Česká legislativa od 1. ledna 2022 sjednocuje problematiku ochrany osobních údajů s legislativou EU. Ve změti evropských zákonů, směrnic a pozměňovacích návrhů, orientovaných na ochranu soukromí, se českým zákonodárcům podařil zajímavý kousek. Pro majitele webů mimochodem výjimečně pozitivní, ale pouze dočasně. V legislativní normě se totiž zápisem v jediné větě podařilo změnit způsob, jakým uživatelé na internetu odsouhlasují prostřednictvím cookies lišty svá práva týkající se osobních údajů. Zatímco všechny státy EU musí, nebo by alespoň měly, od uživatelů vyžadovat opt-in souhlas, v ČR prozatím platí obrácený princip opt-out. Pojďme si tedy vysvětlit srozumitelně o co jde, a co se po Novém roce změní.
Současná praxe v ČR
- Uživatel přijde poprvé na libovolný web.
- Na webu jsou, mimo obsahu stránky, načteny také sledovací kódy od Google, Facebooku a často i desítek dalších portálů, aplikací a sítí. To vše je uloženo do počítače uživatele ve formě lokálních dat – cookies (toto je důležité pro orientaci ve zbytku článku)
- Současně s tím je v lepším případě zobrazena cookies lišta ve smyslu: „Jestli tu chceš něco kupovat nebo číst, klikni na OK, že tě nějak sledujeme, jestli nesouhlasíš, tak máš stejně smůlu.“ Tedy něco ve smyslu informovaného souhlasu bez koncovky.
Současná praxe ve zbytku EU
- Uživatel přijde poprvé na web
- Mimo kritických cookies (třeba těch nutných pro přihlášení do účtu) se v první chvíli nenačtou žádné sledovací skripty třetích stran. Co se ale načte, je propracovaná cookies lišta, která již neobsahuje pouze 1 větu o sledování a tlačítko OK. Místo toho si můžete prohlédnout, jakým konkrétním službám budou informace o vaší návštěvě poskytnuté. A vy si můžete vybrat, které ze služeb povolíte.
- V závislosti na vašem nastavení (přijmout vše, nebo selektivní výběr) se načtou odpovídající sledovací skripty (například Google ano, Facebok ne, Sklik ano).
Typická cookies lišta může od ledna 2022 vypadat podobně, jako na webu livesport.cz.
Aktivisté nezůstávají pozadu
V Rakousku mají zřejmě ve zvyku pouštět se do všeho po hlavě. Mimo přivazování se k jaderným elektrárnám zde vznikl například projekt NOYB (noyb.eu), který má pravděpodobně za cíl devastovat úředníky, a třeba dojde i na pracovníky ÚOOÚ. V praxi toto uskupení vytvořilo softwarového robota, který prochází stále dokola webové stránky. Pokud robot nalezne nesoulad při načítání cookies s výše uvedeným, upozorní majitele webu. Pokud není do 30 dnů situace vyřešena, automaticky je odeslána stížnost na příslušný úřad. Velká část českých webů nemá aktuálně (listopad 2021) lištu správně nasazenou. Spousta firem zřejmě ani netuší, že podobné legislativní požadavky existují. Čeští úředníci (a jejich mailové schránky) se tedy podle mě mají na co těšit.
První pokusy o řešení a první problémy
Když jsem byl na listopadové konferenci Data Restart, byly tam prezentovány velmi zajímavé analýzy větších firem (Škoda Auto, Agrofert, atd.) a informace o stavu jejich cookies lišt. Reálný stav je takový, že z 20 firem to mělo v pořádku cca pouze 5 z nich. Jedna z nich online svět vůbec neřeší, takže jednoduše vyházela všechna měření z webu pryč. Zbylé firmy se měsíce snažily o nasazení. Do určité doby možná měly cookies lištu v pořádku, ale v průběhu času se začaly objevovat chyby. Například:
- měřící kódy se spouští dříve, než by měly
- namísto cookies je používáno jiné úložiště (storage v prohlížeči, apod.)
