Zpět na seznam článků

Cookies 2022 – právník vs. designér

V lednu přijdete o data. Pokud to uděláte špatně, tak o 80 %. Pokud dobře, tak o 20 %. Příklady, wireframy ke stažení, a jak to v DHL vytáhli z 28 % na 70 %.

Amazonde-cookies

V lednu přijdete o data.

Pokud to uděláte špatně, tak o 70–80 %. A když to uděláte dobře, tak o 20–30 %.

Mluvím o novém zákonu o elektronické komunikaci, který bude platit od 1. ledna 2022. Jenže místo toho, aby vás bolela hlava až po Silvestru, bude vás bolet už teď.

V kostce – od ledna potřebujete aktivní souhlas s tím, abyste sledovali, co na vašem webu lidi dělají. Doteď jste jim mohli jen oznámit, že je sledujete a nazdar.

Pohled právníka aneb dobrovolná sebevražda

Já mám Petru Dolejšovou rád. Je chytrá. Ale je právnička :). Logicky se tak na problematiku dívá optikou toho, aby to bylo všechno neprůstřelné. Ale trochu to připomíná brnění, ve kterém se nepohnete, protože váží 40 kg. Myslím brnění, ne Petru.

  1. Souhlas nesmí být podmínkou pro návštěvu webu! Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
  2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
  3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny
  4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
  5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
  6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách
  7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.

Schválně jsem to pro lepší představu nakreslil:

Cookie lišta podle petry dolejšové

Můj pohled UXáka

Bojím se, že nesouhlasím ani s jedním bodem :/.

Vezmu to postupně:

  1. Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
    Pokud bude lišta tak decentní, že nebude překážet, tak na ni nikdo neklikne. A já budu mít nula dat. Podmiňovat zobrazení stránky souhlasem s cookies je samozřejmě hovadina.
  2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
    Pokud udělá uživatel rozhodnutí, tak mu samozřejmě lištu schovám. Ale pokud ne, tak se ho budu ptát.
  3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“.
    Tohle zabije konverze, příliš uživateli usnadňuji akci, kterou nechci, aby udělal. Prolezl jsem pár desítek zahraničních webů, kde už je direktiva EU platná od 2018 a úzus je tlačítko Přijmout vše a odkaz Nastavit. Nicméně určitá opatrnost je na místě, v Evropě už jsou nálezy soudu, které to vyžadují.
  4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
    Křížek je totální zabiják souhlasu či nesouhlasu, více anonymních zdrojů reportuje pokles o 25–50 %.
  5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
    Tady je to v zahraničí tak půl na půl. Podle mého lidem nejvíc vadí, když je pronásleduje reklama na ostatních webech. Dokážu si přestavit, že analytické a preferenční cookies jsou OK předzaškrtnuté, marketingové bych nechal odškrtnuté. Například německý Amazon vám dává možnost odmítnout pouze (sic!) marketingové cookies, vše ostatní je natvrdo povolené. V tomto se ale rozcházím s právním názorem, který argumentuje opt-inem.
  6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách.
    Naopak, mělo by být výrazné, abyste nenutili uživatele přemýšlet. Ale je možné, že stejně (ne)výrazná tlačítka člověka přinutí si je přečíst, než automaticky klikat na to méně dominantní.
  7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
    Můžu posílat anonymizovaná data přes gtag v kódu stránky a na základě umělé inteligence to GAčka napárují. Funguje to ale – pokud vím – jen pro nové GA4 a Google Ads. Za mě by bylo super mít nějaké dočasné úložiště chování uživatele (funguje jen pro Single Page Applications – SPA). A to buď vyhodit nebo poslat do analytiky na základě uděleného souhlasu. Ale vím, že si to představuji jako Hurvajz válku.
    Marek Lecián k tomu dodává: „Bez souhlasu mohu měřit užívání webu, tzn. neměřit uživatele, ale web. Totálně bez uložišť na straně uživatele, bez síťových identifikátorů a fingerprintů atp. Ideálně odříznout takovou službu měření od prohlížeče uživatele tak, aby si daný nástroj nemohl napřímo šáhnout na daného uživatele. A mohl jsem prokázat, že nástroj nedostane žádná data, která nemá. Data slouží k ověření funkčnosti a obecné statistice nad webem.“

Nám se takhle před lety podařilo omylem nasadit cookie lištu „správně“. Bez souhlasu se nespouštěl analytický script. Po týdnu se ukázalo, že nám chybí 90 % dat.

