Cookies 2022 – právník vs. designér

V lednu přijdete o data.

Pokud to uděláte špatně, tak o 70–80 %. A když to uděláte dobře, tak o 20–30 %.

Mluvím o novém zákonu o elektronické komunikaci, který bude platit od 1. ledna 2022. Jenže místo toho, aby vás bolela hlava až po Silvestru, bude vás bolet už teď.

V kostce – od ledna potřebujete aktivní souhlas s tím, abyste sledovali, co na vašem webu lidi dělají. Doteď jste jim mohli jen oznámit, že je sledujete a nazdar.

Pohled právníka aneb dobrovolná sebevražda

Já mám Petru Dolejšovou rád. Je chytrá. Ale je právnička :). Logicky se tak na problematiku dívá optikou toho, aby to bylo všechno neprůstřelné. Ale trochu to připomíná brnění, ve kterém se nepohnete, protože váží 40 kg. Myslím brnění, ne Petru.

Doporučení z Petřina posledního článku:

1. Souhlas nesmí být podmínkou pro návštěvu webu! Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“
4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách
7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
8. (Souhlas musí být možné kdykoliv odvolat. – dopsáno z přednášky.)

Schválně jsem to pro lepší představu nakreslil:

Můj pohled UXáka

Vezmu to postupně:

1. Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
   Pokud bude lišta tak decentní, že nebude překážet, tak na ni nikdo neklikne. A já budu mít nula dat. Podmiňovat zobrazení stránky souhlasem s cookies je samozřejmě hovadina.
2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
   Pokud udělá uživatel rozhodnutí, tak mu samozřejmě lištu schovám. Ale pokud ne, tak se ho budu ptát.
3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“.
   Tohle zabije konverze, příliš uživateli usnadňuji akci, kterou nechci, aby udělal. Prolezl jsem pár desítek zahraničních webů, kde už je direktiva EU platná od 2018 a úzus je tlačítko Přijmout vše a odkaz Nastavit. Nicméně určitá opatrnost je na místě, v Evropě už jsou nálezy soudu, které to vyžadují.
4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
   Křížek je totální zabiják souhlasu či nesouhlasu, více anonymních zdrojů reportuje pokles o 25–50 %.
5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
   Tady je to v zahraničí tak půl na půl. Podle mého lidem nejvíc vadí, když je pronásleduje reklama na ostatních webech. Dokážu si přestavit, že analytické a preferenční cookies jsou OK předzaškrtnuté, marketingové bych nechal odškrtnuté. Například německý Amazon vám dává možnost odmítnout pouze (sic!) marketingové cookies, vše ostatní je natvrdo povolené. V tomto se ale rozcházím s právním názorem, který argumentuje opt-inem.
6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách.
   Naopak, mělo by být výrazné, abyste nenutili uživatele přemýšlet. Ale je možné, že stejně (ne)výrazná tlačítka člověka přinutí si je přečíst, než automaticky klikat na to méně dominantní.
7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
   Můžu posílat anonymizovaná data přes gtag v kódu stránky a na základě umělé inteligence to GAčka napárují. Funguje to ale – pokud vím – jen pro nové GA4 a Google Ads. Za mě by bylo super mít nějaké dočasné úložiště chování uživatele (funguje jen pro Single Page Applications – SPA). A to buď vyhodit nebo poslat do analytiky na základě uděleného souhlasu. Ale vím, že si to představuji jako Hurvajz válku.
   Marek Lecián k tomu dodává: „Bez souhlasu mohu měřit užívání webu, tzn. neměřit uživatele, ale web. Totálně bez uložišť na straně uživatele, bez síťových identifikátorů a fingerprintů atp. Ideálně odříznout takovou službu měření od prohlížeče uživatele tak, aby si daný nástroj nemohl napřímo šáhnout na daného uživatele. A mohl jsem prokázat, že nástroj nedostane žádná data, která nemá. Data slouží k ověření funkčnosti a obecné statistice nad webem.“
8. Souhlas musí být možné kdykoliv odvolat.
   Těžko to půjde retroaktivně vymazávat z analytiky, mousetrackingu a dalších služeb. Jednodušší je prostě odejít/vymazat historii, než hledat v patičce odkaz a překlikávat volby, abyste mě dál nesledovali. Ale je to asi nic proti ničemu.

Nám se takhle před lety podařilo omylem nasadit cookie lištu „správně“. Bez souhlasu se nespouštěl analytický script. Po týdnu se ukázalo, že nám chybí 90 % dat.

