Ve středu 15. 9. 2021 poslanecká sněmovna přehlasovala senát a schválila novelu zákona o elektronických komunikacích. Znamená to, že od 1.1. 2022 bude možné ukládat cookies pouze se souhlasem návštěvníků webu. Tato změna je zásahem do digitálního marketingu a pravděpodobně vzbudí podobnou vlnu pozornosti jako GDPR. Co to znamená pro personalizaci reklam, nebo digitální a e-mail marketing? O tom si v podcastu Ze života e-mailu povídá Ondřej Ratajský s advokátem Josefem Bátrlou.
Díky za přijetí pozvání do podcastu ze života e-mailu. Pojďme si na začátek říct, co to vlastně jsou cookies?
Skvělá otázka na začátek. Cookies je označení pro nějaký krátký textový soubor, který se při návštěvě webové stránky ukládá do našeho zařízení – prohlížeče. Jsou tu unikátní data, která umožňují těm, kdo je ukládá, data číst, zapamatovat si je a dál zpracovávat. Zákon vůbec nemluví o cookies – jen o datech. Název cookies se zažil i pro ostatní technologie jako jsou pixely a cokoliv, co se dnes v digitálním marketingu u stránek používá.
Jak to celé funguje?
Přijdeš na stránky a s trochou štěstí uvidíš informaci o tom, že se nějaké soubory cookies ukládají. Proces velmi zjednoduším: navštívíš stránky, někam klikáš, uloží se cookies. Cookies umožní provozovateli webu si o tobě něco zapamatovat. Většinou si o tobě zapamatuje něco, co je velmi nezbytné, tedy jak ti nastavit to, abys tu službu (webovou stránku) viděl, a neměl ji ve špatném rozlišení. Tato cookies můžeme brát jako technická.
Pak jsou další cookies. Opět velmi zjednodušeně: zapamatují si například, že mluvíš česky. Když ty stránky navštívíš znova, pamatují si tě a přeskočí mezikrok, kde by se tě ptali na jazyk.
Poslední typ jsou remarketingové, marketingové a analytické cookies – zapamatují si, že jsi přišel na nějakou stránku, zjistí, odkud jsi přišel, pospojují si informace o tom, kdo vlastně jsi a na základě toho ti zobrazují reklamu. Navštívíš e-shop, prohlídneš si zboží, navštívíš jinou stránku a reklama na zboží, které sis prohlížel, se ti tam ukáže.
Je to mechanismus, skrz který si o tobě správce stránky ukládá informace. Dál je zpracovává tak, aby ti byl schopný nabídnout z jeho strany co nejlepší obsah. Když už tě na stránky dostane, má zájem, aby ti zůstaly v srdci co nejdéle a aby ti zobrazil reklamu i jinde.
Abychom se mohli bavit o tom, co se řešilo, řekněme si, jak to bylo doposud a co se změnilo datem 15. 9. 2021.
Do jisté míry, s trochou nadsázky, může mít tento zlom podobný význam jako GDPR. Opět přišlo něco, co zásadně zasahuje do fungování a businessu, ale není to něco, z čeho bychom měli být překvapení – ani u GDPR to zas tak nové nebylo.
Příběh je velice podobný, tak jako GDPR nahrazovalo tehdejší směrnici, aktuálně máme směrnici ePrivacy – řeší ochranu soukromí uživatelů, koncových zařízení apod. Vysvětlíme si rozdíl mezi nařízením a směrnicí. Nařízení má přímou aplikaci a nemusíme čekat na to, až český zákonodárce přepíše zákon. U směrnice to potřeba je. Stalo se to, že přišla směrnice, ta se novelizovala a každý členský stát měl implementovat ustanovení, která se týkala nejen ukládání cookies. Českému zákonodárci se to až tak nepodařilo, novelizovaná směrnice říkala, že ukládat cookies kromě nezbytně technických, lze jen na základě souhlasu. Český zákonodárce to zavedl úplně naopak – zavedl opt-out. Ten spočívá v tom, že lze cookies ukládat a teprve potom umožníme návštěvníkovi, aby se seznámil s informacemi a umožníme mu odvolání souhlasu.