Tak aby to v lednu u vás nevypadalo takto:

Snížení návštěvnosti v ga

Max Schrems je vůl

Max schrems

Max šikanuje Facebook, Whatsapp, Google ohledně soukromí a kvůli němu dostávají tyto firmy pokuty v Irsku. A tak si na to založil neziskovku – My privacy is none of your business.

Zatím sympatické.

A toto neziskovka vyvinula nástroj, který vám proleze web, zjistí, co máte v cookie liště blbě striktně podle práva a pak:

  1. Vám pošle výzvu s tím, že to máte do 30 dní opravit.
  2. Pokud to neuděláte, tak vás automaticky nabonzuje na úřad pro ochranu osobních údajů a ten se tím ze zákona musí zabývat.

Zatím takto prudí rakouské firmy. Oprava, už prudí i 11 českých firmem s podnikáním v EU. Projel jich 1000, 89 % firem poslal výzvu a 422 nabonzoval.

A teď se chystá na 10 000 webů skrz EU. A podle Maxe Schremse jen 3 % uživatelů povolí všechny cookies. Takže Petru vlastně chápu.

UX pohled – maximum možného

Za mě by to mohlo vypadat nějak takto:

Cookies lišta z pohledu ux

Zvýšit šanci, že vám dá uživatel souhlas lze:

Takto by podle mého mohla vypadat varianta, když kliknete na podrobné nastavení.

Cookies podle ondry a trochu marka

Samozřejmě nejsem právník, takže pokud to tak uděláte, tak si u mě pak nestěžujte :).

Příklady (špatné, dobré, EU a ČR)

Amazon.de

Výraznější tlačítko pro povolení všech cookies.

Amazonde-cookies-1024x773

Možnost se odhlásit pouze z marketingových cookies.

Amazonde-cookies-detail-1024x799

Zalando.cz

Plovoucí lišta a odlišnými tlačítky pro potvrzení všeho a nastavení. V detailu nastavení mají předzaškrtnuté jak funkční, tak personalizační cookies.

ČSOB

Podle Marka Tesaře z ČSOB dosáhli míry souhlasů 90 %. V bankovním sektoru je – při špatně navržené cookie liště – míra souhlasu okolo 70 %.

Čsob cookies

Zvýšení souhlasu z 28 na 70 % – A/B testování lišty v DHL

Společnost DHL zveřejnila na svém Analytics blogu podrobnou případovou studii o tom, jak umístění a design bannerů cookie ovlivňují míru přihlášení. Zdroj: Despite GDPR: Up to 70% Analytics Opt-in rates – why extensive testing is worth every minute of effort

Začátek citace článku:

Umístění:
A) Spodní lišta
B) Levý roh
C) Pop-up okno

Tlačítka:
1) Tlačítko Příjmout vše / Textový odkaz Nastavení cookies
2) Tlačítko Příjmout vše / Tlačítko Nastavení cookies
3) Tlačítko Příjmout vše / Tlačítko Odmítnout vše / Tlačítko Nastavení cookies

  • Nejhůř (28,7 %) fungující varianta je B3. Tzn. levý spodní roh a 3 tlačítka včetně odmítnout vše.
  • Naopak nejlépe (56,1 %) fungovala varianta C1 – pop-up s tlačítkem pro přijetí všeho a textovým odkazem pro nastavení.

