Elido
Blog
10 min czytaniaZgodność

Consent Mode v2 w śledzeniu linków: co zmienił DMA

Consent Mode v2 i Digital Markets Act napisały na nowo zasady analityki krótkich linków — co oznaczają cztery sygnały, jak w praktyce działa odzyskiwanie danych server-side i co mówią aktualne wytyczne EDPB oraz CJEU

Sasha Ehrlich
Compliance · EU residency
Cztery ułożone warstwowo sygnały zgody — ad_storage, ad_user_data, ad_personalization, analytics_storage — ze stanami denied i granted oraz ścieżkami odzyskiwania server-side obok każdego z nich

Consent Mode v2 przestał być opcjonalny 6 marca 2024 roku. Od tego dnia ruch z UE i EOG przesyłany do produktów reklamowych Google musi zawierać dwa nowe sygnały — ad_user_data oraz ad_personalization — obok pierwotnych ad_storage i analytics_storage. Zmiana ta nie została wymuszona przez GDPR, lecz przez Digital Markets Act (Rozporządzenie (UE) 2022/1925), a konkretnie przez Art. 5(2) DMA, który zabrania wyznaczonym strażnikom dostępu łączenia lub krzyżowego wykorzystywania danych osobowych w różnych usługach bez wyraźnej zgody.

Dla skracacza URL, który przecina warstwę danych przekierowania w niefortunny sposób, stanowi to wyzwanie. Krótki link to to, co kliknął użytkownik; stan zgody na stronie docelowej decyduje o tym, czy kliknięcie może zostać przypisane. Te dwa zdarzenia dzieją się na różnych domenach, w różnych magazynach plików cookie, często w różnych sesjach. Luka między nimi to miejsce, w którym obecnie dochodzi do największej utraty atrybucji.

Ten post to spojrzenie praktyka ds. compliance na to, co się zmieniło, co faktycznie oznaczają te cztery sygnały dla usługi przekierowań, gdzie odzyskiwanie danych server-side jest zgodne z obecnymi wytycznymi EDPB, a gdzie nie. Większość prac inżynieryjnych nad śledzeniem server-side przez przekierowania GA4 jest zgodna z GDPR; część z nich nie jest jednak zgodna z DMA.

DMA w jednym akapicie#

Digital Markets Act zaczął obowiązywać 7 marca 2024 roku. Wyznacza on „strażników dostępu” (gatekeepers) — Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking — i nakłada na nich obowiązki ex ante. Art. 5(2) DMA jest tym, który ma znaczenie dla śledzenia: strażnik dostępu nie może przetwarzać danych osobowych użytkowników końcowych korzystających z usług stron trzecich na potrzeby reklamy online, ani łączyć danych osobowych w ramach swoich usług bez ich zgody.

Consent Mode v2 to mechanizm Google służący do zachowania zgodności z Art. 5(2). Dwa nowe sygnały — ad_user_data i ad_personalization — pozwalają strażnikowi dostępu sprawdzić, czy wydawca uzyskał zgodę klasy Art. 5(2), zanim telemetria kliknięć zostanie użyta do reklamy lub personalizacji. Bez ustawienia tych sygnałów na granted, produkty reklamowe Google przechodzą na zagregowane lub modelowane konwersje bez atrybucji na poziomie użytkownika.

DMA nie zastępuje GDPR. Stanowi jego uzupełnienie. Administrator nadal potrzebuje podstawy prawnej z Art. 6 GDPR; Consent Mode v2 dodaje drugą bramkę, która zamyka się dla danych reklamowych kierowanych przez strażników dostępu, nawet gdy bramka GDPR jest otwarta.

