Cookie lišta, verze 2022

Cookie lišta, verze 2022

Už to došlo i do Česka. Od ledna 2022 bude nutné od uživatelů žádat souhlas s ukládáním personalizačních a analytických cookies do jejich prohlížečů.

Stačí když na webu máte základní analytiku, např. Google Analytics, a od konce roku máte povinnost před uložením cookies (nebo do jakéhokoliv úložiště v prohlížeči) žádat souhlas pomocí takzvané cookie lišty. Pokud tedy Analytics nezakážete ukládat cookies.

Pravděpodobně jste to už řešili, pravděpodobně to už máte vyřešené. Pokud spravujete velké weby, tím spíše. Já spravuju jen Vzhůru dolů a pár malinkých webů, takže jsem to nechával na poslední chvíli. Neměl jsem to dělat.

Text budu tedy spíše cílit na majitele menších webů nebo ty, kteří zatím neměli potřebu to řešit. Dole v textu odkazuji na všemožné zdroje, takže to můžete dostudovat. V textu základy řešit nebudu, spíše otevřu témata, která mě zaujala a jinde jsem je nenašel.

Předem říkám, že se v téhle oblasti nepovažuji za odborníka – pokud se webařinou živíte, nasazení na weby konzultujte s advokáty (já využívám Dostupného advokáta), experty na UX a marketing.

Můj pohled je víceméně pohledem „hobbíka“, člověka, který spravuje pár webů, ale denodenní vývojařinou se neživí.

Než se do toho pustíme, velmi rád bych zde nejprve ventiloval svůj celkový osobní dojem. On se totiž za poslední týdny dost významně změnil.

Uživatelé platí soukromím za to, že my šetříme čas a peníze

Ještě před měsícem jsem nechápal, proč bychom měli už i v Česku na všechny weby nasazovat cookie lištu.

GDPR už máme vyřešené a od roku 2015 nějak i v Česku řešíme „EU cookies“. Vždyť přece stačí, že uživatele informujeme…

Čím více to studuji, tím více dávám za pravdu zákonné úpravě, která bude platit od ledna.

Jasně, forma je fakt nešťastná. Cookie lišta je zlo. Cookie lišta je zlo pro uživatele i provozovatele, takže se těším se na normu ePrivacy, která to přesune do nastavení prohlížeče.

To soukromí ale fakt musíme řešit.

Nepoužívat a nešmírovat. Za analytické nástroje nechat platit toho, kdo data měří a nenechávat to na ceně uživatelského soukromí lidí, kteří ani nevědí co schvalují.

— Honza ChemiX Černý na Twitteru

Představte si situaci že přijdete do obchoďáku a u vchodu vám bez ptaní dají do kapsy krabičku, která bude ukládat vaši polohu – jaké obchody jste navštívili, co jste tam dělali. Dají vám ji s úsměvem a s tím, že příště ta data použijí pro zlepšení vašeho nákupního prožitku. A že je možné, že ta data někomu prodají. Pro vaše dobro.

Líbilo by se vám to? Mně ne. Ale na webu je to úplně běžné:

• Přijdete, dostanete cookie od Google Analytics, která sleduje váš pohyb webem.
• Pokud je na webu vložené YouTube video, cookie se ukládá nejen pro úpravu obsahu a reklamy nejen na navštíveném webu, ale také na YouTube a také na jiných webech.
• Taková komentářová služba Disqus se s tím už vůbec nemaže. V Cookie Policy přiznává jen zlomek cookies, které reálně ukládá, a rovnou říká, že data vašich uživatelů posílá i dalším stranám.

To všechno proto, že na webech mocně využíváme služby třetích stran. Zvykli jsme si na to. Šetří nám to jako vývojářům a marketérům čas a peníze. Jenže nic jako komponenta třetí strany zdarma neexistuje. I ty placené mají daleko větší cenu než si myslíme.

Za náš ušetřený čas a peníze platí uživatelé svým soukromím. Jejich data, informace o pohybu našim webem využíváme nejen my, ale i úplně cizí firmy.

Můj postoj je silně ovlivněný studiem třetích stran, které jsem dosud běžně používal zde na Vzhůru dolů a které pravděpodobně používáte taky – Google Analytics a vkládaný obsah od YouTube, Twitteru, Facebooku… Je to prostě o dost horší, než jsem si myslel.

