45 otázok, odpovedí a odporúčaní k príprave webu na nový „cookies“ zákon

45 otázok, odpovedí a odporúčaní k príprave webu na nový „cookies“ zákon

Vážení partneri, milí publisheri,

pred 2 týždňami sme Vám priniesli Spoločné vyjadrenie 4 affiliate sietí a software k novelizácii § 89 127 ZEK pre našich publisherov. Ak ste ho ešte nečítali, nájdete ho v tomto článku. Spoločne Vám v tomto článku opäť prinášame ďalšiu porciu dôležitých informácií. Tentoraz pôjde o čisto praktické rady a odporúčania, týkajúce sa implementácie a zapracovania pravidiel na Vaše weby.

                     

Dňa 22.9 .. prebehol pod záštitou spoločnosti ROIVENUE a advokátskej kancelárie Legitas seminár hlavne pre eshopistov na tému „Ako pripraviť web na nový cookies zákon“, najmä vzhľadom ku novele § 89 o získavaní súhlasu s „cookies“ po novom ako „opt-in“. Na seminári bolo položených veľa konkrétnych otázok k aplikácii nových pravidiel a nariadení do praxe a čo z toho vyplýva pre prevádzkovateľov webov. Kolegovia z ROIVENUE v spolupráci s Petrou Stupkovou z advokátskej kancelárie Legitas k otázkam vypracovali odpovede a odporúčania a s ich súhlasom ich teraz prinášame aj Vám.

Na otázky právneho charakteru odpovedala Petra Stupková z advokátskej kancelárie Legitas, na tie analytické Dan Musialek z ROIVENUE. Ďakujeme týmto za možnosť podeliť sa o ne aj s Vami! (Do textu otázok ani do odpovedí sme nijako nezasahovali mimo opráv interpunkcie, preto sú otázky a odpovede až na výnimky v češtine)

                  

1. Lze mít GA zařazené v kategorii necessary cookies při vypnutí reklamních a demografických funkcí?
Ne, protože GA poskytuje analýzy chování návštěvníků, které nejsou nezbytné pro fungování webu. Protože dokáží rozpoznat, o že se jedná o návštěvníka nalogovaného z konkrétního počítače, jedná se o osobní údaj. Proto je zapotřebí souhlas.

2. Je zapotřebí mít na první vrstvě cookie lišty kromě „accept all“ buttonu i „reject all“ button? Pokud ano, musí mít stejné formátování?
Spíše než “reject all” doporučujeme “pouze nezbytné cookies”, pro které není třeba získat souhlas. Podle nás je v pořádku použít jinou barvu pro tlačítko “accept all”, nemělo by se ale stát, že by možnost volby cookies, nebo pouze nezbytné cookies byly málo viditelné. Není proto žádoucí, aby to byl nevýrazný text vedle křičícího accept all tlačítka.

3. Jaká jsou specifika pro jednotlivé země v rámci EU? Je nějaký univerzální přístup, jak cookie lištu nastavit?
Východiskem právní úpravy cookies je evropská směrnice ePrivacy, která požaduje výslovný souhlas se zpracováním cookies. Každá evropská směrnice musí být do vnitrostátního práva transponována přijetím zákona, který danou problematiku upravuje. Česká republika ovšem tuto směrnici špatně transponovala a proto jako snad jediní v celé EU máme nesprávně režim opt-out, ačkoli je evropským standardem režim opt-in.

4. Petro – Musíme pustit uživatele na web, ačkoliv se ještě nevyjádřil, zda souhlas dá či nedá? A stále mu visí neodkliknutá lišta?
Ano, je možné uživatele pustit na web, aniž by dal souhlas s cookies. V takovém případě je ale nutno zajistit, že budou zpracovávány pouze takové cookies, ke kterým dal návštěvník souhlas. Jediné cookies, ke kterým souhlas dávat nemusí, jsou ty nezbytné. Dokud nedá souhlas, nemůžete mít pro daného uživatele zapnuté analytické nebo marketingové cookies.

