fbpx

Cookies 2022 – právník vs. designér

V lednu přijdete o data.

Pokud to uděláte špatně, tak o 70–80 %. A když to uděláte dobře, tak o 20–30 %.

Mluvím o novém zákonu o elektronické komunikaci, který bude platit od 1. ledna 2022. Jenže místo toho, aby vás bolela hlava až po Silvestru, bude vás bolet už teď.

V kostce – od ledna potřebujete aktivní souhlas s tím, abyste sledovali, co na vašem webu lidi dělají. Doteď jste jim mohli jen oznámit, že je sledujete a nazdar.

Pohled právníka aneb dobrovolná sebevražda

Já mám Petru Dolejšovou rád. Je chytrá. Ale je právnička :). Logicky se tak na problematiku dívá optikou toho, aby to bylo všechno neprůstřelné. Ale trochu to připomíná brnění, ve kterém se nepohnete, protože váží 40 kg. Myslím brnění, ne Petru.

Doporučení z Petřina posledního článku:

  1. Souhlas nesmí být podmínkou pro návštěvu webu! Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
  2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
  3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny
  4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
  5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
  6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách
  7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.

Schválně jsem to pro lepší představu nakreslil:

Cookie lišta podle Petry Dolejšové

Můj pohled UXáka

Bojím se, že nesouhlasím ani s jedním bodem :/.

Vezmu to postupně:

  1. Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
    Pokud bude lišta tak decentní, že nebude překážet, tak na ni nikdo neklikne. A já budu mít nula dat. Podmiňovat zobrazení stránky souhlasem s cookies je samozřejmě hovadina.
  2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
    Pokud udělá uživatel rozhodnutí, tak mu samozřejmě lištu schovám. Ale pokud ne, tak se ho budu ptát.
  3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“.
    Tohle zabije konverze, příliš uživateli usnadňuji akci, kterou nechci, aby udělal. Prolezl jsem pár desítek zahraničních webů, kde už je direktiva EU platná od 2018 a úzus je tlačítko Přijmout vše a odkaz Nastavit. Nicméně určitá opatrnost je na místě, v Evropě už jsou nálezy soudu, které to vyžadují.
  4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
    Křížek je totální zabiják souhlasu či nesouhlasu, více anonymních zdrojů reportuje pokles o 25–50 %.
  5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
    Tady je to v zahraničí tak půl na půl. Podle mého lidem nejvíc vadí, když je pronásleduje reklama na ostatních webech. Dokážu si přestavit, že analytické a preferenční cookies jsou OK předzaškrtnuté, marketingové bych nechal odškrtnuté. Například německý Amazon vám dává možnost odmítnout pouze (sic!) marketingové cookies, vše ostatní je natvrdo povolené. V tomto se ale rozcházím s právním názorem, který argumentuje opt-inem.
  6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách.
    Naopak, mělo by být výrazné, abyste nenutili uživatele přemýšlet. Ale je možné, že stejně (ne)výrazná tlačítka člověka přinutí si je přečíst, než automaticky klikat na to méně dominantní.
  7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
    Můžu posílat anonymizovaná data přes gtag v kódu stránky a na základě umělé inteligence to GAčka napárují. Funguje to ale – pokud vím – jen pro nové GA4 a Google Ads. Za mě by bylo super mít nějaké dočasné úložiště chování uživatele (funguje jen pro Single Page Applications – SPA). A to buď vyhodit nebo poslat do analytiky na základě uděleného souhlasu. Ale vím, že si to představuji jako Hurvajz válku.
    Marek Lecián k tomu dodává: „Bez souhlasu mohu měřit užívání webu, tzn. neměřit uživatele, ale web. Totálně bez uložišť na straně uživatele, bez síťových identifikátorů a fingerprintů atp. Ideálně odříznout takovou službu měření od prohlížeče uživatele tak, aby si daný nástroj nemohl napřímo šáhnout na daného uživatele. A mohl jsem prokázat, že nástroj nedostane žádná data, která nemá. Data slouží k ověření funkčnosti a obecné statistice nad webem.“

Nám se takhle před lety podařilo omylem nasadit cookie lištu „správně“. Bez souhlasu se nespouštěl analytický script. Po týdnu se ukázalo, že nám chybí 90 % dat.

