Obsah
Možná jste postřehli, že nám sněmovna stihla schválit novelu zákona o elektronických komunikacích. V té najdete upravené i povinnosti, které se k vám vážou při práci s cookies.
A protože vím, že není sušenka jako sušenka: pod pojmem cookies si prosím představte jakékoliv technické řešení (fingerprints, beacon, cookies…), pomocí kterého vyhodnocujete chování návštěvníků vašeho webu.
Co novela přináší nového?
Pokud na webu pracujete s cookies, bude od Nového roku zapotřebí souhlas návštěvníka webu nejen s cookies pro účely profilování a remarketingu, ale také s těmi, které jsme dodnes řadili pod analytiku – tedy tzv. oprávněný zájem.
Pojďme na to mrknout prakticky:
- Funkční cookies – běží automaticky. Jsou to ty, které potřebujete pro zobrazení a správnou funkci webu (služby). O těch návštěvníka webu jen informujte.
- Analytické a preferenční cookies – nově se souhlasem.
- Cookies pro profilování a remarketing – po staru se souhlasem.
Jak souhlas získat?
Pomocí cookie lišty. Mějte ale na paměti tato pravidla:
- Souhlas nesmí být podmínkou pro návštěvu webu! Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
- Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování! J
- Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“
- Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
- Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
- Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách
- Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
Nezapomeňte, že o všech cookies je potřeba mít zpracovaný dokument (informaci o zpracování cookies), který uvádí
- kdo jste
- jaké cookies, proč a na jak dlouho zpracováváte
- jaké nástroje používáte
- jaká mají návštěvníci webu práva
- jak případně udělený souhlas odvolat
Je mi jasné, že úpravy nevzbudí přílišnou vlnu nadšení. Proto bych chtěla uvést dva poznatky z praxe.
První: cookies lišta bude většinou první věcí, co návštěvník vašeho webu uvidí. Myslete na to i z marketingového hlediska a věnujte pozornost nejen právnímu a funkčnímu řešení, ale zapojte do toho i UX a budování značky. Berte to (se skřípěním zubů, já vím!) jako příležitost se odlišit.
Druhý: pamatujete na paniku s příchodem GDPR? A pamatujete, že se konec světa nekonal?
Pár (snad) nadějných zpráv na závěr:
- Pokud pracujete s technologií, která pro údaje do „koncového zařízení“ – tedy přímo do telefonu, počítače nebo tabletu nijak nesahá – podařilo se vám režimu zákona uniknout. Stále ale myslete na GDPR.
- V Evropě i nadále leží návrh nařízení ePrivacy, které počítá s úplným zrušením lišt a nahrazením souhlasů pomocí prohlížečů. Jeho osud je ale už několik let věštěním z křišťálové koule.
Nahrávka ze SEOlogeru 58: Otřesy v právu pro rok 2022: co se tady změnilo? (Petra Dolejšová)
Na základě živé diskuse, obrovského možností špatných řešení a SEOlogeru na toto téma jsem se rozhodl uspořádat webinář, který v tématu cookie lišta od roku 2022 udělal pořádek. Níže nabízím jednotlivá témata webináře jako video a stručné shrnutí:
Právní pohled – Petra Dolejšová
Pokud na svém webu pracujete s cookies (a pod nimi si představte různá technická řešení typu fingerprints, beacon aj.), bude od 1.1.2022 zapotřebí souhlas návštěvníka webu nejen s použitím cookies pro účely profilování a remarketingu, ale nově i s těmi, které jsme dodnes řadili pod analytiku.
Jinými slovy: bez souhlasu mohou fungovat jen ty cookies, které jsou pro web po technické stránce nezbytné.
Souhlas se sbírá pomocí cookies lišty. Už vám tedy nepomůže typicky český “kočkopes” v podobě odvození souhlasu z nastavení prohlížeče.
Cookies lišta by přitom měla splňovat určité náležitosti, aby souhlasy byly udělované tak, jak si GDPR představuje: dobrovolně.
Tak například:
- souhlas by neměl být předzaškrtnutý
- neměli byste se ho domáhat agresivně a přespříliš vyzývavě
- skutečnost, že vám souhlas nedám, nesmí vést k tomu, že mi web nezpřístupníte
- dát či nedat souhlas by mělo být stejně jednoduché
To však neznamená, že by vaše weby měly být plné nudných právních textů! Pamatujte na to, že lišta bude (bohužel ještě nějaký ten pátek) to první, co návštěvník vašich stránek uvidí. Do týmu při tvorbě řešení tedy vemte nejen právníky, ale hlavně marketingové mágy, co ví, jak (ideálně právně správně) na věc.
