Problematika Cookies 2022 ve zkratce
- Novela zákona o elektronických komunikacích (zákon č. 374/2021 z 15.9.2021) od 1. 1. 2022 ukládá nové povinnosti při využívání zařízení koncového uživatele - to se dotýká i cookies a jejich ukládání do PC, mobilů, tabletů apod.
- Nově lze ukládat "statistické a marketingové" cookies až po získání výslovného/aktivního souhlasu uživatele (doposud stačilo informovat a nabídnout odmítnutí)
- Toto je zásadní změna pro fungování webů, neboť cookies jsou v praxi často nezbytné pro většinu moderní funkcionality webů, pokročilé měření, sledování, cílení, vyhodnocování reklam atd. Nejedná se tedy o kosmetickou "výměnu cookies lišty", jak je občas mylně prezentováno.
- Zákon stanoví výjimku při využívání koncového zařízení v případech nezbytných k provedení přenosu sdělení prostřednictvím sítě nebo je-li to nezbytné k poskytnutí uživatelem vyžádané služby
- Problematika nutnosti získání souhlasu se řeší nezbytnou změnou fungování webů, adaptací měřících kódů/pixelů a tzv. rozšířenou cookies lištou (dosavadní česká legislativa a výklad Úřadu pro ochranu osobních údajů z roku 2018 umožňoval spoléhat na poskytování souhlasu uživatelovým nastavením prohlížeče)
- V praxi je nezbytné se připravit na významné dopady na fungování a měření webů, a zejména efektivitě on-line reklamy, vyhodnocování, affiliate marketingu atd.
- Při nedodržování hrozí nemalé pokuty
Co jsou cookies
- Cookies jsou technické soubory, které si prohlížeč uživatele ukládá do zařízení (PC, mobil, tablet atd.) při návštěvě webové stránky/e-shopu/webové aplikace - stránka tyto cookies soubory pošle, prohlížeč si je uloží a při další návštěvě stránky je automaticky odešle dané stránce
- K čemu jsou cookies užitečné a čím si zasloužily tolik pozornosti:
- Při běžném používání webu jsou cookies užitečné soubory a nejsou ničím extra zvláštní
- Do cookies si webové aplikace typicky ukládají drobná data nezbytná pro udržování kontinuity komunikace s uživatelem a základní fungování webu (např. pro identifikaci nákupního košíku, identifikaci relace, identifikace autentizačního ID, preference rozlišení obrazovky, řazení apod.).
- Cookies se také často využívají k identifikaci návštěv při měření návštěvnosti webu pomocí nástrojů 3. stran jako např. Google Analytics
- Při využití pro sledování uživatele a reklamu se již děje spoustu věcí
- Uživatel se nevědomky pomocí měřících skriptů při návštěvě webu A spojí, resp. navštíví, X dalších webů, které mu také nabídnou své cookies, což znamená, že při návštěvě jednoho webu získá uživatel cookies z X webů, u kterých netuší, že se s nimi jeho prohlížeč spojil.
- Při návštěvě webu B, který používá stejné měřící/sledovací systémy, uživatel nevědomky opět navštíví oněch X + Y dalších webů a jeho prohlížeč pošle těmto webům cookies, kterou získal "při" návštěvě webu A atd.
- Toto využívání zařízení uživatele pro jeho sledování zpravidla bez jeho vědomí se mimo jiné snaží evropské právo omezit a nechat uživatele informovaně rozhodnout, co a za jakým účelem se uloží do jeho zařízení
- Při běžném používání webu jsou cookies užitečné soubory a nejsou ničím extra zvláštní
Proč je nezbytný souhlas a jak s ním nakládat
- Povinnost získat souhlas s použitím zařízení uživatele ukládá nově zákon. Novela zákona o elektronických komunikacích z. č. 374/2021 sb. nově ukládá povinnost při ukládání údajů nebo získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získat předem prokazatelný souhlas s rozsahem a účelem jejich zpracování.
- Proč to nebylo potřeba dříve? - § 89 odst. 3 zákona č. 127/2005 Sb. o elektronických komunikacích stanovoval každému, kdo chce uchovávat informace nebo přistupovat k informacím uchovaných na koncovém zařízení, povinnost uživatele o tom informovat a nabídnout jim možnost odmítnout. Tedy tzv. opt-out režim, který nebyl v souladu s požadavky evropského práva.
- Výjimka pro "Technické cookies" - Podle znění § 89 odst. 3 zákona o elektronických komunikacích od 01. 01. 2022 se výjimka vztahuje na následující situace „Tato povinnost (získat souhlas s ukládáním nebo získáváním dat ze zařízení) neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“
- Práce s cookies v sobě zahrnuje jak práci se zařízením koncového uživatele, tak často nějakou formu zpracování osobních údajů.
