Jak na sušenky v roce 2022?
Pravidla pro využívání cookies se od roku 2022 mění. Na co si dát pozor? Jak navrhnout hezkou lištu, která je v souladu s právem? A jak to bude s marketingem?
K čemu jsou cookies?
Aby mohly jednotlivé webové stránky správně fungovat, potřebují rozeznávat jednotlivé návštěvníky. K tomu technicky využívají cookies. Informace se ukládají jako textový soubor do zařízení návštěvníků, což umožňuje při procházení webové stránky třeba udržet obsah košíku, nastavení jazyka, sledování, analýzu chování nebo remarketing návštěvníků. Za obdobným účelem, ale bez ukládání souborů, fungují i další technologie, jako třeba tzv. device fingerprinting.
Pro svou všestrannost jsou tak cookies využívány na většině webů.
Cookies a právo
K 1.1.2022 nabývá účinnosti právní úprava, podle které bude k využití cookies ve většině případů třeba souhlas návštěvníků. Jde o novelu Zákona č. 127/2005 Sb., o elektronických komunikacích, který určuje, jak je možné s cookies nakládat. Úpravě cookies ale dává směr právo evropské, a to Směrnicí 2002/58/EC o soukromí a elektronických komunikacích. Právě její změna vedla k povinnosti novelizovat českou úpravu tak, že od ledna je vyžadován aktivní souhlas návštěvníka.
Jinak řečeno se tímto mění dosavadní režim opt-out (kdy bylo možné cookies využívat bez souhlasu návštěvníka, který měl možnost následného odmítnutí) na opt-in. Na to, jak má souhlas vypadat aby byl platný, dává odpověď další známý evropský předpis, Obecné nařízení o ochraně osobních údajů (GDPR).
Případy, kdy souhlas nepotřebujete
V návaznosti na směrnici stanovuje zákon dvě výjimky:
- technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy, a
- je-li to nezbytné [z pohledu uživatele] pro poskytování služby informační společnosti, které je výslovně vyžádána.
Do těchto obecných výjimek spadají následující situace, ve kterých souhlas potřebovat nebudete:
- Vyplňování formulářů, které jsou rozvrženy přes několik webových stránek;
- Udržení položek v košíku při procházení stránky;
- Identifikace uživatele po přihlášení ke konkrétní službě;
- Bezpečnostní důvody, pro rozpoznání neúspěšných pokusů o přihlášení z jednoho zařízení ohledně služeb, které si uživatel “vyžádá”, ke kterým se snaží dostat;
- Cookies pro krátkodobé přizpůsobení uživatelského rozhraní, jako je preference jazykového nastavení, zobrazení výsledků (kolik položek chce uživatel vidět na jedné stránce), dark mode, aj.
Pokud tyto cookies svým využitím a dobou uložení nepřekračují stanovený účel (správné fungování stránky), nepotřebujete při využití souhlas, ale bude dostačující návštěvníky informovat. K informování stačí uvést odkaz v patičce na stručnou informační stránku, není nutné mít cookies lištu.
Naděje pro analytiku?
Diskutovanou možností budoucí i současné úpravy je vynechání souhlasu u analytických cookies první strany. Na první pohled tyto cookies nespadají ani pod jednu ze dvou výjimek, když měření návštěvnosti není z pohledu návštěvníka nezbytně nutné. Na druhé straně, vzhledem k nízkému riziku těchto cookies pro návštěvníky, několik evropských dozorových úřadů při splnění určitých podmínek souhlas s lokální analytikou dle svých stanovisek nevyžaduje, což jako možnost zmiňuje též Evropský inspektor ochrany osobních údajů. Český Úřad pro ochranu osobních údajů patří k pragmatickým dozorovým úřadům, v minulosti byl ohledně cookies přístupný kompromisním řešením a též se, byť ohledně předchozí úpravy, vyjádřil tak, že “by bylo kontraproduktivní formalisticky trvat na udělení souhlasu s použitím této technologie [first party analytics]”.
V prozatím vydané tiskové zprávě a svých FAQ Úřad tuto možnost nezmiňuje, respektive o analytické cookies zmiňuje v kontextu nutnosti souhlas získávat.
Případy, kdy je souhlas nutný
Pokud využíváte jiné než výše uvedené typy cookies, zejména analytické cookies třetí strany nebo cookies marketingové, potřebujete od uživatelů získavat souhlas.