Cztery sygnały w prostych słowach#

Consent Mode v2 przesyła cztery sygnały logiczne. Każdy z nich może mieć wartość granted lub denied. Wartości domyślne można ustawiać regionalnie.

ad_storage — oryginalny sygnał z v1. Kontroluje, czy pliki cookie lub inne dane mogą być zapisywane na potrzeby reklamowe. Gdy ma wartość denied, tagi Google uruchamiają się bez identyfikatorów; pomiar konwersji degraduje się do bezplikowego, opartego na modelowanych agregatach. Przekierowanie decyduje o tym, jakie parametry UTM i identyfikatory kliknięć trafią na stronę, a te stają się kluczami, do których przypisana jest zgoda. Dokumentacja zgody platformy tagów jest kanonicznym źródłem informacji o tym, co dany sygnał robi w dalszej kolejności.

ad_user_data — nowość w v2. Kontroluje, czy dane użytkownika mogą być w ogóle wysyłane do Google w celach reklamowych. To jest sygnał Art. 5(2) DMA. Gdy ma wartość denied, tag nie może przesyłać danych użytkownika — w tym haszowanych identyfikatorów, IP, user-agent — do Google Ads. Tagowanie server-side nie omija tego ograniczenia; sygnał podróżuje wraz ze zdarzeniem.

ad_personalization — również nowość. Kontroluje, czy przesłane dane mogą być użyte do spersonalizowanej reklamy, w tym do remarketingu. Częstą konfiguracją jest ad_user_data=granted plus ad_personalization=denied, co pozwala na atrybucję, ale blokuje remarketing.

analytics_storage — kontroluje, czy dane są zapisywane na potrzeby analityczne. Tag GA4 respektuje ten sygnał; gdy ma wartość denied, GA4 działa bez plików cookie i używa modelowania w trybie uzyskiwania zgody, aby zrekonstruować atrybucję na poziomie zagregowanym. Modelowanie wymaga minimalnego wolumenu ruchu i 7-dniowego okresu nauki.

Żaden z tych czterech sygnałów nie jest rozstrzygany na poziomie skracacza. Skracacz emituje kliknięcie; strona docelowa odczytuje sygnały; tag na stronie docelowej decyduje, co z nimi zrobić. Zadaniem skracacza jest dostarczenie czystego stanu — zachowanych parametrów UTM, zachowanego identyfikatora kliknięcia, szybkiego przekierowania — tak, aby banner mógł się załadować przed uruchomieniem tagu.

Co zawodzi w warstwie danych przekierowania#

Trzy tryby awaryjne pojawiają się w każdym skracaczu, który poważnie traktuje ścieżkę przekierowania.

Identyfikator kliknięcia przetrwa, ale sygnał zgody nie. Kliknięcie w reklamę Meta trafia na s.elido.me/abc123?fbclid=… i przekierowuje do https://customer.example/landing?fbclid=…. Parametr fbclid zostaje zachowany. Strona się ładuje, pojawia się banner, użytkownik odmawia zgody. Meta CAPI otrzymało już kliknięcie powiązane z tym fbclid — ale użytkownik właśnie zabronił wykorzystywania go w celach reklamowych. Skracacz nie zrobił nic złego; to administrator ma problem z deduplikacją CAPI do rozwiązania na swoim punkcie końcowym.

Skracacz dołącza identyfikatory, których strona docelowa nie rozumie. Niektóre skracacze (Bitly bitly_session, Rebrandly _branch_match_id) dołączają parametry specyficzne dla dostawcy, które wymagają usunięcia lub specjalnej obsługi w przypadku braku zgody. Elido przekazuje wyłącznie parametry UTM i własny identyfikator kliknięcia klienta.

Stan zgody na stronie docelowej jest nieznany z perspektywy przekierowania. Skracacz nie widzi bannera, który jeszcze się nie załadował. Decyzje o awaryjnym przetwarzaniu server-side nie mogą być uwarunkowane stanem zgody, który jeszcze nie istnieje. Jedyny uczciwy domyślny wybór: nie uruchamiać żadnego zdarzenia server-side w celach reklamowych w momencie przekierowania; pozwolić na wyświetlenie bannera, a następnie pozwolić stronie lub jej proxy na wysłanie danych z dołączonym stanem zgody.