Takže – pojďme to soukromí řešit. Pojďme to řešit bez paniky a nadávání na zákon nebo EU. Pojďme vzít ty (formálně špatné) cookie lišty jako příležitost se něco naučit a zlepšit web jako celek.

Jednou třeba lišty dáme pryč a zůstanou nám, doufám, weby, které více dbají na soukromí lidí. Neprodávají jejich duši, aniž by to jako návštěvníci věděli.

Teď už se pustím do praktických rad, co s tím dělat na malém webu. Dávám sem svůj stav mysli. Ten rád změním, když mě na to upozorníte v komentářích.

Nutné základy

Nejprve pár textů a videí, které se vám mohou hodit při studiu:

• Právní pohled: Lupa.cz, od Petry Dolejšové nebo Dostupného advokáta.
• Marketingový pohled: House of Řezáč.
• UX pohled: Ondřej Ilinčev.
• Můj pohled k rychlosti webu na PageSpeed.cz. (To jediné, čemu doopravdy rozumím.)
• Komplexní webinář organizovaný Pavlem Ungrem.
• Diskuze o cookies u Frontendistů. (Martin Kopta a Honza Chemix Černý tam velmi hezky argumentují z pohledu soukromí uživatele.)

Než budeme pokračovat, musím dodat pár úplných základů. Jen pár.

Které cookies jsou nově se souhlasem a jak zjistím, že je na webu mám?

Tohle jste už asi četli stokrát, ale pro jistotu to opakuju.

Pravděpodobně na webu používáte cookies nutné např. pro přihlášení nebo uložení nastavení jazyka (funkční cookies). Touto kategorií se vůbec trápit nemusíte, dále je možné je bez souhlasu používat.

Dejte si pozor na tyto typy cookies:

• reklamní
• analytické
• personalizační

K těmto potřebujete od 1. ledna souhlas.

Nástroje, které pomáhají odhalit, které cookies na webu potřebujete:

• CookieBot.com
• CookieServe.com

Nejdříve dobrá zpráva – analyzovat těmito nástroje je jednoduché.

A teď ta špatná. Ani na Vzhůru dolů, takže strukturou menším webu, mě to nenašlo zdaleka všechny cookies, které bych měl „řešit“.

Navíc jde samozřejmě o statickou analýzu webu, takže např. komponenty načítané líně nebo na akci uživatele, to neodhalí.

Prostě bez zkoumání uložených cookies a čtení „Cookie Policy“ dodavatelů třetích stran se myslím neobejdete.

Zákon praví…

Z jaké změny v zákoně vlastně celý ten humbuk vychází?

Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

— Zákon o elektronických komunikacích (§ 89 Důvěrnost komunikací)

To je vše. Složitě napsané, ale překvapivě krátké, že?

Víte co, pojďme se tedy nejprve zkusit na to celé vykašlat.

„Peču na to“, aneb řešení bez cookie lišty

Cookie lišta je otrava. Ano, to je.

Víte jaká je nejlepší cookie lišta? Žádná!

— Z ohlasů na Twitteru

Pokud máte velký web, řešil bych to, u malinkých asi nemá smysl propadat panice a nutně nasazovat lištu hned po Vánocích.

Jak to riziko chápu já? Postihy za nedodržení zákona samozřejmě budou udělovány, ale úřad ÚOOU, který to řeší by se musel rozkrájet, aby řešil i menší přestupky. Osobně čekám spíše akčnost typu „česká hygiena během pandemie“. U svých malých webů nebudu s cookie lištou zase tak moc spěchat a stresovat.

Advokáti navíc říkají, že vás nejprve úředníci musejí vyzvat k nápravě, takže i kdyby na vás „vlítli“, máte čas to opravit. Pokuty by navíc neměly být likvidační.

Kontrolu provádí @UOOUCR, sankce dává samozřejmě podle uvážení, ale horní hranice je vždycky předpisem limitovaná, navíc nesmí být nepřiměřená a likvidační.

— Petra Dolejšová na Twitteru

Nechci tady ale nabádat k očůrávání zákona. S jeho smyslem souhlasím, svoje weby podle něj upravím. Výše uvedené mi ale dává čas a klid to dát do pořádku, když už jsem to začal řešit pozdě.

