep sprzedaje na rynki UE i wolisz być zgodny niż mieć nadzieję, ConsentPL jest zbudowany właśnie po to, żeby tę lukę zamknąć.