Dostawcy, którzy wysyłają zdarzenia Measurement Protocol lub CAPI bezpośrednio z krawędzi sieci (edge), zakładają, że użytkownik wyrazi zgodę. Zgodnie z Art. 5(2) DMA ten zakład nie należy do nich. Wytyczne EDPB 02/2023 w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy ePrivacy podniosły podobny argument dotyczący wstrzykiwania identyfikatorów przed uzyskaniem zgody: jest to przetwarzanie, wymaga podstawy prawnej, a brak bannera nie jest podstawą.

Legalne techniki łagodzenia skutków server-side#

Poniższe metody utrzymują się zarówno w świetle GDPR, jak i DMA. Łączy je wspólny mianownik: stan zgody musi zostać odnotowany przed jakąkolwiek transmisją danych do strażnika dostępu lub użyciem ich do reklamy.

Measurement Protocol z dołączonym stanem zgody. Measurement Protocol GA4 akceptuje te same parametry consent, co klient gtag. Schemat: strona docelowa rozstrzyga banner, przesyła stan zgody do serwera first-party klienta, a serwer first-party przekazuje żądanie mp/collect do GA4 z ustawionymi parametrami consent.ad_user_data i consent.ad_personalization. Przetwarzanie server-side, ale po uzyskaniu zgody. Moduł przesyłający Elido (opisany w śledzeniu server-side przez przekierowania GA4) stosuje stan zgody do wychodzącego ładunku danych.

Conversion API z ciągami zgody. Meta CAPI akceptuje data_processing_options i opt_out; LinkedIn Conversions API akceptuje enlli; TikTok Events API akceptuje limited_data_use. Wszystkie te parametry sygnalizują stan zgody platformie. Schemat jest identyczny: strona docelowa ładuje się, przesyła dane do serwera first-party, a ten wysyła je z dołączonym stanem zgody.

Zagregowane raportowanie server-side. Tam, gdzie stan zgody zabrania użycia danych do celów reklamowych lub analitycznych, raportowanie server-side, które jest rzeczywiście zagregowane i pozbawione identyfikatorów poszczególnych użytkowników, jest zazwyczaj dopuszczalne na mocy Art. 5(2) DMA oraz GDPR Art. 6 na podstawie uzasadnionego interesu. Wytyczne EDPB 04/2023 w sprawie anonimizacji przypominają, że dane pseudonimizowane nie są danymi anonimowymi, a niska wartość k-anonimowości nadal pozwala na reidentyfikację. Bezpieczną praktyką jest publikowanie liczników na poziomie obszaru roboczego (workspace) z progiem wynoszącym ≥10.

Rozpoznawanie identyfikatorów first-party na stronie docelowej. Najbardziej odpornym podejściem jest identyfikacja użytkownika za pomocą sygnału z Art. 6(1)(b) GDPR — zalogował się, wypełnił formularz, kliknął w potwierdzony link e-mail — i przypisanie atrybucji wstecz. Nie zależy to w ogóle od ad_storage ani ad_user_data. Post atrybucja kliknięć po Safari ITP opisuje ten schemat; jest to właściwa odpowiedź również w świecie po wprowadzeniu DMA.

Nielegalne techniki łagodzenia skutków server-side#

Trzy schematy pojawiają się w ofertach dostawców narzędzi, a nie powinny.

Uruchamianie zdarzeń CAPI z krawędzi sieci (edge) przed rozstrzygnięciem zgody na stronie. To błąd opisany powyżej. Nie ma stanu zgody, który można by dołączyć; uruchomienie zdarzenia sugeruje, że administrator uzyskał zgodę, co nie jest prawdą. Niektórzy dostawcy opisują to jako „atrybucję deterministyczną”; w myśl Art. 5(2) DMA jest to operacja łączenia danych, na którą użytkownik nie wyraził zgody.