Podmínky souhlasu se dají shrnout tak, že uživatel musí mít možnost zjistit s čím souhlasí a možnost cookies odmítnout musí být stejně jednoduchá, jako cookies přijmout. Vaše stránka nově k získání souhlasu potřebuje aktivní činnost návštěvníka, která může být projevena různě, ale nejběžnějším řešením je využívat cookie banner. Proto jako souhlas neobstojí jen nastavení prohlížeče nebo procházení stránky.
Souhlas musí být
Svobodný:
Proto nelze:
a) Při objednávce spojit uzavření smlouvy se souhlasem do jednoho tlačítka (“Objednávám zboží a souhlasím s cookies”).
b) Odmítnutí cookies spojovat se záměrnou časovou prodlevou v načítání stránky, při které dochází k “nastavování preferencí”.
c) Opakovaně se ptát na souhlas poté, co uživatel odmítne. Naopak je možné se opakovaně ptát, dokud se uživatel nerozhodne.
d) Žádost o souhlas nesmí zbytečně narušit využívání služby. Žádost může být rušivá do té míry, aby byl uživatel na možnost souhlasu upozorněn, ale není doporučováno (přestože na toto nepanuje jednotný názor):
- Žádat skrze vyskakovací okno, které blokuje zbytek stránky.
- Do odkliknutí banneru výrazně ztmavit zbytek obsahu stránky.
- Textací banneru zabrat podstatnou část stránky.
Konkrétní:
Přestože je možné v banneru žádat o souhlas se všemi cookies, zároveň by měla být “doklikatelná” možnost nastavení souhlasu pro jednotlivé účely zpracování. Není nutné nabízet souhlas pro jednotlivé cookies, ale postačí pro skupiny cookies, rozdělené dle účelu (jednotlivé dozorové úřady mohou mít rozdílné preference ohledně dělení, ovšem kategorizace dle účelu převažuje).
Informovaný:
a) Text nemá být manipulativní a proto není vhodné:
- Souhlas s cookies popisovat jako “Chci maximum funkcí”, “Chci jen to nejlepší”, “Jít na stránku”.
- Odmítnutí zpochybňovat skrze okamžité upozornění typu “Jste si jistý? Přijdete o důležité funkce!”
b) Vhodné je umožnit se z banneru i např. z patičky stránky proklikat k podrobnějším informacím o cookies. Tyto podrobnější informace by měly srozumitelně informovat:
- Kdo a jaké cookies ukládá,
- Době uložení (“trvanlivosti”) cookies,
- Jak lze volbu změnit (tj. souhlas odvolat),
- Právech návštěvníků,
- Dalších náležitostech vyjmenovaných v čl. 13 GDPR.
Jednoznačný:
a) Musí jít o aktivní jednání za účelem projevení souhlasu. Z tohoto důvodu nelze získat souhlas např. skrze:
- Textaci “Pobytem na webové stránce souhlasíte s cookies”,
- Předzaškrtnutá tlačítka,
- Nastavení prohlížeče (alespoň dokud nebude zaveden vyhovující jednotný standard).
b) Banner musí nabízet skutečnou a vyrovnanou volbu. Z tohoto důvodu nelze získat souhlas skrze:
- Banner s jediným tlačítkem “OK”.
- Banner, který graficky nevhodně zdůrazňuje souhlas oproti odmítnutí.
Odvolatelný:
Odvolání souhlasu musí být jednoduché a zdarma, nesmí být vyžadováno udání důvodu. Vhodná je správa souhlasu a odvolání přes odkaz v patičce.
Předcházet uložení volitelných cookies
Jinak řečeno, souhlas nesmí být jen na oko nebo dodatečný.
Cookies a marketing
Marketingové a analytické cookies jsou základem efektivního online marketingu dnešní doby postaveného na datech a agilní optimalizaci v reálném čase. Nejčastěji se setkáváme s cookies měřícími analytiku (obecnější měření návštěvnosti v Google Analytics, návštěvnost jednotlivých stránek pomocí Facebook Pixelu, Google Ads kódu a následné tvorby publik a podobných publik), nebo „výkon“ (konverzní kódy, události a cíle Google Ads, Seznam Skliku, Facebooku a dalších platforem), sledujících tvrdá data o prodejích, odeslaných formulářích a kliknutích.