To je o 180 stupňů jiná právní úprava než měly okolní členské státy. O tomto problému víme hodně dlouho. Upozorňovala na to akademická sféra, praxe, sám Úřad pro ochranu osobních údajů. Až teď se dostáváme na nějaký krok 0, kdy zní zákon poprvé po dlouhých letech tak, jak měl znít od momentu novelizace směrnice. Dostáváme se na úroveň členských států, kteří se už nějakou dobu vyhřívají na pláži, kam my jsme teprve odcestovali. To je celé jádro problému a dění.
Přijde mi zajímavé, že v EU už je to standard a pro ČR novinka. Celá tahle novela ale není úplně nová, v zásadě jsme si z toho dočasně udělali něco, co je přijatelné a teď přišel moment, kdy se dostáváme na EU standard.
Zcela správně, tyhle prázdniny by dřív nebo později skončily z toho důvodu, že se počítá s nazrazením směrnice ePrivacy. Standard bude zachován, ať už by to český zákonodárce napravil, nebo nikoliv, stejně by to přišlo.
Průměrný uživatel internetu zabrousí na stránky a setká se s tím, že na něj vyskakují lišty, které dřív neviděl, možnosti, které dřív neviděl. Najednou si může vybírat komu svěří cookies, jestli je může použít ten nebo onen smluvní partner. Najednou zjistí, že tam je seznam 200 společností, kterým to správce může nebo nemusí sdílet. Na zahraničních stránkách je to běžná praxe.
Proč jsme odložili implementaci a udělali si tyto „prázdniny“?
Nemyslím si, že by to byl čistý vzdor. Evropský kontext je zajímavý bod – český zákon kladl menší standard než tamní zákon. Poskytovatelé jako je třeba Google, dodržovali standard vyšší a mnoho českých správců webu si neuvědomovalo, že tím, že souhlas nesbírají, mohou porušovat i smluvní podmínky poskytovatele řešení. Poznatek z praxe byl často takový, že existuje spousta odvážných lidí, kteří se snažili v tom marastu nějak zorientovat a udělat to tak, aby to všechno dávalo smysl. Ale klienti měli pocit, že by byli papežštější než papež a je nutno jim dát za pravdu, protože úřad se skutečně vyslovil tak, že tuto část posuzovat zatím nemůže, protože je český zákon v rozporu se směrnicí, takže to lidé mohli brát jako bianco šek.
Co se tedy změní? Řekl jsi, že to bude opt-in. Co to v praxi znamená?
Představte si internetové stránky, na které přijdete z Googlu. Ty stránky se vám líbí, chtěli byste si něco koupit, přečíst, je to jedno. Většinou člověk čeká, že dole vyskočí lišta a mnohdy, ve většině případů, před účinností novely, je tam informace typu: tento web používá cookies, další informace naleznete zde. To bylo všechno, nebo tam přinejlepším bylo tlačítko odvolat souhlas.
Od 1.1. 2022 přijdete na stránky a kdybyste se podívali do prohlížeče, neměly by se uložit žádné soubory cookies kromě technických, nezbytných cookies. Ty ostatní cookies by se měly uložit až v tom případě, kdy my s tím dáme aktivní souhlas. Můžeme si to představit tak, že vyskočí lišta a ta se zeptá, jestli chceme udělit souhlas s tím, že naše data budou použita za nějakými analytickými nebo remarketingovými účely.
Souhlas by měl mít parametry GDPR: neměl by být předškrtnutý, měl by být informovaný (veškeré informace o tom, komu se budou předávat, jaké máme spojená práva) a až na základě toho, že se rozhodneme jestli souhlas dáme nebo nedáme, měly by být poskytnuty cookies. Takže to je pohled uživatele.
