Co jsou cookies?
Cookies jsou malé textové soubory nebo také malé kousíčky informací, proto se jim říká cookies = anglicky je to v překladu sušenka. Takže vlastně takové drobečky od sušenky, které ze sušenky odpadávají, když ji tajně někdo chce slupnout. A tyto drobečky neboli cookies, návštěvníka webu snadno prozradí a mohou říci o návštěvníkovi webu spoustu informací.
Předem upozorňuji, že nejsem právník, mé texty mohou obsahovat chyby a pochopení problematiky nemusí být správné, berte to prosím na vědomí.
Jak fungují cookies a kam se ukládají?
Tyto malé soubory, vypustí váš web na zařízení návštěvníka pomocí kterého si váš web prohlíží, říká se tomu koncové zařízení návštěvníka webu nebo uživatele. Koncové zařízení může být cokoli, počítač, mobil, tablet, notebook, chytré hodinky, nějaké zařízení v automobilu atd. a tyto cookies malé soubory se vlastně na návštěvníkovo zařízení uloží, pověsí se tam, zůstávají tam nějakou dobu a našemu webu předávají pak nějaké informace o daném návštěvníkovi.
Cookies a režim opt-in a opt-out?
V ČR od ledna 2022 platí novela Zákona o elektronických komunikacích (127/2005 Sb.), která zpřísňuje pravidla používání cookies na webových stránkách.
Od 1. 1. 2022 se změnila pravidla hry, jakým způsobem může váš web sbírat cookies. Dříve platilo to, že když k vám někdo přišel na web, tak jste mohli cookies navěšovat na návštěvníkovo zařízení (např. počítač), dokud tento návštěvník vašeho webu cookies nezakázal. Tomuto stylu se říká režim opt-out. Opt-out je tedy, že pustíte cookies okamžitě na zařízení návštěvníka webu a necháte je pracovat dokud to návštěvník nezakáže, ale to se změnilo a od 1.1. 2022 již tato praktika není možná. Web nesmí spustit cookies, pokud vám to návštěvník webu neodsouhlasí, to je zásadní změna a říká se tomu režim opt-in. Takže když se návštěvník vašeho webu ke cookies třeba vůbec nevyjádří a bude brouzdat vaším webem, tak také nesmíte cookies spustit. Toto je zásadní změna.
Co cookies dokáží vyzradit?
Cookies umí nasbírat a zasílat o uživateli spoustu informací, například geograficky kde se pohybuje, kolik mu je let, jestli má děti, co si prohlíží za weby, které články čte, kde nakupuje, jestli nakupuje za vyšší nebo nižší částky a tak dále. Cookies nemusí jen posílat info o uživateli, ale slouží i pro zajištění některých funkcí webu/eshopu, což se třeba hodí, když si návštěvník naplní košík v e-shopu, tak mu tam to zboží zůstává. Na webu si zvolí jazyk, který používá a příště daný web ví jaký jazyk návštěvník preferuje.
A teď vysvětlení formální: cookies obsahující nejčastěji reklamní a uživatelské identifikátory (nějaká čísla a písmena), které prohlížeč uloží na koncové zařízení návštěvníka během procházení webu tedy např. mobil, tablet, počítač. Díky cookies web návštěvníka rozezná od jiného uživatele a umí si k němu přiřadit informace. I při dalších návštěvách se zasílají tyto cookies zpět na webovou stránku, která je rozpozná, takže slouží i ke spojení aktivit s konkrétním prohlížečem a především pro identifikaci uživatelova návratu v budoucnu. Zpracovávány a ukládány jsou přímo webovým prohlížečem.
Komu se hodí drobečky od sušenek sledovat?
Hodí se to majitelům webů, eshopů, analytikům a marketérům, kteří vědí, jací uživatelé na web přicházejí a mohou webové stránky upravovat, vylepšovat, ale také třeba mohou informace o uživatelích dále zpracovávat a velmi přesně na ně pak dokáží třeba cílit reklamy.
