Open in app

Sign in

Write

Sign in

Lze využívat nástroje digitální analytiky bez cookie lišty?

Lukáš Čech
Etnetera Activate
Published in
6 min readJan 12, 2021

Datum 25. května 2018 je daleko za námi. Den, kdy vstoupilo v platnost nařízení GDPR budil vášně a vyvolal slušnou paniku. Na poli digitálního marketingu byla od počátku situace v Česku nepřehledná. Diskuse se vedly zejména o nutnosti cookie lišt a řada firem na trhu je implementovala, i když bylo od počátku zřejmé, že uživatelé z toho nadšení nejsou. GDPR zároveň nebylo jediným důvodem k nutnosti cookie lištu řešit. Ve výsledku byl možná podstatnějším hybatelem požadavek uvedený v podmínkách reklamního systému od společnosti Google. Do toho všeho vydal stanovisko i Úřad pro ochranu osobních údajů, který dle svého výkladu doporučil zachovat pouze informační povinnost o možnostech správy cookies skrze nastavení prohlížeče. Toto stanovisko bylo později rozporováno orgány Evropské unie, nicméně žádné novější, o kterém bych věděl, k dispozici v současnosti není.

Světlo na konci tunelu?

Průběžně začínalo být jasné, že nařízení GDPR je obecnějšího charakteru a mělo by být v “techničtějších oblastech” doplněno nařízením ePrivacy, které je ale v Evropě stále ještě v plenkách. Návrh nařízení (respektive jeho odůvodnění) počítá s tím, že zavedení cookie lišt (tedy na webech sbíraných souhlasů) bylo nešťastné — vedlo k tomu, že uživatelé “bezhlavě” odklikávají lišty proto, aby jim na webu nepřekážely. Dokonce vznikají rozšíření do prohlížečů, které toto dělají automaticky bez vědomí uživatelů. Souhlasy, které se takto na webech sbírají, vlastně nelze považovat za dobrovolné, jak by si právní koncept (GDPR) představoval. ePrivacy nařízení tak přichází s myšlenkou, že by souhlasy uživatelů internetu vybíraly samotné prohlížeče a podle jejich aktivního uživatelského nastavení nechaly jednotlivé cookies z webů pracovat. Tato změna je ale zatím stále v návrhu a schválení ePrivacy je v nedohlednu. Jakmile jej Evropa schválí, není potřeba další vnitrostátní implementace, nařízení bude mít stejné právní dopady, jako mělo GDPR. Jeho konečná podoba je sice více než nejistá, nicméně věcná podoba ePrivacy už obsahuje několik principů, na kterých se shodne poměrně široká základna minimálně v odborné veřejnosti a na tomto věcném základu už některé členské země EU přijaly své vlastní zákonné normy (obvykle se nazývají “Cookie Law”).

Aktuální, ale krátkozraký přístup

Z výše uvedeného vyplývá, že pokud provozujeme internetovou aplikaci pouze v Česku a hledali bychom dnes (tedy 12.1.2021) recept na řešení situace s cookies, mohli bychom alibisticky zůstat u jednoduchého řešení — na stránkách stačí uvést odkaz na podmínky používání cookies s instrukcemi, jak případně jejich využití omezit prostředky internetového prohlížeče. Souhlas se zpracováním osobních údajů v cookies je pak následně dovozován z nastavení prohlížeče. Za osobní údaj je ale mimo samotných cookies nutné považovat také IP adresu.

Ale pozor na další souvislosti

Pokud pracujete s variantou udělení souhlasu skrze nastavení prohlížeče, je vhodné v každém z nástrojů zpracování IP adres zabránit (většina z nich dnes toto umožňuje). Pokud totiž proběhne nesouhlas uživatele se sběrem cookies skrze prohlížeč jejich smazáním či zablokováním, sběr IP adresy to nijak neovlivní a to by mohlo být problematické. To co už ale jasné je, je fakt, že používáním nástrojů digitální analytiky dochází díky využívání cookies ke zpracování osobních údajů vždy. Některé analytické nástroje se sice pokusily tento fakt obejít tím, že namísto cookies používají tzv. fingerprinting, nicméně to lze považovat spíše za nedůstojnou kličku, jelikož po technické stránce jde v podstatě o totéž a je jen otázkou času, kdy se tomu přizpůsobí také formulace v příslušné legislativě, kde nejspíš dojde pouze ke zobecnění.