Interpretace: Pokud je cookies banner neobtěžující, tak se též nikdo neobtěžuje s ním cokoliv dělat a bude ho ignorovat. A pokud lidem zjednodušíme možnost odmítnout všechny cookies, tak to budou dělat.

V DHL pokračovali dalším testem.

Umístění:
B) Panel nalevo
C) Pop-up

Button sets:
1) Viditelný popis jednotlivých voleb cookies
2) Minimalizovaný popis v harmonikovém layoutu

Dhl cookies test č. 2
  • Nejhůř (55 %) fungující varianta je C2 – popup s harmonikovým layoutem.
  • Nejlépe (70 %) fungující varianta je B1 – levý panel s detailním popisem.

Konec citace článku

U toho detailního popisu to potvrzuje i Marek Tesař s ČSOB – prý jsou lidi líní a nechtějí si číst dlouhé a oficiálně vypadající texty. Ty přesto navozují pocit důvěry a více lidí se tudíž přihlásí.

Nástroje

Nástrojem CookieYes si můžete zkontrolovat, které cookies vám na webu běží.

Co se týče Constent Management Platforem, tak velcí hráči jsou dva:

Výhody

  • Průběžné skenovaní používaných cookies.
  • Automatické třídění do kategorií nutné, analytické, preferenční a marketingové pro tisíce služeb.
  • Grafické šablony ve více variantách s možností vlastního brandingu.
  • A/B testování variant.

Nevýhody

  • Cena okolo 1 000 Kč měsíčně.

Já u většiny klientů nasazuji Cookiebot s tím, že po pár měsících ladění a testování přejdeme na vlastní řešení. OneTrust mi přijde příliš komplikovaný pro většinu webů.

Každopádně doporučuji nestahovat kalhoty, k brodu je daleko. A zkusit zabojovat za efektivnější cookies lištu, než dostanete obsílku od Maxe nebo úředního šimla.

A nebo se tomu můžete elegantně vyhnout a použít analytiku Fathom, která nesbírá uživatelská data a cookie lištu tudíž nepotřebujete.

Reakce uživatelů

Lidi to samozřejmě otravuje. Takže je už poměrně hodně pluginů do prohlížečů, které vám ty lišty automaticky odklikávají. A samozřejmě defaultní nastavení je zakázat vše. Částečně se toho chytají samotné prohlížeče v nastavení a operační systém Mac/iPhone. A můžeme si za to do značné míry sami.

Zdroje:

Všechny zdroje si přály zůstat v anonymitě, i tak jim děkuji.

P.S.: A jak jsem již zmínil, nejsem právník, jde o můj subjektivní pohled.

P.P.S.: U žádného z více než 180 článku jsem nezažil tolik strachu, utajování a obav. Přijde mi, že chceme zase být papežštější než papež. A že se u nás projevuje ono normalizační: „Hlavně nechci mít žádné problémy.“ Ale stát jsme my, úředníci jsou vlastně naši zaměstnanci a my si nastavíme, jak tu budeme žít. A občas je potřeba bouchnout do stolu.

Související články

Vsechno-je-tu-bozi

6 druhů social proof a síla stáda

Cross-sell-popup

Jak zvýšit obrat o 10-30 % pomocí upsellu a cross-sellu

Sockfancy

Jak vybrat správnou fotku na homepage (i jinam)

Dog-thinks-1

Jak cílit na racionálního zákazníka

Smysluplná debata

  • U těchto diskuzí mi dost chybí varianta nic nedělat – nikoho jsem neviděl se zamyslet nad tím, jaké je riziko se na to vykašlat (podle mě naprosto minimální). Prostě pro menší a střední weby to nedává smysl řešit.

    • Vykašlat se na souhlasy, nebo na analytiku?