Tak aby to v lednu u vás nevypadalo takto:

Snížení návštěvnosti v GA

Ilustrační obrázek snížení dat v Google Analytics

Max Schrems je vůl

Max Schrems

Max šikanuje Facebook, Whatsapp, Google ohledně soukromí a kvůli němu dostávají tyto firmy pokuty v Irsku. A tak si na to založil neziskovku – My privacy is none of your business.

Zatím sympatické.

A toto neziskovka vyvinula nástroj, který vám proleze web, zjistí, co máte v cookie liště blbě striktně podle práva a pak:

  1. Vám pošle výzvu s tím, že to máte do 30 dní opravit.
  2. Pokud to neuděláte, tak vás automaticky nabonzuje na úřad pro ochranu osobních údajů a ten se tím ze zákona musí zabývat.

Zatím takto prudí rakouské firmy. Oprava, už prudí i české firmy. Projel jich 1000, 89 % firem poslal výzvu a 422 nabonzoval.

A teď se chystá na 10 000 webů skrz EU. Takže Petru vlastně úplně chápu.

Podle posledních informací se „vozí“ už i po českých firmách.

UX pohled – maximum možného

Za mě by to mohlo vypadat nějak takto:

Cookies lišta z pohledu UX

Zvýšit šanci, že vám dá uživatel souhlas lze:

Takto by podle mého mohla vypadat varianta, když kliknete na podrobné nastavení.

Cookies podle Ondry a trochu Marka

Samozřejmě nejsem právník, takže pokud to tak uděláte, tak si u mě pak nestěžujte :).

Příklady (špatné, dobré, EU a ČR)

Amazon.de

Výraznější tlačítko pro povolení všech cookies.

Možnost se odhlásit pouze z marketingových cookies.

Zalando.cz

Plovoucí lišta a odlišnými tlačítky pro potvrzení všeho a nastavení. V detailu nastavení mají předzaškrtnuté jak funkční, tak personalizační cookies.

Zalando.cz cookies

ČSOB

Podle Marka Tesaře z ČSOB dosáhli míry souhlasů 90 %. V bankovním sektoru je – při špatně navržené cookie liště – míra souhlasu okolo 70 %.

ČSOB cookies

Zvýšení souhlasu z 28 na 70 % – A/B testování lišty v DHL

Společnost DHL zveřejnila na svém Analytics blogu podrobnou případovou studii o tom, jak umístění a design bannerů cookie ovlivňují míru přihlášení. Zdroj: Despite GDPR: Up to 70% Analytics Opt-in rates – why extensive testing is worth every minute of effort

Začátek citace článku:

Umístění:
A) Spodní lišta
B) Levý roh
C) Pop-up okno

Tlačítka:
1) Tlačítko Příjmout vše / Textový odkaz Nastavení cookies
2) Tlačítko Příjmout vše / Tlačítko Nastavení cookies
3) Tlačítko Příjmout vše / Tlačítko Odmítnout vše / Tlačítko Nastavení cookies

DHL A/B test cookies
Zdroj: analytics.dhl.com – Despite GDPR: Up to 70% Analytics Opt-in rates – why extensive testing is worth every minute of effort

  • Nejhůř (28,7 %) fungující varianta je B3. Tzn. levý spodní roh a 3 tlačítka včetně odmítnout vše.
  • Naopak nejlépe (56,1 %) fungovala varianta C1 – pop-up s tlačítkem pro přijetí všeho a textovým odkazem pro nastavení.

Interpretace: Pokud je cookies banner neobtěžující, tak se též nikdo neobtěžuje s ním cokoliv dělat a bude ho ignorovat. A pokud lidem zjednodušíme možnost odmítnout všechny cookies, tak to budou dělat.

V DHL pokračovali dalším testem.