Tak aby to v lednu u vás nevypadalo takto:

Ilustrační obrázek snížení dat v Google Analytics

Max Schrems je vůl

Max šikanuje Facebook, Whatsapp, Google ohledně soukromí a kvůli němu dostávají tyto firmy pokuty v Irsku. A tak si na to založil neziskovku – My privacy is none of your business.

Zatím sympatické.

A toto neziskovka vyvinula nástroj, který vám proleze web, zjistí, co máte v cookie liště blbě striktně podle práva a pak:

1. Vám pošle výzvu s tím, že to máte do 30 dní opravit.
2. Pokud to neuděláte, tak vás automaticky nabonzuje na úřad pro ochranu osobních údajů a ten se tím ze zákona musí zabývat.

Zatím takto prudí rakouské firmy. Projel jich 1000, 89 % firem poslal výzvu a 422 nabonzoval.

A teď se chystá na 10 000 webů skrz EU. Takže Petru vlastně úplně chápu.

UX pohled – maximum možného

Za mě by to mohlo vypadat nějak takto:

Zvýšit šanci, že vám dá uživatel souhlas lze:

• Pochopitelným a sympatickým textem.
• Trochou psychologie a vedení pozornosti.

Takto by podle mého mohla vypadat varianta, když kliknete na podrobné nastavení.

Samozřejmě nejsem právník, takže pokud to tak uděláte, tak si u mě pak nestěžujte :).

Příklady (špatné, dobré, EU a ČR)

Amazon.de

Výraznější tlačítko pro povolení všech cookies.

Možnost se odhlásit pouze z marketingových cookies.

Zalando.cz

Plovoucí lišta a odlišnými tlačítky pro potvrzení všeho a nastavení. V detailu nastavení mají předzaškrtnuté jak funkční, tak personalizační cookies.

ČSOB

Podle Marka Tesaře z ČSOB dosáhli míry souhlasů 90 %. V bankovním sektoru je - při špatně navržené cookie liště - míra souhlasu okolo 70 %.

Zvýšení souhlasu z 28 na 70 % – A/B testování lišty v DHL

V DHL to vzali trochu komplexněji a otestovali to pomocí série A/B testů.

Umísění:
A) Spodní lišta
B) Levý roh
C) Pop-up okno

Tlačítka:
1) Tlačítko Příjmout vše / Textový odkaz Nastavení cookies
2) Tlačítko Příjmout vše / Tlačítko Nastavení cookies
3) Tlačítko Příjmout vše / Tlačítko Odmítnout vše / Tlačítko Nastavení cookies

• Nejhůř (28,7 %) fungující varianta je B3. Tzn. levý spodní roh a 3 tlačítka včetně odmítnout vše.
• Naopak nejlépe (56,1 %) fungovala varianta C1 – pop-up s tlačítkem pro přijetí všeho a textovým odkazem pro nastavení.

Interpretace: Pokud je cookies banner neobtěžující, tak se též nikdo neobtěžuje s ním cokoliv dělat a bude ho ignorovat. A pokud lidem zjednodušíme možnost odmítnout všechny cookies, tak to budou dělat.

V DHL pokračovali dalším testem.

Umístění:
B) Panel nalevo
C) Pop-up

Button sets:
1) Viditelný popis jednotlivých voleb cookies
2) Minimalizovaný popis v harmonikovém layoutu

• Nejhůř (55 %) fungující varianta je C2 – popup s harmonikovým layoutem.
• Nejlépe (70 %) fungující varianta je B1 – levý panel s detailním popisem.

U toho detailního popisu to potvrzuje i Marek Tesař s ČSOB – prý jsou lidi líní a nechtějí si číst dlouhé a oficiálně vypadající texty. Ty přesto navozují pocit důvěry a více lidí se tudíž přihlásí.

Nástroje

Nástrojem CookieYes si můžete zkontrolovat, které cookies vám na webu běží.

Co se týče Constent Management Platforem, tak velcí hráči jsou dva:

1. Cookiebot
2. OneTrust (CookiePro)

Výhody

• Průběžné skenovaní používaných cookies.
• Automatické třídění do kategorií nutné, analytické, preferenční a marketingové pro tisíce služeb.
• Grafické šablony ve více variantách s možností vlastního brandingu.
• A/B testování variant.

Nevýhody

• Cena okolo 1 000 Kč měsíčně.

Já u většiny klientů nasazuji OneTrust s tím, že po pár měsících ladění a testování přejdeme na vlastní řešení.