Byť jen částečná ztráta těchto dat bude mít za následek změnu marketingových strategií a schémat, cílení bude o to více závislé na algoritmech marketingových platforem jako jsou Google nebo Facebook a na využití různých způsobů dopočítání “ztracených” dat. Obdobně se práce marketingu více překlopí do sledování lépe čitelnějších, větších trendů, když pro marketéry přestane být do jisté míry zajímavé honit se za tvrdými daty, konverzemi a dalšími KPIs, protože data nebudou kompletní.
Grafika a textace lišty
Z marketingového pohledu je cookies lišta obvykle první kontakt webu s návštěvníkem. Hlavním cílem je zajistit vysokou míru proklikovosti, nízký “bounce rate”, soulad textace i grafiky s brandem a přitom být v souladu s právní úpravou.
Textace
Textace sice obsahuje z hlediska práva povinné body (cookies / účely / tlačítka / odkaz na další informace), ty ale můžete popsat různě, pokud bude výsledek srozumitelný a naopak nebude zavádějící. V žádosti můžete vsadit na minimalismus, nebo se naopak rozpovídat. Pro některé stránky může fungovat třeba úvodní “Rádi máme přehled. To platí i pro náš web. (…)”. Stejně tak můžete různě formulovat textaci (ne)souhlasu.
Grafická úprava
Marketingové cíle plní samozřejmě také grafická úprava. Základním právním omezením je, že vyjádřit nesouhlas má být stejně jednoduché (co do kliků a stráveného času), jako jej neudělit. Určitě je možné tlačítka i samotnou lištu mít v různých barevných kombinacích (myslete ale na přístupnost!). Stejně tak je možné v rámci lišty využít grafiky sušenky nebo přímo do tlačítek vložit odpovídající emotikony. Častou otázkou je, jestli je možné barevně zvýraznit tlačítko souhlasu. Zatímco některé dozorové úřady přísně doporučují stejnou barvu a tón, další spíše zmiňují, že design nemá být zavádějící (např. tím, že tlačítko nesouhlasu je šedé a nepůsobí na první pohled “klikatelně”) a některé dokonce zvýraznění používají na svých stránkách. Český Úřad tlačítko souhlasím sám zvýrazňuje a ve svém FAQ doplňuje, že by tlačítko souhlasu “např. nemělo být výrazně větší či výrazně barevnější než tlačítko odmítám”, je tedy zvýraznění nakloněn více, než úřady jiné. Obecně tedy zvýraznění pro lepší pochopení a odlišení voleb (ale ne pro vnucení souhlasu) je v pořádku.
Nabízet hned v první vrstvě možnost dát souhlas s konkrétními kategoriemi cookies není z pohledu práva nutné, graficky je to také příliš komplikované.
Křížek v liště?
Za zbytečné považujeme přidávat do lišty křížek. Pokud je v liště pouze tlačítko “souhlas” (a křížek je tedy jedinou možností, jak dát nesouhlas), nesplňuje tento návrh podmínku, že možnosti mají být na stejné úrovni a formátu. Pokud křížek funguje jen jako doplněk k tlačítkům souhlas-nesouhlas, dáváte tím, aniž byste museli, uživateli jednoduchou cestu, jak souhlas neudělit, případně jak volbu odložit.
Z interního testování a výzkumů plyne, že lišta nebo rámeček v dolní části přináší vyšší proklikovost, než horní umístění. Stejně tak je běžné, že tlačítko vlevo znamená odmítnutí nebo “jít zpět”, tlačítko vpravo přijetí nebo “jít dál”. Tento grafický vzor dává smysl dodržet i při návrhu cookie lišty.
FAQ
Vztahuje se úprava i na jiné případy, než jen na ukládání cookies do PC/telefonu při procházení webových stránek?
Ano. Úprava dopadá na ukládání údajů nebo získávání přístupu k údajům, s tím že uložení a přístup nemusí být vedeny jedinou stranou. Dovozuje se, že fingerprinting zařízení skrze přístup např. k MAC adrese nebo údajům uloženým výrobcem pod úpravu spadá, byť nic (cookie) ze strany webu uloženo na zařízení nebylo. Souhlas je tedy v těchto případech vyžadován stejně jako u cookies a totéž platí pro výjimky z této povinnosti.
Věcně se může úprava vztáhnout též např. na mobilní aplikace, smart TV a další zařízení.
Lze použít pop-up okno, které blokuje zbytek stránky?