    • Michal Franěk
      Michal Franěk

      Na jednu stranu souhlas. Tohle je problém pouze České republiky a ve zbytku EU to v podstatě platí už nyní. Stačí lehce proskenovat a zjistíme, že ne všechny stránky to mají nastavené optimálně a „likvidační“ pokuty ani penalizace od Google na ně tedy nejspíše nepřišly. U nás bych se ale bál konkurenčního boje, kdy to někdo nastaví a napráská svoji konkurenci, že to nemá správně. To se týká spíš větších webů, které ale na rozdíl od těch malých s daty a cookies pracují a ty to vlastně postihne nejvíc.

      Pokud ale dodáváte nějaké řešení, tak je třeba, aby respektovalo zákony. A otázky toho kam „na hraně“ si dovolíme zajít se musí řešit v kooperaci s klientem.

    • My jsme to dnes dost podrobně probírali s právníky a závěr byl „je dobré mít něco, ikdyž to není 100%“. Pak je samozřejmě varianta počkat na „žalující email“ od dozorující instituce (a do 30 dnů zjednat nápravu).

  • Mám 2 otázky, na které jsem zatím nikde nenašel odpověď:
    1a) Můžu opravdu využívat anonymní GA bez souhlasu?
    1b) Když je to to jediné, k čemu dobrovolné cookies potřebuju, můžu se na cookies lištu vykašlat úplně, a info o všech cookies dát pouze do patičky?
    2) Jaký je právní postup a případný postih, když bych tam tu cookies lištu nedal – viz komentář Lukáše? Nevíš o nějakém právníkovi, co by se k tomuto vyjadřoval? Prostě jak vyhodnotit to riziko. Protože pokud mám malé weby s přístupností pár desítek, stovek či tisíc
    userů/měsíc (tedy žádný korporát, většinou neziskovky), jestli nezkusit metodu mrtvého brouka, páč jestli je první krok třeba jen upozornění na nedostatek (a ne rovnou pokuta), tak je velká šance, že to nikdy nebudu muset řešit. A kdyby jo, tak to holt po první obsílce udělám.

    Nechápejte mě špatně, proti transparentnosti nakládání s daty nic nemám, ale cookie consent považuji za ten nejnechutnější mor, který nakazil naprosto celý internet. Považuji to za zkázu UX, protože na každé stránce na mě teď vyskakuje debilní panel, který mě vlastně nezajímá a neustále mi překáží. A troufám si tvrdit, že takových userů jako já je většina. A ti, kterým to fakt vadí, tak to většinou už umí řešit po svém….

  • Přesně tak. Každou chvilku je tu nějaký strašák. Gdpr, ios14, fb capi, teď další blbost s cookies. 99% lidí o tom nema vůbec tušení a je jim to jedno. V eshopech a na webech všeobecně je to jen otravuje, pořád něco odklikavat. Takže se na to vykašlalu a hotovo. Chápu, ze ve velkých firmach sedi spousta lidi, co často delaji, ze dělají. A zrovna takovéhle blbosti budou rádi řešit, protože je to přece důležité, je to zákon, bla bla bla.
    Spousta meetingů, nějaká ta služební cesta, pohoda.
    A co maly eshop? Vykasle se na to a udela dobre :)
    Některé velké eshopy udělají to stejné. Viz takové vrácení do 14 dnů. Vite jak to pry řeší polsky eobuv.cz? Pošle vám vráceny boty zpátky s tím, ze jsou od vas poškozené a hotovo.

  • Ahoj,

    zajímalo by mě, kde všude po Evropě už toto platí?

  • Pavel Tlapák
    Pavel Tlapák

    Ondro, napadá mě: Pop-up okno má nejvyšší % souhlasů, ale jak je to s bounce rate u takto agresivního způsobu vyžadování? Podle mě stoupá, otázka o kolik? (Což bez zapnuté analytiky v té chvíli nezjistíme?)

  • Radka Fišerová
    Radka Fišerová

    Dobry den, zajimalo by me, jak je to s jiz ziskanymi souhlasy. Kdyz uz cookie listu nejaky ten patek mame, a urcite procento lidi dalo „souhlasim s pouzitim cookies“ – muzu to povazovat za to, ze souhlas udelili a nejakou dobu je tedy neresit, nebo se i techto lidi musim 1.1.2022 zeptat znovu?

