Tipy ke cookies od Q4/2021 z praxe analytika

V září 2021 sněmovna schválila novelu zákona o elektronických komunikacích, která přijde v platnost už v lednu 2022. Česká zákonodárná moc tím dohání dříve vydanou směrnici ePrivacy, která již ve většině států EU funguje. Novela se bude týkat téměř každého, kdo má webové stránky!

Disclaimer: Nejedná se o právní výklad, ale spíše praktické tipy a doporučení založené na praxi našich profesionálů. Článek vznikl ve spolupráci s Tomášem Pauchem z eLegal, kterým tímto děkujeme za podporu v právní oblasti a těší nás jejich zájem o to, aby digitální svět fungoval právně správně.

Podle novely si už v žádném případě nevystačíte se vzorovou stránkou ke GDPR staženou z internetu. A po starostech nebudete mít ani v případě, když k tomu přidáte informativní lištu o cookies, která nebude mít žádné funkční dopady na analytické či marketingové značky.

Provozovatelé webových stránek budou muset od návštěvníka získat jasný souhlas, aby jeho data a k tomu určené nástroje pro sledování (Google Analytics, Smartlook, remarketingové kódy) mohli využívat za jasně daným účelem. Je potom jedno, zda půjde o údaje z webových stránek (IP adresa, identifikátory cookies), uživatelem zadané údaje (email, telefon, adresa) nebo údaje ze zařízení uživatele (geolokační údaje, informace o zařízení či rozlišení obrazovky apod.). 

Na základě úpravy zákona se zavádí režim opt-in = uživatel bude muset předem odkliknout souhlas s použitím cookies. Bez souhlasu nebude možné data začít ani sbírat. Jedinou výjimkou jsou data, bez kterých nemůže webová prezentace fungovat (uložené produkty ve wishlistu, preferovaný jazyk, barevný vzhled nebo aktuální produkty v košíku apod.).

Obsah článku

Článek jsme koncipovali jako přehled praktických tipů a doporučení, který můžete nasměrovat na marketingové speciality a analytiky, aby proběhla správná adaptace do praxe.

  • Co jsou to cookies
  • Co si pohlídat při zavádění souhlasu dle nově platné novely zákona?
  • Co udělat v Q4/2021?
  • Související témata k problematice ochrany soukromí v digitálním světě 
  • Jak bude vypadat cílení v post-cookie digitálním světě světě?

O Cookies

Co jsou to cookies?

Cookies nejsou sušenky, jak se to nyní na webových stránkách objevuje až moc často. Jsou to malé textové soubory obsahující nejčastěji reklamní a uživatelské identifikátory (shluky čísel a písmen) sloužící ke spojení aktivit s konkrétním prohlížečem a především identifikaci uživatelova návratu v budoucnu. Zároveň zajišťují funkce některých pokročilejších částí webu.

Cookies rozdělujeme na:

  • cookies prvních stran: 1st party – vytváří vaše stránka
  • cookies třetích stran:  3rd party – vytváří skripty a kódy partnerů, které do webu vkládáte 

Cookies třetích stran nejčastěji využívají reklamní systémy a analytické nástroje k tvorbě přesnějších publik pro cílení reklam nebo sledování pohybu uživatelů po webu.

Co jsou to cookies lišty?

Cookie lišty jsou části webu, které zprostředkovávají rozhraní pro rozhodnutí uživatele o používání jeho osobních údajů (primárně identifikátorů uložených v souborech cookies) pro další zpracování (nejčastěji cílení reklam či sledování pohybu na webu). Jejich formát je různý a měly by nabídnout jednoduchou a přehlednou možnost pro vaše rozhodnutí.

Aktuálně se mění situace, kdy potřebujete pro každý účel zpracování těchto souborů (obsahuje i jejich samotné uložení do zařízení uživatele) souhlas, který splňuje náležitosti dle GDPR. Evropská Unie (GDPR) vyžaduje, aby souhlas byl:

  • informovaný,
  • pro konkrétní účel,
  • na určenou dobu,
  • udělený aktivně,
  • svobodný,
  • odvolatelný stejně jednoduše, jak byl poskytnut.

