Cookies — co bude dál?
V lednu tohoto roku jsme společně s Petrou Dolejšovou prozkoumali praxi cookie lišt, která byla tou dobou typická pro většinu českého trhu a vycházela z dosud nezměněných doporučení úřadu pro ochranu osobních údajů. Došlo sice k zpřesnění, které praktiky jsou v souvislosti s cookies nežádoucí, ale jasné instrukce v češtině, jak má správně vypadat souhlas, jak má být strukturován a co je a není možné dělat pod kterým právním titulem, dosud nepřišla.
Od té doby se ale mnoho věcí začalo výrazným způsobem měnit. Už i na českých webech větších společností působících i v zemích evropské unie s přísnějšími výklady GDPR, stále častěji vídáme robustnější řešení správy cookies.
Od některých společností navíc přicházejí informace, že ÚOOÚ změnilo dřívější stanoviska a v rámci probíhajících kontrol iniciovaných nespokojenými návštěvníky jejich webů také nově prosazuje striktnější výklady, které již neumožňují dovozování souhlasu z nastavení prohlížeče.
Zároveň byla schválena také podoba nového zákona o elektronických komunikacích (ZEK) a tak je jasné, že výsledek je nevyhnutelný. Dříve či později i naše lokální legislativa sladí své znění se zbytkem EU a nemine nás tak povinnost získávat svobodný, konkrétní, informovaný a jednoznačný souhlas s uložením a zpracováním jakýchkoliv cookies, které nejsou nezbytné pro provoz našich webů.
Očekávám proto, že pokud již toto téma vaše společnost neřeší, určitě k tomu dojde nejspíš ještě do konce letošního roku. Pokud nechcete čekat na doporučení ÚOOÚ, jak by takové řešení mělo vypadat, mohu se pokusit o několik návrhů v rámci tohoto článku.
Co tedy musíme naplnit?
Informační povinnost
Z povinností, které nyní již splňuje drtivá většina českých webů, zůstává rozhodně zachována informační povinnost. Je tedy stále nutné srozumitelně a jasně popsat, co vaše stránky dělají, které cookies se budou ukládat v prohlížeči uživatele, za jakým účelem bude docházet k jejich zpracování a jací zpracovatelé se na něm budou podílet.
V tomto ohledu bude asi nejsložitější najít rovnováhu v tom, kolik informací uživatelům prezentovat a v jak velkých dávkách. Nyní je obvyklá stručnější informace formou Cookie banneru nebo lišty s odkazem na podrobnější článek. To už bude dle mého názoru nově postačovat pouze v případě, že budou využívány pouze nezbytné cookies zajišťující samotný chod webu.
Nutnost získání příslušných souhlasů
Nově bude nutné před založením cookies, které nebude možné zahrnout pod kategorii “nezbytné”, k tomuto mít adekvátní souhlas uživatele. Bude také vhodné seskupit takové cookies do kategorií dle účelů zpracování údajů v nich obsažených, jelikož žádný z uživatelů by nechtěl řešit souhlasy s každou cookie jednotlivě. Takových cookies dnes běžně bývá na jednom webu několik desítek. Jak vypadá “správný způsob udělení souhlasu” již také většinou známe — zejména z formulářů, u kterých dochází ke zpracování osobních údajů (přihlášky do newsletterů nebo produktové poptávky, kam uživatelé zadávají jméno, e-mail či telefon). Sám nejsem právník a ani netoužím vyhledávat v novém znění zákona právnické obraty a následně se je pokoušet vysvětlit. Intuitivně už ale tušíme, že souhlas uživatele bude muset být svobodný, konkrétní, informovaný a jednoznačný (tedy nepůjde dovozovat třeba jen z nastavení prohlížečem či chování uživatele, ale bude se muset být aktivně vyjádřen ke konkrétnímu položenému dotazu na možnost založení cookies za definovaným účelem).
Evidence a kategorizace jednotlivých cookies
Co se týče samotných cookies a jejich kategorizace, tak zde bude nutné veškeré používané cookies detailně zdokumentovat — zaevidovat, pod které nástroje spadají, zda jde o cookies třetí strany, jakou mají trvanlivost a také popsat, jak je při zpracování dat v nich uložených zajištěn soulad s GDPR (například co se týče území, na kterém ke zpracování dochází).
Rozdělení do kategorií by pak mělo vycházet z účelu zpracování. Typickými účely jsou statistika, uchování nastavení webu či jeho personalizace nebo uživateli neoblíbený marketing (či retargeting), ke kterému jsou nyní využívány převážně právě cookies třetích stran. Věcně se také může lišit popis samotných dodavatelských společností (třetích stran), jsou-li v roli zpracovatele či společného správce osobních údajů.
Bývalo obvyklé, že jste na svůj web dle instrukcí agentury nasadili nějaký kód třetí strany (např. Google Tag Manager) a dílčí detaily a nasazování jednotlivých technologií jste nechali na zodpovědnosti agentury. Řada společností dnes ani netuší, které všechny nástroje se na svých webech spouštějí, kde jsou nasbíraná data zpracovávána a co se s nimi dále děje. Za cookies na vlastním webu je odpovědný provozovatel a je proto nezbytné, aby měl o všech nasazených technologiích přehled.
Respektování voleb uživatelů
Technicky složitější pak v závislosti na použitých technologiích může být vyplývající nutnost volby uživatele respektovat, nepovolené technologie nespouštět a cookies nezakládat. V případě odebrání souhlasu pak případně dalšímu zpracování zabránit. V tuto chvíli je možné zajásat, pokud jste již ohledně technologií digitálního marketingu pokročilí natolik, že k jejich správě využíváte primárně řešení z oblasti Tag Managementu. V takovém případě to bude pro vás pravděpodobně významně jednodušší úkol.
Nicméně stále ještě probíhá odborná debata o tom, zda je legitimní při nesouhlasu s cookies spouštět příslušné technologie v omezené podobě (bez cookies). Není překvapením, že tahouny návrhů takových řešení budou společnosti, které ze sběru dat těží nejvíce — kupříkladu Google. Jejich příspěvkem do této debaty je “režim souhlasu” (neboli Consent Mode), který umožňuje příslušnou technologii instruovat tak, aby omezila své fungování dle preferencí uživatele. Jedná se prozatím o produkt s označením “beta” a pro jeho přijetí širokou veřejností bude klíčové, zda tyto návrhy podpoří i právníci a legislativci a také zda se jejich aplikace rozšíří i na technologie dalších provozovatelů digitálních řešení.
Schopnost udržet řešení dlouhodobě v chodu
Nikdo nenechává vlastní weby hibernovat. Pakliže dochází k rozvoji a snaze o rozvoj a zvyšování efektivity, lze předpokládat, že bude docházet i ke změnám využívaných nástrojů. Ostatně ani samotné nástroje nejsou obvykle zakonzervovaná neměnná řešení a může u nich docházet k rozvoji, který může znamenat i změny v tom, jaké cookies a jakým způsobem daný nástroj využívá.
Proto je nutné situaci průběžně monitorovat a při každé změně vhodně reagovat (tedy doplnit nové cookie do dokumentace či vyřadit již nepoužívané, aktualizovat kategorizaci a popisky).
Další důležité předpoklady
Není samozřejmě možné opomenout, že v případě vícejazyčných webů bude nutné veškeré informace a funkce také lokalizovat. Složitější situaci budete mít také v případě, kdy se svými internetovými projekty snažíte oslovit i publika z různých trhů. Legislativa USA, EU (včetně odlišných způsobů výkladů některých ustanovení v jednotlivých státech) a zbytku světa se liší a zajistit tak soulad s právem pro každý z těchto trhů není snadné.
Vlastní řešení nebo licencovaný nástroj?
Zprvu se může zdát, že jeden či dva dialogy s několika texty, checkboxy a tlačítky nezní jako složitá záležitost. Zejména pokud provozujete jednojazyčný web a vládnete dostatkem vývojářských zdrojů, sáhnete pravděpodobně po nějakém vlastním řešení. Pokud se neobáváte bezpečnostních rizik spojených s provozem cizího kódu, můžete pak vycházet z řady dostupných Open Source knihoven nebo zvolíte hotový nástroj zdarma (např. knihovna italského vývojáře jménem Orest Bida nebo knihovna CookieConsent). Velkou výhodou takových řešení bude také to, že nejste nijak omezení možnostmi nástroje třetích stran. Díky tomu můžete být velmi kreativní nejenom v textaci, ale také vizuální prezentaci, mechanismu kategorií a dalších dílčích parametrů.
Pokud ale provozujete jednotky či desítky webů v několika jazycích a v různých zemích, mohou být výše uvedené požadavky natolik složité, že oceníte některé šikovné funkčnosti, kterými vládnou na trhu dostupná komplexnější řešení. Mezi nejznámějšími na našem trhu půjde například o nástroje Cookiebot či robustnější OneTrust nebo TrustArc. Dalších nástrojů v této oblasti vzniká poslední dobou hodně.
Zároveň se celá debata a také většina tohoto článku točila spíše okolo webů. Je fajn tu tedy také zmínit, že některé z dříve uvedených nástrojů už disponují i možnostmi integrace do nativních mobilních aplikací, kde sice nejsou marketingové nástroje třetích stran tak rozšířené, ale technicky vzato i v aplikacích existují trvale ukládané identifikátory a scénáře, kde budou v novém legislativním rámci souhlasy vyžadovat. A to i v případě, že to nevynutí provozovatel dané platformy, jako je tomu u IDFA v iOS.
Doporučený postup
Analýza stávajícího stavu
Nejdříve je nutné zainteresovat do projektu všechny strany, které mají s cookies co do činění. Zástupce za vývoj webů, marketingové či analytické agentury a někoho s přehledem v oblasti práva, či také DPO, pokud tuto roli dle legislativy máte zajištěnou.
Zde je na místě dodat, že byť se většinově hovoří o “cookies”, neměly by vaší pozornosti uniknout ani další obdobné technologie (jako Web Storage, IndexedDB, Fingerprinting či všemožné ohýbání dalších technologií jako cachovací mechanismy). Na tyto způsoby dlouhodobého ukládání dat do zařízení uživatelů totiž nová legislativa dopadá úplně stejně.
Pro úvodní diskusi obvykle dobře poslouží dobře jednoduchá analýza webu skrze prohlížeč či scan webu od nástroje Cookiebot. Ten je poskytován zdarma a dá vám seznam cookies, které na vašem webu vznikají. Ke každé z nich by se měl následně přihlásit nějaký byznys vlastník, který ji skrze nějaký nástroj využívá a měl by proto znát její účel. Mějte prosím na paměti, že nástroj prochází pouze několik stránek vašeho webu — nemusí proto najít všechny cookies a navíc výsledná doporučení jsou poměrně striktní a občas i mírně zavádějící.
V této fázi se může poměrně snadno stát, že u řady cookies už takového vlastníka nenajdete — mohlo se stát, že nástroj, který tuto cookie nastavuje, byl využíván někdy v minulosti, zodpovědná osoba již ve firmě nepracuje a jen nedošlo k odstranění daného nástroje. Pak je nutné v realizační fázi tento stav napravit.
Jakmile je k dispozici odsouhlasený seznam cookies, přichází na řadu jejich kategorizace dle účelů zpracování údajů v nich obsažených.
Nezbytné cookies
V první vlně vás bude zajímat, které cookies lze považovat za nezbytné — nefungoval by bez nich web. Ani tato kategorie ale není vždy zcela jednoznačná. Webové stránky lze teoreticky provozovat i zcela bez cookies. Obvykle sem ale spadají zejména různé cookies sezení, které umožňují webové stránce udržovat stavové informace (např. to, zda je uživatel přihlášen) nebo cookies sloužící ke zlepšení performance (např. load-balancing) či zabezpečení proti různým druhým útoků (např. DOS).
Další kategorie “zbytných” cookies
O tom, jaké další kategorie cookies na vašem webu jsou, se pravděpodobně povede debata. Do určité míry jde o vaše byznysové rozhodnutí do něhož vstupuje několik různých, často i protichůdných zájmů. Teoreticky by bylo možné nechat uživatele rozhodnout o každé jednotlivé cookie, ale v tu chvíli by to byl pro něj proces více než bolestivý. Také je možné souhlas se zpracováním vztáhnout k jednotlivým nástrojům.
Zatím se ale asi nejvíce ustálilo dělení cookies dle kategorií:
- Funkční — ty obvykle umožňují uživatelům upravit si chování webu dle svých preferencí (např. barevný skin, volba jazykové mutace, preference kategorií obsahu) a někdy se mezi ně řadí i cookies personalizačních nástrojů, které zobrazují např. naposledy prohlédnuté produkty či zajišťují zobrazování interních upoutávek dle předešlého chování uživatelů;
- Statistické — takové cookies slouží k opakované identifikaci daného prohlížeče za účelem získání agregovaných statistik o chování návštěvnosti webu (jak často se na web vracejí, jak se v čase mění jejich chování či zda na webů dělají akce, ke kterým se je snažíme přimět outbound či inbound marketingem);
- Marketingové — nebo také “retargetingové” jsou takové cookies (obvykle jde o cookies třetích stran), které údaje o chování daného prohlížeče sdílejí s marketingovými nástroji, které je dále využívají k segmentaci a díky ní umožňují přesnější cílení (či pro provozovatele webu řekněme výhodu v aukčním systému tak, aby mohli na uživatele ze svých webových stránek cílit reklamu s vyšší pravděpodobností).