    A mate nejake doporuceni ohledne lhuty, po dobu ktere souhlas/nesouhlas plati?

    Dekuji moc.

  • Už tu zazněla podobná myšlenka od Matěje – když mi uživatel souhlas nedá, stejně bych chtěl jeho návštěvu do analytics uložit (samotný pageview nesouvisí s cookies), ale nevím jak toho dosáhnout, aby GA cookies započítaly návštěvu ale neuložily cookies. Stejně tak reklama – když uživatel nebude souhlasit, chci mu reklamu stejně zobrazit, jen bez použití cookies – tozn totálně nerelevantní. Jak to ale adsence skriptu říct, aby cookies nepoužíval?

  • Jan Škranc
    Jan Škranc

    Protože se zabývám GDPR a to zejména jeho použití pro online systémy popíšu Vám trochu praxi ze zahraničí. Původně se celou dobu mluvilo o e-privacy, kde tyto věci měl řešit prohlížeč a nastavení soukromí v rámci prohlížeče. Toto například zavedl tento rok Apple a co se stalo asi víte. Prostě data ze zařízení Apple prostě nejsou.
    Protože se nám ovšem zavedení e-privacy nějak táhne musel český UOOU reagovat na evropskou legislativu (na jejich obranu musím říct, že šli velmi dlouho proti proudu) a zavést do našeho právního řádu OPT-IN pro cookies. Tedy mohu sbírat, ale až po výslovném souhlasu.
    Tento systém funguje v zahraničí dlouhodobě a platil ještě před GDPR a byl daný lokální legislativou. GDPR ho jen potvrdil a vztahuje se na tuto činnost článek 4 odstavec 4 a navazující, kde se (mimo jiné) mluví o tom, že „profilováním“ je jakákoliv forma sběru dat za účelem pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí a zájmů…..

    Jak fungují kontroly v zahraničí. Tím, že Pepa Novák nahlásí úřadu, že jej ten a ten web sleduje pomocí cookies se nikdo nezabývá. Nikdo nezkoumá zda Pepa na něco klikl nebo ne. Není tedy třeba sledovat IP adresy a kdy došlo k souhlasu atd.
    Úřad provede šetření (představte si jej jako kontrolní nákup z ČOI) a zjistí zda web přes nesouhlas sbírá či nikoliv. Pokud sbírá pak udělí pokutu. Neočekávám, že bude astronomická a český úřad (usuzují z chování v rámci GDPR) je super v tom, že spíše vysvětluje než trestá. Pokutu pro malý nebo střední e-shop vidím do max. 10 000Kč spíše 1000Kč. Pokud tam cokoliv budete mít a bude to blbě pak to bude spíše „dohodou“.

    Problém mají Ti co prodávají do zahraničí. Zejména země Německo, Rakousko, Francie a Španělsko. Ti si z toho postavili tak trochu byznys. Zejména jsou hákliví na cookies Facebooku a padají zde i milionové pokuty. Facebook je ovšem obecně sviňa a sbírá naprosto vše co jde. Nikdy jsem nezaznamenal pokutu například na Google Analytics.

    Takže asi tak. Pokud máte někdo nějaký konkrétní dotaz klidně se ptejte. Nevím nakolik mě toto forum bude posílat upozornění tak možná spíš na skranc@webczech.cz

    Jan Škranc

  • Ondrej Sika
    Ondrej Sika

    Clanek super, jako vzdy. Jen dalsi priklad kdy legislativa resi naprosto zbytecny problem – ti (jako napriklad ja), kdo chteli soukromi pouzivali adblocker nebo podobny tool a tem co je to jedno, ti stejne kliknou na prijmout vse. Diky EU a nejen EU za dalsi naprosto zbytecne klacky pod nohy pri cteni a tvorbe webu.