Co si pohlídat při zavádění souhlasu dle nově platné novely zákona?

Prohlížením webu souhlasíte…

Tato jednoduchá informace pro uživatele o využití cookies už možná nebude.

  • Od uživatele budete potřebovat provést aktivní akci – checkbox či tlačítko nebo přepínač
  • GDPR říká, že souhlasy by měly být oddělené a měly by se stupňovat v účelu i rozsahu (uživatel by měl mít možnost vybrat, co o něm můžeme sbírat – odsud vyplývají často doporučované kategorie např. Netechnické, Preferenční, Statistické, Marketingové cookies)
  • V defaultním stavu by mělo být vše odškrtnuto / vypnuto (kromě technických cookies)
  • Ukládat cokoli do počítače na straně uživatele by mělo být možné odsouhlasit

Výchozí nastavení cookie lišty

Cookie lišta musí jít dát jednoduše pryč. Nesmí být v trvale zobrazeném stavu bez možnosti ho vypnout “na pozadí” nebo pouze s možností “souhlasím”. Platí to také pro mobilní zařízení. Kromě porušení zásad o ochraně osobních údajů, byste uživatelům v takovém případě házeli klacky pod nohy sníženou použitelností webu. Je vhodné zajistit a umět řídit to, jak se lišta zobrazuje a chová při odmítnutí či ignorování.

Pokud uživatel cookies lištu nepotvrdí (nevybere jednotlivé kategorie cookies a potvrdí), automaticky musíte pracovat s výchozím stavem – vše zamítnuto.

Doporučená podoba cookie lišty

  • Spravovat možnosti a mít v nich jasno – musí být jasně definované – mám rozhodnout o každé cookie, o každém reklamním systému či o každém účelu, uživatel musí vědět o čem rozhoduje, co schvaluje; to ještě umocňuje případ, kdy se uživatel k lište bude vracet například v situaci, kdy chce souhlas odvolat
  • Nechci nic – doporučené je umístit i možnost nesouhlasím se vším, to ale může způsobit až příliš velký příliv opt-outů
  • Doporučené možnosti v liště (střední cesta) – souhlasím se vším, spravovat možnosti a až zde odmítnout vše – praxe ukáže zda je tato možnost právně a eticky přijatelná

Doporučení ke cookies liště a směsice nápadů ke sbírání dat

Kromě úprav cookies lišty jsou zde poznámky, které nás k tomuto tématu napadly.

  • V podmínkách ochrany osobních údajů doporučuje umístit tlačítko, které opět vyvolá lištu a umožní uživateli změnit souhlasy; vy musíte okamžitě smazat příslušné cookies a zamezit dalšímu zpracování dat, která uživatel zakázal zpracovávat.
  • Argument, že potřebuji ukládat cookie k růstu mého podnikání neobstojí.
  • Cookie wall či consent wall (zákaz přístupu na web bez souhlasu) není možný = uživatel musí mít možnost používat web i v případě, že se v cookie liště nevyjádřil.
  • Google či jiná reklamní platforma může mít na consent jiné požadavky, než právní legislativa v dané zemi (např. dle české legislativy nemusíte mít nyní cookie lištu (do 1. 1. 2022), ale Google v podmínkách používání Google Analytics i Google Ads uvádí, že si máte souhlas uživatele zajistit); tyto systémy samozřejmě tlačí na to, aby data, která se do nich dostávají, byla co nejčistší a právně v pořádku – důvodem může být například, to že Google Ads začali v recommendation boxu rozesílat informace o tom, že udělení souhlasů zlepší vaše kampaně.
  • Stále platí, že je vhodné mít na webu kvalitně, snadno dohledatelné a srozumitelné informace o cookies, zprostředkovatelích, kteří přejímají data uživatelů, dobu na kterou se údaje sbírají, platnost cookies, obnovení jejich platnosti a data, která obsahují.
  • Doporučujeme, aby se cookie lišta tvářila jako součást webu respektující jeho design a ne jen přilepený box od náhodného poskytovatele
  • Google Analytics jako nezbytné cookies neobstojí ani bez Demografických a reklamních dat
  • Cookies v EU: Legislativa v dalších státech EU kopíruje ePrivacy a výklad je stejný: opt-in vždy a všude (je zbytečné hledat skulinky) opět myslete na to, že zásady reklamních systémů (viz výše zmiňovaný Google) platí celosvětově
  • Neplést si souhlas s cookies s tím, že mohu do všech reklamních systémů posílat osobní údaje zákazníka jako je e-mail či telefonní číslo – pro takové zpracování musím mít samostatný souhlas

Změny u Facebooku a pixelu

Facebook se sbíráním osobních údajů zápasí už snad od jeho vzniku. Nyní se ho změny dotknou ve velké míře.

