Aktualizace článku

  • 25. 4. 2022: Úřad pro ochranu osobních údajů potvrdil, že i u cookie lišt je potřeba „být schopen doložit, že subjekt údajů předmětný souhlas udělil“.

Od 1. 1. 2022 vchází v platnost novela Zákona o elektronických komunikacích, která zpřísňuje dosavadní benevolentní nakládání s cookies.

Pokud o tom nevíte nebo hledáte cestu, co udělat, aby se vám nezhroutilo měření a online marketing, tak právě pro vás je tento článek.

Posbírali jsme informace od předních českých specialistů na e-právo a web (viz odkazy na konci článku) a zasadili je do praktického rámce.

Cookies

Základní pojmy GDPR pro připomenutí

  • Osobní údaj – jakýkoli údaj, týkající se identifikované nebo identifikovatelné žijící osoby
  • Kdy můžeme sbírat osobní údaje?
    • pokud jde o plnění smlouvy (např. objednání na e-shopu)
    • na základě oprávněného zájmu (např. pro prevenci podvodů)
    • se souhlasem (svobodný informovaný souhlas, který musíme pro případ kontroly být schopni doložit)
  • Cookies – soubor, který webová stránka může uložit do prohlížeče. Tento soubor identifikuje daný prohlížeč, tedy v podstatě i danou osobu. Jde o osobní údaj. Na základě tohoto souboru lze propojit jednotlivá zobrazení stránek webu do jedné návštěvy a tedy vyhodnocovat analytiku a optimalizovat marketingové kampaně. Obvyklé typy cookies:
    • technické (nezbytné) – potřebné pro běh webu, jako např. pro přihlášení uživatele ke svému účtu
    • analytické – označení prohlížeče pro měření návštěvnosti webu – propojování návštěv do stránek apod. (např. Google Analytics, Hotjar). Ukládat je můžeme dle novely už jen se souhlasem (opt-in přístup).
    • marketingové – pro tvoření cílené reklamy (např. Facebook Pixel, Sklik retargeting kód, Google Analytics pokud se používá pro posílání konverzí do Google Ads, …). Ukládat je můžeme opět jen se souhlasem (opt-in).

Pokud zatím šlo GDPR úplně mimo vás, doporučuji začít obecným článkem o GDPR.

TIP: ke snadnému určení, jaká cookies jakého typu využíváte dobře poslouží cookie scanner od Cookiebotu.

Co přináší novela?

Od roku 2018, kdy začalo platit GDPR, se v České republice paradoxně nemusely zavádět cookie lišty, jako se zaváděly jinde v Evropě. Implementace GDPR do českého zákona nebyla úplně správná a Úřad pro ochranu osobních údajů byl naštěstí relativně benevolentní v jeho vymáhání. Úřadu stačilo, že souhlas se sbíráním osobních údajů mohl být udělen nastavením prohlížeče. Tedy bez toho, aniž by mu web ukazoval cookie lištu.

To se mění a souhlas bude muset být od 1. ledna 2022 udělen nějakou cookie lištou. Pro analytická cookies bude zapotřebí také souhlas.

Navíc nesmí být tlačítko pro odmítnutí souhlasu hůře čitelné nebo dostupné než tlačítko pro přijetí všeho.

Proč jsou cookies pro analytiku důležité?

Jen díky cookies víme, že uživatel, který přišel na web z nějaké konkrétní kampaně, o několik stránek či návštěv později nakoupil. Bez cookies tedy přicházíme o atribuci návštěv. Náklady na kampaně budou pořád stejné, ale změřené objednávky budou nižší. Pokud vám např. jen 50 % uživatelů udělí souhlas s užitím marketingových cookies, PNO (procentuální náklady na obrat) vám vystřelí na dvojnásobek. Takže kampaně budou opticky zřejmě nevýdělečné a kvůli menšímu množství dat se budou špatně optimalizovat.

Apokalypsa webové analytiky?

Naštěstí ne. Ale začíná jít do tuhého.

Co udělat?

A) Nic

Úřad pro ochranu osobních údajů zaměstnává 7 lidí a obdrží 9000 stížností, které by měli nějak řešit.