Přestože je pop-up okno široce používáno a jako jednu z možností jej zmiňují i některé dozorové úřady, tato možnost je právně problematická a pro návštěvníky obtěžující. Právně žádost o souhlas nemá zbytečně narušit využívání služby, s tím že nabízí využít méně rušivé možnosti lišty oproti pop-upu. Z hlediska UX využívání pop-upů zvyšuje bounce rate, byť může být v některých případech odůvodnitelné. Pokud se rozhodnete pop-up využívat, je doporučováno umožnit návštěvníkům klikem mimo okno pokračovat v prohlížení. Zároveň svůj postoj k pop-upům může v budoucnu, po vzoru jiných zemí, upřesnit Úřad pro ochranu osobních údajů.
Jaké je riziko při nesprávném nastavení cookies?
Při využití cookies mohou uživatelé, stejně jako dozorové úřady jednoduše využít automatizovaného sběru ukládaných cookies a lišt pro odhalení zjevných porušení. Takto se i český Úřad v roce 2015 zapojil do koordinovaného průzkumu webových stránek v EU, které využívalo v prvním kroce průzkumu automatický nástroj (toho času poskytnutý britským úřadem). Současně též budí pozornost iniciativa organizace noyb v čele s Maxem Schremsem, která svůj polo-automatický systém WeComply plánuje využít pro hromadné upozornění a následné podání stížností. A konečně, poučený uživatel může sám přímo z prohlížeče zkontrolovat, jaké cookies jsou či nejsou ukládány. Zkrátka, i přes množství existujících webových stránek se kontrola cookies ze strany třetích stran stává jednodušší a nedodržení právní úpravy o to rizikovější. Přestože je možnost kontrol cookies jednoduchá, Úřad přihlíží k celkovému kontextu a alespoň snaze o dodržení úpravy.
Proč nelze využít nastavení prohlížeče, nebylo by to pohodlnější i pro uživatele?
Bylo a i současná právní úprava tomu v principu nebrání (český Úřad proto “tuto možnost nevylučuje”). Problémem je, že nemáme jednotný standard nastavení cookies v prohlížečích, který by splňoval vyžadované náležitosti souhlasu. Zejména je obvykle nastavení skryto v různých podzáložkách menu, v základním nastavení prohlížeč dává s uložením cookies souhlas a obecně řečeno prohlížeč také nemůže technicky ovlivnit využití těch technik, které se obejdou bez ukládání souborů do zařízení (device fingerprinting). Prozatím tedy nelze spoléhat na nastavení prohlížeče, přestože se tato možnost může změnit.
Pokud jsem platně získával souhlas návštěvníků ještě před rokem 2022, musím o souhlas žádat znova?
Pokud byl souhlas získán v souladu se všemi současnými podmínkami, zůstává v platnosti.
Jaké mám povinnosti, pokud využívám volitelné cookies, které nejsou osobním údajem?
Prvně je třeba vzít v potaz, že definice osobních údajů je velmi široká a posoudit, zdali se skutečně o zpracování osobních údajů nejedná. Následně, i když se na danou stránku vztahuje pouze úprava cookies (a ne úprava ochrany osobních údajů), podoba a “kvalita” získaného souhlasu je stále určena skrze odkaz na GDPR. Jinak řečeno, těžiště povinností – získat souhlas splňující výše uvedené nároky – se nijak nemění, jak potvrdila též judikatura Soudního dvora.
Mám se při návrhu lišty inspirovat zahraničními stránkami?
Na první pohled je inspirace z jiných zemí EU dobrý nápad, když “opt-in” režim byl v Česku zaveden s desetiletým zpožděním. Dle výzkumů ovšem velké množství stránek i v jiných zemích v různých aspektech porušuje právní úpravu. Nadto je nutné mít na paměti možný rozdíl v přístupu dozorových úřadů. Vhodnou inspirací může být řešení dostupné na webových stránkách evropských institucí a dozorových úřadů, byť překvapivě i u nich byly v minulosti zaznamenány případy porušení této úpravy.
Musí mít návštěvník možnost změnit svou volbu (znovu vyvolat lištu)? Pokud změní volbu, co pak dělat?
Ano, zákazník musí mít možnost souhlas odvolat a ta má být stejně jednoduchá, jako bylo souhlas dát. Ideální je tedy mít možnost přes patičku dostat se k podrobnějším informacím a nastavení a zde umožnit vyvolání lišty. Po odvolání souhlasu je třeba upravit preference daného návštěvníka a dále nepoužívat odpovídající cookies. Odvolání souhlasu ale nijak nemění zákonnost předchozího zpracování.