  • Vyřešené lookalike audience – pokud si do Facebooku nahrajete e-maily zákazníků pro vytvoření vlastního nebo lookalike seznamu, potřebujete souhlas pro využití k tomuto účelu. 
  • Pozor na Advanced Matching u Facebooku – tato funkce je již na rámec cookies a je nutný souhlas se zpracováním uvedených údajů za účelem cílení reklamy: emailová adresa, telefon, jméno, příjmení, město, stát, kraj, PSČ a pohlaví. Kdy má uživatel tento souhlas udělit je slozite říct a doporučujeme se poradit se právníky.
  • Více pixelů na více webech – využití více pixelů by mělo být bez problémů, pokud se jedná o jednu firmu (hlavní web + satelitní weby); pokud pixel bude na více webech různých firem, není to správně
  • Majitel reklamního účtu – v ideálním případě by měl být majitel reklamního účtu, pixelu (či celého Business Manageru) jen jeden a to ten, komu uživatel potvrzuje sběr údajů. To může být velký problém, protože mnohdy zakládají tyto účty specialisté ze svých osobních FB účtů

Využití e-mailu pro newsletter

Na mnoha webových stránkách se může uživatel registrovat k odběru newsletteru. Nikde však není zmíněno, že se tento e-mail dostane do dalších 10 marketingových systémů, několika automatizací a třem dalším zpracovatelům (agenturám).

Uživatel toto nemá šanci zjistit, ale vy tím budete porušovat podmínky, pokud vám tyto účely neodsouhlasÍ.

Dvě úrovně fungování remarketingových tagů cookie

Většina reklamních systémů nabízí dvě úrovně :

  • jedna si vytvoří id (to čemu říkáme aktuálně cookies a s čím souhlasíme) podle kterého vás sledují = stačí souhlas s cookies
  • druhá úroveň žádá provozovatele webu o zaslání vašeho osobního údaje nejčastěji email či telefon = musíte mít souhlas se zpracováním údajů za konkrétním účelem (jako např. Advanced Matching na Facebooku)

Povinnost zpracovatele

Pokud zpracovatel zjistí, že správce některé údaje zpracovává neoprávněně, máte povinnost správce informovat.

V tomto ohledu stačí opravdu informovat ve stylu “Myslíme si, že tyto osobní údaje zpracováváte bez souhlasu s GDPR, která pro vás vyplývá.”

Dokud nebude dán výslovný rozsudek správcem (klientem), že je spolupráce pozastavena, můžete pracovat jako zpracovatel dál.

Co udělat v Q4/2021?

Úpravu cookies lišt, stránek s GDPR a změny v navazující měřením neodkládejte a začněte na tom pracovat již nyní.

  • Seznámit se s problematikou a změnami, které přichází se změnou z opt-out na opt-in
  • Implementovat vlastní nástroj pro správu souhlasů či využít partnera třetí strany
  • Začít napojovat reklamní a analytické systémy na consent a zvykat si na novou baseline
  • Testovat varianty cookie lišt a vyhodnocovat jejich opt-in rate
  • Sledovat příklady dobré praxe (GCP) v zahraničí, u konkurentů i napříč trhem
  • Testovat možnosti odvolání souhlasu následné smazání dat a žádosti uživatelů o smazání dat podle GDPR
  • Pozor na privacy washing – je možné že bezpečnost a ochrana soukromí se stane jednou z budoucích konkurenčních výhod, podle které si zákazníci budou vybírat kde nakoupí či komu svěří své údaje – vždy je potřeba k této situaci přistupovat s klidnou hlavou a vyhnout se extrémním doporučením
  • Zvažte, zda je pro vás vhodné využít principy monetizace osobních dat uživatelů

Související témata k zavádění novely

Situace ohledně mobilních zařízení (ATT – app tracking transparency)

Operační systémy (primárně Apple a jeho iOS) začali po aplikacích vyžadovat respektování souhlasu s nastavením zařízení, které nechce být trackováno a zároveň dotázání při prvním spuštění aplikace na to, zda uživatel chce nebo nechce být měřen.