Každopádně doporučuji nestahovat kalhoty, k brodu je daleko. A zkusit zabojovat za efektivnější cookies lištu, než dostanete obsílku od Maxe nebo úředního šimla.

A nebo se tomu můžete elegantně vyhnout a použít analytiku Fathom, která nesbírá uživatelská data a cookie lištu tudíž nepotřebujete.

Zdroje:

Díky patří Pavlu Polovi, který mě nasměroval na správné zdroje. A též anonymnímu zdroji, který si nepřál být jmenován, ale on bude vědět :).

https://noyb.eu/en
https://www.pavelungr.cz/jak-na-cookie-listu-v-roce-2022-prace-s-cookies-v-roce-2022-saga-pokracuje-petra-dolejsova/
https://www.vitousladislav.cz/blog/kbn-special-zanik-3rd-party-cookies-opt-in-legislativa-consent-mode-a-jak-se-pripravit-na-budoucnost/
https://analytics.dhl.com/despite-gdpr-up-to-70-analytics-opt-in-rates-why-extensive-testing-is-worth-ervery-minute-of-effort/

P.S.: A jak jsem již zmínil, nejsem právník, jde o můj subjektivní pohled.

Ondra Ilinčev
CRO & UX expert

Tento e-mail dostáváte, protože si vás vážím. Jste mými kamarády, klienty nebo jste na mě udělali dobrý dojem. Pokud se ale necítíte být ani jedním, tak vás nebudu nutit/nudit.

Přichystal jsem vám odkaz, kdyby něco: nudíš mě, odhlas mě (jedním klikem) případně si můžete změnit e-mail, na který bude newsletter chodit..

ILINCEV · Lumirova 21 · Praha 2 12800 · Czech Republic
e-mail: o@ilincev.com, web: www.ilincev.com

Cookies 2022 – právník vs. designér

V lednu přijdete o data.

Pokud to uděláte špatně, tak o 70–80 %. A když to uděláte dobře, tak o 20–30 %.

Mluvím o novém zákonu o elektronické komunikaci, který bude platit od 1. ledna 2022. Jenže místo toho, aby vás bolela hlava až po Silvestru, bude vás bolet už teď.

V kostce – od ledna potřebujete aktivní souhlas s tím, abyste sledovali, co na vašem webu lidi dělají. Doteď jste jim mohli jen oznámit, že je sledujete a nazdar.

Pohled právníka aneb dobrovolná sebevražda

Já mám Petru Dolejšovou rád. Je chytrá. Ale je právnička :). Logicky se tak na problematiku dívá optikou toho, aby to bylo všechno neprůstřelné. Ale trochu to připomíná brnění, ve kterém se nepohnete, protože váží 40 kg. Myslím brnění, ne Petru.

Doporučení z Petřina posledního článku:

1. Souhlas nesmí být podmínkou pro návštěvu webu! Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“
4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách
7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
8. (Souhlas musí být možné kdykoliv odvolat. – dopsáno z přednášky.)

Schválně jsem to pro lepší představu nakreslil:

Můj pohled UXáka

Vezmu to postupně:

1. Lišta tedy nesmí nepřiměřeně překážet a už vůbec nesmí být podmínkou pro vstup.
   Pokud bude lišta tak decentní, že nebude překážet, tak na ni nikdo neklikne. A já budu mít nula dat. Podmiňovat zobrazení stránky souhlasem s cookies je samozřejmě hovadina.
2. Souhlas nesmíte vymáhat agresivně – žádné časté vyskakování!
   Pokud udělá uživatel rozhodnutí, tak mu samozřejmě lištu schovám. Ale pokud ne, tak se ho budu ptát.
3. Pokud nabízíte možnost „přijmout všechny“, musíte nabídnout i „odmítnout všechny“.
   Tohle zabije konverze, příliš uživateli usnadňuji akci, kterou nechci, aby udělal. Prolezl jsem pár desítek zahraničních webů, kde už je direktiva EU platná od 2018 a úzus je tlačítko Přijmout vše a odkaz Nastavit. Nicméně určitá opatrnost je na místě, v Evropě už jsou nálezy soudu, které to vyžadují.
4. Nezapomínejte na možnost „shodit“ lištu křížkem nebo jakýmkoliv jiným jednoduchým postupem – i bez udělení souhlasu.
   Křížek je totální zabiják souhlasu či nesouhlasu, více anonymních zdrojů reportuje pokles o 25–50 %.
5. Pokud dáváte návštěvníkovi webu na výběr z jednotlivých typů cookies, potom jednotlivé skupiny (a checkboxy) nesmí být předzaškrtnuté. Musí jít o čistý opt-in.
   Tady je to v zahraničí tak půl na půl. Podle mého lidem nejvíc vadí, když je pronásleduje reklama na ostatních webech. Dokážu si přestavit, že analytické a preferenční cookies jsou OK předzaškrtnuté, marketingové bych nechal odškrtnuté. Například německý Amazon vám dává možnost odmítnout pouze (sic!) marketingové cookies, vše ostatní je natvrdo povolené. V tomto se ale rozcházím s právním názorem, který argumentuje opt-inem.
6. Tlačítko souhlasu byste neměli mít v křiklavých (zdůrazňovaných) barvách.
   Naopak, mělo by být výrazné, abyste nenutili uživatele přemýšlet. Ale je možné, že stejně (ne)výrazná tlačítka člověka přinutí si je přečíst, než automaticky klikat na to méně dominantní.
7. Bez odsouhlasení cookies nesmíte začít ukládat nebo s nimi jakkoliv pracovat, a to ani s těmi analytickými.
   Můžu posílat anonymizovaná data přes gtag v kódu stránky a na základě umělé inteligence to GAčka napárují. Funguje to ale – pokud vím – jen pro nové GA4 a Google Ads. Za mě by bylo super mít nějaké dočasné úložiště chování uživatele (funguje jen pro Single Page Applications – SPA). A to buď vyhodit nebo poslat do analytiky na základě uděleného souhlasu. Ale vím, že si to představuji jako Hurvajz válku.
   Marek Lecián k tomu dodává: „Bez souhlasu mohu měřit užívání webu, tzn. neměřit uživatele, ale web. Totálně bez uložišť na straně uživatele, bez síťových identifikátorů a fingerprintů atp. Ideálně odříznout takovou službu měření od prohlížeče uživatele tak, aby si daný nástroj nemohl napřímo šáhnout na daného uživatele. A mohl jsem prokázat, že nástroj nedostane žádná data, která nemá. Data slouží k ověření funkčnosti a obecné statistice nad webem.“
8. Souhlas musí být možné kdykoliv odvolat.
   Těžko to půjde retroaktivně vymazávat z analytiky, mousetrackingu a dalších služeb. Jednodušší je prostě odejít/vymazat historii, než hledat v patičce odkaz a překlikávat volby, abyste mě dál nesledovali. Ale je to asi nic proti ničemu.

Nám se takhle před lety podařilo omylem nasadit cookie lištu „správně“. Bez souhlasu se nespouštěl analytický script. Po týdnu se ukázalo, že nám chybí 90 % dat.

Tak aby to v lednu u vás nevypadalo takto:

Ilustrační obrázek snížení dat v Google Analytics

Max Schrems je vůl

Max šikanuje Facebook, Whatsapp, Google ohledně soukromí a kvůli němu dostávají tyto firmy pokuty v Irsku. A tak si na to založil neziskovku – My privacy is none of your business.

Zatím sympatické.

A toto neziskovka vyvinula nástroj, který vám proleze web, zjistí, co máte v cookie liště blbě striktně podle práva a pak:

1. Vám pošle výzvu s tím, že to máte do 30 dní opravit.
2. Pokud to neuděláte, tak vás automaticky nabonzuje na úřad pro ochranu osobních údajů a ten se tím ze zákona musí zabývat.

Zatím takto prudí rakouské firmy. Projel jich 1000, 89 % firem poslal výzvu a 422 nabonzoval.

A teď se chystá na 10 000 webů skrz EU. Takže Petru vlastně úplně chápu.

UX pohled – maximum možného

Za mě by to mohlo vypadat nějak takto:

Zvýšit šanci, že vám dá uživatel souhlas lze:

• Pochopitelným a sympatickým textem.
• Trochou psychologie a vedení pozornosti.

Takto by podle mého mohla vypadat varianta, když kliknete na podrobné nastavení.

Samozřejmě nejsem právník, takže pokud to tak uděláte, tak si u mě pak nestěžujte :).

Příklady (špatné, dobré, EU a ČR)

Amazon.de

Výraznější tlačítko pro povolení všech cookies.

Možnost se odhlásit pouze z marketingových cookies.

Zalando.cz

Plovoucí lišta a odlišnými tlačítky pro potvrzení všeho a nastavení. V detailu nastavení mají předzaškrtnuté jak funkční, tak personalizační cookies.