Osobní údaj, vše co návštěvníka webu může identifikovat
Každá informace o identifikované nebo přímo/nepřímo identifikovatelné fyzické osobě, tedy např. jméno, příjmení, telefonní číslo, email, adresa, město, kraj, číslo platební karty, ale také údaje získané z cookies a to mohou být: údaje o poloze, informace o zařízení či rozlišení obrazovky, zvláštní prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby, např. tedy váha, pleť, sociální skupina, zájmy, koníčky, například z článků, které si rád čte, kde píše i své komentáře, které eshopy navštěvuje, v jakých hodnotách nakupuje a další, také údaje uchované v log files jako IP adresa. Je to jakákoli informace fyzické osoby a skutečnost, že její identifikace nebo identifikovatelnost je vůbec možná a to různě, ne pouze podle příjmení, data narození, rodného čísla, ale i např. IP adresou atd. Osobním údajem může být i video či fotografie.
Kdo je správcem osobních údajů
Správcem osobních údajů je provozovatel webu/eshopu. Správce/majitel si může někoho třeba externě najmout na spolupráci, těmto lidem se říká zpracovatelé, většinou je to, účetní, programátor/vývojář, provozovatel webhostingu, PPC specialista, analytik, marketingová agentura, správce eshopu, dopravce. Zpracovatelé mají také přístup k osobním údajům a je povinností správce/majitele s těmito zpracovateli sepsat smlouvu. Správce se přizváním zpracovatele nezbavuje kompletně odpovědnosti za zpracování osobních údajů.
Jak rozdělujeme cookies
- podle toho jaká strana je používá, komu patří
- podle délky trvání
- podle účelu
Rozdělení cookies podle toho kdo je používá, komu patří
Cookies 1st party, tedy první strany, potřebujeme je většinou na to, aby náš web správně fungoval. Jako příklad si můžeme uvést třeba pokud máme eshop a návštěvník si nakupuje, tak aby mu zboží zůstalo v košíku.
Cookies třetích stran: 3rd party vytváří skripty a kódy partnerů, které do webu vkládáte (analytické, marketingové, trakovací/sledovací) – nefungují jen na webu, který si návštěvník prohlíží, ale cestují s ním napříč internetem, chodí s návštěvníkem i na další stránky např. na Facebook, oblíbený zpravodajský server nebo vyhledávač dopravních spojení, což má využití hlavně v internetové reklamě. Takže třeba v rámci remarketingu se po návštěvě webu, návštěvníkovi některá reklama může stále zobrazovat dokola na různých webech, napříč celým internetem. Jde např. o cookies reklamních systémů, widgetů sociálních sítí nebo vložených videí. Mohou obsahovat anonymní identifikátor uživatelova prohlížeče, sami o sobě neidentifikují vyloženě daného jednotlivce, pouze identifikují přístup ke stránkám a chování uživatelů přistupujících z určitého zařízení, umí poznat opakovanou návštěvu webových stránek ze stejného prohlížeče na stejném zařízení a sledovat aktivity při prohlížení stránek. Jsou využívaná zejména pro účely statistik používání stránek a také hojně pro reklamu.
Rozdělení cookies podle délky trvání
Krátkodobé, session, relační, ty trvají jen do doby, kdy si stránku prohlížíte a ukončí se, smažou se, když skončí návštěva na webu jakmile návštěvník webu zavře prohlížeč. Napomáhají v průběhu návštěvy stránek jejich správnému zobrazení.
Trvalé persistent/permanent cookies zůstávají uloženy na návštěvníkově zařízení déle a aktivují se vždy, když uživatel danou stránku navštíví, která cookie vytvořila. Trvalé cookies by měly dle ePrivacy expirovat za 12 měsíců, ale dle zkušeností zůstávají na zařízení uloženy mnohem déle a většinou dokud je uživatel sám nevymaže.
Rozdělení cookies podle účelu
Funkční, říká se jim také technické, základní, nezbytné, nutné – nepotřebujeme souhlas. Tyto cookie jsou potřeba pro provoz webu, aby správně fungoval, ale také pro zabezpečení webu a tyto cookies podle zákona nepotřebujeme návštěvníkem webu odsouhlasit, ty můžeme pouštět jak potřebujeme, bývají na cookie liště předzaškrtnuté a nedají se pomocí cookie lišty vypnout. Tyto cookies, by se dali odmítnout, kdyby si návštěvník webu sám na svém prohlížeči cookies zcela zakázal, svůj prohlížeč si každý může nastavit tak, aby blokoval soubory cookie nebo mu o nich prohlížeč zasílal upozornění, ale pak by některé weby pro daného uživatele nemusely fungovat správně. Tyto soubory cookie neukládají žádné informace, které lze přiřadit konkrétní osobě.