Haszowanie IP i traktowanie haszu jako danych anonimowych. EDPB jasno stwierdziło w Opinii 4/2007 w sprawie pojęcia danych osobowych i powtórzyło w Wytycznych 04/2023, że haszowane identyfikatory pozostają danymi osobowymi, gdy hasz jest odwracalny dla każdego, kto ma dostęp do populacji. Hasze IP są łatwo odwracalne na dużą skalę; haszowanie nie zmienia prawnego charakteru przetwarzania.

Synchronizacja identyfikatorów server-side ze strażnikami dostępu. Przekazywanie zdarzenia kliknięcia do Google lub Meta z haszowanym e-mailem lub numerem telefonu i poleganie na tym, że strażnik dostępu dopasuje je do własnego grafu identyfikatorów, to operacja, którą Art. 5(2) DMA wyraźnie ogranicza. Dopasowanie to jest krzyżowym łączeniem danych przez strażnika dostępu. Zgoda na to musi być wyraźna i na poziomie użytkownika. Obecność haszu nie czyni operacji zgodną z prawem; brak zgody czyni ją niezgodną.

Aktualny kontekst TSUE i EDPB#

Dwa niedawne ruchy regulatorów wyostrzają ten obraz.

Wyrok TSUE w sprawie C-621/22 (Royal Lichtervelde, 2024) powtórzył analizę współadministrowania z wyroków Wirtschaftsakademie (C-210/16) i Fashion ID (C-40/17). Gdy wydawca integruje tag strony trzeciej, a ten tag przesyła dane użytkownika do tej strony trzeciej, wydawca i strona trzecia są współadministratorami tego przetwarzania. Art. 26 GDPR wymaga przejrzystych uzgodnień między nimi. Dla klienta Consent Mode v2 uzgodnienia z Art. 26 z Google muszą być zawarte, a stan zgody musi płynąć w sposób rzetelny. Fałszowanie ad_user_data=granted w celu odzyskania atrybucji stanowi ryzyko odpowiedzialności za współadministrowanie dla obu stron.

Wytyczne EDPB 03/2024 w sprawie sygnałów zgody w kontekstach reklamowych (projekt do konsultacji, wersja końcowa spodziewana w Q3 2026) bezpośrednio odnoszą się do Consent Mode v2. Projekt zakłada, że sygnał ad_user_data jest, zgodnie z Art. 7(4) GDPR, uzależniony od dobrowolnie wyrażonej zgody, a bannery łączące ad_storage z ad_user_data bez granulowanej kontroli nie spełniają testu dobrowolności z Art. 7. Większość obecnych bannerów je łączy. Przeprojektowanie leży po stronie klienta; skracacz dostarcza czysty stan, nie projektuje bannerów.

W szerszym obrazie przekazywania danych — zgoda udzielona, ale dane nadal opuszczają UE — post Schrems II i piksele śledzące opisuje aspekt TIA. DMA nie rozwiązuje tego problemu; dodaje kolejne ograniczenie.

Co Elido robi (a czego nie robi) w warstwie przekierowań#

Elido jest podmiotem przetwarzającym; administrator decyduje o polityce zgody i obsługuje banner. Warstwa danych przekierowania wykonuje minimum działań:

  • Zachowuje parametry UTM i własny identyfikator kliknięcia klienta. Specyficzne dla dostawców identyfikatory reklamowe (fbclid, gclid, msclkid, ttclid) są domyślnie przekazywane, ponieważ stanowią powierzchnię atrybucji administratora; dostępna jest opcja rezygnacji (opt-out) na poziomie obszaru roboczego.
  • Nie uruchamia żadnych zdarzeń reklamowych server-side w momencie przekierowania. Wewnętrzne zdarzenie kliknięcia zapisywane w ClickHouse ma IP skrócone do /24 lub /48 i zawiera wyłącznie przetworzone pola urządzenia, zgodnie z minimalizacją danych GDPR. Nie jest udostępniane żadnym stronom trzecim.
  • Wspiera przesyłanie konwersji server-side z uwzględnieniem zgody do GA4, Meta CAPI, LinkedIn, TikTok i Reddit, bramkowane stanem zgody dostarczonym przez stronę docelową. Moduł przesyłający znajduje się w /features/conversion-tracking; konfiguracja opisana jest w przewodniku dokumentacji śledzenia konwersji.
  • Wymaga ładunku consent ze strony docelowej, gdy włączone jest przesyłanie z uwzględnieniem zgody; w przypadku braku ładunku zdarzenie jest odrzucane, a nie po cichu wysyłane z domyślnymi wartościami.