UX pohled – Michal Voják
Vždy si na začátek řekněte, jak je pro vás souhlas s používáním cookies důležitý. Pokud na tom nestojí vaše podnikání (neřešíte remarketing a pod.), doporučoval bych zvolit méně agresivní variantu, která spočívá ve spodní liště, která nepřekáží uživateli. Pokud naopak potřebujete získat co nejvíce souhlasů, zvolte spíše variantu, která více vybízí uživateli k nějaké akci.
V obou případech je vhodné nasazené řešení měřit, testovat a vylepšovat, aby na vašem webu mělo co největší úspěšnost.
Každá cílová skupina a každý produkt se může chovat trochu jinak. Pokud máte silný brand, nebo máte produkt, který vaši návštěvníci potřebují a nemají se moc kam jinam moc obrátit, či víte, že uživatelé jsou u vás registrovají a chodí k vám pravidelně, bude pro vás varianta, která více vybízí k akci úspěšnější.
A nakonec myslete na mobily. V dnešní době je na webech velká návštěvnost na mobilních zařízení, někdy až 80 %. Je tedy dobré věnovat velkou část vašeho návrhu cookies lišty do mobilní verze a tam ji optimalizovat.
Vývojářský pohled (rychlost webu) – Martin Michálek
Obecná doporučení:
- Načtěte cookie lištu co nejdříve.
- Pokud je to možné, vyhněte se v ní velkým prvkům, které mohou být LCP elementy.
- Dávejte si pozor na animace a vyjíždění lišty shora.
- Testujte dopad rychlosti vybraných řešení.
- Měřte dopad na rychlost s cookie-lištou nebo i bez ní.
Pro konkrétní lišty pak:
- Google Funding Choices: CLS a počet DOM prvků.
- Didomi: JavaScript (TBT, FID).
- Optanon: Vypnout animaci, načítání shora.
Kompletní doporučení od Martina najdete v článku: Cookie lišta, verze 2022.
Analytický pohled – Honza Tichý
- Majitelé webů, markeťáci a analytici bijí na poplach před cookie apokalypsou, Ono to ale zase taková katastrofa není. Pojďte se podívat, co se s tím dá dělat. Postupně, od rychlých až po chytrá řešení
- Můžete začát používat nějaký analytický nástroj, který nepracuje s cookies. Pak vůbec nepotřebujete cookie lištu podle Zákona o elektronické komunikaci. Takový nástroj je například SimpleAnalytics, Plausible nebo Fathom. Vyplývající omezení jsou ale přílš velká, v důsledku s nimi nemůžete sledovat návštěvníky, vyhodnocovat výkon reklamních kampaní ani řidit svůj výkonnostní marketing.
- Potřebujete tedy některou z cookie lišt. Pokud nechcete programovat vlastní řešení, můžete využít některé již hotové, například CookieBot. Nasazení opt-in přístupu určitě způsobí citelný propad naměřených dat, pokud ale uděláte lištu správně, bude to pravděpodobně jen třeba o 15–30 procent. Určitě nepřijdete o všecha data.
- Klíčové ale je, jak na vybranou volbu uživatele navážete chování vaší analytiky, měřicích systémů, reklamních pixelů.
- Úplně špatně je, pokud při nezískání souhlasu přestanete měřicí kody a jiné pixely úplně spouštět. Některé z nich totiž umí inteligentně respektovat nesouhlas uživatele s využitím cookies, ale přitom si i nadále posílat anonymizovaná data bez dat z cookies, tedy zcela v souladu se zákonem i zájmy uživatelů. Tomu se říká Consent Mode.
- Na základě takto nasbíraných anonymních dat o uživatelích, kteří vám nedali souhlas, si totiž měřicí a reklamní nástroje mohou udělat alespoň představu o tom, jak velká je ta “nezměřená díra v datech”. A s pomocí metod konverzního nebo behaviorálního modelování si mohou chybějící čísla odhadnout a dopočítat. To je kriticky důležité hlavně pro výkonnostní optimalizaci reklamních kampaní, pro správně fungující automatické strategie reklamních systémů.