Umístění:
B) Panel nalevo
C) Pop-up

Button sets:
1) Viditelný popis jednotlivých voleb cookies
2) Minimalizovaný popis v harmonikovém layoutu

DHL cookies test č. 2

Zdroj: analytics.dhl.com – Despite GDPR: Up to 70% Analytics Opt-in rates – why extensive testing is worth every minute of effort

  • Nejhůř (55 %) fungující varianta je C2 – popup s harmonikovým layoutem.
  • Nejlépe (70 %) fungující varianta je B1 – levý panel s detailním popisem.

Konec citace článku

U toho detailního popisu to potvrzuje i Marek Tesař s ČSOB – prý jsou lidi líní a nechtějí si číst dlouhé a oficiálně vypadající texty. Ty přesto navozují pocit důvěry a více lidí se tudíž přihlásí.

Nástroje

Nástrojem CookieYes si můžete zkontrolovat, které cookies vám na webu běží.

Co se týče Constent Management Platforem, tak velcí hráči jsou dva:

  1. Cookiebot
  2. OneTrust (CookiePro)

Výhody

  • Průběžné skenovaní používaných cookies.
  • Automatické třídění do kategorií nutné, analytické, preferenční a marketingové pro tisíce služeb.
  • Grafické šablony ve více variantách s možností vlastního brandingu.
  • A/B testování variant.

Nevýhody

  • Cena okolo 1 000 Kč měsíčně.

Já u většiny klientů nasazuji OneTrust s tím, že po pár měsících ladění a testování přejdeme na vlastní řešení.

Každopádně doporučuji nestahovat kalhoty, k brodu je daleko. A zkusit zabojovat za efektivnější cookies lištu, než dostanete obsílku od Maxe nebo úředního šimla.

A nebo se tomu můžete elegantně vyhnout a použít analytiku Fathom, která nesbírá uživatelská data a cookie lištu tudíž nepotřebujete.

Reakce uživatelů

Lidi to samozřejmě otravuje. Takže je už poměrně hodně pluginů do prohlížečů, které vám ty lišty automaticky odklikávají. A samozřejmě defaultní nastavení je zakázat vše. Částečně se toho chytají samotné prohlížeče v nastavení a operační systém Mac/iPhone. A můžeme si za to do značné míry sami.

Zdroje:

Všechny zdroje si přály zůstat v anonymitě, i tak jim děkuji.

https://noyb.eu/en
https://www.pavelungr.cz/jak-na-cookie-listu-v-roce-2022-prace-s-cookies-v-roce-2022-saga-pokracuje-petra-dolejsova/
https://www.vitousladislav.cz/blog/kbn-special-zanik-3rd-party-cookies-opt-in-legislativa-consent-mode-a-jak-se-pripravit-na-budoucnost/
https://analytics.dhl.com/despite-gdpr-up-to-70-analytics-opt-in-rates-why-extensive-testing-is-worth-ervery-minute-of-effort/

P.S.: A jak jsem již zmínil, nejsem právník, jde o můj subjektivní pohled.

P.P.S.: U žádného z více než 180 článku jsem nezažil tolik strachu, utajování a obav. Přijde mi, že chceme zase být papežštější než papež. A že se u nás projevuje ono normalizační: „Hlavně nechci mít žádné problémy.“ Ale stát jsme my, úředníci jsou vlastně naši zaměstnanci a my si nastavíme, jak tu budeme žít. A občas je potřeba bouchnout do stolu.

8 Responses to Cookies 2022 – právník vs. designér

  1. Profilový obrázek
    Lukas 6. listopad 2021 at 07:13:46 #

    U těchto diskuzí mi dost chybí varianta nic nedělat – nikoho jsem neviděl se zamyslet nad tím, jaké je riziko se na to vykašlat (podle mě naprosto minimální). Prostě pro menší a střední weby to nedává smysl řešit.

    • Profilový obrázek
      Vojta 8. listopad 2021 at 16:06:48 #

      Vykašlat se na souhlasy, nebo na analytiku?