Funkční cookies reagují většinou na nějakou návštěvníkovu akci, kterou na webu sám provede, slouží třeba, aby se nesmazala rozpracovaná objednávka, když návštěvník webu prochází jednotlivými stránkami pamatují si obsah košíku, pamatují si uložené produkty ve wishlistu, pomocí nich může například návštěvník webu zůstat přihlášen a procházet na jiné stránky.
DŮLEŽITÉ – pokud máme na webu (či v aplikaci) pouze tyto druhy cookies, nemusíme získávat souhlas od návštěvníka webu. Máme pouze povinnost informovat návštěvníky webu o jejich používání.
Preferenční cookies – musíme mít souhlas. Dokáží si zapamatovat návštěvníkovi volby na webu, třeba jaký jazyk na webu zvolil, pamatují si dříve zadané informace do formulářů, zapamatují si přihlašovací údaje pro přihlášení do webu, barevný vzhled nebo region, který si návštěvník dříve vybral. (používá i Google).
Analytické cookies, říká se jim také statistické – musíme mít souhlas. Využíváme je např. pokud máme Google Analytics) můžeme sledovat návštěvníky webu, jak se na webu chovají, jak web používají, kolik lidí na web přišlo, na kterou konkrétní stránku, odkud, jak dlouho tam strávili a co tam dělali. Analytické cookies se používají ke statistikám a analýze webu a následně ke zlepšení fungování webových stránek, ke zlepšení uživatelského komfortu a k tomu, aby byla návštěva webu zajímavější. (Využívá je Google, Amazon, Hotjar, LinkedIn, TikTok, a další.) Musíme mít souhlas.
Marketingové, říká se jim také trakovací, sledovací, reklamní – musíme mít souhlas. Potřebujeme je, když používáme například Sklik a retargeting nebo využíváme konverzní kód, Google Ads a remarketing nebo zase počítáme konverze pomocí konverzního kódu, dále třeba Facebook pixel, Smartlook, Hotjar a další i třeba pokud využíváme Google Analytics, Google Tag Manager pro cílenou reklamu, pro nějaké profilování zákazníků, když máme web propojen s reklamou Sklik, Heuréka, Zboží, Google Ads a potřebujeme ji správně vyhodnocovat a k tomu použijeme třeba Google Analytics, tak to vše spadá pod marketingové cookies.
Marketingové cookies pomáhají reklamním systémům lépe cílit na potenciální zákazníky = používají se ke sledování, zjišťování preferencí uživatele, jeho zájmů atd. za účelem cílení reklamy, tedy zobrazování marketingových a reklamních sdělení (i na stránkách třetích stran), které mohou návštěvníka webu zajímat, v souladu s těmito preferencemi. Marketingové cookies využívají nástroje externích společností a nejde jen o nějaké reklamy na Sklik nebo Google Ads, ale jedná se i například o YouTube videa, Google mapy, Google fonty, které jsou přidané na nějakém webu. Tyto cookies se ukládají do návštěvníkova zařízení už jen načtením stránky která obsahuje třeba YouTube video. A nesmí se tedy zobrazit a navěsit cookies na návštěvníkovo zařízení, dokud návštěvník nevysloví souhlas. (Využívá je Google, Seznam, Amazon, Hotjar, YouTube, LinkedIn, TikTok, Facebook a další).
Pokud vás zajímá jestli Google Analytics porušuje GDPR, tak se podívejte na článek: Google Analytics nesplňuje GDPR, je to nebezpečná hračka pro dospělé
Co je cookie lišta
Cookie lišta je lišta nebo banner na webu, kde je uveden nějaký text, odkazy a tlačítka. Cookies lišta se návštěvníkovi zobrazí po vstupu na web. Návštěvníka webu jednak informuje o tom, že daný web používá cookies a žádá jej o jeho vyjádření v podobě souhlasu, nesouhlasu nebo návštěvníka nechá i bez rozhodnutí, s tím že musí respektovat to, že pokud se návštěvník webu nevyjádří, musí nevyjádření brát jako nesouhlas.
Cookie lišta se zobrazuje většinou v patičce webu, ale může vyskočit doprostřed nebo se zobrazovat po stranách či nahoře v hlavičce webu atd. Cookie lišta má, ale svá pravidla.
Musí splnit informační povinnost o tom, že web používá cookies, (že tyto cookies dává web na koncové zařízení návštěvníka), také informuje o tom jaké cookies daný web používá, měla by vysvětlit návštěvníkovi webu k čemu tyto jednotlivé cookies jsou a měla by návštěvníkovi webu podat alespoň stručné, ale jasné informace, co se vlastně stane, když návštěvník potvrdí souhlas nebo nesouhlas s cookies.
Cookie lišta není jen banner, není to ani pouze okrasná záležitost s informacemi, měla by splňovat i funkční povinnost, tedy že bude zajišťovat použití a nepoužití cookies a to podle návštěvníkova rozhodnutí. Cookie lišta by měla plnohodnotně a dobře posloužit návštěvníkovi webu, aby si mohl cookies nastavit zcela svobodně podle svého rozhodnutí a pro nás jako majitele webu, aby plnila perfektně svůj účel a to tak, že musí rozhodnutí návštěvníka našeho webu respektovat, tedy povolit určité cookies nebo zakázat, dle toho jak se návštěvník webu rozhodne a nebo nerozhodne vůbec a lištu ignoruje a v tom případě jsou cookies stále zakázány.
Podvodné praktiky se moc nevyplatí a u návštěvníka s tím určitě nezabodujete a co se týká budoucnosti, tak vítězit bude ten, kdo se k návštěvníkům/zákazníkům bude chovat slušně, poctivě a bude střežit jejich data a nebude je otravovat zbytečnou reklamou, pokud si toto oni sami nepřejí. Otextujte cookies vtipně, mile, jde to, pamatujte na to, že cookie lišta je první věc co návštěvník webu uvidí.
Cookie lišta a reklama v podobě remarketingu
Když si tedy návštěvník webu zvolí, že nechce marketingové cookies ukládat a my provozujeme PPC reklamu s remarketingem (oslovujeme návštěvníky našeho webu následně po odchodu, nějaký čas napříč internetem pomocí naší reklamy), tak by měl web a naše reklamy fungovat přesně podle návštěvníkova rozhodnutí, když na našem webu byl a nějak se rozhodl nebo nerozhodl. Nesmí se tedy stát, že návštěvníkovi, který neudělí souhlas s marketingovými cookies, po odchodu z webových stránek, následně měsíc budeme nabízet skrze celý internet naši reklamu na naše produkty nebo sužby. A také se to nesmí stát v případě, že návštěvník lištu s cookies ignoroval. Tady toto rozhodnutí nebo i jen ignoraci návštěvníků s cookies, spousta webů stále nerespektuje.
Stránka „O cookies“
Stránka o cookies by měla informovat návštěvníka již hodně podrobně jaké soubory cookie na webu používáme, vysvětlit detailně co tyto cookies znamenají a jaký mají dopad na návštěvníka, pokud nám tyto dané cookies odsouhlasí.
Stránka „Zásady ochrany osobních údajů“
Stránka Zásady ochrany osobních údajů se stará o informativní povinnost návštěvníka, kdy ho seznámíme s tím, jaké osobní údaje o něm zpracováváme, jak s nimi nakládáme, komu je předáváme, kdo k nim má přístup a jak dlouho je evidujeme. Jako vlastníci webu bychom měli se získanými osobními údaji, dle sepsaných informací a pravidel také nakládat. Důležité je také informovat návštěvníka webu o tom, že si svá data mohou od nás kdykoli vyžádat a nechat je případně vymazat.
Rozdíl mezi souhlasem se zpracováním osobních údajů vs souhlas s cookies
Souhlas s cookies nám dává povolení sbírat a nakládat s osobními údaji. Cookies pracují např. s IP adresou, která dokáže identifikovat uživatele, proto IP adresa je osobním údajem. Cookies nám tedy předávají osobní údaje. Nakládání s nimi je proto zpracování osobních údajů a to podléhá GDPR. Souhlas se zpracováním cookies je nutný vždy. Jedinou výjimku mají nezbytné cookies pro provoz webu.
Cookies se jednoduše uloží k návštěvníkovi webu na jeho zařízení, sbírají o návštěvníkovi data a někam je předávají. Cookies spadají pod GDPR, protože když sbíráme data o uživatelích, tak bychom se k nim měli patřičně nějak chovat, nakládat s nimi právě podle GDPR. GDPR upravuje i jaká data můžeme sbírat pomocí cookies, platí, že bychom neměli sbírat data o uživatelích dokud nám k tomu nedají jasný nevynucený souhlas a nebo ještě případně na základě oprávněného zájmu či plnění smlouvy.
Musí být na hlavní cookie liště kromě tlačítka „souhlasit se vším“ také tlačítko „odmítnout vše“?
Spíše než “odmítnout vše” doporučuji tlačítko “pouze nezbytné”, protože vlastně ani nelze odmítnout všechny cookies, např. funkční/technické/základní cookies mohou být povoleny vždy i bez souhlasu, ale zase by to mělo být v případě, že na liště máte i křížek pro zavření lišty, protože zákon říká, že by lišta měla jít snadným způsobem zavřít. Což lze chápat, jako že by v tomto případě na liště křížek pro zavření bez vyjádření měl být k dispozici.
Když byste měli na liště tlačítka „přijmout vše“ a „pouze nezbytné“ tak by to nemuselo splňovat nařízení, když se nechtějí návštěvníci webu ke cookies vůbec vyjádřit nebo chtějí nějak pouze zavřít lištu, tak zde když budou pokračovat tlačítkem „pouze nezbytné“ tak je to v podstatě to samé jako kdyby lištu zavřeli křížkem. Tento způsob, ale nemusí být jasně pochopitelný pro návštěvníky. A mohlo by se zdát, že vy návštěvníkovi webu v zavření cookie lišty vlastně bráníte, protože mu nabízíte tlačítky „přijmout vše“ a „pouze nezbytné“ jen 2 různé možnosti přijmutí a budete je vlastně nutit do nějaké volby. (Toto je diskutabilní, jedná se o můj názor.)
Když budete mít na liště jen tlačítka „přijmout“ a „odmítnout“ tak tlačítko „odmítnout“ podle mého názoru pokrývá i právě chybějící křížek. Takže v tomto případě si můžete dovolit křížek pro zavření lišty na liště nemít. Opět je to můj názor.
Musí mít tlačítka „přijmout“ „odmítnout“ stejné formátování jako je barva, velikost, tučnost?
Jiná barva pro tlačítka je zcela v pořádku, pokud se budete držet ustálených zvyků. Pozor například na schválně udělané tlačítko „přijmout“ s červenou barvou a tlačítko „odmítnout“ se zelenou barvou, tímto zásadně matete návštěvníky a dle zákona to nebude správné. Takže pokud chcete různé barvy pro tlačítka, tak se držte zažitých věcí, tedy přijmout zeleně a odmítnout červeně. Také není dobré mít tlačítko „přijmout“ výrazně, křiklavě, agresivně a tlačítko „odmítnout“ nevýrazně, aby zapadalo nebo bylo téměř neviditelné, nevymýšlejte žádné podvodné varianty, není to dle zákona správně a vždy si řekněte, zda byste byli schopni si to v případě kontroly obhájit.
Pravidla cookie lišty
- Nesmí být předzaškrtnuté marketingové, statistické, ani preferenční cookies. Povolené mohou být pouze základní/technické/funkční.
- Povolit všechny cookies, ale nebude tam zakázat všechny cookies, stejně snadno jako povolit všechny cookies, by mělo jít i zakázat všechny cookies, ale lze dát tlačítko „pouze nezbytné“ a mít na liště křížek pro zavření, tím vlastně dáváte návštěvníkovi možnost odmítnutí v podobě křížku. (Tlačítko pouze nezbytné dost právníků v jejich vyjádřeních nezakazuje a ba naopak doporučuje).
- Zelená barva křiklavě svítí u povolit, naopak tlačítko zakázat je zašedlé, nevýrazné, nesmí se to, není to dobrovolný souhlas.
- Cookies nesmí překrývat tolik obsah, že se návštěvník webu lišty nemůže zbavit bez souhlasu. Tlačítko pro nesouhlas nebo křížek by tam měl být. Pozor jen link/odkaz někam místo tlačítka nesouhlasu na liště být nesmí.
- Lišta nesmí ani agresivně neustále vyskakovat, mohli byste na návštěvníka vyvíjet nátlak.
- Všechny cookies nesmí být ve funkčních, musí být rozděleny na funkční, analytické, marketingové.