ČSOB

Podle Marka Tesaře z ČSOB dosáhli míry souhlasů 90 %. V bankovním sektoru je - při špatně navržené cookie liště - míra souhlasu okolo 70 %.

Zvýšení souhlasu z 28 na 70 % – A/B testování lišty v DHL

V DHL to vzali trochu komplexněji a otestovali to pomocí série A/B testů.

Umísění:
A) Spodní lišta
B) Levý roh
C) Pop-up okno

Tlačítka:
1) Tlačítko Příjmout vše / Textový odkaz Nastavení cookies
2) Tlačítko Příjmout vše / Tlačítko Nastavení cookies
3) Tlačítko Příjmout vše / Tlačítko Odmítnout vše / Tlačítko Nastavení cookies

• Nejhůř (28,7 %) fungující varianta je B3. Tzn. levý spodní roh a 3 tlačítka včetně odmítnout vše.
• Naopak nejlépe (56,1 %) fungovala varianta C1 – pop-up s tlačítkem pro přijetí všeho a textovým odkazem pro nastavení.

Interpretace: Pokud je cookies banner neobtěžující, tak se též nikdo neobtěžuje s ním cokoliv dělat a bude ho ignorovat. A pokud lidem zjednodušíme možnost odmítnout všechny cookies, tak to budou dělat.

V DHL pokračovali dalším testem.

Umístění:
B) Panel nalevo
C) Pop-up

Button sets:
1) Viditelný popis jednotlivých voleb cookies
2) Minimalizovaný popis v harmonikovém layoutu

• Nejhůř (55 %) fungující varianta je C2 – popup s harmonikovým layoutem.
• Nejlépe (70 %) fungující varianta je B1 – levý panel s detailním popisem.

U toho detailního popisu to potvrzuje i Marek Tesař s ČSOB – prý jsou lidi líní a nechtějí si číst dlouhé a oficiálně vypadající texty. Ty přesto navozují pocit důvěry a více lidí se tudíž přihlásí.

Nástroje

Nástrojem CookieYes si můžete zkontrolovat, které cookies vám na webu běží.

Co se týče Constent Management Platforem, tak velcí hráči jsou dva:

1. Cookiebot
2. OneTrust (CookiePro)

Výhody

• Průběžné skenovaní používaných cookies.
• Automatické třídění do kategorií nutné, analytické, preferenční a marketingové pro tisíce služeb.
• Grafické šablony ve více variantách s možností vlastního brandingu.
• A/B testování variant.

Nevýhody

• Cena okolo 1 000 Kč měsíčně.

Já u většiny klientů nasazuji OneTrust s tím, že po pár měsících ladění a testování přejdeme na vlastní řešení.

Každopádně doporučuji nestahovat kalhoty, k brodu je daleko. A zkusit zabojovat za efektivnější cookies lištu, než dostanete obsílku od Maxe nebo úředního šimla.

A nebo se tomu můžete elegantně vyhnout a použít analytiku Fathom, která nesbírá uživatelská data a cookie lištu tudíž nepotřebujete.

Zdroje:

Díky patří Pavlu Polovi, který mě nasměroval na správné zdroje. A též anonymnímu zdroji, který si nepřál být jmenován, ale on bude vědět :).

https://noyb.eu/en
https://www.pavelungr.cz/jak-na-cookie-listu-v-roce-2022-prace-s-cookies-v-roce-2022-saga-pokracuje-petra-dolejsova/
https://www.vitousladislav.cz/blog/kbn-special-zanik-3rd-party-cookies-opt-in-legislativa-consent-mode-a-jak-se-pripravit-na-budoucnost/
https://analytics.dhl.com/despite-gdpr-up-to-70-analytics-opt-in-rates-why-extensive-testing-is-worth-ervery-minute-of-effort/

P.S.: A jak jsem již zmínil, nejsem právník, jde o můj subjektivní pohled.

Ondra Ilinčev
CRO & UX expert

Tento e-mail dostáváte, protože si vás vážím. Jste mými kamarády, klienty nebo jste na mě udělali dobrý dojem. Pokud se ale necítíte být ani jedním, tak vás nebudu nutit/nudit.

Přichystal jsem vám odkaz, kdyby něco: nudíš mě, odhlas mě (jedním klikem) případně si můžete změnit e-mail, na který bude newsletter chodit..

ILINCEV · Lumirova 21 · Praha 2 12800 · Czech Republic
e-mail: o@ilincev.com, web: www.ilincev.com