- Dalším stupněm, jak se s chybějícími daty poprat, je úplně od základu změnit způsob jak se svou analytikou pracujete. Přesun od přesně naměřených návštěvnických dat z prohlížečů k 1st party datům o vašich zákaznících, větší důraz na prediktivní analytiku, datové modelování, kohortní analýzy apod.
- Neřítí se na nás tedy žádná cookie apokalypsa. Možností, jak se s novou situací popasovat a jak v novém světě pracovat s daty, je celá řada. A je to jenom příležitost pro to s těmito novými (a často i lepšími) postupy začít konečně pořádně seriózně pracovat.
Nebo se můžete podívat na celý webinář Jak na cookie lištu 2022 v kuse i s částí na dotazy:
Zdravím vás,
Zajímalo by mě, jak je to se službou Google Search Console, která prý cookies ke svému chodu nepotřebuje. Je třeba tuto službu taky nějak řešit?
Děkuji za odpověď
Google Search Console je v pohodě. Data sbírá Google sám a cookies tam nehrajou roli.
Děkuji za reakci Pavle. Chápu tedy správně, že pokud je na webu pouze GSC, není potřeba řešit cookie lištu?
To by mě také zajímalo. Mám menší weby na kterých nemám GA a koukám jen GSC. Nepoužívám ani žádné marketingové cookies. Bylo by fajn nemít lištu, ale jen nějaké upozornění v patičce. Předem díky za odpověď a ať se daří!
Mrkněte se na informace o vašich stránkách, zda tam máte cookies či ne. To je celkem slušná indikace. Pozor, některé skripty ale používají jiné technologie pro sledování a regulace se jich také týká. Takže pokud nemáte na stránce cizí skripty a nevidíte cookies, není důvod žádat návštěvníka o souhlas a lišta je zbytečná.
Díky za článek, měl bych ale k tomu jeden dotaz, pokud nedojde k potvrzení cookies jak to bude s konverzními kódy? Počítají se v tu chvíli taky mezi zakázané? Tedy je potřeba jejich ošetření? Pomiňme prosím otázku jestli dává smysl odeslání konverze bez měřícího kódu, jde mi o to samotné ošetření :-).
Děkuji
PS: každopádně díky za info ohledně možnosti zavření a odmítnutí všeho o tom se v dalších článcích moc nepíše
Asi bych potřebovala upřesnit, co si pod konverzními kódy přesně představujeme, tam se toho může vejít spousta – pokud se dají “odseparovat” nebo nepracují s cookies tzn. s informacemi uloženými v telefonu, tak normálně spadají dál pod oprávněný zájem (podle GDPR). Pokud se dají využít jen s použitím cookies (např. klasický affiliate tracking), tak si nepomůžem 🙂
Myslel jsem to tak, jestli je například možné odeslat při dokončení objednávky na eshopu samotný konverzní kód Skliku, případně konverzní kód pro adwords, v podstatě jde i o samotný konverzní kód pro affiliate.
Samotné měření a spárování s konverzí je u těchto kódu spojeno s nasazeným měřícím kódem, ten se vyloučí v případě, že návštěvník nedá souhlas s cookies – to ano, tomu rozumím.
Ale zajímalo by mě právě jak je to s těmi samotnými konverzními kódy. (To je kus kódu, který říká, že zákazník dokončil nějaký cíl – udělal objednávku)
Při jejich odeslání by k žádné manipulaci s cookies dojít nemělo. V podstatě je to stejná situace jako když na eshopu, který používá nějaký affil program uděláte objednávku, ale bez předchozího prokliknutí affil odkazu.
Nicméně tedy, pokud nebude docházet k žádné manipulaci s cookies tak by to mělo být v pořádku a tedy samotné konverzní kódy je možné v kódu stránky ponechat tak jak jsou.
Každopádně děkuji
Díky za doplnění, Lukáši, rozumím. Tady je ale potřeba mít na paměti, že je tady pořád GDPR, které říká, že pro marketing je potřeba souhlas. Tzn. pokud se jedná o kód, který se pojí například s konkrétní IP adresou, jsme v osobních údajích, jsme pod režimem GDPR a je potřeba souhlas. Tak jen pozor na to 🙂
Rád bych se prosím zeptal, pokud na webu využívám pouze cookies nezbytná pro funkčnost webu (PHP session pro přihlášení) a nepoužívám žádný nástroj pro sledování jako ke Toplost či Google Analytics, tak musím mít lištu o cookies nebo ne?