5. Ja každá cookie brána jako osobní údaj?
Ano, cookies jsou osobní údaje.

6. Lze mít zařazené GA do kategorie necessary cookies? Je zapotřebí v tom případě randomizovat client id při každém PV?
Ne, protože Google Analytics nejsou nezbytné pro fungování webu, a proto je zapotřebí k jejich použití získat souhlas. Důležité je zmínit, že pokud anonymizujete, dostáváte se mimo režim GDPR, protože anonymizace chrání soukromí tak, že již nikoho nepůjde na základě přijatých dat dohledat. Toto jde podle našeho názoru zajistit pouze u statistických cookies, které nedokáží rozlišit, zda se vrací stejný uživatel, nebo se jedná pouze o návštěvu webu jako takovou. V opačném případě se vždy jedná o osobní údaje.

7. Je možné začít sbírat souhlasy uživatelů před platností nového cookie zákona? Tedy před 1.1.2022?
Určitě ano! Nic vám nebrání využít prostor před účinností novely pro zkoušení nového nastavení cookies, naopak. V okamžik účinnosti, která se již blíží, je nutné mít funkční a právně správné nastavení cookies.

8. Jak se jako právnička díváte na to, že je potřeba získávat souhlas zvláštť kvůli ATT a GDPR, protože Apple si udělal svůj vlastní „GDPR“ ?
ATT stanoví pouze základní rámec hodnot, ze kterých mají uživatelé vycházet. Některé aplikace lze používat i mimo režim GDPR, takže je jen logické, že Apple akcentuje vysokou hodnotu soukromí.

9. Když dramaticky poklesne vypovídací schopnost analytiky (viz. úvodní příklad), tak jak se bude řešit atribuce výnosů mezi mkt kanály? Konec atribučních modelů?
K tomu, aby atribuce přinášela spolehlivá data pro řízení businessu nepotřebuje mít 100% data pointů. Obecně určitě platí, že čím více dat, tím větší přesnost. Pokud se však dostaneme přes určitou kritickou úroveň z pohledu statistiky, tak se přesnost s větším množstvím dat příliš nemění. Např. Google uvádí, že pro jeho atribuční nástroj stačí dosáhnout úrovně 60%. V tomto kontextu je důležité vědět, na jakém principu daný atribuční model funguje. Historicky používané modely jako Markov nebo Shapley potřebuji větší množství dat než např. RNN založený na strojovém učení. Roivenue atribuce běží právě na RNN technologii a můžeme potvrdit, že těch 60% je plně dostačujících. S dobře optimalizovanou cookie lištou byste neměli mít s dosažením této hranice problém.

10. Jak se zákon dívá na měřící parametry reklamních systémů předávané v URL adrese, např. v případě GAds je to „?gclid=..“ Lze s nimi pracovat i bez souhlasu?
Zatím o tomto nemáme povědomí, ale budeme zkoumat.

11. Máte odkazy na ty případy, kde padaly pokuty?
Jedním z nejznámějších případů je pokuta vůči společnosti Google ve výši 100 mil. eur. https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-go ogle-llc-and-40-million-euros-google-ireland

12. Opravdu jde nahradit frontendové cookie backendovým? V pondělí 9.9. vyšel iOS 15, který tuším řeší tuhle problematiku a nepůjde už to takto obejít nebo ano?
Nevím o tom, že by to v iOS 15 již nešlo. Nicméně principiálně ano – nastavení 1st party cookie přes backend je taková rychlá záplata, ale koncepční řešení to není. iOS totiž stále více akcentuje ochranu soukromí uživatelů, čímž omezuje tracking jako takový. Sice “zachráníme” to cookie, ale k měření nemusí vůbec dojít. Koncepčním řešením je kompletně backendové měření.

13. Klient přijde na eshop skrze partnera a na eshopu souhlasí jen se základní formou cookies. Měří se taková cookies po konverzi klienta, aby mohlo dojít k provizi
Ne. Tuto funkci základní cookies neumožňují. Je zde však hodně nuancí v závislosti na tom, jak konkrétně máte nastavené obchodní podmínky a analytiku. Např. můžete mít v rámci akceptace obchodních podmínek v checkoutu i akceptaci cookies. V takovém případě budete mít konverzi ze zdroje direct.