- Jaký musí být souhlas: prokazatelný, dobrovolný a pro každý jednotlivý účel (je problematické spojit vše do jediného souhlasu, neboť plošné odsouhlasení nebude v souladu s požadavky na souhlas, zároveň je protiprávní vynutit si souhlas pomocí - prostřednictvím tzv. Cookie wall)
- Je však praktické spojit souhlas s ukládáním cookies se souhlasem se zpracováním osobních údajů pro účely marketingu nad rámec Vašeho oprávněného zájmu - neboť se jedná o spojený účel
- Při zpracování osobních údajů v cookies z hlediska GDPR jste v roli správce a my jako poskytovatel technologie webu v roli jednoho ze zpracovatelů. Při využívání systému 3. stran jste typicky v roli společného správcovství, neboť jak Google, tak Facebook společně s Vámi určuje účely a prostředky zpracování na základě dohody mezi správci.
- K formě získání souhlasu - čl. 5 odst. 3 směrnice ePrivacy stanoví, že souhlas s cookies musí splňovat požadavky souhlasu se zpracováním osobních údajů. Totéž bude platit pro nařízení ePrivacy.
-
Pokud web používá pouze nezbytné cookies, souhlas potřeba není a z ničeho neplyne ani povinnost uživatele informovat. To neplatí v případě, že bude skrze cookies docházet ke zpracování osobních údajů - pak je nezbytné informovat uživatele dle GDPR. Vhodným místem je prohlášení o ochraně osobních údajů (není nezbytné použít cookies lištu)
Praktické dopady pro vlastníky webů
- Novela zákona se týká každého vlastníka/provozovatele webu. Musíte reagovat, pokud používáte statistické nástroje Google Analytics nebo jiné (např. VWO) nebo měřící kódy(pixely) reklamních systémů Google Ads, Sklik, Facebook apod.
- Součástí verze WebSynergy 4.3.28 11/2021 je přepracovaná funkcionalita práce s cookies a cookies lišta implementující aktuální legislativní požadavky, které budou účinné od 1.1.2022
- Měřící kódy budou updatem automaticky zmigrovány do souhlasu se statistickými daty (tedy pokrytí nejčastější situace s nasazenými Google Analytics). Kódy reklamních sítí Google Ads, Facebook a další Vám po dohodě přegenerujeme do no-cookies a cookies variant, na které je systém WebSynergy již rozšířený, to samé lze i se základními měřícími kódy Google Analytics - v případě zájmu nás neváhejte kontaktovat.
- V praxi se připravte na:
- propad měřených údajů od uživatelů, kteří neposkytnou souhlas, v desítkách procent
- tím na zhoršení vyhodnocování návratů, průchodu uživatelů webem, apod. v Google Analytics (v no-cookies/no-consent variantě nespojí efektivně data uživatele při jednotlivých načtení stránek)
- dále na zhoršení vyhodnocování efektivnosti kampaní v Google Ads (v no-cookies/no-consent variantě neposílá měřící skript identifikátor kliknutí GCLID)
- zhoršení efektivnosti remarketingu a sběru remarketingových skupin
- Do budoucna se dá očekávat, že s běžným výskytem žádostí o souhlas na většině webů si uživatelé zvyknou souhlas poskytovat a poměr poskytnutých souhlasů poroste.
- Na co je potřeba myslet u sbírání souhlasů
- V první řadě je potřeba myslet na to, že nově vyžadování souhlasu bude pro řadu uživatelů nečekaná "překážka" k samotnému obsahu, případně i forma obtěžování, dokud se tato funkcionalita obecně nezaběhne napříč českými weby a uživatelé si na to nezvyknou.
- Souhlas musí být jednoznačný, informovaný a neovlivněný - proto pro striktní dodržení zákonných požadavků, není vhodné jakkoli zastírat/zabalovat účel a informování o poskytnutí souhlasu s cookies
- Důrazně doporučujeme vyhnout se vnucování poskytnutí souhlasů výraznou formou, protože tím zvyšujete výrazně riziko, že uživatel web okamžitě opustí. Na jednu stranu tak sice můžete získat více souhlasů, ale propadne se Vám reálný obrat, včetně negativního dopadu na hodnocení Vašeho webu ve vyhledávačích jak pro Google Ads reklamy, tak pro přirozené výsledky.
- Navrhli jsme proto cookies lištu, která je v co největším souladu s předchozí informační lištou. Tato forma má za cíl předně neodradit zákazníka, aby prošel úspěšně webem a provedl vytyčené konverze. Zároveň by tato forma měla být uživatelům blízká, díky již zažité podobě, kdy potvrzoval, že rozumí použitím cookies dle legislativy před 1. 1. 2022.
- Zároveň propad změřených dat není taková tragédie, jak se může na první pohled zdát. Statisticky se jedná pouze o snížení spolehlivosti - resp. přípustné odchylky.
- V prvé řadě ani dnes nemáte 100% data - ať už proto, že Vás kontaktují zákazníci nejen skrze web, ale telefonicky, e-maily, fyzicky, na sociálních sítích atd. což může být u neprodejních webů 30 až 70 % všech kontaktů - tzn. webová statistika Vám v tomto případě popisuje konverzní chování např. jen 30 % uživatelů.
