Articles
October 7, 2021
Daniel Musialek

Jak připravit web či eshop na nový cookie zákon od 1.1.2022

Novela zákona o elektronických komunikacích zásadně mění způsob, jakým sbíráme webová cookies. Zjistěte, co se mění, jaké jsou nové povinnosti pro vlastníky webů a co musíte udělat, abyste od 1. ledna nespadli do problémů.

Co se vlastně s novelou mění

“Opt-out” je out

V Česku jsme pro sbírání cookies historicky využívali model opt-out. Stačilo uživatele informovat o tom, že náš web používá cookies a uživatel jeho používáním vyjadřuje souhlas.

Některé weby umožňovaly individuální nastavení cookies, ale naprostá většina pracovala s cookies dle nastavení preferencí v browseru uživatele. Tento přístup byl podpořen rozhodovací praxí Úřadu pro Ochranu Osobních Údajů.

Vzhledem k tomu, že cookie preference si v browseru nastavuje minimum uživatelů, nebyly se získáváním cookies žádné problémy. Cookie lišty vypadaly nějak takto a uživatelé je odklikávali bez většího přemýšlení.

cookie lišta opt-out

“Opt-in” je in

Zmíněná novel zákona o el. komunikacích nově zavádí, že cookies bude možné sbírat pouze po souhlasu uživatelů (tzv. opt-in).

Vyjímku představují cookies nezbytné pro technické fungování webu, k jejichž zpracovávání není souhlas nutný. Ty můžeme tedy sbírat defaultně bez ohledu na souhlas či nesouhlas uživatele s ostatními cookies. Jedná se např. o cookie, které uloží vybrané zboží v košíku, když se vrátíme do katalogu eshopu pro výběr dalších položek.

Novela nedefinuje jak má souhlas vypadat, uvádí však, že musí být výslovný. Tzn. není možné nadále sbírat cookies na základě pouhého zobrazení banneru Používáním webu vyjadřujete souhlas s cookies. Tento posun je dobře viditelný na webu Aukra.

cookie banner opt-in

Jak novela ovlivní webovou analytiku?

Cookies jsou pro fungování webové analytiky nezbytné, protože bez nich nelze spojit jednotlivé pageviews do jedné session či identifikovat vracejícího se uživatele.

Analytický script sám o sobě není osobní údaj a můžeme jej tedy spouštět bez ohledu na souhlas uživatele. Ale pozor, bez souhlasu tam nesmíme dát analytické cookies. Zdánlivě jednoduché řešení nám tak přinese více problémů než užitku.

Pojďme si to ukázat na jednoduchém příkladu: jak se zaznamená konverze z Facebookové kampaně v případě opt-outu (stav do konce 2021) a opt-inu (stav od ledna 2022). Abychom pochopili, co se skutečně děje, projdeme si celé flow po jednotlivých hitech.

Opt-out (analytické cookie dáváme defaultně)

webová konverze při režimu opt out

Toto je z pohledu analytiky ideální řešení. Díky tomu, že dáváme cookie při zobrazení landing stránky, analytika umí spojit jednotlivé page view do ucelené session. V datech vidíme jednu session a jednu konverzi přiřazenou zdroji Facebook, což odpovídá realitě.

Opt-in (analytické cookie dáváme po souhlasu)

webová konverze při režimu opt in

V tomto případě můžeme nasadit analytické cookies až po udělení souhlasu. Při akceptaci analytického cookie uživatelem však vždy dochází k vytvoření nové session. V datech tak vidíme 2 sessions ze zdroje Facebook, přičemž druhá z nich vyústila v konverzi.

A co když opt-in neproběhne na landing stránce?

Pokud však uživatel akceptuje cookies až v průběhu návštěvy (tj. ne na landing stránce), ztratíme identifikátor zdroje. Bez cookie totiž nebude analytika umět propojit zbytek návštěvy s landing stránkou, která jediná nese informaci o zdroji.

V datech tak uvidíme jednu session z Facebooku bez konverze a několik sessions ze zdroje Direct, z nichž ta poslední vyústí v konverzi. Nebudeme schopni konverzi atribuovat Facebooku, což má zásadní dopad na měření výkonnosti kampaní.

Proto našim klientům doporučujeme, aby se snažili maximalizovat opt-in raty na vstupní stránce.