Toto jsou asi nejčastější kategorie, ale neznamená to, že si s nimi vystačí každý. Ne každá společnost využívá cookies ve všech těchto kategoriích. Stejně tak je ale během tohoto procesu možné dospět k názoru, že někde bude třeba dělení jemnější (např. z kategorie Marketingové se někdy ještě odděluje samostatná kategorie cookies sociálních sítí stejně tak z funkčních můžeme vyčlenit cookies sloužící k profilování a personalizaci).
Nebo naopak — můžete se rozhodnout pro velmi konzervativní a bezpečnou variantu, která bude pro uživatele nejsrozumitelnější a pracovat pouze s kategoriemi “Nezbytné” a “Ostatní”. V takovém případě hrozí pouze to, že díky binární volbě dosáhnete menšího podílu souhlasů a přijdete tak o více dat.
Kategorizace se bude lišit také dle odvětví. Jiné účely zpracování bude využívat e-commerce projekt a jiné vydavatel digitálního obsahu (např. zpravodajský server živící se prodejem reklamy — v této vertikále se v nedávné době postupně prosadil Transparency and Consent Framework).
Realizace úprav
Informace nashromážděné z předešlých fází je třeba zhmotnit do dvou souvisejících výstupů. Jednak je nutné vše pečlivě zdokumentovat jak interně, tak pro uživatele obvykle ve formě podrobnějšího článku s podmínkami používání cookies. A jednak je nutné zajistit integraci nějakého funkčního řešení, které zároveň umožní uživatelům volit své preference a zároveň zajistí respektování těchto preferencí tak, aby nedocházelo ke zpracování údajů, ke kterému uživatel souhlasy neposkytl.
V rámci tohoto kroku je pak nutné vyladit ještě desítky nuancí tak, aby bylo celé řešení také použitelné.
Je třeba se rozhodnout o podobě lišty:
- Bude lišta nahoře nebo dole?
- Půjde o lištu, banner nebo dialog, který překryje celý obsah webu?
- Bude lišta strohá nebo chceme i zde využít vizuální prvky vlastního brandu?
A také o mechanismu jejího fungování:
- Zobrazíme článek s podrobnostmi v modálním okně nebo na samostatné URL, kde vyřešíme, aby nebyl obsah článku znovy překryt dialogem?
- Jak zajistíme, aby se souhlas nezobrazoval, pokud je web zobrazen skrze WebView v mobilní aplikaci nebo na webu uvnitř iframe?
- Jak umožníme uživatelům případně v budoucnosti své preference upravit?
Nebo o dílčích technických detailech:
- Nedostaneme-li souhlas hned na první stránce, můžeme některé informace (např. o prokliku kampaně nebo referreru) dočasně uložit a použít při měření až později?
- Budeme vše spouštět ihned po udělení souhlasů nebo teprve na následujících stránkách?
- Budeme souhlas požadovat pro každou z našich domén nebo jazykových mutací zvlášť?
Zavedení procesu rozvoje a údržby řešení
Se schopností udržet následně řešení dlouhodobě v souladu s legislativou, ze pojí nutnost zavést kontrolní mechanismy a procesy, které vám pomohou odhalit změny, na které bude nutné reagovat. Ať už zavádíte nový nástroj, nebo jeden z existujících partnerů upraví své řešení a začne používat novou cookie, vždy bude potřeba znovu pečlivě upravit dokumentaci, informační memorandum i samotnou integraci.
Závěrem
Pokud jste dočetli až sem, je jasné, že vás tato problematika opravdu zajímá. Pokud jste zde našli všechny odpovědi na své otázky, budeme rádi za sdílení článku. Pokud vám stále něco schází, neváhejte se na mě obrátit e-mailem na adrese lukas.cech@etnetera.cz.
Autorem článku je Lukáš Čech.
Jako Digital Analytics konzultant ve skupině Etnetera Group se věnuje implementaci pokročilých nástrojů a využití dat ke zlepšování digitálního marketingu. Spolu–pořádá český MeasureCamp, kde rád sdílí své nejnovější poznatky z oboru.
