Vše, co ještě nevíte o „EU cookies“
Proč jsou „EU cookies“ spíše „Google cookies“? O co vlastně té Unii jde? Proč o souhlas s jejich ukládáním nemusíte od uživatelů žádat, pokud používáte jen standardní Google Analytics? Proč to od EU není zas taková blbost? A jak to naimplementovat lidsky? Čtěte dál.
Nálepky:
Článek původně vyšel na autorově webu Vzhůru dolů.
Problém jsou neanonymní a third-party cookies
EU předpis se zaměřuje na „na behaviorální cílení a zneužití soukromých informací. Neřeší neškodné, anonymní a souhrnné reporty“.
V překladu pro nás, webaře, jde z pohledu EU o dva problematické (nebo rovnou „zlé“) typy cookies:
- neanonymní cookies
(ukládající údaje, z nichž jde poznat osobu, třeba email – takzvané PII) - third-party cookies
(ukládané na jiné doméně, než vidí návštěvník)
U nich je dle předpisu Unie potřeba výslovného souhlasu od každého návštěvníka. Jen pozor – v českém právu tohle zatím zavedeno není.
Je dobré si také uvědomit, že ani jeden typ ze „zlých cookies“ neukládají běžně instalované Google Analytics, takže tam ani v budoucnu o souhlas uživatele žádat nemusíme.
Mimochodem, z mně dostupných informací vychází, že Unii jde především o právo na soukromí každého uživatele. To je dle mého skromého názoru zcela OK a historky o „další EU buzeraci“ vycházejí zejména z nešťastných požadavků na technickou implementaci. Z buzerace lištou. Jenže ono to moc jinak nejde, protože prohlížeče tuhle vlastnost zatím nenabízejí.
Takže – v českých zákonech to zatím zakotveno není, Google to ale od webařů využívajících některé jeho služby chce celoevropsky.
Případy, kdy Google souhlas vyžaduje
Ověřte, zda nesplňujete některý z těchto případů:
- Na vašem webu běží reklamní systém od Google jako Adsense nebo DoubleClick
- V Google Analytics jste si nastavili některé z inzertních funkcí:
- remarketing
- přehledy zobrazení v obsahové síti
- demografické přehledy
- V Google Analytics jste si nastavili sbírání neanonymních údajů (PII). Třeba, že v Událostech ukládate emaily nebo jména uživatelů.
Splňujete? Pak byste podle Google do 30. září měli od uživatelů získat souhlas s ukládáním cookies pomocí oznámení ve stránce.
Zatím nikdo neví, co Google udělá, když se na to úplně vykašlete.
Běžně nastavené Analytics? Souhlas nepotřebujete
Běžně nastavené Google Analytics nespadají ani do kategorie „neanonymní cookie“ ani do kategorie „cookie třetích stran“. Takže pokud nesplňujete některou z podmínek ve výše uvedeném seznamu, myslím, že žádnou lištu zobrazovat nemusíte.
Jak do budoucna? Lišta skoro pro všechny weby
EU podmínce third-party cookie nebo neanonymní cookie ovšem odporuje skoro každý dnešní web. Stačí nainstalovat sdílecí tlačítko Facebooku, Disqus komentáře nebo jakýkoliv reklamní systém a váš uživatel je v docela velké nejistotě, co a jak se o něm a jeho chování ukládá. Takže až se EU norma projeví v českých zákonech, je možné, že budeme lištu nasazovat opravdu všichni.
A pozor, už v aktuálním českém právu nějaké webařské povinnosti vůči uživatelům a jejich soukromí existují:
provozovatelé mají i podle českého zákona povinnost „předem prokazatelně informovat o rozsahu a účelu jejich zpracování“ (což se obvykle řeší podmínkami používání webu) a musí uživatelům nabídnout „možnost takové zpracování odmítnout.“ (§ 89, odst. 3).
Rychlou rešerší jsem ovšem nenašel český web, který by tuto povinnost splňoval. Ehm.
Zákon/nezákon, EU/neEU, Google/neGoogle… ze soukromí našich uživatelů na webu se nevykecáme. Rozhodně všem webařům doporučuji téma alespoň letmo sledovat. Jsem si jistý, že poroste povědomí uživatelů o tom, že je šmírujeme my sami nebo Facebook a Google skrze nás.