- nemožnost odmítnout svůj souhlas
- chybí možnost stornovat předchozí nesouhlas :-)
Firemní bolehlav
Cookies lišta může vypadat snadně, ale fakticky se jedná o multi disciplínu. Zatímco dříve znamenalo přidání nového kódu do webu prosté přidání do Google Tag Manageru, dnes to znamená, že by takový kód měl splňovat řadu podmínek:
- měl by být implementován na webu v cookies liště
- podle typu souhlasu uživatele se s informacemi musí pracovat dále – taková informace musí být uložena jako důkaz, že uživatel souhlas dal (IP adresa, čas, prohlížeč)
- na základě rozhodnutí uživatele musí být upraven kód Tag Manageru
- a cookies lišta musí být upravena tak, aby uživatel, který k nové značce nedal souhlas (například dal souhlas jen na menší množství reklamních cookies), měl lištu znovu k dispozici na „přesouhlas„
- to vše se musí zkoušet a testovat na všechny výše uvedené stavy
Firmy, které nařízení 100% dodrží tedy garantují, že neudělá žádnou chybu právník, grafik, vývojář, nebo marketingový specialista. Odměnou bude propad dat v měřících systémech cca o 20 – 80 %. V závislosti na tom, jak například sedne uživatelům webu grafika UX cookies lišty, nebo třeba podle vztahu uživatelů k webu. A toto by měl mít od 1. ledna 2022 nastavený každý majitel webu bez ohledu na to, jestli se jedná o mini firmu s pár návštěvami denně, nebo o e-shop s 2000 zaměstnanci.
Jak se k tomu staví BIG Tech?
Ochrana soukromí se v drtivé většině snaží zabránit zneužívání dat, omezit agresivní business modely. Na nich někdy staví i současní velikáni online světa – Google, Facebook, Microsoft a další. Upřímně řečeno oni jsou jedním z důvodů, proč podobné ochranářské aktivity vznikly. Jejich byznys a ceny akcií jsou přímo ovlivněny tím, kolik detailních informací o uživatelích dokáží nasát. A jak je následně dokáží přes své reklamní plochy rozprodat. Jak draze díky vysoké míře zacílení (díky získaným datům). Právě u takových firem pracují špičkoví právníci, technologové, programátoři a stratégové. Zřejmě se nebudete divit, když oznámím že svoje řešení už našli.
Ekosystém Googlu s ochranou soukromí počítá. Jednoduše řečeno počítá s tím, že majitelé webů nebudou schopni změřit všechny uživatele a tak jim data dopočítá… umělá inteligence. Myslím si, že absence cookies už Google příliš nestresuje. V praxi to bude znamenat to, že pokud dokážete získat souhlasy od 70 % uživatelů, Google vám dodá metriky za celých 100 %. Těch 30 % informací dopočítají systémy Googlu. Fakticky „dopočítá“, kolik prodejů na webu máte, aniž by měl data o prodeji. Podle prvotních informací je prý přesnost a efektivita na cca 99 % proti reálným výsledků. Nezapomínejme na to, že Google vlastní Chrome. V něm je drtivá většina uživatelů přihlášena. Mimochodem, slyšel již někdo informace o tom, kolik statistických, samozřejmě „anonymních“ dat posílá Chrome na své servery?
Když váš prohlížeč používá 70 % lidí na světě, nemáte s cílením reklamy stejně problém
Dalším řešením od Googlu je tzv. Consent Mode – režim souhlasu. Zde Google využívá dominance na poli marketingových nástrojů, konkrétně Tag Manager. Ve zkratce to znamená, že i když uživatel nedá souhlas k umisťování cookies na svůj počítač, tak Google přesto dokáže alespoň část informací o uživateli zachytit. Konkrétně se tak díky Consent modu neztratí informace o výkonnosti na úrovni kampaní, nebo počet uživatelů ze země / kraje. Uvidíme, zda budou méně přesná data cestou i pro ostatní účastníky ekosystému, a zda využijí Tag Manager pro sledování uživatelů tak nějak na půl plynu.