Pohled provozovatele webu, správce jako takového je o něco pesimističtější, protože má svůj web, rád by věděl, kdo web navštěvuje, rád by s návštěvníky dál komunikoval přes reklamní systémy a reálně dokud subjekt – návštěvník nedá souhlas, má celé tohle zamezeno. Takže si dokážeme představit, jaké budou asi konverze – malé, nízké. Ale věřím tomu, že máte zkušenosti nebo posluchači, že jdou na zahraniční web a něco takového na ně vyskočí. Ta hlavní změna je to, že celý ten stroj můžeme spouštět v okamžiku, kdy nám člověk dá souhlas.
V business rovině jde o zvolení toho nejlepšího a legálního řešení. Není to doménou jen českých podnikatelů, i v zahraničí byla snaha motivovat = donutit, aby souhlas dali. Vyvinula se nějaká bad practice, která je rozebíraná jako špatná.
Než se začneme bavit o tom, jak by to mělo být správně, jaké jsou ty špatné zkušenosti ze světa?
V zásadě jsou to ty stejné příklady, se kterými se setkáváme v různých proměnách. Kdo si implementoval GDPR, ví, co je špatně. Nešvarem je předškrtnutý souhlas.
Druhý způsob, ke kterému se vyjadřoval i evropský sbor pro ochranu OÚ, je cookie wall – přijdeš na stránky a ty tě zahltí velkou tabulkou s cookies. V nejhorším případě tě to vůbec nepustí na stránky. To se týká podmíněnosti, s čímž jsme se potkávali s příchodem GDPR. Souhlas by podmíněný být neměl. Ve chvíli, kdy je, není svobodný. Když si budu chtít přečíst článek nebo cokoli a nebudu k obsahu připuštěn před dáním souhlasu – je to velmi kritizováno a stejně se s tím člověk potkává.
Třetí nejobvyklejší nešvar, někteří správci řeší informování – nedostatečné poskytnutí informací o tom, jaké cookies nebo jaká technologie, komu se to bude sdílet, jaké jsou účely, po jakou dobu se to bude sdílet.
A jak by to tedy správně mělo vypadat?
První je potřeba zjistit, jaké cookies já jako správce webu používám. Často se potkávám se provozovateli e-shopů, stránek, kteří vůbec neví, že se nějaké cookies ukládají a nikdy to moc neřešili.
S touto informací je nejlogičtější začít od spisu informační povinnosti – člověk si utřídí myšlenky a řekne si, toto je ta technická cookies a můžu ji tam mít, pak budu zjišťovat, jaké účely tam mám a komu se to předává. Je potřeba říct ještě jednu věc, je potřeba si dát pozor na to, jakým způsobem se předávají odkud poskytovatel je a kam se ta data předávají. Pořád je dost problematické když se data předávají mimo Evropskou Unii.
Posledním bodem je technické řešení. Měli bychom implementovat nástroj. Nejlepší je googlit pod pojmem “consent management”. Existuje na to mnoho placených funkcí, které umožňují udělat auditu, v podstatě to celé zautomatizují a navrhnou informační dokumentaci.
Na to je potřeba dát si pozor, ne vždy má obsahově dobrou kvalitu. Je potřeba zkontrolovat, aby dokumentace obsahovala vše, co musí, a to do určité míry podrobnosti. Když to nebudete mít v pořádku, souhlas nebudete mít udělen platně. V rámci služby se vytvoří cookie lišta. Návštěvník si to může proklikat a vybrat si pro jaké účely chce cookies ukládat a pro které ne.
Chápu správně, že tím pádem nemůžou mít všichni stejnou informační povinnost – všichni nemůžou mít stejný text?
Mnohdy ne, protože každý dělá marketing jinak. Někdo posílá obyčejné newslettery na všechny bez ohledu na to, jestli zákazník nakoupil nebo ne. Jiný si to vyfiltruje podle zboží, které má. Dovedeme si to asi představit. U cookies si myslím, že tam určitá podobnost bude, nicméně každý používá trochu jinou službu, každý ve službě používá jiné nastavení. Někdy jde v rámci nastavení poskytovatelů dostat agregované data a lze předpokládat, že ve vztahu k informační povinnosti to bude trochu něco jiného.