Na které kategorie mám cookies rozdělovat?
Zatímco některé consent management platformy rozlišují více než desítku různých kategorií dle účelů nebo umožnují přidat si účel vlastní, nejčastější je rozdělení do následujících čtyř kategorií:
- Nezbytné cookies (nutné pro fungování stránky);
- Preferenční cookies (umožňující zapamatovat si úpravu stránky);
- Analytické cookies (sledující a analyzující chování návštěvníka);
- Marketingové cookies (vč. cookies umožňujících doručování cílené reklamy).
Příklady lišt
Protože nejlépe se učí na chybách druhých, zabrouzdali jsme na webu a zhodnotili některé lišty, které nám přišly do cesty.
Nedoporučujeme
Z hlediska UX jde o moderní, hezkou lištu. Právně, pokud web využívá i volitelné cookies, je ale takováto lišta nedostačující, když zde chybí jakákoliv možnost volby. Navíc, přestože emotikon sušenky může být vhodným doplňkem cookie lišty, měl by být textově doplněn – běžnému uživateli webu nemusí být jasné, co má tento emotikon znamenat a je též snížena přístupnost.
Nedoporučujeme
Marketingově vyskakovací okno zvyšuje interakci s lištou, ale též procento okamžitých odchodů ze stránky. Taková možnost sice není hezká ani uživatelsky pohodlná, ale přináší vyšší proklikovost. Právně může být použití vyskakovacích oken posouzeno jako zbytečně narušující využívání služby.
Hlavním problémem zde ovšem je nevyrovnaná volba. Není zde možnost cookies odmítnout stejně lehce, jako je přijmout – i při pozorném čtení není zřejmé, které tlačítko vede k možnosti odmítnutí (byť v druhé vrstvě). Výraz “zlepšit online zážitek” je příliš obecný, pokud má zahrnovat využití např. za účelem analytiky.
Nedoporučujeme
Z hlediska UX jde o výborný banner, neobvyklý, (nejspíše) sladěný s brandem, příliš neobtěžující (oproti pop-upu), ale zároveň dostatečně výrazný. Právně je ovšem problematické grafické i textové odlišení tlačítek, kdy je v kombinaci zelená-šedá uvedeno spojení “Mám rád sušenky!”. Popis účelu cookies je též příliš obecný, není jasné, s jakými cookies se dává souhlas.
[Návrh autora Niraj Thapa, dostupný zde]
Nedoporučujeme
Graficky jde o běžný vzor banneru. Vizuálně jsou jednotlivé prvky rušivé a nejsou v jednotném stylu. Zvýraznění tlačítka NEsouhlasím pak povede ke zbytečnému snížení proklikovosti banneru. Právně má být volba mezi souhlasem a neudělením vyrovnaná, takže takto zvýrazňovat nesouhlas je zbytečné. Konečně, formulace účelu cookies je vzhledem k využití záporu zbytečně komplikovaná.
V pořádku
Graficky jde opět o běžný vzor lišty, který je ovšem barevně sladěn se zbytkem webu. Mírně rušivě působí nezarovnání textu do bloku. Tlačítka jsou graficky vyrovnaná a jednoduchá na pochopení (souhlas vpravo, doplňující emotikony). Textace není nijak přizpůsobena brandu, je ovšem zevrubná. Celkově tedy návrh odpovídá marketingovým i právním nárokům.
Naše doporučení
- Udělejte si jasno v tom, jaké cookies a obdobné technologie na webu máte a proč. Na začátku vám pomohou i různé scannery cookies (ty ale neodhalí fingerprinting).
- Pokud potřebujete s využíváním cookies souhlas, navrhněte grafiku banneru i text tak, aby byl pro návštěvníky jasně pochopitelný a odpovídal vašemu brandu.
- Nabídněte uživatelům skutečnou a férovou volbu. Sami se ale zbytečně nepřipravte o část souhlasů. Je zbytečné přidávat do lišty křížek, zdůrazňovat nesouhlas, nebo zobrazovat lištu jen na vstupní stránce.
- Jak je v digitálním marketingu zvykem, A/B testování je důležité pro správné vyladění lišty.
- Ověřte si, že co říkáte také děláte. Správně navrhnutá lišta nepomůže tam, kde web cookies ukládá bez ohledu na rozhodnutí návštěvníka.