Jen pro pořádek – je potřeba odlišit GDPR a nový odstaveček zákona týkajícího se cookie lišty. Píšu tady o tom druhém. Pokuty za porušování GDPR jsou myslím úplně jiná písnička. To by už ale měli mít v pořádku všichni. A dávno.

Jak nemít cookie lištu a zároveň dodržovat zákon?

V prvé fázi jsem u všech svých webů přemýšlel nad tímto nejčistším řešením. U miniaturních webů je to realizovatelné, jen nevím jak tomu bude u Vzhůru dolů.

Pokud potřebujete běžné měření Google Analytics, cookie lištu musíte mít. GA totiž přidávají cookie, kterou měří uživatele napříč webem.

Pokud potřebuji jakoukoliv jinou komponent třetí strany (YouTube a jiné embedy, GTM, chat, pravděpodobně i Google Fonts), pak vysoce pravděpodobně cookie lištu musíte mít.

Touto cestou se vydaly i velké weby jako Github. Když si ale ke dnešku prohlédnete cookies, které vám Github a jimi používané third-parties uloží na stránce tohoto oznámení, vůbec není jisté, zda byli schopní tu proklamovanou čistotu udržet.

Takže – nezajímá vás návštěvnost a chování návštěvníků, nepotřebujete kód třetí strany? Lištu nepotřebujete. Jinak to budete mít složitější.

Lze mít Google Analytics a nemít lištu?

Ano, GA můžeme přepnout do Consent Mode, kdy se neukládá cookie a uživatel není sledován.

Ztratíte ale přehled o počtu shlédnutých stránek na jednu návštěvu a vše související.

Zůstane vám např. ale přehled nejnavštěvovanějších stránek, hrubý přehled o návštěvnosti a případně i konverzích.

Možnosti, jak si ponechat GA a zároveň nemít cookie lištu, tedy plnit zákon, se objevují. Nemám je vyzkoušené, takže bez záruky.

První příklad je naprogramování vlastní vrstvy událostí na Google Analytics:

Přejdi na GA4, použij consent API a bez souhlasu měř bez využití dat ze storage jen pomocí odpalování eventů.

— Martin Kopta na Twitteru

Druhá varianta s počítáním clienId:

clientId neukládáš, nýbrž jej počítáš pro každý request zvlášť. Výhody: nemusíš nic ukládat (a tedy není třeba souhlas). Nevýhody: horší přesnost, může to session více lidí spojit do jedné.

— Jirka Hrazdil na Twitteru

Viz text Disabling Google Analytics Cookies: Advanced Solution.

Taky je možné nepoužívat Google Analytics, že ano? Popularitu teď nabírají alternativní nástroje jako je Matomo nebo Fathom a další. Z toho co jsem z komentářů analytiků, kterým věřím, usoudil… Je to past.

Tyhle nástroje často nepoužívají cookies, to je fajn, ale zároveň uživatele identifikují jinak, nejčastěji kombinací různých faktorů, takže fingerprintingem, což je z pohledu soukromí úplně to samé.

Simple Analytics, další alternativu, údajně bez fingerprintingu, ale bez sledování uživatele napříč webem, mě doporučovali další lidé, jako např. Jan Smitka na Twitteru.

Pokud už alternativy plní požadavky na soukromí, chovají se vlastně podobně jako Google Analytics v Consent Mode. Přičemž GA mají velkou výhodu – jsou de facto průmyslovým standardem.

Zdá se mi, že ani tudy cesta nevede. (Ale samozřejmě budu moc rád za argumenty v komentářích, proč vy si myslíte, že ano.)

Co další komponenty třetích stran?

Musím se přiznat, že právě tahle část analýzy, kterou jsem si dělal pro Vzhůru dolů a další menší webíky, mě přesvědčila, že soukromí na webu je fakt problém. A že dodavatelé komponent třetích stran dělají většinou vše proto, aby to problém zůstal.

Pojďme si projít pár third-parties, které jsem zkoumal.