Někdo má marketing tak strašně rozvinutý. Přijdete na web, kliknete na půjčku, odejdete a za 3 dny vám někdo volá a říká: “jak jste na tom teď s penězi – nepotřebujete náhodou půjčku?” Poskytnutí informací bude muset zohlednit všechny operace, které tam probíhají. Nemyslím si, že by informační povinnosti budou každá jiná, bude to set, ale ďábel je v detailu, je potřeba si ho hlídat.
My se věnujeme e-mail marketingu – jaký vliv má tato novela na e-mail marketing a e-mail jako takový?
Právně bych řekl, že pravděpodobně žádný, ale v důsledcích se to dost projeví. Dneska některé nástroje už jsou takové sofistikovanější. Často dokážou data párovat a spolupracovat s tím, takže bude potřeba si na to sednout. To je jeden efekt.
Druhý efekt, který to předpokládám, je ten, že novela je zásahem do digitálního marketingu obecně. V momentě, kdy se ze tří kohoutků přiškrtí dva, předpokládám, že voda poteče třetím. Asi se zvýší počet e-mailů, to je spíš otázka na tebe, předpokládám, že čím víc se zvýší množství e-mailů, tím se zvýší množství stížností, podnětů a přelije se to sem. Je to ale jen můj odhad.
První zděšení bude nejspíš takové, že klienti, kteří chodí za agenturami budou dost přemýšlet nad tím, jestli budou dál navolávat a jestli to je ten prodejní kanál, kterým by se měli dát zabývat. Zároveň budou řešit segment remarketingu – jestli se tam do toho vyplatí cpát peníze, když přinese malé prokliky a konverze. To je můj neprávní názor.
Právní názor – lze předpokládat, že úřad se na tu novelu těšil, zaznívalo dlouho, že stav je potřeba napravit. Když už víme, že objektivně nemohli nikoho pokutovat, protože jsou v rozporu se směrnicí, tak věřím, že dneska od 1.1. 2022 to bude trochu jinak. Na konci dne správcům a e-shopařům přibydou ke starostem se správností obchodních podmínek a zpracováním ještě cookies.
Poslední věc – u chytré e-mailové automatizace se používá pokročilejší web tracking, je to věc, která by se měla ošetřit?
Jsem přesvědčený, že ano. Ten digitální marketing, o kterém mluvíme, takové rány dostává celosvětově dlouhodobě. Mnoho posluchačů bude vědět podrobnosti toho, když se apple rozhodl zakázat cookies 3. stran – dokud to ten subjekt údajů nepovolí. Sám zvolil opt-in pro cookies 3. stran. Samozřejmě se k tomu připojila spousta prohlížečů, děje se to tak dlouho – Mozilla to má defaultně tak, že se cookies neukládají.
Na druhou stranu pokaždé, co přijde legislativa, která něco zakazuje, o to víc se zkoumá a vyvíjí nástroje, které se snaží ten digitální marketing zase oživit. V rámci cookies, beakers, pixels vznikly následně fingerprints – podle nastavení prohlížeče. Technologie půjde dál a bude se řešit víc kontextuální reklama.
Za mě pozitivní věc je ta, že se čistě v e-mail marketingu v rozesílce e-mailů, pokud jsem dodnes držel GDPR a mám kontakty v databázi skrze double opt-in, nic nemění.
E-mail marketing má pravidla na opt-in a když nepočítáme zákaznickou výjimku, má to tak nějaký pátek. Může se stát, že s nařízením ePrivacy, pocítíme nějakou změnu, která by mohla zasáhnout i e-mail marketing, ale to je hudba vzdálené budoucnosti.
Zajímá vás, o čem jsme se bavili dál? Poslechněte si podcast.