Panel analityczny w /features/analytics pokazuje podział stanu zgody na kampanię — udzielona, odrzucona, nieustawiona — dzięki czemu zespół marketingu może zobaczyć, jaka część atrybucji ginie przez odmowy.

Czego Elido nie robi: nie wdraża bannera, nie decyduje o zgodzie za użytkownika ani nie respektuje zgody „udzielonej” dla użytkowników, którzy faktycznie jej nie udzielili. Te decyzje należą do administratora, zgodnie z tym, gdzie umieściły je zarówno GDPR, jak i DMA.

Pytanie o zakup (procurement)#

Dla administratora oceniającego skracacz pod kątem Art. 5(2) DMA, kluczowe są trzy pytania.

Czy skracacz przekazuje dane o kliknięciach do jakiejkolwiek zewnętrznej usługi reklamowej lub analitycznej w momencie przekierowania, niezależnie od stanu zgody na stronie docelowej? Jeśli tak, jest to ekspozycja na naruszenie Art. 5(2) DMA, którą należy wyeliminować.

Czy skracacz wspiera przesyłanie stanu zgody do swoich punktów końcowych konwersji server-side? Jeśli nie, administrator będzie potrzebował oddzielnego proxy do tagowania server-side (kontener serwerowy GTM, Stape, Snowplow) między stroną docelową a API strażników dostępu.

Czy warstwa analityczna skracacza udostępnia zagregowane dane jakimkolwiek stronom trzecim? Niektóre skracacze nastawione na marketing publikują „benchmarki branżowe”, które okazują się być danymi o kliknięciach klientów z podgrafami możliwymi do zidentyfikowania po kształcie ruchu — jaka jest analiza współadministrowania w myśl wyroków Wirtschaftsakademie i Fashion ID?

Skracacz, który unika jasnych odpowiedzi na te pytania, zwiększa powierzchnię ryzyka DMA, którą administrator będzie musiał bronić podczas audytu.

Dokąd to prowadzi#

Consent Mode v2 nie jest inicjatywą marketingową. To mechanizm zgodności z Art. 5(2) DMA, który jest dostarczany przez platformę tagów Google. Cztery sygnały rzetelnie informują o tym, jaka zgoda została uzyskana; mitygacje server-side działają, gdy stan zgody podróżuje wraz ze zdarzeniem; utrata atrybucji w świecie bez zgody jest realna, ale mniejsza, niż się wydaje, gdy wdroży się rozpoznawanie identyfikatorów first-party. Skracacz dostarcza czysty stan przez przekierowanie i udostępnia przesyłanie uwzględniające zgodę, które administrator łączy ze swoim bannerem.

Oczekiwane w Q3 2026 wytyczne EDPB podniosą poprzeczkę. Projektowanie tylko pod obecne wymogi jest krótkowzroczne; projektowanie zgodnie z intencją Art. 5(2) — wyraźną, granulowaną i dobrowolną zgodą na krzyżowe łączenie danych — to podejście, które przetrwa kolejną falę egzekwowania przepisów.

Powiązana lektura#

Wypróbuj Elido

Skracarka URL hostowana w UE: własne domeny, głęboka analityka i otwarte API. Darmowy plan — bez karty kredytowej.

Wypróbuj Elido za darmoZobacz cennik
Tagi
consent mode v2
google consent mode
digital markets act
zgodność z dma
ad_user_data
ad_personalization
śledzenie server-side
measurement protocol

Czytaj dalej