Pokud máte malý web a nikoho nenaštvete natolik, aby stížnost podal, existuje jen malá šance, že bude váš web někdo řešit kvůli tomu, že nežádáte o souhlas pro analytiku. Na druhou stranu se začínají objevovat nástroje, které automaticky skenují weby a pokud zjistí, že web automaticky ukládá cookies, která by neměl ukládat, podají stížnost na příslušný úřad.

Při kontrole byl postup Úřadu zatím takový, že nejdříve vyzval provozovatele webu k nápravě. Až pokud k nápravě nedošlo, tak uděloval pokuty. Nejvyšší pokuty se pohybovaly v řádech statisíců, zcela výjimečně přes 1 milion Kč. K ničemu vás zde nenabádám, ale mějte na paměti, že nejhorší je smrt z vyděšení.

Navíc je možné, že až přijde ePrivacy, odhadem roku 2025, budou se cookie lišty rušit.

B) Neměřit a smazat jakékoli externí zdroje

Za mě nejhorší řešení – smrt analytiky z vyděšení. Pokud si chcete být 100% jistí (třeba na webu pro výhradně německý trh) a chcete investovat minimum času, tak odstraňte nebo raději anonymizujte veškerou analytiku. Anonymizaci lze provést v GTM přes Consent Mode (viz dále) a anonymizací IP adres v GA.

Zároveň byste měli ošetřit načítání externích zdrojů jako iframy s YouTube, Google Maps a pravděpodobně i načítání fontů z Google Fonts, které mohou ukládat cookies nebo odesílat IP adresy ke zpracování Googlem.

C) Zavést správné a návodné cookie lišty

Jak udělat, aby se vlk nažral a koza zůstala celá? V ideálním případě získáme cca 60-80 % souhlasů, ale musíme lištu vyladit. Máme 3 hlavní možnosti:

  1. Nasadit placenou Cookie lištu.
    V agentuře Taste si udělali rešerši a vypadl jim z toho jako nejlepší Cookiebot, který se dá rozumně nakonfigurovat a dobře se integruje s analytikou. Cookiebot je dokonce zdarma u webů do 100 stránek. Pro malé weby se to jeví jako ideální řešení. Další často používaná řešení:
    1. Osano – do 5000 návštěvníků měsíčně je zdarma
    2. Onetrust
    3. Google Funding Choices
    4. Didomi
    5. Optanon
  2. Nasadit vlastní Cookie lištu
    Z open-source řešení nás zatím nejvíce zaujal Cookieconsent. Zkoušeli jsme i Klaro (neideální podoba cookie lišty), nepřesvědčilo nás jednoduchoučké Osano (malá konfigurace a zdarma jen do 5000 návštěv). Je důležité, aby cookie lišta měla:
    1. Konfigurovatelný vzhled a mírně navádějící podobu pro přijetí všech cookies (viz dále).
    2. Možnost nastavit platnost cookie této cookie lišty na 13 měsíců (v ČR se bere jako maximum délky uložení, nicméně třeba cookies nastavovaná Googlem a Facebookem mají platnost delší).
    3. Loggování udělených souhlasů někam na server (datum, IP adresa, s čím uživatel souhlasil).
    4. Překladatelnost a konfigurovatelnost textu tlačítek
    5. Ideálně měření míry souhlasu, aby šla podoba cookie lišty optimalizovat.
    6. Ideálně možnost zakázání iframů např. různých iframe widgetů ukládajících cookies a odkrytí až po schválení cookie lišty.
    7. 👉 na základu Cookieconsent jsme vyvinuli vlastní cookie lištu s backendem, která všechny výše uvedené požadavky splňuje. Běžná komerční řešení stojí minimálně 8 EUR/měsíc, což je přes 2000 Kč za rok. My licenci našeho řešení na 1 doménu prodáváme za 2000–4000 Kč dle velikosti webu, bez měsíčního paušálu a s libovolnou možností úprav. Pro konkrétní cenu pro váš web nás prosím kontaktujte.
  3. Nasadit vlastní Cookie lištu + server-side analytiku
    Server-side analytika znamená, že se informace o návštěvě uživatele neodesílají přímo z jeho prohlížeče do analytických nástrojů, ale nejdřív na server a odtud až do analytických nástrojů. Stačí, aby server uložil do prohlížeče cookie s jedním unikátním identifikátorem uživatele a o zbytek trackování se server postará na pozadí. Jaké to má výhody?
    1. „Ošklivá“ cookies nejsou na první pohled vidět, takže tato serverová cookies nezablokuje AdBlocker nebo iOS 14 a vyšší, kde dochází k automatické blokaci cookies 3. stran (viz článek o ITP). Chrome zatím tvrdí, že přestane cookies 3. stran podporovat odhadem v roce 2023.
    2. Jelikož nejsou cookies na první pohled vidět, může se snížit riziko kontroly. ALE pokud byste cookie lištu zrušili a informace o uživatelích byste bez souhlasu posílali do chřtánu Facebooku a Googlu, tak bych odhadl, že by v případě odhalení byl tento vědomý úmysl přitěžující okolností.