Facebook byl na podobnou situaci zřejmě lépe připraven. Dostal totiž už dříve těžkou ránu tím, že mu Apple v aplikacích zablokovat cookies. Nejbonitnější skupina uživatelů najednou v reklamním cílení Facebooku začínala drsně ztrácet. Ale i ve Facebooku pracují chytří lidé. :-) Proto vznikl koncept Facebook Conversions API. O co jde? Jednoduše o to, že zatímco si dříve systémy Facebooku vytahovaly informace o uživateli ve 100 % skrze prohlížeč, Conversions API funguje na bázi výměny dat mezi webem a interními servery Facebooku. Javascriptové knihovny, které potřebujete k zobrazení například LIKE tlačítka z Facebooku, slouží pouze pro základní identifikaci uživatele (IP adresa, prohlížeč, načtená stránka). Ta pravá zábava se ale odehrává až následně ve vnitřní komunikaci se servery Facebooku (tato komunikace je ovšem před veřejností kompletně skrytá).
Co je výsledkem?
- firma, která s Facebookem úzce spolupracuje, mu nyní může posílat násobně víc informací (telefon, email, vaše objednávky či prokliky na tlačítka)
- Facebook si touto metodou nakonec dokáže zacílit i uživatele, kteří používají blokátory reklam (adBlock, apod.)
- z prohlížeče se nedá touto metodou absolutně vyčíst, jaké informace o vás Facebook nově sbírá
- nepotřebuje cookies, protože si většinu uživatelů jednoduše zpětně spáruje podle toho, co na webu dělají
Výsledkem konkrétně u Facebooku je, že zákon pro ochranu osobních údajů způsobil, že místo dílčích informací o 70 % uživatelů, bude nyní vědět úplně vše o 99.7 % uživatelů (taková je údajně úspěšnost Facebooku při zpětném párování uživatele s jeho aktivitou na vašem webu). Samozřejmě, pokud obě strany chtějí. Zdroj: Facebook Cookieless future
Facebook nabízí integraci na Conversions API poměrně jednoduše – ale to řeší pouze odesílání dat Facebooku. Celý proces okolo (dalších 90 %) musí zajistit majitel webu svépomocí.
Jak to budou řešit ostatní?
To zatím nevíme. Pokud ale budou všechny weby dodržovat všechna pravidla a dopracují se k řešení bez chyb, tak odhaduji, že menší / lokální reklamní sítě zaměřené například na remarketing rázem přijdou o vyšší desítky procent tržeb. To stejné bude čekat druhou stranu v podobě webů žijících z reklamy. Díky horšímu cílení poklesnou výnosy z reklamy a pro některé projekty to může být i likvidační. Samozřejmě se v naší kotlince najde hned několik řešení, ale abychom aktivně nikoho nenaváděli, necháme se prozatím ještě, stejně jako vy, překvapit nezničitelnou českou kreativitou.
Jak to budou řešit uživatelé?
Odhaduji, že stejně jako dosud. Ti, kdo nechtějí být sledováni, moc dobře vědí, jaké praktiky Google a spol. používají. Znají bezpečně adBlock a používají jej, ortodoxnější ochránci svých práv používají vyhledávače DuckDuckGo nebo raději svěří své údaje Seznamu, hledají na Bingu, nebo ve Zlatých stránkách. Ti, kdo neřeší, že na ně Facebook sbírá data, budou dál odklikávat otravným tlačítkem OK lištu, na které ani nevědí, co odklikávají. Pak tu bude skupinka lidí, kteří před přečtením článku na novém webu rádi stráví 10 minut čtením a nastavováním svého soukromí. A ti ostatní budou netrpělivě čekat, jestli se tato ne příliš povedená implementace ochrany soukromí jednoho dne sloučí do něčeho použitelného a funkčního pro všechny strany.
Co znamená změna legislativy pro vaši firmu?
Abyste měli web v pořádku, měli byste se minimálně zajímat o výše uvedené téma a být informačně v obraze. Uvědomit si na úrovní základních principů, že údržba webu a správného nastavení politiky cookies vyžaduje občasnou péči. Druhou zásadní věcí je, že reklamní giganti si našli cesty, jak sbírat ještě více informací o svých uživatelích s tím, že odpovědnost za data, kterými budete krmit jejich reklamní systémy (a něco na tom vyděláte) nesete nyní vy. V důsledku má tento zákon týkající se kšeftování s osobními údaji stejně nesmyslný efekt, jako daň pro internetové firmy. Odnesou to buď malé firmy, nebo přímo koncoví uživatelé. Firmy, proti kterým bylo opatření mířené, na tom stejně zase vydělají. Rozhodnutí, jak cookies lištu upravit, ale není prozatím sjednocené technicky, ani právně, a tak je to nyní na vlastním rozhodnutím každé firmy.
Pokud chcete na svém webu implementovat novou cookies lištu, měli byste postupovat následovně:
- zpracovat si analýzu, ve které zjistíte všechny služby / cookies, které na vašem webu používáte (a k jakému účelu)
- tyto služby rozdělit do skupin dle důležitosti – kritické cookies (přihlášení do systému atp.) nemusíte řešit vůbec, ty jsou „legální“. Zbytek cookies je třeba rozdělit do skupin, která řeší pouze analytiku (Google Analytics, různé UX služby zlepšující například vyhledávání nebo personalizaci webu) a reklamní cookies (obvykle zbytek)
- a poté na tyto služby ve srozumitelné podobě vytvořit novou podobu cookies lišty, kde si uživatel bude moci vybrat, co na vašem webu nechce mít zapnuté
- jakmile budou tyto změny dokončené na webu, v závislosti na tom co uživatel „zakliká“, je nutné vše zohlednit například v Google Tag Manageru tak, aby se uživateli zapnuly pouze skripty, které si vyžádal
- a nad tím vším je vhodné čas od času udělat zevrubnou analýzu, zda vše chodí jak má – neboť se mění nejen reklamní systémy, ale také webové stránky a v současné době i samotné GTM
Časový odhad na takovou operaci se nedá jednoduše určit, nicméně je nutné, vč. otestování, počítat rozhodně s implementací spíše v řádu dní než hodin.
Jaký je budoucí výhled?
Je evidentní, že nebylo úplně domyšleno, co v praxi takto detailní výklad zákona o ochraně osobních údajů způsobuje z hlediska časové náročnosti implementací. Kdo to má zaplatit a kde se na to v masovém měřítku vůbec najdou vývojářské kapacity. Pravdou je, že tato směrnice měla v ČR platit již dávno, ale tou druhou pravdou je, že pokud se například podíváme do striktního Německa, tak tam i po letech u podstatné části webů nalezneme „menší“ problémy s implementací. Prakticky se nyní jedná o to, že v ČR by měly stovky tisíc firem pracovat nad souhlasy pro víceméně notoricky známé a stále stejné subjekty, které pracují s daty uživatelů a vydělávají na nich nejvíce. Výsledkem budou stovky tisíc okopírovaných cookie lišt. Miliony hodin práce a otravného klikání.
Přitom se nabízí velmi elegantní řešení v podobě nastavení v rámci prohlížečů. Tam by si uživatel mohl sám naklikat, komu chce svá uživatelská data sdílet. A takové řešení, jednou vytvořené a spravované, by nemuselo tolik trpět chybami. Což by v době, kdy jen v ČR chybí desítky tisíc IT specialistů, nebylo vůbec od věci. Věřím, že na něco takového bude myslet připravovaná novela ePrivacy (ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích). Nařízení by mělo být nadřazeno současnému zákonu. Do té doby je to na vás, jak s tím naložíte. Upřímně mi situace trochu připomíná nedávné vzrušení kolem GDPR.
Je na tom alespoň něco pozitivního?
Pro internetové firmy se jedná o citelný posun na poli marketingu a souvisejících technologií. Pokud pomineme možnost uživatelů rozhodovat a kontrolovat (stále jen částečně) své soukromí, může být pozitivní související změnou právě možná implementace Facebook Conversions API. Případně nastupující Server-Side Google Tag Manager . Dost možná se totiž zrychlí internet. Teoreticky se totiž namísto desítek reklamních cookies a kódů, které musíte na svém draze placeném mobilním připojení stahovat, načte jen část kódů potřebných pro načtení základních knihoven. O distribuci informací o uživatelích se už postarají servery mezi sebou. Jestli je to dobře… to nechám na vašem posouzení.