• Google Fonts: názory se různí. Nějakou personalizaci dělají, ale spíše na základě lokality. Ve FAQ píší, že „no cookies are sent“. Vladimír Smitka ale říká, že „Google fonty sbírají data o koncovém uživateli“ a tak je při přísném výkladu potřeba souhlas. Nebo si fonty stáhnout lokálně.
• Vložení obsahu z Twitteru: Ukládají cookies, personalizační i reklamní, tzn. souhlas by myslím standardně byl potřeba. Je to však možné vypnout a chránit soukromí uživatele, viz nápověda.
• Vložení videa z YouTube: Standardně souhlas potřebujete, ukládají reklamní cookies. Embedy lze servírovat z domény youtube-nocookie.com a cookies se neuloží dokud uživatel video nepustí. Tzn. pak není potřeba souhlas? Nevím. Vladimír Smitka píše, že ta cookieless doména je fejk.
• Facebook embed i Facebook pixel: Ukládají cookie jak diví a nikde jsem nenašel možnost to změnit.
• Komentáře Disqus: Ukládá cookies jak divý, v Cookie Policy přiznává jen část a ještě vesele prohlašuje komu všemu ty údaje cookies nepředává. A to je prosím placená služba! Zde budu muset při pročišťování webu od nepořádných služeb třetí strany začít.

Můj celkový dojem? Pardon, ale asi budu blinkat… Takhle špatné jsem to nečekal. Čest výjimce, čest Twitteru.

Můj seznam je samozřejmě nekompletní, takže pokud jej doplníte v komentářích (zatím Disqus, omlouvám se), budu moc rád.

Hodně se mi líbí řešení, kdy si souhlas k vložení obsahu vkládaném třetími stranami vyžádáte až při najetí na tento obsah. Připravené je to např. v komponentě Iframe Manager.

Celé moje vlákno k problematice third-parties je na Twitteru, pokud by vás to zajímalo doplněné o cenné názory dalších.

Dobře, teď už vím, že s vysokou pravděpodobností budu i na Vzhůru dolů nějakou lištu potřebovat. Jak to ale implementovat?

Řešení souhlasu s Google Tag Managerem

Martin Kolář udělal o tomto jednoduchém řešení pěknou přednášku.

YouTube: youtu.be/KW7lNaLfu9c

Martin ukazuje řešení vhodné právě pro jednoduché weby a vlastní implementaci lišty.

Veškeré komponenty třetích stran je ale nutné vložit právě přes Google Tag Managera:

V GTM se pak nastaví souhlas pro konkrétní kategorii v nastavení kontejneru. Více je v přednášce.

Přes Google Tag Manager je pak možné i nastavit nesouhlas se vším, nechat přes nastavení GTM pak např. Google Analytics běžet v Consent Mode a uživatele netrápit cookie lištou.

Řešení pro cookie lištu třetích stran

Toto jsem zatím neřešil, proto zde využiju možností získaných od kolegů

• CookieConsent: Malý plugin i s ukázkovým kódem od Vladimíra Smitky.
• CookieConsent.com se jmenuje stejně, dělá to podobné věci, ale je to něco jiného.
• Complianz (WordPress): Kolega Dan Střelec mi píše: „V základu je zdarma, nasazení pár hodin hodina práce (podle webu). Pokud potřebujete ukládat souhlasy, je třeba placená verze (39 EUR/rok).

Větší řešení jsou například Cookiebot: V ČR velmi populární. Dan Střelec: „Neplacená verze je pouze do 100 stránek/web, od 500 stránek/web stojí €9/měsíc.“.

Zajímavé srovnání řešení, hlavně pro weby běžící na WordPressu, připravili v eHub.cz.

Větší weby využívají velmi robustní OneTrust (dříve Optanon), Didomi nebo Funding Choices od Google.

Cookie lišta a rychlost webu

Na blogu PageSpeed.cz jsem psal o trablech z pohledu rychlosti webu, které může nasazení cookie lišty způsobit.

Svoje jsme si užili s OneTrust, Didomi i Google Funding Choices. Nicméně vždy jsme nalezli cestu k optimalizaci.

Pravidlo číslo jedna? Načtěte tu lištu co nejdříve:

Mezi vývojáři se rozšířil mýtus, že vykreslení obsahu typu cookie lišty se musí odložit co nejvíce to jde. Nejde přece o hlavní obsah stránky. Jde ale o jednu z velkých chyb, které můžete při implementaci lišt udělat.

Co dál?

Osobně budu pro Vzhůru dolů hledat co nejjednodušší řešení, které mi umožní splnit to, co zákon káže. Je už skoro jisté, že minimálně na nějaký čas zde cookie lišta bude viset.

Po počáteční negaci beru ale celou věc kolem cookies od roku 2022 za velkou příležitost brát oblast soukromí uživatelů našich webů daleko vážněji.