I v těchto případech je potřeba ošetřit načítání externích zdrojů, např. YouTube, aby neukládaly do prohlížeče žádné identifikátory. Při vkládání videa z YouTube na web lze sice zaškrtnout Aktivovat režim ochrany soukromí, který vymění doménu youtu.be nebo youtube.com za www.youtube-nocookies.com a přes kterou načtení videa žádná cookies neuloží, ale ochraně soukromí to zřejmě stejně moc nepomůže. YouTube si totiž při načtení videa uloží do Local Storage prohlížeče identifikátor yt-remote-device-id a pár dalších dat. Cookie jako Local Storage – prašť jako uhoď.

Jistým řešením by bylo použít např. Iframe manager od Orestbida, který iframe povolí až po schválení uživatelem.

Ideální podoba cookie lišty

Ze všech rad a doporučení mi vyplynula následující podoba cookie lišty.

Umístění

Jste silný brand a chtějí/potřebují k vám uživatelé chodit?

  • Ano
    Můžete použít agresivnější formu nezavíratelné cookie lišty uprostřed obrazovky, ale pozor na horší UX, potenciálně horší pozice na Googlu (kvůli tzv. „pogo sticking“) a horší metriky Core Web Vitals.
  • Ne
    Raději zvolte menší umístění (na telefonu menší část obrazovky) a neomezujte používání webu, aby uživatelé neopouštěli váš web ihned po načtení lišty.

Málo až hodně agresivní cookie lišta
Málo až hodně agresivní cookie lišta

Anatomie dobré cookie lišty

Hlavním prvkem lišty je originální a vtipná textace a výraznější tlačítko na přijetí všech cookies. Pozor ale, toto tlačítko musí být stejně kontrastní i stejně velké jako tlačítko Odmítnout.

Anatomie dobré cookie lišty
Anatomie dobré cookie lišty

Další doporučené podoby cookie lišty a časté chyby

Petra Dolejšová - petradolejsova.cz
Petra Dolejšová – lišta na petradolejsova.cz
Petra Dolejšová - časté chyby cookie lišt
Petra Dolejšová – časté chyby cookie lišt
Michal Voják - Designdev
Michal Voják – Designdev
Michal Voják - Designdev
Michal Voják – na webu Designdev testovali postranní lištu s povinným výběrem, která měla přes 90 % míru schválení, ale příliš zvýšila míru okamžitého opuštění
Cookie lišta na Taste.cz

Dále pozor na

  • Překrytí cookie lišty s oknem pro chat, obzvlášť na mobilu
  • Zhoršení rychlosti webu
    • otestovat PageSpeed / Lighthouse před a po nasazení cookie lišty
    • aby to nepokazilo LCP – lištu co nejrychleji vykreslit nebo minimalizovat velikost, aby se lišta nestala tím „Largest“ prvkem
    • ne statické lišty u horní části obrazovky, které by pokazily CLS

Google Tag Manager aneb jak měřit bez cookies

Google Tag Manager před časem zavedl takzvaný Consent mode. Spočívá v tom, že definuje několik základních typů souhlasu:

ad_storageUmožňuje ukládání informací (jako jsou soubory cookie) souvisejících s inzercí
analytics_storageUmožňuje ukládání informací (jako jsou soubory cookie) souvisejících s analýzou, např. délka návštěvy
functionality_storageUmožňuje ukládání informací, které podporují funkce webu nebo aplikace, např. nastavení jazyka
personalization_storageUmožňuje ukládání informací souvisejících s personalizací, např. navrhovaná videa
security_storageUmožňuje ukládání informací souvisejících se zabezpečením, např. ověřování, ochrana před podvody a další prostředky na ochranu uživatele

