Efektivní e-shopy

E-shopařův (kompletní) průvodce novelou o cookies

Od:
Tým Instinctu

České e-shopy čeká od 1. 1. 2022 zásadní změna. V platnost totiž vstoupí novela zákona o elektronických komunikacích – a s ní se zpřísní podmínky, za kterých smí váš e-shop spravovat tzv. cookies.

Nově bude nutné přes lištu získat aktivní souhlas uživatele – tzv. opt-in s ukládáním a využíváním informací o většině jeho aktivit na webu. Tato úprava může např. znesnadnit sledování chování uživatelů nebo snížit efektivitu reklamních kampaní.

Takto vypadá na českém internetu většina lišt s informacemi o zpracování cookies. Od roku 2022 bude ovšem tato podoba nezákonná.

Pro pochopení všech dopadů novely a toho, jaké úpravy bude třeba provést, se nejprve podívejme:

●     co cookies jsou a k čemu slouží,

●     proč jsou pro váš e-shop důležité,

●     z jakého důvodu je zákon vůbec řeší.

V závěru článku vám pak ukážeme příklady, jak textaci a design nové cookies lišty pojmout, čeho se vyvarovat a jaké postihy vám hrozí v případě nedodržení zákona.

Co jsou cookies a k čemu slouží?

Cookies jsou malé textové soubory, které jednotlivé webové stránky ukládají prostřednictvím webového prohlížeče do zařízení (počítače, tabletu či smartphonu), na kterém si uživatel stránky prohlíží. Obsahují data o aktivitách uživatele – např. odkud přišel, které stránky navštívil, kolik času na nich strávil a zda se přihlásil ke svému účtu nebo provedl objednávku.

Při další návštěvě webu pak prohlížeč tyto informace automaticky načte a přizpůsobí jim obsah stránek. Díky tomu se na sociálních sítích či v e-mailové schránce vyhnete opakovanému přihlašování a na svém oblíbeném e-shopu se i po několika dnech vrátíte k nedokončené objednávce.

Hlavní úlohou cookies je tedy zlepšit a personalizovat uživatelský prožitek. S uloženými daty pracují např. také algoritmy internetových obchodů, které vám na základě prohlédnutého zboží doporučí další produkty dle vašich preferencí. Podobně cookies využívají mj. také:

●     reklamní systémy v rámci tzv. remarketingu, kdy se na stránkách třetích stran zobrazují reklamy na služby a zboží, o které se uživatel zajímal,

●     affiliate nástroje (pomocí cookies trackují úspěšné objednávky u inzerenta),

●     chatboty (zpravidla v rámci zákaznické podpory),

●     platformy pro optimalizaci webového obsahu (např. prostřednictvím A/B testů),

●     prvky sociálních sítí (např. pro sdílení, „lajkování“ či sledování určitého profilu),

●     různé druhy aplikací.

Princip fungování cookies.

Z předchozích řádků vyplývá, že cookies shromažďují rozličné typy údajů. Podle jejich povahy je můžeme rozlišit na několik druhů.

(Pozor, následující část článku obsahuje řadu technických informací – chcete-li rovnou zjistit, jak novela o cookies ovlivní váš e-shop, klikněte sem.)

Cookies podle typu shromažďovaných údajů

a) Technické cookies – ukládají data nezbytná pro zobrazení obsahu webu (např. regionální nabídky) a jeho fungování (např. skript pro vyvažování serverové zátěže).

b) Funkční cookies – sbírají údaje o akcích uživatele na stránce, např. přihlášení k účtu, přidání zboží do košíku nebo nastavení preferovaného jazyka.

c) Analytické cookies – sledují pohyb návštěvníka na webu – mj. jaké stránky navštíví a kolik času na nich stráví nebo zda provede předem stanovenou akci (např. odeslání objednávky, přihlášení se k newsletteru či stažení e-booku).

d) Marketingové cookies – shromažďují informace o návštěvnosti stránek se zbožím či službami za účelem jejich pozdější propagace skrze reklamní systémy.

Cookies podle doby uložení

a) Dočasné (přechodné) cookies – informace o návštěvě sbírají pouze po dobu, kdy je uživatel na webu, po opuštění se cookies smažou.

b) Trvalé cookies – ukládají data o aktivitě na webu buď trvale, nebo na stanovenou dobu (např. e-shopy po několika dnech až týdnech vyprázdní košík smazáním uložených cookie souborů).

Cookies podle původu

a) Vlastní cookies – vytváří je web, na kterém se uživatel aktuálně nachází. Z hlediska shromažďovaných údajů sem spadají především technické a funkční cookies.

b) Cookies třetích stran – jsou generovány externími doménami, typicky analytickými a reklamními službami. Z toho vyplývá i povaha cookie souborů, které vytvářejí – analytické a marketingové. Na principu blokování těchto cookies fungují mj. aplikace proti zobrazování reklamy.

Proč (a jak) řeší zákon cookies?

Mezi osobní údaje každého z nás – tak, jak je ve smyslu fyzické osoby definuje nařízení GDPR – nepatří jen jméno, adresa či datum narození, ale i aspekty naší virtuální identity. Tedy IP adresy našich elektronických zařízení a různé stopy, které za sebou při pohybu na internetu v rámci cookies zanecháváme – a které vypovídají o našich zájmech, preferencích nebo socioekonomickém postavení.

Z výše uvedených příkladů je jasné, že tyto údaje jsou důležité pro cílení reklamy, mohou být ale i zneužity, což si už začátkem milénia dobře uvědomili představitelé Evropská unie. V roce 2002 proto na půdě Parlamentu a Rady EU vznikla tzv. směrnice o soukromí a elektronických komunikacích (ePrivacy). Ta stanovila, že:

●     informace ukládané – a dále distribuované – v rámci cookies patří mezi osobní údaje,

●     uživatel má právo rozhodnout se, jaké údaje o svém pohybu na internetu provozovatelům webových stránek poskytne,

●     uživatel může své rozhodnutí kdykoliv upravit.

Po vstupu České republiky do Evropské unie měli tuzemští zákonodárci za úkol implementovat ePrivacy do českého právního řádu, což se i v roce 2005 – v rámci zákona o elektronických komunikacích – stalo. Kvůli nepřesnému překladu ale výsledná právní úprava povinnosti spjaté se zpracováním cookies obrátila o 180 stupňů.

Co to znamená? Směrnice ePrivacy podmiňuje ukládání a zpracování všech cookies kromě nezbytných aktivním souhlasem uživatele. Jde o tedy tzv. opt-in pravidlo – dokud se návštěvník webu nerozhodne jinak, předpokládá se jeho nesouhlas s tvorbou a zpracováním cookies.

Český zákon o elektronických komunikacích ale k ukládání a zpracování cookie souborů až doposud přistupoval opt-out optikou. Tedy – předpokládal souhlas uživatele s těmito úkony, stačilo jej pouze o zpracování cookies informovat. Aktivně se mohl návštěvník webu angažovat pouze v odhlášení z jejich sběru, což je ale technicky i časově poměrně náročné. V praxi navíc drtivá většina uživatelů cookie lištu odklikla jednoduše proto, aby mohla nerušeně konzumovat obsah webu.

Fungování cookies – rozdíl mezi opt-in a opt-out optikou.

Proti tuzemskému přístupu ke cookies se v průběhu let ohradila řada institucí, jinak jej ale evropské úřady tiše tolerovaly. Ledy se v českém legislativním rybníčku začaly hýbat až v roce 2018 – s příchodem GDPR, které zavedlo přísná pravidla pro shromažďování a zpracování osobních údajů.

Po opakovaných doporučeních na úpravu zákona zejména ze strany Úřadu pro ochranu osobních údajů (ÚOOÚ) poslanci ke konci roku 2020 předložili návrh zákona o elektronických komunikacích obsahující zavedení opt-in režimu při zpracování cookies. Novelu zákona o elektronických komunikacích nakonec sněmovna schválila v polovině září 2021 s účinností od 1. 1. 2022.

Změna nastala v paragrafu 83 u odstavce 3, kdy se slova  „je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout“ nahrazují slovy „získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování“.

Jak novela o cookies ovlivní váš e-shop?

Od 1. 1. 2022 musíte každého nového uživatele informovat, za jakým účelem si jednotlivé typy cookies přejete do jeho zařízení uložit – a také jak budete s daty získanými z těchto souborů dále pracovat.

Návštěvník musí zpracování funkčních, analytických a marketingových cookies aktivně odsouhlasit, např. kliknutím na tlačítko. Takový souhlas musí splňovat podmínky dle nařízení GDPR – tj. souhlas musí být konkrétní, informovaný, jednoznačný a ničím nepodmíněný. Výjimkou jsou technické cookie soubory nezbytné pro fungování webu. Ty se i nadále budou do uživatelova zařízení ukládat automaticky.

Příklad zahraniční lišty s žádostí o povolení jednotlivých druhů cookies.

Uživatelům, kteří zpracování ostatních typů cookies neodsouhlasí, nebude např. možné:

●     po odchodu z e-shopu zobrazit reklamu,

●     doporučit produkty na základě minulých návštěv a nákupů,

●     ponechat v košíku již vložené produkty.

Bez souhlasu se zpracováním analytických cookies např. Google Analytics v některých případech nezjistí, odkud návštěvníci na váš e-shop přicházejí a který marketingový kanál vám přináší nejvyšší obrat. Bude tak obtížné určit, zda reklamní rozpočet investovat do sociálních sítí, nebo se naopak zaměřit na PPC kampaně.

Ač se může nynější situace jevit beznadějně, v zahraničí najdeme řadu příkladů efektivní úpravy cookie lišty. Stačí se podívat, jak ke zpracování cookies přistupují e-shopy ve státech EU, které směrnici ePrivacy správně implementovaly už před lety.

Ač se novele zákona o elektronických komunikacích přezdívá „zákon o cookies“, cookie soubory v něm nejsou výslovně zmíněny a nevztahuje se jen na ně. Platí pro všechny nástroje, které shromažďují informace o pohybu a akcích uživatele na vašem webu. Sem spadají např. trackovací pixely, device fingerprint technologie (skenuje informace o zařízení, ze kterého si uživatel web prohlíží), web beacony či browser storage systémy.

Jak při úpravě cookie lišty postupovat?

Ještě než se ale dostaneme k příkladům správné praxe zpracování cookie souborů, je potřeba si ujasnit, jaký souhlas budete od svých uživatelů vyžadovat.

Ne každý e-shop totiž využívá všechny existující druhy cookies. Orientační obrázek vám poskytnou bezplatné nástroje, jako je Cookieserve nebo CookiePro, detailní přehled zajistí administrátor vašeho e-shopu.

Ukázka auditu cookie jednoho z největších českých e-shopů pomocí nástroje Cookieserve.

Zásadní je správně vyladit analytické nástroje. Bez nich nezměříte, jaký podíl návštěvníků vám souhlas se zpracováním cookies skutečně udělil. Zjistíte jej např. srovnáním počtu objednávek v analytickém nástroji a v administraci e-shopu.

S předpokládaným nesouhlasem uživatelů se zpracováním cookies pracuje nově také nástroj Google Tag Manager (GTM), který nabízí tzv. Consent Mode. Ten zaznamenává, které cookie soubory návštěvník webu odsouhlasil a které ne. Na základě toho pak GTM s daty dále pracuje.

To mj. znamená, že Google Ads a Google Analytics zaznamenávají návštěvy i v případech, kdy uživatel souhlas se zpracováním cookies neudělí. Z těchto anonymních dat pak dokáží modelováním – za pomocí umělé inteligence a strojového učení – s určitou pravděpodobností odhadnout:

●     jak dlouho se uživatel na webu zdržel,

●     jaké stránky navštívil,

●     které akce provedl (např. odeslání objednávky či poptávky).

Ale pozor, u Google Analytics je tato funkce dostupná pouze v nové, 4. verzi. Vyšla na podzim 2020 a zdarma ji aktivujete přímo v rozhraní aplikace. K předchozí verzi se přitom můžete vždy vrátit. Aktivaci Google Analytics 4 proto důrazně doporučujeme.

Design formuláře krok za krokem

Při návrhu cookie lišty mějte na paměti, že méně je někdy více. Je samozřejmě třeba splnit všechny zákonné povinnosti (viz výše), nezahlcujte ale uživatele nadbytečnými informacemi. Ve formuláři zmiňte:

●    co jsou cookies a jaký je jejich účel,

●     které druhy cookies potřebujete od uživatele povolit,

●     kdo a jakým způsobem bude cookies zpracovávat (zde můžete uživatele odkázat na podstránku s informacemi o zpracování osobních údajů).

Novelizovaný zákon o elektronických komunikacích konkrétní textaci lišty neupravuje. To vám dává skvělý manévrovací prostor k získání uživatelova souhlasu – mluvte stejným jazykem jako na zbytku e-shopu a vyhněte se právní hantýrce. Stačí jednoduché:

Abyste na našem e-shopu našli vždy to, co potřebujete, využíváme soubory cookies, které zpracováváme podle zásad ochrany osobních údajů. Pro personalizovaný zážitek z nákupu udělte prosím souhlas se zpracováním všech typů cookies.

U jednotlivých typů cookie souborů potom zdůrazněte přínosy pro uživatele, např.:

➔   „Technické cookies jsou důležité pro fungování základních funkcí e-shopu. Bez těchto cookies nebude web fungovat.“

➔   „Funkční cookies nám umožní pohlídat váš košík, i když si zrovna odskočíte pryč. A navíc vám doporučíme oblečení přesně dle vašich preferencí.“

➔   „Analytické cookies nám pomohou lépe chápat chování uživatelů a zlepšovat služby pro vaši komunitu.“

➔   „Díky marketingovým cookies vám zobrazíme jen ty reklamy, které vás skutečně zajímají.“

Dobrou zprávou je, že popis jednotlivých typů cookie souborů můžete zobrazit v samostatné záložce formuláře – a mezitím popostrčit návštěvníka ke schválení všech cookies např. s využitím barevně zvýrazněného tlačítka „Přijmout všechna cookies“ (příklady viz níže).

Pro zachování možnosti volby můžete doplnit i druhé tlačítko „Odmítnout všechna cookies“, není ale to povinné. Zásadní je, aby uživatel z textace a designu lišty pochopil, že má možnost souhlas se zpracováním cookie souborů odmítnout.

Příklad cookie lišty zobrazené v rámci německé studie z roku 2020. Dialog informuje, co cookies jsou, k čemu slouží, nabízí možnost zvolit různé typy souborů a pod tlačítkem „show details“ informuje o jejich účelu.

Cookie formulář na e-shopu Vintegeria.it nabízí možnost spravovat cookies v samostatném okně, kde účel těchto souborů také vysvětluje.

Jak ukazují zahraniční zkušenosti, řada praktik před směrnicí ePrivacy – a pravděpodobně ani před novelizovaným zákonem o elektronických komunikacích – neobstojí. Čemu se při designu lišty vyhnout?

●     Souhlas se zpracováním jednotlivých cookie souborů nesmíte předem zaškrtnout – uživatel musí tuto volbu učinit vědomě sám. Výjimkou jsou technické cookies, jejichž zpracování by naopak nemělo jít zrušit.

●     Vstup na web nesmíte podmiňovat udělením souhlasu se zpracováním funkčních, analytických a marketingových cookies. Formulář musí být možné zavřít (např. křížkem či kliknutím mimo lištu).

●     U tlačítka pro schválení cookies již nadále nestačí popisek „ok“ či „rozumím“ – musí vyjadřovat jasný souhlas (např. výše zmíněné „přijmout všechna cookies“).

●     Udělení nesouhlasu nesmí být obtížnější než udělení souhlasu (např. skrze několikanásobné přesměrování na dodatečné podstránky) – uživateli musí k odmítnutí stačit jediné kliknutí.

U webu thekitchn.com je cookie lišta založena na opt-out pravidlu – uživatel nemá vůbec možnost odsouhlasit různé cookie soubory dle svých preferencí.

Lišta na Puma.com nenabízí možnost odmítnutí cookies a samotný koncept cookie souborů vysvětluje poměrně složitě.

S implementací formuláře vám pomůže kodér, u „krabicových“ e-shopů by za vás design i textaci lišty měli vyřešit provozovatelé. Využít lze také tzv. consent manager aplikace, jako je CookieBot nebo CookieHub.

Úpravy webu

Z hlediska uživatelské přívětivosti je vhodné postavit design webu tak, aby na uživatele dobře působil i v případě, že zpracování cookie souborů neschválí.

Představte si například, že provozujete vícejazyčný web a pro zobrazení vhodné jazykové verze potřebujete schválení funkčních cookies, které umožňují lokalizovat geografickou polohu uživatele. Pokud návštěvník souhlas s jejich zpracováním neudělí, zobrazte mu např. pop-up okno, ve kterém si uživatel preferovaný jazyk zvolí.

Dalším příkladem může být video integrované z platformy třetí strany (YouTube). I pro jeho zobrazení je třeba získat souhlas uživatele se zpracováním cookies. Dokud vám tento souhlas nedá, nahraďte přehrávač např. fotografií.

Implementace cookie lišty

S implementaci formuláře vám pomůže kodér, u „krabicových“ e-shopů by za vás design i textaci lišty měli vyřešit provozovatelé. Využít lze také tzv. consent manager aplikace, jako je CookieBot, PrivacyPolicies nebo CookieHub. Ty vás tvorbou formuláře krok po kroku provedou – např. u PrivacyPolicies je postup následující:

1)    vyberete, zda se má formulář týkat jen nařízení ePrivacy (resp. zákona o elektronických komunikacích), nebo i nařízení GDPR,

2)    zvolíte design a barvu formuláře, jazyk textu (v nabídce je i čeština) a vložíte adresu svého webu a odkaz na stránku s informacemi o zpracování osobních údajů,

3)    vyberete, jaký typ cookies má být předem zaškrtnutý (pozor, zde zvolte pouze možnost „strictly necessary“ – viz část „čemu se při designu lišty vyhnout“ výše),

4)    vložíte vygenerovaný kód na svůj web.

U ostatních aplikací je postup obdobný. V případě, že si e-shop pronajímáte skrz tzv. krabicové řešení (např. Shoptet, E-shop rychle, Oxyshop), měl by se o implementaci cookie lišty postarat provozovatel.

Budoucnost bez cookies?

Ve světle stále se zpřísňující legislativy na ochranu virtuálního soukromí začínají provozovatelé prohlížečů upouštět od podpory ukládání cookies třetích stran.

Např. v prohlížeči Google Chrome má marketingové cookie soubory od roku 2023 nahradit pokročilý algoritmus, které budou chování uživatelů anonymizovat a sdružovat do zájmových skupin, tzv. kohort. Právě na ně pak budou reklamní nástroje cílit.

Apple zase vyvinul systém ITP (Intelligent Tracking Prevention), který již nyní v nativním prohlížeči Safari a ve všech prohlížečích operujících na Apple zařízeních:

●     brání ukládání cookie souborů třetích stran,

●     omezuje platnost vlastních cookies daného webu na 1 den.

Prohlížeč Firefox pak pro blokování cookies třetích stran od roku 2020 využívá funkci ETP (Enhanced Tracking Protection), kterou ale uživatel může vypnout.

Všechny tyto nástroje tlačí provozovatele marketingových platforem do vývoje nových technologií. Prozatím jsou ale cookies pro váš e-shop důležité – a je potřeba řídit se současnými zákony.

Co se stane, pokud zákon poruším?

Při porušení zákona o elektronických komunikacích či souvisejících právních předpisů (GDPR, zákon o zpracování osobních údajů) vám Úřad pro ochranu osobních údajů může samozřejmě udělit pokutu.

Nejde o planý poplach – ÚOOÚ např. za nedostatečné informování uživatelů o zpracování cookies, nesoulad skutečného provozu a formální deklarace provozu webových stránek ohledně cookies či neuvedení formálního zpracování osobních údajů v rámci webových stránek do souladu s právními předpisy v minulosti udělil sankce i ve výši stovek tisíc korun českých.

Velice častým krokem ze strany Úřadu pro ochranu osobních údajů je také uložení opatření k odstranění nedostatků, které může významně zasáhnout do vlastní funkčnosti webových stránek a podnikání kontrolovaného subjektu. Může např. vést k omezení nebo úplnému zákazu provozu webových stránek, příkazu k přijetí konkrétní nápravy atd.

Je proto nejvyšší čas, abyste cookie formuláře vyladili i na svém e-shopu.

Buďte v obraze i po 1. lednu 2022

Všechna výše nastíněná doporučení prošla důkladnou právní konzultací. Je ale samozřejmě otázkou, jak se k novému pojetí cookies lišt postaví úřady. Dopady upraveného zákona o elektronických komunikacích budeme bedlivě sledovat.

Chcete být informováni o tom, jak se bude právní interpretace cookie zákona dál vyvíjet a jaká řešení jiné e-shopy zvolí?

Situaci podrobně sledujeme. Přihlašte se k našemu newsletteru.
Odběr přihlášen. Děkujeme za Váš zájem.
Při odesílání došlo k chybě. Zkuste to prosím znovu

Další články

Získejte náskok

Díky našim certifikacím a partnerstvím

Logo Shoptet partner
Google Partner
Facebook certifikace
Certifikace Sklik
Logo Zboží.cz
Logo Google Analytics certified professional
Logo Heureka partner
Logo Microsoft Advertising Certified Professional
Logo Mergado
Logo PPC Bee certified partner
Logo Yandex Direct