14. Neviete aky je momentalny stav Opt in na Slovensku? je uz teraz povinne alebo tiez bude od 1/1/2022
Na Slovensku je vždy nutný souhlas. Dle slovenského Zákona o elektronických komunikáciách (§ 55 odst. 5 tohoto zákona) je souhlas považován za udělený, pokud je nastaven skrze webový prohlížeč.

15. Proč cookies ve které je uloženo např. lang=cs je osobní údaj?
Ve spojení s jiným údajem může identifikovat uživatele, a proto je osobním údajem. Alespoň tak se na tuto problematiku dívá ESD (Evropský Soudní Dvůr).

16. Pokud nahradím cookie -> local storage, je to legální?
Je nám líto, nerozumíme dotazu.

17. Co evidence těch souhlasů? O tom nepadlo ani slovo a potažmo mazání dat na požádání? Hlavně u anonymních uživatelů
Pokud to jsou opravdu anonymní uživatelé, režim GDPR se neaplikuje. Evidenci souhlasu jste povinni vést jako správce osobních údajů. Doporučujeme si k tomu pořídit cookie consent management nástroj.

18. Je možné zamezit uživateli vstup na web pokud nebude souhlasit s aktivováním všech cookies?
Ne, uživatel musí být vždy schopen projevit svůj souhlas svobodně.

19. Dobrý den, je možné sbírat cookies bez klasické podoby opt-in formu při registraci/přihlášení uživatele na webu? (využití optin all nebo zjednodušená forma)
Tento postup nemůžeme doporučit. Pokud dáte možnost volby cookies až při registraci, můžete tak přijít o cenné cookies neregistrovaných uživatelů. Zároveň je důležité mít na webových stránkách viditelný odkaz, na kterém se uživatel může dočíst, jaké z cookies jsou zpracovávány, a jak lze nastavit, jaké cookies o něm web bude zpracovávat.

20. Můžu poprosit o odkaz na ten soudní případ, které zmiňovala paní z právní kanceláře?
https://cloud.michae.lv/s/pBisKt6tCyY2s3j

21. Lze v liště možnosti „předzaškrtnout“? pokud neklikne přímo na Nesouhlasím a možnosti neupraví a klikne na Souhlasím, tak vše odsouhlasí.
Ne, předzaškrtnuté lišty jsou hlavní změnou novely zákona o elektronických komunikacích. Je možné nabídnout možnost Přijmout vše.

22. Vzhledem k nemožnosti ukládat source při nesouhlasu, jak vyhodnocovat affiliate?
Pokud uživatel nedá opt-in na tu analytickou cookie, tak analytika nemá podle čeho propojit zdroj návštěvy s konverzí. Jednou z možností je not-tracked konverze dopočítávat. Představte si to zjednodušeně jako sampling. Budete mít určitou část uživatelů, kteří souhlas dali a u nich zdroj víte. U zbývající části uživatelů zdroj nevíte a musíte si ho dopočítat.
K tomu je nutné mít cookieless měření (analytický tag posíláme při zobrazení landing stránky, ale pokud nemáme opt-in tak bez analytických cookies), což znamená že jednotlivé hity nebudete mít v rámci analytiky propojené (nemáme tam tu cookie). Ale chytíte zdroje návštěvy a budete vědět, kolik uživatelů z jakých zdrojů přišlo. Dále víte od uživatelů s opt-inem, jak vám který zdroj konvertuje. Kombinací těchto 2 datapointů se dostanete k odhadu konverzí z daného zdroje. Přesnějším zdrojem dat je backendové měření na úrovni konkrétní affiliate platformy. Doporučit lze také použití slevových kódu přiřaditelných ke konkrétnímu affiliatovi.