Aktuálně tento souhlas či nesouhlas rozhoduje plošně o veškerém měření – reklamní systémy, reklamní id, analytika, analytické nástroje a další knihovny (Facebook, Google Analytics, Smartlook apod.). Není přesně stanoveno, kdy se má souhlasné okno objevit a zda je tam možné před jeho zobrazením uživatele informovat o tom, co následující souhlas znamená a jak s ním budete pracovat.

Úprava cookies v prohlížeči (ITP – intelligent tracking protection)

Safari již několik let blokuje 3rd party cookies a u 1st party nastavuje platnost 1 den, obdobný přístup přístup zaujmou i další prohlížeče v nejbližších měsících či letech

Měření konverzí a publik přes server

Aktuálně Google, Facebook i další systémy umožňují měření pomocí server-side funkcí. Toto nastavení je samozřejmě nutné používat vždy až po souhlasu uživatele, protože se často k identifikaci používá osobní údaj, jako je třeba e-mail. Případně je nutné posílat tyto údaje plně anonymizovaně – tedy například tak, že pouze nastala konverze. Těmito technikami se neobchází nutnost souhlasu, ale obchází se rozmařilost adonů blokujících reklamu a zpřísňování práce s cookies na úrovni prohlížeče

Jak bude vypadat cílení v post-cookie digitálním světě světě?

First-party data

Velkou roli budou hrát first-party data, tedy data, která o svých zákaznících po příslušných souhlasech nasbíral sám provozovatel webu – příkladem může být e-mail marketing, push notifikace a reklama přímo v rámci webu či aplikace. K plné síle se pak vrátí obsahové weby, mediální domy v čele s video obsahem, které budou využívat své impérium obsahových stránek k doručení cílených reklam, zároveň bude větší motivace tvořit obsahovou část webu právě s cílem vyžívat vlastní data o vašich návštěvnících k cílení konkrétních obchodních nabídek.

Privacy sandboxy 

Jednotlivé globální organizace a reklamní domy přistupují k tvorbě tzv. Privacy sandboxů – tedy seskupování agregovaných dat o uživatelích s konkrétním chováním (např. dle navštívených stránek v prohlížeči) – rozdíl oproti cookies je v tom, že dle cookies můžu cílit na konkrétní uživatelé dle privacy sandboxu na skupiny uživatelů.

Kontextové cílení

Vrátíme se pár let zpátky, kdy hlavní slovo hrálo kontextové cílení, tedy cílení dle obsahu stránky, kterou právě uživatel čte. Za tu dobu se posunulo zpracování textu pomocí umělé inteligence, a tak se posuneme od jednoduchého cílení na klíčová slova na skutečně tématické cílení.

Přihlášený uživatel

Cílení na konkrétní uživatele, kteří souhlasí a jsou přihlášení a více méně zpeněžují svá data tím, že sdělují své zájmy. Na základě reklam, které jsou na ně cíleny, vydělávají – přístup demonstruje například browser Brave a další platformy tohoto typu, které se podobají skupinovému nakupování z přelomu milénia (sleva platí, pokud sežene dost lidí, co nakoupí s vámi).

Jsme odborníci na analytiku a rádi vám pomůžeme nastavit měření tak, aby bylo vše včas připravené na aktualizovanou novelu. K tomu se postaráme o průběžnou správu měření nebo navazující práci s daty. Pokud vás zajímá právní výklad, obraťe se na našeho partnera – eLegal.cz

Disclaimer: nejedná se o právní výklad, ale spíše praktické tipy a doporučení. Článek vznikl ve spolupráci s eLegal, kterým tímto děkujeme za podporu v právní oblasti.

Scroll to Top