U každého tagu lze nastavit, jaké souhlasy vyžaduje. Tagy od Googlu (Google Analytics, Google Ads, …) už mají typy souhlasů přednastavené. Pokud je souhlas odmítnut, cookies se nenastaví a odešlou se alespoň anonymní data – do GA se odešlou jen data o zobrazení stránky/konverzi bez propojení ostatních zobrazení stránek návštěvníka.

U ostatních tagů je potřeba nastavit, jaký typ souhlasů ten daný tag vyžaduje. Bez souhlasu se tag vůbec nespustí.

Bez změny výchozího nastavení souhlasů se tag odešle. Pro funkčnost Consent mode je tedy potřeba nastavit výchozí souhlas na „odmítnuto“ (viz dále).

Jak lze proměnné pro typy souhlasu nastavit?

Informace v této sekci využijete nejspíš jen při nasazování vlastní cookie lišty.

1. Nastavit výchozí souhlasy na ‚denied‘

V GTM si přidejte nový tag z Community Template Gallery s názvem Consent Mode (Google tags) od Simo Ahava (více info v jeho článku).

V něm nastavte výchozí souhlasy (na denied).

Nebo lze výchozí souhlasy nastavit i v HTML kódu stránky před vloženým GTM kódem, viz nápověda Googlu nebo praktický návod GTM s Osano lištou od Lukáše Čecha.

2. Při updatu lišty změnit souhlasy

V callbacku uděleného souhlasu lištou nastavit příslušné souhlasy (a výsledek někam zalogovat). Dle cookie lišty může být zapotřebí doprogramovat uložení cookie s nastavením této cookie lišty (to už je ve vašem oprávněném zájmu 🙂 ) Poslouží opět výše uvedené návody.

To je zhruba vše k technické implementaci.

FAQ

  • Jakou můžu očekávat míru souhlasu?
    • Liší se to dle podoby lišty klidně od 20 do 95 %. Např. LiveSport má v průměru 60-80 %, což údajně stačí Googlu na nějaké prediktivní modelování, aby si domyslel chybějící data.
  • Můžu uživatelům zabránit vstupu na web, když mi nedají souhlas (cookie wall)?
    • Ne, jakýkoli GDPR souhlas nesmí být podmínkou pro získání té služby nebo informací. Je ale varianta nabídnout uživatelům obsah buď za souhlas nebo za peníze.
  • Co je ITP – intelligent tracking prevention?
    • V iOS od verze 14 – Safari a od roku 2020 všechny prohlížeče na iPhonu vč. Chromu.
    • Blokuje frontendové cookies 3. stran (ne backendové přes HTTP).
    • 1st party cookies – nově 1denní nebo 7denní expirace.
  • Co je ATT – App Tracking Transparency?
    • Aplikace v iPhonu musí získat souhlas s trackováním na webech a aplikacích 3. stran.
    • Analogické k blokování cookies 3. stran v prohlížečích.
    • Jak na něj? Funguje pre-permission screen – obrazovka, která namotivuje lidi, aby klikli na Allow. Až uživatel klikne na Pokračovat, zobrazit ten defaultní iOS dotaz na povolení trackování.
  • Co když mám e-shop, kde nakupují lidé ze zahraničí?
    • Český eshop specializující se na český trh – pro web platí česká GDPR legislativa.
    • Český eshop specializující se na český trh a prodává i do Německa – česká legislativa.
    • Český eshop specializující se na německý trh – německá legislativa.
    • Český eshop specializující se stejně na Česko i Německo – česká i německá legislativa.
    • Český eshop specializující se na celý svět – česká legislativa.
    • Eshop specializující se na Slovensko – slovenská legislativa, kde se naštěstí od 1. 1. 2022 nic nemění.

Další zdroje

A co vy, jak budete cookies řešit? Pište do komentářů ↓

Tomáš Kouba

Jednatel Net Magnet s.r.o.