23. Máme plno malých klientů, u kterých bude implementace opt-in asi dost problematická. Existuje nějaká služby, která by fungovala „nahráním kódu“ do webu?
Toto není právní otázka, ale máme za to, že některé služby fungují právě změnou html kódu.

24. Když někdo odsouhlasí pouze nutné cookies, je nutné při příští návštěvě znova potvrzovat volbu?
To zatím nevíme. Ale myslíme si, že je to možné.

25. Máte nějaké statistiky k opt-in rates – skvělý vs špatný Cookie consent?
Těch faktorů, které ovlivňují opt-in raty je opravdu mnoho. Kromě dobré či špatné copy a vizuální exekuce je to např. i pozice nebo velikost banneru. Dobře to ilustrujte tento výzkum https://arxiv.org/pdf/1909.02638.pdf. V kapitole 4 vidíte, jak se mění opt-in raty v závislosti právě na pozici banneru a možnostech volby. Ty rozdíly jsou opravdu dramatické – od 0,1% až po 50,8%.

26. Ake maximalne opt in rates sa vam dari dosiahnut, ak ma klient „vymazleny“ opt in formular?
Záleží nejen na “vymazlenosti” banneru, ale také na tom jaký vztah k vaší značce zákazníci mají. Pokud máte love brand, dosáhnete lepších ratů než např. masová značka bez silných vztahů se zákazníky.

27. Zjistili jsme, že 3rd party cookies se v průběhu času můžou měnit. Jak tedy udržovat seznam cookies aktuální? (Mimo zaplatit si nástroj jako Cookie bot)
Těžko. Doporučuji si zaplatit nástroj.

28. Dvě věci – cookies a souhlas se zpracováním osobních údajů. Marketingové systémy si běžně žádají o email uživatele to je úplně jiné. Jaký je váš názor?
Souhlas se zpracováním osobního údaje (cookie, e-mail) musí být vždy za daným účelem. Typicky e-mail za účelem zasílání obchodního sdělení.

29. Když je povinný nesouhlas s cookies, co se má stát po odkliknutí? (potvrdí se jenom nutné?, uživatele to vyhodí?, nebudou fungovat ani nezbytné cookies?)
Nezbytné cookies mohou vždy fungovat, protože k jejich zpracování není jako jediným cookies zapotřebí souhlas.

30. Bylo by ok využít nezbytně nutné technické cookies (session cookie) k analytickým účelům?
Ne, a nezkoušejte tu analytiku obcházet takhle očividně 🙂

31. Jak to bude u webů s vloženými bannery Google Adsense a Sklik Partner?
Bez povolení marketingových cookies je nelze zpracovávat.

32. Můžete ještě trochu probrat rozdíl mezi souhlasem se zpracováním údajů vs cookies?
Cookies považujeme za osobní údaje. Nakládání s nimi je proto zpracování osobních údajů. Souhlas se zpracováním cookies je nutný vždy. Jedinou výjimku mají nezbytné cookies pro provoz webu.

33. Podle čeho soudíte, že cookie jsou vždy osobním údajem?
Soubory cookies jsou informace, které dokáží identifikovat uživatele. O tom již rozhodl ESD (Evropský Soudní Dvůr), a proto tak soudíme.

34. Jak se zákon tváří na motivaci souhlasu a sdílení osobních údajů za úplatu. Např pokud nám nasdílíte cookies a dáte nám informace o vašich zájmech dostanete slevu
Zatím nemáme vyzkoušeno v praxi. Nicméně, pozitivní a nediskriminující motivaci pravděpodobně nelze vyloučit.

35. Máte někde odkaz na danou novelu / zákon, kde je to definované?
https://www.psp.cz/sqw/text/tiskt.sqw?O=8&CT=1084&CT1=0

36. Dají se podle vás uživatele na webu nějak motivovat k opt inu?
Samozřejmě – vymazlete a vyoptimalizujte vaši cookie lištu. Na webináři o tom mluvíme kolem 22 minuty:  Jak připravit svůj web či eshop na nový cookie zákon | Záznam webináře

37. Ake opt-in rate dosahujete pri dobrom nastaveni consentu?
Viz otázka č.26

38. Pokud vím správně, tak consent nesmí blokovat fungování stránky. Můžete toto potvrdil nebo vyvrátit?
Pro fungování stránky je možné zpracovávat nezbytné cookies, ke kterým není třeba souhlas návštěvníka stránky.