Jak na cookie lištu

Naším cílem je tedy přimět uživatele k akceptaci analytických cookies hned na landing stránce. Na druhé straně mu tím nesmíme bránit v používání webu, neboť uživatel musí mít možnost projevit souhlas svobodně.

Nejlepším řešením je tak strčit uživateli cookie banner doslova pod nos. Aby ho nemohl obejí a musel se k volbě vyjádřit. Velmi účinnou taktikou je lehké ztmavení vlastní stránky. Cookie lišta tím ještě více vynikne a zároveň uživatele nasměrujeme k volbě. Většina webů v západní Evropě, kde cookie opt-in vstoupil v platnost spolu s GDPR, takto s cookie lištou pracuje.

cookie lišta příklad opt-inu

Hledáte inspiraci?

Pokud toto téma aktuálně řešíte, připravili jsme pro vás přehled cookie bannerů 20ti velkých evropských eccomerce značek.

Každý cookie banner zároveň doprovází komentář advokátky se specializací na online právo. Snadno si tak uděláte obrázek o tom, co je právně správně a čemu je lepší se naopak vyhnout.

Cookie lišta

cookie lišta opt-in příklad

Volba preferencí

cookie preferences příklad

Verdikt právníka: DOPORUČUJEME

Podrobný komentář:

  • V našem přehledu jednoznačně nejlepší varianta
  • Volba preferencí neodkazuje na další stránku. Po kliknutí na možnost měnit preference vyskočí pop-up okno bez nutnosti přesměrování.
  • Zároveň zde nejsou možnosti předvyplněné, což je dobře, protože novela zákona o el. komunikacích požaduje výslovný souhlas se zpracováním cookies.
  • Správně nastaveno, že nezbytné cookies změnit nelze, protože u nich jako jediných není třeba souhlas. Jsou zpracovány na základě “oprávněného zájmu správce”.
  • Líbí se nám vysvětlení, že zaškrtnutí tlačítka OK = souhlas se všemi cookies
  • Jedinou výtkou, která se ovšem týká snad všech cookie lišt je, že bez volby preferencí lze pokračovat dále na stránku. To je možné pouze za předpokladu, že cookies nebudou aktivovány (kromě nezbytných). Nejde předpokládat, že kliknutí vedle znamená udělení souhlasu.

Novela zákona o el. komunikaci pohledem právníka

Dopadům novely zákona o elektronické komunikaci na weby a eshopy jsme se věnovali na našem webináři s Mgr. Petrou Stupkovou z advokátní kanceláře Legitas. Poslechněte si jaké rady a tipy pro vás advokátka se specializací na online právo s ohledem na cookie lištu má.

Slíbili jsme, že zodpovíme všechny dotazy publika, na které se v rámci webináře nedostalo. Dotazy jsou přepsány v původním znění. Pro představu uvádíme první tři, zbylé si můžete stáhnout zde.

1. Lze mít GA zařazené v kategorii necessary cookies při vypnutí reklamních a demografických funkcí?
Ne, protože GA poskytuje analýzy chování návštěvníků, které nejsou nezbytné pro fungování webu. Protože dokáží rozpoznat, o že se jedná o návštěvníka nalogovaného z konkrétního počítače, jedná se o osobní údaj. Proto je zapotřebí souhlas.

2. Je zapotřebí mít na první vrstvě cookie lišty kromě “accept all” buttonu i “reject all” button? Pokud ano, musí mít stejné formátování?

Spíše než “reject all” doporučujeme “pouze nezbytné cookies”, pro které není třeba získat souhlas. Podle nás je v pořádku použít jinou barvu pro tlačítko “accept all”, nemělo by se ale stát, že by možnost volby cookies, nebo pouze nezbytné cookies byly málo viditelné. Není proto žádoucí, aby to byl nevýrazný text vedle křičícího accept all tlačítka.

3. Jaká jsou specifika pro jednotlivé země v rámci EU? Je nějaký univerzální přístup, jak cookie lištu nastavit?

Východiskem právní úpravy cookies je evropská směrnice ePrivacy, která požadujevýslovný souhlas se zpracováním cookies. Každá evropská směrnice musí být dovnitrostátního práva transponována přijetím zákona, který danou problematiku upravuje. Česká republika ovšem tuto směrnici špatně transponovala a proto jako snad jediní v celé EU máme nesprávně režim opt-out, ačkoli je evropským standardem režim opt-in.

Pokud si s cookie lištou nevíte rady, využijte nezávaznou konzultaci s naším odborníkem. Rádi vám poradíme.