Děkuji za odpověď.
Není potřeba. Je potřeba jen nasadit do patičky dokument o cookies a informovat o těch funkčních.
Dobrý den,
mohla byste prosím ještě doplnit info, jestli když to zákazník odmítne, mělo by to být podle zákona navždy? Respektivě dokud si nepromaže např. nastavení prohlížeče. Nebo se můžeme po nějakém rozumném čase připomenout, že nemáme jeho souhlas, jestli nám ho přeci jen nechce dát 🙂 (nějak nenásilně po konzultaci s UX)?
díky
Nenásilně a přiměřeně samozřejmě můžete 🙂 Často se uvádí rozmezí 3-6 měsíců, ale to je podle mě zbytečně přísné..
A ještě mě napadl druhý dotaz. Souhlas zákazník uděluje k nějakému datu. Co dělat, když po tomto datu spustím nějakou novou službu a cookies této služby zákazník neodsouhlasil. Je nutné se ho ptát znovu nebo by to mohlo být v rovině: čím víc se ptám, tím víc se dozvím 🙂 díky
Takhle Čeňku. GDPR samozřejmě hlásá transparentnost a já vás navádět nemůžu. Správně byste se samozřejmě měl znovu zeptat. Ale jak píšete: čím víc se ptáte, tím víc se dozvíte.. 🙂
Dobry den, zajimalo by me, jak je to s jiz ziskanymi souhlasy. Kdyz uz cookie listu nejaky ten patek mame, a urcite procento lidi dalo “souhlasim s pouzitim cookies” – muzu to povazovat za to, ze souhlas udelili a nejakou dobu je tedy neresit, nebo se i techto lidi musim 1.1.2022 zeptat znovu a riskovat, ze si to rozmysleli?
Dekuji moc.
Dobrý den,
měl bych také otázku. Jsem provozovatelem webového řešení ala např. wix (nezáleží) a jedná se mi o tuto situaci. Pokud návštěvník webu řekl, že nechce ukládat žádná cookies (tedy pouze nezbytná), pak já jako autor webu musím zamezit vložení různých javascriptových kódů do jeho webu.
Řekněme, že si např. majitel webu povolil nahrávání uživatelů pomocí služby smartlook, tak pokud není samotný smartlook schopen fungovat tak, aby neuložil žádnou cookie (dle informací smartlooku ukládaj 3 cookies), pak jej není možné použit a kód tak vůbec nevkládat. Je to tak?
Děkuji
Dobrý den. Když si to tak pročítám, nabývám názoru, že tvůrci těchto výmyslů by byli nejšťastnější, kdyby se cookies zrušilo úplně. Pokud bych měl vše dodržet tak jak si představují, tak bude ve všem tolik nepřesností, že nemá cenu se tím zabývat.
Napadlo mě… není možnost osobní data nějak anonymizovat? Nevyvázal bych se tím z tohoto nesmyslu? Já na svých webech ani tak nepotřebuji ukázat na konkrétního uživatele, ale potřebuji si dobře a pokud možno co nejpřesněji spojit jeho chování na webu. Jinými slovy bych Frantu Vomáčku anonymizoval jako user00000000000001 a bude po problému. Nebo se pletu? Myslím si, že výhody tohoto řešení by v mém případě převážily nad nevýhodami.
Skvělé téma, díky za něj. Zajímala by mě jedna věc, která se asi ještě nikde moc neřešila. Pokud mám na webu Adsense, kde mám nastaveno zobrazování nepersonalizovaných reklam, musím řešit lištu nebo ne? Díky za odpověď.
Přátelé, na tyto otázky najdete odpověď v záznamu webináře, který jsme pro Vás s Pavlem, Michalem, Martinem a Honzou ušili.
Mrkněte: https://www.youtube.com/watch?v=mvMyEVr_kMg
Kdybyste si i poté náhodou nebyli jisti, napište mi na petra@bezparagrafu.cz a podíváme se vám na řešení na míru. Díky! 🙂
Dobrý den, kde v legislativě jste prosím našli podklady pro následující tvrzení?
3) Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“
Nařízení funguje od r. 2018 v EU a nejsem si vědom, že by zahraniční weby (Amazon.de, Zalando.cz, Booking.com) takto fungovaly. Standardem je nabízet „Přijmout všechny“ a „Vlastní nastavení“, kde má uživatel si vybrat či odmítnout vše.
Děkuji, Petr