Dalším aspektem k posouzení je ale také účel, ke kterému jsou již dané konkrétní nástroje a tedy i cookies využívány. Pokud je účelem pouze sběr anonymizovaných statistických dat o návštěvnosti, pak jsou zpracovávané osobní údaje pouze síťové identifikátory v cookies a zpracování na základě souhlasu (respektive tzv. oprávněného zájmu) dovozeného z nastavení prohlížeče ještě dává smysl. Pokud jsou ale třetím stranám posílány i jiné osobní údaje nebo je účelem zpracování údajů marketing (či profilování a personalizace reklamy), je obdobná argumentace již přinejmenším poměrně odvážná. Různé nástroje poskytují širokou škálu možností svého využití a je tedy nutné rozlišovat, zda pouze vyhodnocujeme agregované údaje, abychom dokázali vylepšit obchodní výsledky webu či aplikace nebo zda jsou data využívána i k dalším účelům (např. Remarketing v Google Analytics).

nastavení Google Analytics — umožnění využití dat k remarketingu

V neposlední řadě musíme také vyřešit povinnost data zpracovávat na území Evropské unie. Pro každého konkrétního zpracovatele osobních údajů je tedy nutné splnit formální náležitosti některé ze tří možností — buď a) garantuje zpracování dat na území EU, nebo b) na území některé ze zemí, které jsou uvedeny na seznamu výjimek, nebo c) je se zpracovatelem uzavřena konkrétní standardní smluvní doložka o bezpečnosti dat. Třetí se týká zejména Spojených států amerických, které na seznamu výjimek uvedené nejsou — tedy kupříkladu společnosti Facebook, která zde osobní údaje občanů Evropské unie zpracovává. Tato poslední možnost měla být snáze posvěcena účastí příslušných zpracovatelů dat v programu Privacy Shield, ale ten byl Soudním dvorem Evropské unie 16. července 2020 zrušen a k tomuto zrušení již doplnil své vyjádření i ÚOOÚ. Je zajímavé, že Facebook jej ve svých materiálech i nadále odkazuje.

Kdy se tedy lze obejít bez lišty?

Bez lišty nebo jiné formy vlastního řešení souhlasu uživatele by mělo být možné se obejít, pokud splňujete všechny následující náležitosti:

  • identifikace koncových zařízení probíhá výhradně skrze síťové identifikátory uložené v cookies či skrze obdobné technologie, které lze kontrolovat skrze nastavení prohlížeče a možnosti nastavení cookies máte srozumitelně popsány v podmínkách použití či prohlášení o cookies;
  • osobní údaje využíváte k účelům vytváření statistik a analýz a zlepšování vlastních digitálních produktů;
  • využívané technologie, cookies a jejich zpracovatele máte náležitým způsobem uvedené v podmínkách použití či prohlášení o cookies a v případě, že ke zpracování dat dochází mimo území EU, máte vše náležitě ošetřeno;
  • spoléháte na aktuální platné normy, ač je čím dál tím jasnější, že v brzké budoucnosti dojde ke zpřísnění a nějaká modernější forma správy souhlasů bude zcela jistě vyžadována.

Co bude dál?

Pokud jako provozovatel digitálního řešení chcete už dnes být připraveni na téměř neodvratnou budoucnost nebo sami chcete udělat pro soukromí svých uživatelů maximum, je vhodné začít se chystat na férovější přístup, který nás nejspíš stejně nemine. K transparentnějšímu a k uživatelům férovějšímu přístupu se začíná hlásit i odborná veřejnost. Byť probíhá většina debat spíše v odborných kruzích, je zřejmé, že také řadoví konzumenti přestávají být spokojeni s aktuální situací, kdy jsou běžně údaje o jejich chování na internetu sdíleny s řadou reklamních systémů a dalších hráčů, kteří následně využijí každé možnosti jak takové údaje přetavit v motivaci k nákupu. Řada uživatelů už s tím ztrácí trpělivost a využívání AdBlockerů neustále narůstá. Navíc do tohoto prostředí významným způsobem zasahují též výrobci internetových prohlížečů, kteří se cítí za tuto uživatelskou zkušenost spoluzodpovědní a hledají proto cesty, jak nadužívání otravného cílení reklamy zamezit. Je také velmi pravděpodobné, že i u nás dojde k podobným úpravám právního prostředí jako jinde po Evropě a k dlouhodobému uložení (byť anonymizovaných) identifikátorů v cookies (nebo jiných úložištích) bude bezpodmínečně vyžadován explicitní souhlas uživatele.

Pokud v rámci daného tématu potřebujete pomoci, neváhejte nás kontaktovat.

Autorem a technickým garantem článku je Lukáš Čech.

Lukáš Čech vystudoval softwarové inženýrství na ZČU v Plzni. Od roku 1997 se věnuje internetových technologiím, od roku 2009 se pak specializuje na digitální analytiku. Spolu–pořádá český MeasureCamp, kde rád sdílí své nejnovější poznatky z oboru.

Článek vznikl pod odborným dohledem Petry Dolejšové.

Petra Dolejšová je advokátka, která se specializuje na právo v oblasti e-commerce, marketingu a ochranu osobních údajů. Často a ráda předává své know-how na školeních, ze kterých vynechává paragrafy, na jejich místo sází příklady z praxe, lehkost a vtip. Hledá cesty, kudy jít, ne důvody, proč se zastavit.

Analytics
Cookies
Marketing
Consent
Gdpr

--

--

Lukáš Čech
Etnetera Activate

Written by Lukáš Čech

218 Followers
Writer for

Digital Analytics Heavy Lifter from @etneteractivate

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams