Napísal som tento recept na skvelé cookies od EÚ. Potrebujete len niekoľko surovín, no pomerne veľa času, takže cookies 2022 neodkladajte na neskôr.
Cookies teoreticky (čo a prečo):
- Úvod do cookies a nových povinností
- Ako sa menia cookies v 2022 na Slovensku
- Typy cookies a ich bezpečnosť
- Získanie súhlasu používateľa
- Cookie lišta
- Spúšťanie skriptov podľa preferencií
- Aké služby budú najčastejšie ovplyvnené
Cookies prakticky (ako na to):
- Consent Management Platform (CMP)
- Vlastná lišta a jej výhody
- Ako spĺňajú požiadavky slovenské weby
- Zhrnutie a záverečné odporúčania
Užitočné odkazy:
- Bezplatné skenovanie cookies botom ORBITAR
- Demo cookie lišty na mieru
- Riešenie pre IT a MKT agentúry
- Riešenie pre advokátske kancelárie
Prečo sa cookies volajú cookies? Pretože ich prvýkrát použili v USA. Keby sa to podarilo na Slovensku, dnes si tu píšeme o sušienkach.
Úvod do cookies a nových povinností
Čo sú cookies súbory
Cookies sú maličké textové súbory, ktoré webové stránky ukladajú do vášho zariadenia, aby vás mohli identifikovať. Boli tu od nepamäti a samé o sebe nie sú škodlivé. Napríklad cookies s názvom „kosik“ má text „produkt1, produkt2“ a vďaka tomu webová stránka vie, aké produkty ste si do košíka vložili. Doslova takto to nefunguje, ale chcem, aby to bolo lepšie predstaviteľné aj pre laikov.
Svet (nielen Európska únia) si dáva na bezpečnosť ľudí na internete čoraz viac záležať. Aj preto sa mocní ľudia v EÚ dohodli, že voľné ukladanie čohokoľvek do zariadenia používateľa nebude možné. Po novom bude potrebný aktívny súhlas udelený konkrétnej webovej stránke. Týka sa to nielen cookies, ale aj iných foriem ukladania dát (Local Storage…). Používaním slova cookies v článku mám na mysli všetky spôsoby.
Cookies sa už riešili, prečo znova?
Treba povedať, že cookies už sa skutočne riešia dlhšie. Intenzívnejšie to bolo v roku 2018, keď nadobudlo platnosť nariadenie EÚ o ochrane osobných údajov (GDPR). Už vtedy sa v EÚ diskutovalo o tom, že bude obsahovať aj pravidlá nakladania s cookies. Keďže sa na tom všetci zúčastnení nedohodli, tak sa cookies pravidlá odčlenili ako samostatná kapitola na neskôr.
Kompletnú časovú os vývoja ochrany osobných údajov od roku 1995 až do 2018 si môžete pozrieť na tejto stránke EÚ (v angličtine). Neskôr po GDPR vznikli usmernenia 05/2020 k súhlasu podľa nariadenia 2016/679, ktoré jednotlivé štáty postupne adoptovali do svojej legislatívy:
Ako sa menia cookies v 2022 na Slovensku
Na Slovensku bol v čase prvej verzie tohto článku stále platný zákon č. 351/2011 Z. z. o elektronických komunikáciách. Tento bol účinný od 1. augusta 2011 do 31. januára 2022. V paragrafe 55, odsek 5 je uvedené:
Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil súhlas na základe jasných a úplných informácií o účele ich spracovania; za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu.
Tučným som vyznačil dôležitú časť, ktorá v podstate hovorí, že ak používateľ chce, ukladanie cookies si môže nastaviť vo svojom prehliadači a nedáva žiadne povinnosti webovým stránkam. Samozrejme tie mali aj s titulu GDPR informačnú povinnosť voči používateľom.
Od 1. februára 2022 nadobúda platnosť nový zákon číslo 452/2021 Z. z. o elektronických komunikáciách, ktorý máličko, ale zásadne, preformuloval vyššie uvedený odsek a v paragrafe 109, odsek 8 je uvedené:
Každý, kto ukladá alebo získava prístup k informáciám uloženým v koncovom zariadení užívateľa, je na to oprávnený iba ak dotknutý užívateľ udelil preukázateľný súhlas.
Keď si porovnáte oba paragrafy, zistíte, že vypadla veta o prenesení zodpovednosti na používateľa a teda nastavenia jeho prehliadača. Po novom je zodpovednosťou prevádzkovateľa webstránky, aby získal od používateľa súhlas na ukladanie cookies.
Typy cookies a ich bezpečnosť
Súbory cookies je možné rozdeliť podľa viacerých hľadísk a nás bude najviac zaujímať ich kategorizácia, podľa ktorej budú weby získavať súhlasy na používanie.
Cookies podľa doby exspirácie
- Dočasné (session) cookies: súbory uložené len počas trvania konkrétnej návštevy na webovej stránke.
- Trvalé (persistent) cookies: súbory uložené počas doby, ktorú si zvolí prevádzkovateľ riešenia (napr. programátor) a nie sú viazané len na jednu návštevu. Môžu byť uložené napríklad 365 dní.
Cookies podľa prevádzkovateľa
- First-party cookies: tieto súbory používa stránka (doména), ktorú ste navštívili. Pomocou nich môže, napríklad, poskytovať funkciu prihlásenia do zákazníckeho účtu.
- Third-party cookies: tieto súbory používajú tretie strany a nie stránka, ktorú ste navštívili. Napríklad, na e-shope si prezeráte produkty a e-shop používa reklamné platformy, aby na vás mohol cieliť reklamu na internete. Umožňuje mu to umiestnenie sledovacích kódov tretích strán na svojom webe, ktoré vám uložia svoje cookies (napr. Google alebo Facebook).
- First-party, ktoré sú third-party: tretí typ neexistuje. Avšak, keďže je možné komunikovať s tretími stranami aj mimo vášho prehliadača (server-side), weby môžu ukladať first-party cookies, no na pozadí odosielať dáta tretím stranám.
Sú third-party cookies nebezpečné?
Na začiatok je dôležité cookies obhájiť. Sú tu na to, aby pomáhali.
Nie je nič zlé na tom, že webová stránka si meria návštevnosť a interakcie používateľov, aby mohla zlepšovať svoje služby, dizajn a funkcionalitu. Väčšinou si weby platia špeciálne nástroje iných firiem, ktoré sú na to určené (napr. Google Analytics, Google Optimize, Hotjar…). Tieto nástroje potrebujú ukladať cookies.
Možno si poviete, že keď nedáte súhlas na použitie cookies, tak uvidíte menej reklamy na internete. Pravdepodobne jej budete vidieť rovnako veľa, akurát bude viac otravná, lebo nebude vôbec relevantná. Bude náhodná.
Na druhej strane by sa dalo povedať, že práve third-party cookies z veľkej miery prispeli k tomu, že sa zákonodarcovia snažia viac chrániť súkromie ľudí. Množstvo webových stránok používa rôzne nástroje, ktoré vytvárajú tretie strany a najčastejšie obrovské svetové firmy, ktoré tým sledujú predovšetkým svoje biznis záujmy.
Ako príklad si uveďme marketérov, ktorí chcú na stránke umiestniť tlačidlo na jednoduché zdieľanie na Facebooku (Share button). Toto tlačidlo poskytuje Facebook a jeho umiestnením ukladá cookies tretej strany, ktoré nie sú veľmi vhodné z pohľadu ochrany súkromia, lebo pomáhajú sociálnej sieti získavať viac informácií o používateľoch danej webovej stránky, ktorí sú aktívni na Facebooku.
Úprimne povedané, väčšina prevádzkovateľov webových stránok nie je dostatočne internetovo gramotná a na web si dá čokoľvek. Posúdiť to, aký to má vplyv na súkromie ich návštevníkov či zákazníkov nedokážu.
Samotná myšlienka lepšej ochrany všetkých používateľov internetu je správna, hoci prevedenie je katastrofálne. Ale tento článok chcem držať čo možno najobjektívnejší, tak tu nebudem písať svoje názory, čo sa mi páči a čo nie.
Získanie súhlasu používateľa
Webové stránky dostali neľahkú domácu úlohu. V prípade, že používajú cookies, musia vopred získať súhlas používateľa. Ak ho nezískajú, nesmú uložiť cookies a všetky skripty/tagy, ktoré používajú cookies by mali ostať nespustené.
Získané súhlasy sa obvykle rozdeľujú do niekoľkých okruhov, pretože získavať súhlas samostatne ku každému cookie súboru by bolo nepraktické a nerealizovateľné, keďže ich môžu byť desiatky až stovky. Nižšie sú uvedené často používané okruhy:
- Nevyhnutné cookies: sú potrebné na to, aby sa dala webová stránka používať a bola bezpečná. Obvykle sem môže patriť cookies, ktoré ukladá e-shop o košíku, aby si pamätal, čo do neho zákazník pridal.
- Funkčné cookies: sú dôležité na používanie funkcií webu, no bez nich je stále použiteľný. Dobrým príkladom je funkcia livechatu na webe.
- Personalizačné cookies: slúžia na zvýšenie relevancie ponúkaného obsahu, môžu zbierať dáta z prehliadania a následne odporúčať iný vhodný obsah, ktorý by mohol návštevníka zaujímať.
- Analytické cookies: pomáhajú prevádzkovateľovi získavať štatistické údaje, napríklad o návštevnosti, ceste používateľa či jeho interakciách.
- Reklamné cookies: zbierajú rôzne dáta, ktoré sú následne používané na zobrazovanie reklamy naprieč internetom. Tento typ zrejme najviac zasahuje do súkromia používateľov.
Nevyhnutné cookies sú jedinou kategóriou, na ktorú prevádzkovateľ webovej stránky nepotrebuje súhlas používateľa. Ak máte na webe iba takéto cookies, nepotrebujete zobrazovať lištu a získavať súhlas používateľa. Na všetky ostatné kategórie potrebujete získať súhlas ešte pred prvým uložením cookies.
Pre vylúčenie pochybností uvádzam, že je na samotnom webe, ktoré cookies považuje za nevyhnutné na fungovanie webu. Je to jeho rozhodnutím, ktoré si v prípade kontroly bude musieť obhájiť.
Aké podmienky musí spĺňať súhlas?
V zmysle usmernení Európskeho výboru pre ochranu údajov má byť súhlas slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle.
- Slobodný: používateľ musí mať možnosť voľby bez následkov. Nesmie byť oklamaný, zastrašovaný alebo pod nátlakom výrazne negatívnych dôsledkov. Zároveň použitie webu nesmie byť podmienené udelením súhlasu a teda „cookie-wall“, ktorá nepustí návštevníka na web bez súhlasu je neprípustná. Nesúvisiace účely súhlasu by nemali byť spájané, v tom prípade chýba súhlasu sloboda voľby.
- Konkrétny: je potrebné jasne uviesť špecifikáciu účelu a podrobnosti. Vágne a všeobecné termíny ako „zlepšenie používateľskej skúsenosti“ alebo „marketingové účely“ sú použité ako príklady nekonkrétnosti. Účel neskôr nie je možné zmeniť. V prípade nových účelov je potrebné získať nový súhlas.
- Informovaný: obsah by mal obsahovať identitu prevádzkovateľa, druh získavaných a používaných údajov a existenciu práva odvolať súhlas. Informácie musia byť zrozumiteľné a ľahko pochopiteľné aj pre bežného človeka. Nesmú sa skrývať v obchodných podmienkach, no môžu byť rozdelené do viacerých vrstiev okna na získanie súhlasu.
- Jednoznačný prejav vôle: súhlas musí byť daný úmyselným úkonom. Predvolené možnosti vo forme vopred označených políčok sú neplatné. Súhlasom nie je ani akt zavretia, či ignorovania informácie.
Získaný súhlas by mal byť zaznamenaný, aby prevádzkovateľ webovej stránky vedel preukázať jeho získanie. Vyslovene sa uvádza, že nie je postačujúce odvolávať sa na správnu konfiguráciu príslušného webového sídla.
Súhlas by malo byť možné odvolať tak jednoducho, ako bol poskytnutý, a to kedykoľvek. Ak sa získal pomocou jediného kliknutia myšou alebo stlačením klávesu, používateľ by mal mať možnosť ho rovnako jednoducho aj odvolať.
Štúdia na vzorke 228 ľudí ukázala, že viac ako 40% z nich vôbec nečítalo text súhlasu, takmer 50% ho len preletelo a iba 10% ľudí ho celý prečítalo.
Cookie lišta
Cookie lišta je riešenie na získavanie súhlasov. Je to vizuálny element webovej stránky, ktorý sa zobrazí, čo možno najskôr pri prvej návšteve webovej stránky zo zariadenia používateľa.
Lišta má za úlohu informovať návštevníka webu o ukladaní cookies do jeho zariadenia a umožniť mu s týmto súhlasiť alebo to odmietnuť. Bez súhlasu návštevníka nie je možné vopred uložiť cookies do jeho zariadenia a všetky dotknuté skripty webu by mali čakať na spustenie až do momentu poskytnutia súhlasu (tento moment nemusí nastať).
Cookie lišta sa musí zobraziť na akejkoľvek stránke webu, ktorú je možné priamo cez URL adresu navštíviť, pretože nikdy neviete, na ktorú stránku príde návštevník webu. Zároveň by nemala brániť používateľovi v prehliadaní webu, a malo by ju byť možné, buď zatvoriť (bez súhlasu), alebo minimálne ju mať umiestnenú niekde, kde to vyslovene nebráni v prehliadaní stránky, hoci by vizuálne zavadzala.
Čo musí cookie lišta obsahovať?
Je dôležité povedať, že zákon neurčuje presný formát a vizuál tejto lišty. Jej skutočný dizajn a funkcionalita je postavená na výkladoch zákona a usmerneniach. Preto je reálne, že pri prípadnej kontrole teoreticky jeden web môže dostať pokutu a druhý nie, pričom používajú rovnakú lištu funkčne aj dizajnovo.
V čase písania článku som na relevantných štátnych weboch (Úrad pre reguláciu elektronických komunikácií a poštových služieb, Úrad na ochranu osobných údajov) nenašiel ani zmienku o tom, že by mal takýto zákon ovplyvniť webové stránky. Český Uřad pro ochranu osobních údajů vydal tesne pred Vianocami, 22. 12. 2021, tieto odpovede na často kladené otázky. Je možné, že podobné usmernenia vydá na poslednú chvíľu aj náš úrad. Netreba čakať, že sa tým niečo zmení.
Lišta by mala obsahovať jasné a zrozumiteľné informácie podľa bodu Získanie súhlasu používateľa. Ďalej by tam mali byť tlačidlá, minimálne tlačidlo na poskytnutie a odmietnutie/nastavenie súhlasu, resp. jednotlivých súhlasov podľa účelu.
Tlačidlá by nemali manipulovať používateľa a používať príliš očividné „dark patterns“ praktiky (šedá zóna). Dá sa teda povedať, že ideálne by mali byť rovnocenné, aby používateľ nebol ovplyvnený ich farbou, veľkosťou, či umiestnením a nemohlo sa stať, že súhlasil, hoci si myslel opak.
Lišta nemôže mať vopred zaškrtnuté políčka pri účeloch/kategóriách súhlasov s výnimkou nevyhnutných cookies, na ktoré nie je potrebný súhlas. Jednotlivé kategórie môžete zobraziť ihneď v lište, alebo v jej ďalšej vrstve po kliknutí na nastavenia súhlasov.
Zároveň platí, že lišta by mala byť otvoriteľná na ktorejkoľvek stránke, aby bolo možné súhlas hocikedy odvolať. Odkaz na ňu budú weby najčastejšie umiestňovať do pätičky stránky.
Striktná vs používateľsky prívetivá lišta
V tejto debate nenájdem s právnikmi zhodu a vôbec mi to nevadí. Právnici chcú, aby klienti nedostávali pokuty a preto sú až príliš opatrní. Ja chcem, aby klienti rástli a ideálne, aby nekrachovali, preto nemôžem súhlasiť s právnikmi vo všetkom. Venujem sa e-shopom a striktná lišta bude mať negatívny dopad na ich výsledky.
Striktná lišta je v podstate lišta, ktorá nie je definovaná takto jasne zákonom, ale právny výklad je opatrnejší a snaží sa urobiť (podľa mňa) viac ako je nevyhnutne potrebné. Často je to umiestnenie tlačidla „odmietnuť všetko“ hneď na začiatok lišty alebo dizajnovanie tlačidiel, tak aby medzi nimi nebol viditeľný žiadny rozdiel.
Dala by sa viesť nekonečná debata o farbách tlačidiel či umiestnenia lišty. No z používateľského pohľadu nemôžeme do lišty napchať všetko a ešte aj v rovnakej farbe a veľkosti. Ak áno, tak nech návštevníci používajú kino obrazovky a nie mobily, hodinky či displeje rýchlovarných kanvíc.
Podľa štúdie, odstránením tlačidla „odmietnuť všetko“ z prvého kroku cookie lišty došlo k zvýšeniu miery získania súhlasov až o 22-23 percentuálnych bodov. Súčasne, zobrazenie podrobného výberu účelov v prvkom kroku cookie lišty znížilo úspešnosť získania súhlasov o 8-20 percentuálnych bodov.
Pre ilustráciu výsledku štúdie izolujem uvedené 2 príčiny, ktoré ovplyvnili získanie súhlasov ako jediné rozdiely medzi striktnou a používateľsky prívetivou lištou. Povedzme, že web, ktorý zvolí prívetivú lištu má mieru získania súhlasov 75 %. Zo štúdie vyplynulo, že pri striktnej variante by tento web mohol mať mieru získania súhlasov v rozmedzí 32-45 %. To je ohromný rozdiel.
Aké riešenie použiť na lištu?
Zmeny v pravidlách prispeli k vzniku firiem, ktoré poskytujú službu cookie lišty aj s mnohými ďalšími službami a výhodami. Týmto firmám a ich produktom sa hovorí Consent Management Platform (CMP). Teda nástroj tretej strany, ktorý si umiestnením malého skriptu nasadíte na svoj web.
Alternatívou k uvedenému je použiť vlastné riešenie, keďže samotná lišta nie je nič komplikované. Na internete je k tomu veľa návodov a už vytvorených voľne šíriteľných riešení (open-source). O vlastnom riešení, ktoré implementujem, píšem v časti vlastná lišta a jej výhody.
Skôr než prejdeme ku samotným riešeniam, povedzme si niečo o druhej časti získavania súhlasov, a to je práca s nimi. S tým bude mať väčšina ľudí definitívne väčší problém ako s nasadením lišty na web.
Spúšťanie skriptov podľa preferencií
Samotnou lištou vyriešite vizuálnu stránku a teda získate informáciu, či používateľ súhlasil alebo v akej forme súhlasil s cookies. Potrebné je vyriešiť to, aby boli tieto voľby rešpektované vašim systémom a tretími stranami.
Ako príklad uvediem útržok kódu, ktorým si na webovú stránku pridáte Google Analytics. Kód spoločnosti Google, ktorý sa načíta, používa cookies. To, že máte cookie lištu na webe nemá priamy vplyv na to, že Google Analytics bude rešpektovať nastavenia používateľa, pretože o nich nemá odkiaľ vedieť.
Je potrebné technicky zabezpečiť, aby bol Google Analytics spustený iba v prípade, že používateľ udelí súhlas pre Google Analytics, resp. účel, do ktorého je tento skript alebo tretia strana Google zaradená.
- V prípade, že používate Google Tag Manager, tento v roku 2021 vydal novú verziu obsahujúcu možnosť spúšťať tagy len s určitým súhlasom. Túto funkciu je potrebné zapnúť v nastaveniach containera ako „Enable consent overview (BETA)”. Jednotlivým tagom je potrebné priradiť súhlasy, s ktorými sa môžu spúšťať.
- V prípade, že nepoužívate Google Tag Manager, je potrebné prijať dostatočné technické opatrenia, aby ste neumožnili skriptu spustenie, ak používateľ neudelil potrebný súhlas.
Aj pre toto existuje niekoľko možností realizácie. V prípade, že používate Google Tag Manager, je potrebné ho prepojiť s vašou lištou a teda jej výstupmi zo získaných súhlasov. Dá sa tak urobiť prostredníctvom vlastnej alebo predpripravenej šablóny „template“ v GTM.
Ak nepoužívate GTM a skripty zbiehate priamo v kóde, je potrebné ich upraviť tak, aby boli spustené len so súhlasmi. Pomôže vám s tým programátor. V prípade, že sa rozhodnete použiť niektorý z produktov CMP, je potrebné naštudovať si ich návody k používaniu skriptov.
Aké služby budú najčastejšie ovplyvnené
V prípade, že používateľ nedá súhlas na ukladanie cookies (mimo nevyhnutných), môže to negatívne ovplyvniť mnohé doteraz používané služby. Nižšie som spísal niekoľko mne známych veľmi podstatných služieb tretích strán.
Google Analytics
Analytický nástroj, ktorý sa používa primárne na webovú analytiku a teda získavanie informácií o návštevnosti, jej zdrojoch, interakcii používateľov a e-commerce metrikách.
Bez súhlasu nemôžete spúšťať skripty pre Google Analytics a teda prídete o časť dát. Horšie je, že to spôsobí problémy v relevancii a porovnaniach s minulými obdobiami. Z môjho pohľadu veľmi podstatná strata, ktorá prinesie zmeny v tom ako sa doteraz robila webová analytika.
Bude veľká výzva nájsť možnosti ako pracovať s dátami. Do úvahy prichádza pokročilejšie modelovanie, aké sa používa v prieskumoch, kde nepotrebujete nutne 100% informácií, aby ste odhadli výsledok. Taktiež by mohli byť masívnejšie používané „cookie-less“ alternatívy Google Analytics.
Google Ads (DoubleClick)
Reklamná sieť Googlu, ktorá je používaná na reklamy vo vyhľadávaní, videách a naprieč celým internetom.
Bez súhlasu nemôžete spúšťať skripty, ktoré sledujú návštevníkov webu, aby im boli následne zobrazované vaše cielené reklamy. V e-shopoch to výrazne ovplyvní možnosti remarketingu, cielenejšieho zobrazovania reklám a vyhodnocovania týchto aktivít, keďže mnohé konverzie nebude možné priradiť k zdrojom.
Google Adsense
Platforma, prostredníctvom ktorej sú na internetových stránkach zobrazované reklamy inzerentov cez Google Ads.
Keďže sa venujem e-commerce, toto nie je moja zóna odbornosti, ale predpokladám, že to spôsobí problémy médiám pri zobrazovaní reklám a hlavne ich personalizácii.
Facebook Ads
Platforma Facebooku na servírovanie reklám, ktorá sleduje azda všetko naprieč celým internetom prostredníctvom množstva svojich rozšírení (Pixel, tlačidlá, komentáre, chat a ďalšie).
Bez súhlasu Facebook neuvidí interakcie používateľa na webe, nebude teda vedieť získať jeho informácie a ani priraďovať konverzie k interakciám.
Hotjar, Clarity, Optimize (a iné alternatívy)
Služby na vytváranie heatmap (horúcich zón), nahrávok, dotazníkov, A/B testov a iných funkcií na lepšiu analytiku a následné zlepšovanie používateľskej skúsenosti.
V skratke, bez súhlasu nepobeží.
Externé diskusné komentáre (FB, Disqus a iné alternatívy)
Služby na vloženie komentárov a diskusií do webových stránok, najmä pod obsahové príspevky.
Bez súhlasu nepobeží. Nakoniec o službe ako Disqus je známe, že zbiera a predáva o používateľoch všeličo. To by som si na vlastný web nedal ani za trest.
Livechat (Zendesk, LiveAgent, Intercom, Messsenger a ďalšie)
Služby, ktoré umožňujú zobrazenie live chatu, chatbota, kontaktného formuláru a mnohých ďalších funkcií.
Tu som zvedavý, či by sa to nemohlo aspoň čiastočne pretlačiť do nevyhnutých cookies vďaka usmerneniu regulátora. Tieto určite nie sú nevyhnutné na to, aby webová stránka fungovala. Na druhej strane, bez nich príde o veľmi podstatnú funkciu.
Povedzme si rovno, v momente dávania/odmietania súhlasu cez cookie lištu, bežný používateľ ani nebude tušiť, že to môže mať vplyv na poskytnutie tejto služby. A vlastne ani potom, lebo sa mu tam ten chat nezobrazí.
Na druhej strane, ak by sa na toto povolila nejaká výnimka, tak je isté, že niektoré služby (myslím teraz chat Messenger) cez ňu budú trackovať a posielať čo sa len dá a nielen funkciu napísania si s podporou.
Affiliate (Dognet, Affilbox, CJ a ďalšie)
Affiliate systémy, ktoré spájajú e-commerce weby a partnerov, ktorí im prinášajú návštevnosť za províziu zo získaných konverzií.
Affiliate siete používajú cookies, aby mohli priradiť konverziu z nákupu v e-shope ku konkrétnemu „publisherovi“, ktorý sa preklikol cez provízny link. Bez tohto nebude možné priradiť províziu „publisherovi“.
Vnorený obsah (Youtube video a iné)
Vloženie obsahu tretích strán do webovej stránky, ktoré sa často používa na vkladanie videí alebo iných elementov z externých systémov.
Toto je tiež pomerne zaujímavá vec, lebo vloženie si videa z YTB siete do vlastnej webovej stránky ku článku alebo produktu je časté. Na druhej strane, deje sa to načítaním externých skriptov tretej strany, v tomto prípade Google, ktorý pri spustení videa uloží cookies, vezme dáta o používateľovi a môže sledovať jeho správanie.
Pre samotný YTB existuje aj doména, ktorá neukladá cookies (youtube-nocookie.com). Táto doména síce nepoužíva cookie, no v zariadení ukladá informácie do „Local Storage“. A to je v rozpore so zákonom. Konkrétne o trackovaní YTB je na internete viacero článkov, napríklad tento.
Consent Management Platform (CMP)
CMP sú platformy, ktoré ponúkajú za mesačný poplatok (pre maličké weby aj zadarmo) riešenie cookie lišty. Prevádzkovateľ webu si ho jednoducho cez vloženie do kódu alebo prostredníctvom Google Tag Managera pridá na web.
Ide o skript tretej strany, ktorý sa načíta po otvorení webovej stránky používateľom. Do jej obsahu vloží cookie lištu, ktorú si vie prevádzkovateľ webu rôzne nakonfigurovať z rozhrania platformy. Tieto nástroje prinášajú aj iné funkcie. Napríklad, prepojenie s GTM, skenovanie webu, blokovanie skriptov a reporty.
Takéto riešenie pravdepodobne zvolí veľká časť malých webov, ktoré nemajú možnosti (finančné a technické) na implementáciu lepších alternatív. A to je paradox, lebo cookies sa obmedzuje predovšetkým kvôli tretím stranám, ktoré enormne sledujú používateľov a práve na vyriešenie lišty bude veľká časť internetu používať nástroje a skripty tretích strán.
Ako príklad uvádzam Nemecko, kde súd v decembri 2021 rozhodol o tom, že nemecká univerzita Hochschule RheinMain nesmie používať CMP Cookiebot. Hoci ide o CMP systém dánskej firmy, tento používa technickú infraštruktúru CDN od americkej firmy Akamai Technologies. Súd v Nemecku vytvoril svojim rozhodnutím precedens, ktorý môže v EÚ významne ovplyvniť tému ochrany osobných údajov a cezhraničného prenosu dát.
Medzi najpoužívanejšie CMP patria (radené abecedne):
- Cookiebot
- CookieYes
- Crownpeak
- Didomi
- OneTrust
- Quantcast
- TrustArc
- Usercentrics
Vlastná lišta a jej výhody
Nespornou výhodou je jednoduchšia možnosť vyladiť si ju podľa svojich predstáv. Tým nemyslím iba znenie textov a farby, ale aj umiestnenie, veľkosť a celkový spôsob fungovania.
Na rozdiel od CMP sa neviažete k pravidelným poplatkom a lišta je vaša. Nemusíte sa spoliehať na tretiu stranu v tom, že niečo vo svojom riešení pokazí, zdvihne ceny alebo prestane aktívne pracovať na vývoji.
Ako všade, k výhodám sa viažu aj nevýhody. Riešenie na mieru obvykle stojí väčšiu prvotnú investíciu a vyžaduje lepšie „know-how“, ktoré si buď musíte kúpiť, alebo ho nadobudnúť. Z vlastnej skúsenosti z niekoľkých týždňov študovania problematiky a hľadania správnych riešení viem, že nadobudnutie skúseností je veľmi časovo náročné.
Pripravil som demo lišty, ktorú implementujem klientom ako súčasť vlastného riešenia cookies. Môžete si ju pozrieť na stránke cookies2022.sk. Taktiež ste ju mohli vidieť na tejto stránke, keď ste na ňu prišli.
Čo obsahuje riešenie na mieru uvedené na demo stránke vyššie, si môžete prečítať v riešeniach cookies pre weby.
Ako spĺňajú požiadavky slovenské weby
V prvej kategórii som vyhodnotil cookies a local storage na najväčších slovenských e-shopoch podľa návštevnosti domény v decembri 2021 (zdroj: Similarweb). Ak som na niekoho zabudol a mal tam patriť, tak sa ospravedlňujem.
V žiadnom e-shope neboli odsúhlasené podmienky cookies a teda všetky nájdené záznamy boli použité bez súhlasu. Zaujímavé je, že časť e-shopov už má lištu implementovanú, avšak vôbec nerešpektuje účely súhlasov. Napríklad Panta Rhei a About You majú lištu s účelmi, no cookies ukladajú ihneď po načítaní web bez ohľadu na súhlas návštevníka.
Úplne čiste, čo sa týka použitia cookies obstáli z môjho pohľadu Datart, Lidl a Alza. Alza ich ukladá podstatne viac, no nedokázal som posúdiť ich účel podľa názvov a hodnôt. Zalando tiež nedokážem úplne posúdiť. Je tam množstvo local storage, ktoré sú pravdepodobne zo systému Usabilla.
E-shop | Cookies + Local Storage | Tretie strany |
---|---|---|
eobuv.sk | 80 (67+13) | Google Ads, Microsoft Clarity, Yahoo, Bing Ads, Google Analytics, Criteo, Facebook, Tapad, Pubmatic, Triplelift, MediaWallah, Oracle AddThis, Yandex, Media.net, Casale Media, TPMN, Outbrain, Iponweb Bidswitch, Adform, Synerise, Xandr |
zalando.sk | 75 (8+67) | Usabilla |
notino.sk | 73 (68+5) | Google Ads, RTB House, Google Analytics, Bloomreach Exponea, Criteo, Facebook, Tapad, Yahoo, Tower Data Rapleaf, Pubmatic, Triplelift, MediaWallah, Media.net, Yandex, Oracle AddThis, Casale Media, TPMN, Outbrain, Iponweb Bidswitch, Adform, Xandr |
dedoles.sk | 72 (64+8) | Google Ads, Google Analytics, Piwik PRO, Bloomreach Exponea, Criteo, Facebook, Hotjar, Criteo, Getsitecontrol, Tapad, Tower Data Rapleaf, Yahoo, Pubmatic, MediaWallah, Triplelift, Oracle AddThis, Media.net, Casale Media, Yandex, TPMN, Criteo, Outbrain, Iponweb Bidswitch, Adform |
drmax.sk | 61 (54+7) | Google Ads, Google Analytics, Persoo, Meiro, Criteo, Inres, Facebook, Tapad, Xandr, Yahoo, Tower Data Rapleaf, Triplelift, MediaWallah, Pubmatic, Media.net, Yandex, Oracle AddThis, TPMN, Outbrain, Casale Media, Iponweb Bidswitch, Adform |
kondela.sk | 38 (29+9) | Livechatoo, Google Ads, Bloomreach Exponea, RTB House, LuigisBox, Google Analytics, Dognet, Hotjar |
sportisimo.sk | 28 (24+4) | Google Ads, RTB House, Google Analytics, Glami, Bloomreach Exponea, Facebook |
pantarhei.sk | 27 (23+4) | Google Ads, Google Analytics, Dognet, Facebook, Hotjar, LiveAgent |
mall.sk | 27 (27+0) | Google Ads, Bloomreach Exponea, Hotjar, Dognet, Etarget, Adform |
bonprix.sk | 25 (19+6) | Sales Manago |
martinus.sk | 23 (23+0) | Google Analytics, LiveAgent, LuigisBox, Hotjar |
nay.sk | 22 (14+8) | Google Ads, Google Analytics, LuigisBox, Bloomreach Exponea |
aboutyou.sk | 19 (13+6) | Google Ads, Google Analytics |
alza.sk | 17 (17+0) | |
datart.sk | 3 (3+0) | nezistené |
lidl.sk | 1 (1+0) | nezistené |
V druhej kategórii som vyhodnotil cookies a local storage na najväčších slovenských médiách podľa návštevnosti domény v decembri 2021 (zdroj: Similarweb).
Na žiadnom spravodajskom webe neboli odsúhlasené podmienky cookies a teda všetky nájdené záznamy boli použité bez súhlasu. Zaujímavé je, že prvé 4 weby v tabuľke majú lištu od Etarget a aj napriek tomu sú na tom najhoršie, čo sa týka množstva cookies a tretích strán, ktorým umožňujú prístup ku dátam o návštevníkoch.
V tejto kategórii neobstál z môjho pohľadu nikto. Najbližšie má Startitup, avšak Youtube mu na webe beží bez obmedzení. Google Recaptcha je tiež tretia strana, no to by som prehliadol, lebo jej účel by mal byť iba bezpečnostný, aj keď niektorí právnici by povedali, že keď je to tretia strana, treba súhlas.
Médium | Cookies + Local Storage | Tretie strany |
---|---|---|
pravda.sk | 157 (129+28) | Google Ads, Google Analytics, Facebook, Etarget, Gemius, Magnite RubiconProject, Adscale, Between Exchange, Criteo, Quantcast, Taboola, Iponweb Bidswitch, The Tradedesk, Casale Media, Adobe Audience Manager, Adition, Getintent, Adsniper.ru, Admixer, Sovrn, Yahoo, Pubmatic, Adform, Adpilot, Xandr, MediaMath, Simpli.fi, GumGum Playground, BidTheatre, OnAudience, Lotame, vdx.tv, StackAdapt, Media Force, Yandex, Proclivity, Opera Ad, Zeotap |
topky.sk | 92 (88+4) | Google Ads, Google Analytics, Facebook, Hotjar, Adform, Etarget, Magnite RubiconProject, Criteo, MediaMath, Yahoo, Pubmatic, Taboola, Adpilot, Simpli.fi, BidTheatre, Xandr, OnAudience, GumGum Playground, The Tradedesk, StackAdapt, Iponweb Bidswitch, vdx.tv, Lotame, Admixer, Quantcast, Zeotap, Gemius |
cas.sk | 62 (48+14) | Google Ads, Google Analytics, Facebook, Etarget, Gemius, Xandr, Pubmatic, The Tradedesk, Criteo, Beeswax |
zoznam.sk | 51 (26+25) | Google Ads, Google Analytics, Etarget, Hotjar, Gemius, Quantcast |
hlavnespravy.sk | 46 (33+13) | Google Ads, Google Analytics, FreeWheel, Iponweb Bidswitch, Yahoo, Vidoomy Media, The Tradedesk, Xandr, MediaMath, Everest Technologies, Beeswax |
pluska.sk | 41 (28+13) | Google Ads, Google Analytics, Facebook, Hotjar, Etarget, Gemius, Piano Software |
centrum.sk | 35 (26+9) | Google Ads, Google Analytics, Etarget, Gemius, Casale Media, MediaMath, Everest Technologies, O2online.de |
aktuality.sk | 31 (30+1) | Google Ads, Google Analytics, Facebook, Hotjar, Gemius |
dennikn.sk | 27 (16+11) | Google Ads, Google Analytics, Facebook, Gemius |
sme.sk | 27 (22+5) | Google Ads, Google Analytics, Facebook, Gemius |
azet.sk | 22 (22+0) | Google Ads, Google Analytics, Facebook, Hotjar, Gemius |
hnonline.sk | 22 (19+3) | Google Ads, Google Analytics, Facebook, Gemius, Etarget |
markiza.sk | 20 (20+0) | Google Ads, Google Analytics, Hotjar, Gemius |
startitup.sk | 11 (5+6) | Youtube, Google Recaptcha |
K testovaniu z 25.1. by som výsledky ohodnotil ako slabé. Aktualizáciu spravím v prvých dňoch od nadobudnutia účinnosti nového zákona. Je pravdepodobné, že viaceré weby svoje riešenia ešte len pripravujú.
Zhrnutie a záverečné odporúčania
Súhlasne prikyvujem, že ochrana súkromia na internete je na relatívne nízkej úrovni. Treba s tým niečo robiť. Aktuálne zmeny nie sú dobré a EÚ pracuje na nových návrhoch. Je pravdepodobné, že aj keď by sa štáty dohodli veľmi rýchlo (nedohodli sa od roku 2016), kým by zmeny nadobudli účinnosť, prejde niekoľko rokov.
Nie je na čo čakať. Prispôsobte sa čím skôr. Tí, čo sa prispôsobia pravdepodobne nájdu nové možnosti ako posúvať svoje weby ďalej. Navyše, pokuty za nedodržanie zákona sú príliš vysoké. Zrejme netreba čakať, že úradníci budú sami od seba aktívne pokutovať rad za radom, no podnety prešetrovať budú. A nikdy neviete, kedy na vás niekto podnet podá.
Postup riešenia cookies
- zanalyzujte svoje cookies na webe (pomôže vám bot ORBITAR)
- roztrieďte cookies (aj local storage a ostatné) podľa účelov
- prejdite si všetko s právnikom, ktorý vám potvrdí účely a pripraví texty
- rozhodnite sa, či chcete CMP alebo vlastnú lištu
- implementujte cookie lištu na web (pozrite si demo)
- nastavte všetky skripty (v kóde webu a/alebo v Google Tag Manager)
- skontrolujte funkčnosť implementácie (pomôže vám bot ORBITAR)
Tento článok má všeobecný informatívny charakter. Hoci som si dal záležať, aby informácie v článku boli objektívne a pravdivé, ako autor nepreberám zodpovednosť za akékoľvek straty alebo škody vyplývajúce z obsahu a jeho použitia. Nenesiem žiadnu zodpovednosť za pravdivosť, úplnosť, presnosť a relevantnosť uvedených informácií.