39. Musíme pustit uživatele na web, ačkoliv se ještě nevyjádřil, zda souhlas dá či nedá? A stále mu visí neodklinutá lišta?
Ano, je možné uživatele pustit na web, aniž by dal souhlas s cookies, v takovém případě je ale nutno zajistit, že budou zpracovávány pouze takové cookies, ke kterým dal návštěvník souhlas. Jediné cookies, ke kterým souhlas dávat nemusí, jsou ty nezbytné. Dokud nedá souhlas, nemůžete mít pro daného uživatele zapnuté analytické nebo marketingové cookies.

40. A zákon to výslovně upravuje? Musí tam bít explicitně pole “Nesouhlasím”?
Ze znění musí být vždy zřejmé, jaké důsledky bude kliknutí na dané pole mít. Lze proto volit jinou formulaci. Doporučujeme buď pole “Nesouhlasím”, nebo “Jen nezbytné cookies”.

41. Tlačítko „nesouhlasím“ v cookie liště by být mělo, nebo tam být musí? IMHO toto zákon nespecifikuje, ne?
Jsme názoru, že možnost souhlasit pouze s nezbytnými cookies by měla být ve stejné úrovni, jako souhlas se všemi cookies.

42. Trochu cynická otázka – za ignorování cookies lišty je „standardní“ pokuta dle GDPR 4% obratu? Resp. už padly v ČR nějaké pokuty za cookies lištu a kolik?
Výše pokuty dle GDPR je vždy uvedena horní hranice. Přesný výpočet pokuty je vždy na daném kontrolním orgánu. ÚOOÚ již pokuty za cookies udělil, přesná výše však není zveřejněna.
https://www.uoou.cz/kontrola-pouzivani-cookies-uoou-00374-20/ds-6500

43. Může být volba marketingových cookies předem zaškrtnutá ve výběru? Nebo to musí uživatel zaškrtnout?
Ne, uživatel musí udělit sám souhlas bez předem zaškrtnutých polí.

44. Nechci kecat, ale FLoC by to být neměly – ta informace IMHO šla pár měsíců zpátky.
Je možné, že se to ještě změní. V tuto chvíli však vše nasvědčuje tomu, že to FLoC bude. Viz bullet point nazvaný “Testing” v tomto oznámení, které Google vydal s ohledem na posun releasu Privacy Sandboxu. https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/

45. iOS tracking hack… to je stejná hack, který udělal Facebook ohledně měření v rámci iOS?
Omlouvám se, nevím přesně co je myšleno hackem, který dělal Facebook v rámci měření iOS. Jestli myslíte, že FB experimentoval s přidáváním FBCLIDu do URL při prokliku a pak si to uloží do 1st party místo 3rd party, tak pořád je to 1st party cookie nastavená Javascriptem a vztahují se na ní příslušné restrikce. Není to tedy 1st party cookie backendová.

Znovu upozorňujeme, že ide o 100% prevzatý text otázok a odpovedí z materiálu vypracovaného po seminári ROIVENUE a LEGITAS, častokrát teda otázka reaguje na konkrétny slajd či informáciu z online webinára. Ten si môžete zo záznamu pustiť na YouTube.

 

Ak budete mať ďalšie otázky týkajúce sa aplikácie nového zákona a najmä cookie líšt a spôsobov získavania a práce so súhlasmi návštevníkov, napíšte nám na hello@dognet.com. Akonáhle ich bude viac, zistíme odpovede a opäť sa o ne podelíme v ďalšom článku tu v našom magazíne.

Roman Dobiáš
Roman Dobiáš

Mám na starosti aktivity Dognet v České republice.

Ďalšie články, ktoré by ťa mohli zaujímať

Akých inzerentov u nás nájdete?