- Jiná situace je u e-Shopů, ale ani tam nejsou data 100% protože není neobvyklé chování, kdy se uživatel rozhoduje o koupi déle než jednu relaci a při reálném uskutečnění nákupu už nemusí mít stejné zařízení nebo uloženou cookies.
- Zároveň nebývá neobvyklé, že na základě měření chování v určitém období (např. 2-3 měsíce), predikujete chování na zbytek roku - tzn. z hlediska času jen na vzorku 20-25 % dat.
- Tzn. statisticky vždy popisujete chování skupiny na základě neúplných dat a vyšší objem dat Vám pouze zvyšuje spolehlivost měření v řádu procent (Zde uvedeme příklad, např. předvolebních průzkumů, kdy je popsán soubor cca 8,5 milionu voličů na základě vzorku 1400 respondentů)
- Proč rozlišujeme cookies na statistické a marketingové
- V praxi bude od 1. 1. 2022 nezbytné u obou účelů získat souhlas, před jejich uložením. Do budoucna se v chystaném nařízení ePrivacy očekává, že u statistických cookies bude stačit poskytnutí souhlasu nastavením prohlížeče - tzn. datově se již na tuto situaci připravujeme
Kategorie cookies a jejich rozlišování
- Pro úplnost se ještě zastavme u tzv. kategorií cookies a jejich rozlišování.
- Legislativa sama kategorie cookies nerozlišuje a ani se přímo cookies nezabývá - jde o ukládání do zařízení koncového uživatele obecně. Z obecného principu nutnosti získat souhlas před užitím zařízení koncového uživatele s výjimkou pro využití nezbytného k zajištění přenosu dat a poskytnutí vyžádané služby, kategorizace cookies samotných není významná.
- Bude tedy existovat prostor pro výklad nezbytných cookies pro zajištění přenosu dat v síti a poskytnutí vyžádané služby (tzn. např. naplnění košíku, přehrání videa uživatelem, přihlášení se klientské zóny apod.), které zaplní až praxe.
- WP29 výkladový materiál ke směrnici ePrivacy – stanovisko 04/2012 on Cookie Consent Exemption, existuje přehled cookies, které nevyžadují souhlas anebo které souhlas naopak vždy vyžadují. Tento výklad by měl být relevantní dodnes, jelikož směrnice ePrivacy nebyla od té doby změněna.
-
Mezi cookies, které souhlas nepotřebují mohou spadat:
- „User-input“ cookies uchovávající údaje, co kde uživatel vyplnil, ale jenom po přiměřeně dlouhou dobu poté, co uživatel opustí stránky, kde např. vyplňoval nějaké údaje nebo e-shop, kde naplnil košík
- Authentication cookies - tedy autentizační cookies, kde by však životnost neměla překonat délku relace uživatele
- User centered security cookies - cookies využité pro bezpečnost služeb, u nich se předpokládá delší životnost než jedna relace, s ohledem na účel
- Multimedia player session cookies - preferenční nastavení k přehrávání multimedií
- Load balancing session cookies - specifické cookies pro řízení výkonnosti
- UI customization cookies - preferenční cookies, taktéž ale po dobu trvání jedné relace, na delší dobu už je třeba souhlas
- Social plug-in content sharing cookies - vybrané cookies plug-inů sociálních sítí, ale pouze pro uživatele, kteří se přes sociální sítě připojili nebo jsou aktuálně přihlášeni, protože jenom ti by mohli chtít takovou službu využít a také jenom po dobu trvání relace
-
Mezi cookies, které naopak souhlas potřebují mohou spadat:
-
Social plug-in tracking cookies - sledovací cookies sociálních sítí
-
Third party advertising cookies - zahrnující všechny „provozní“ cookies s reklamou spojené
-
First party analytics - zde jsou výkladová pravidla zvláštní, protože i když to jde proti textu směrnice ePrivacy, uvádějí, že namísto souhlasu postačuj opt-out, anonymizace dat apod.
-
-
Právní předpisy
- zákon č. 127/2005 Sb., o elektronických komunikacích a jeho novela č. 374/2021
- zákon č. 110/2019 Sb., o zpracování osobních údajů
- GDPR - nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
- směrnice ePrivacy - směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích)
- nařízení ePrivacy - návrh nařízení Evropského parlamentu a Rady (EU) o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích)
- Doporučení k zpracování cookies a obdobných prostředků sledování od 25. května 2018 vydané Úřadem pro ochranu osobních údajů (ÚOOÚ)
- Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679, verze 1.1, přijaté Evropským sborem pro ochranu osobních údajů (EDPB) dne 4. května 2020
- Pokyny EDPB č. 8/2020 - Guidelines 8/2020 on the targeting of social media users, version 1.0, adopted on 2 September 2020 by EDPB
- ICO Guidelines on cookies - Guidelines on the use of cookies and similar technologies, adopted by Information Commissioner’s Office (ICO) on 3. July 2019