    • Profilový obrázek
      Michal Franěk 11. listopad 2021 at 16:41:52 #

      Na jednu stranu souhlas. Tohle je problém pouze České republiky a ve zbytku EU to v podstatě platí už nyní. Stačí lehce proskenovat a zjistíme, že ne všechny stránky to mají nastavené optimálně a „likvidační“ pokuty ani penalizace od Google na ně tedy nejspíše nepřišly. U nás bych se ale bál konkurenčního boje, kdy to někdo nastaví a napráská svoji konkurenci, že to nemá správně. To se týká spíš větších webů, které ale na rozdíl od těch malých s daty a cookies pracují a ty to vlastně postihne nejvíc.

      Pokud ale dodáváte nějaké řešení, tak je třeba, aby respektovalo zákony. A otázky toho kam „na hraně“ si dovolíme zajít se musí řešit v kooperaci s klientem.

    • Profilový obrázek
      Lada 15. listopad 2021 at 17:36:09 #

      My jsme to dnes dost podrobně probírali s právníky a závěr byl „je dobré mít něco, ikdyž to není 100%“. Pak je samozřejmě varianta počkat na „žalující email“ od dozorující instituce (a do 30 dnů zjednat nápravu).

  2. Profilový obrázek
    Matěj 6. listopad 2021 at 21:44:09 #

    Mám 2 otázky, na které jsem zatím nikde nenašel odpověď:
    1a) Můžu opravdu využívat anonymní GA bez souhlasu?
    1b) Když je to to jediné, k čemu dobrovolné cookies potřebuju, můžu se na cookies lištu vykašlat úplně, a info o všech cookies dát pouze do patičky?
    2) Jaký je právní postup a případný postih, když bych tam tu cookies lištu nedal – viz komentář Lukáše? Nevíš o nějakém právníkovi, co by se k tomuto vyjadřoval? Prostě jak vyhodnotit to riziko. Protože pokud mám malé weby s přístupností pár desítek, stovek či tisíc
    userů/měsíc (tedy žádný korporát, většinou neziskovky), jestli nezkusit metodu mrtvého brouka, páč jestli je první krok třeba jen upozornění na nedostatek (a ne rovnou pokuta), tak je velká šance, že to nikdy nebudu muset řešit. A kdyby jo, tak to holt po první obsílce udělám.

    Nechápejte mě špatně, proti transparentnosti nakládání s daty nic nemám, ale cookie consent považuji za ten nejnechutnější mor, který nakazil naprosto celý internet. Považuji to za zkázu UX, protože na každé stránce na mě teď vyskakuje debilní panel, který mě vlastně nezajímá a neustále mi překáží. A troufám si tvrdit, že takových userů jako já je většina. A ti, kterým to fakt vadí, tak to většinou už umí řešit po svém….

  3. Profilový obrázek
    Ace723 7. listopad 2021 at 15:50:18 #

    Přesně tak. Každou chvilku je tu nějaký strašák. Gdpr, ios14, fb capi, teď další blbost s cookies. 99% lidí o tom nema vůbec tušení a je jim to jedno. V eshopech a na webech všeobecně je to jen otravuje, pořád něco odklikavat. Takže se na to vykašlalu a hotovo. Chápu, ze ve velkých firmach sedi spousta lidi, co často delaji, ze dělají. A zrovna takovéhle blbosti budou rádi řešit, protože je to přece důležité, je to zákon, bla bla bla.
    Spousta meetingů, nějaká ta služební cesta, pohoda.
    A co maly eshop? Vykasle se na to a udela dobre 🙂
    Některé velké eshopy udělají to stejné. Viz takové vrácení do 14 dnů. Vite jak to pry řeší polsky eobuv.cz? Pošle vám vráceny boty zpátky s tím, ze jsou od vas poškozené a hotovo.

  4. Profilový obrázek
    Ron 10. listopad 2021 at 10:37:01 #

    Ahoj,

    zajímalo by mě, kde všude po Evropě už toto platí?

  5. Profilový obrázek
    Pavel Tlapák 10. listopad 2021 at 16:44:05 #

    Ondro, napadá mě: Pop-up okno má nejvyšší % souhlasů, ale jak je to s bounce rate u takto agresivního způsobu vyžadování? Podle mě stoupá, otázka o kolik? (Což bez zapnuté analytiky v té chvíli nezjistíme?)

Napsat komentář

Powered by WordPress. Designed by WooThemes