Bez souhlasu se „zlé“ cookies nesmí uložit
Google účel lišty popisuje jako „získání souhlasu uživatele“. To by ovšem v důsledku z pohledu uživatele znamenalo tento scénář:
- Web používám bez „zlých“ cookies
- Web mi sdělí, že chce použít „zlé“ cookies
- Odsouhlasím to
- Web používám s uloženými „zlými“ cookies
Prima. Co to ale znamená z pohledu webaře?
Vy, co jste odpověděli „Docela dost práce!“, máte pravdu.
Technická implementace
Technici mohou využít buď některý z frameworků, který Google linkuje z CookieChoices.org nebo to udělat podle Davida Grudla.
Jenže – s přihlédnutím k předchozí části nebude technická implementace snadná, protože bez souhlasu uživatele nesmíte žádnou ze „zlých“ cookies uložit. Načítání dotčené části JS kódu tak musíte odložit až na moment, kdy uživatel dá souhlas.
Mimochodem – i vzhledem ke složitosti textu v cookie liště by to ale znamenalo, že velká část uživatelů bude weby využívat s nepotvrzenou cookie lištou, tedy s neuloženými „zlými“ cookies a tedy bez části Google Analytics, bez zobrazování jakékoliv reklamy nebo bez pluginů třetích stran jako je Disqus, Facebook sdílení nebo Youtube iframů.
Design cookie lišty
I tak prosím – nepřenášejte svou případnou frustraci z domněle zbytečné práce na uživatele. A pokud frustrace přišla, nemyslete při nasazování lišty na EU, ale na reálného uživatele, co zítra přijde na váš web. Nebo třeba na zmrzlinu.
Docela mě děsí jak i konverzně-super-optimalizované ecommerce weby nasazují lištu tak, že… no… pokud jim nesnižuje konverze, to fakt sním svoje ponožky.
Dobrá „cookie lišta“ má rozdíl od špatné tyhle parametry:
- je co nejstručnější
- nemá fixní pozici a nezabírá tím cenný prostor na mobilech
- má jedno call-to-action tlačítko typu „OK“, „V pořádku“ nebo „Beru na vědomí“
- druhý povinný odkaz vedoucí na podrobné informace je ve vizuální hierarchii níže než výzva k akci
- nezapomíná na standardní parametry dobrého rozhraní jako optimální šířku textového řádku atd.
Shrňme si to – kvůli Google žádnou cookie lištu vyrábět nemusíte, pokud nepoužívate Adsense, Doubleclick nebo pokud nemáte specificky nastavené Analytics. Pokud se ale EU norma projeví v českém právu, budeme cookie lištu přidávat skoro na všechny weby. A bude to znamenat významné investice na straně provozovatelů webů.
Martin Michálek
Nezávislý specialista na webový frontend. O responzivním designu, HTML5, CSS3 a dalších tématech píše na blogu Vzhůru dolů nebo v ebooku. Pořádá školení. Na Twitteru je jako @machal.
Ono je navíc celkem srandovní, kolik prostoru se dnes věnuje 3rd-party cookies. Pro šmírování se použivaly dříve, dneska autoři stránek vesele do svých stránek vkládají JS kód třetích stran (Analytics, FB tlačítka, …), takže už to nejsou 3rd-party cookies, ale normální cookies. Díky fingerprintingu lze uživatele dost dobře ztotožnit i bez 3rd-party cookies a ukládání PII.
Marně přemýšlím, co by mohly prohlížeče v tomhle směru ještě nabízet, aby to nebylo z bláta do louže. Už teď můžu v nastavení rozhodnout, který cookies chci a který ne, což ale údajně není pro mou ochranu dostatečný. Možnost dotazovat se individuálně na jednotlivý cookies tu v minulosti byla, ale ve většině prohlížečů už není, protože s tím by vydržela prohlížet web jen hrstka nejmasochističtějších uživatelů. To zpátky určitě nechceme. Co nám tedy zbývá, přehodit otravný dotaz na každým webu z kódu stránky na prohlížeč? To taky nezní jako kdovíjak velký pokrok. I když svoje pozitiva by to určitě mělo, dalo by se to snadněji vypnout nějakou globální volbou. Tím bysme se ovšem efektivně dostali zpátky do stavu, který tu panoval před tím, než někdo objevil v cookies problém a rozhodl se ho řešit. Jinými slovy, všechno předchozí šaškování by se ukázalo jako zbytečný.
Prohlížeče by museli umět získat od uživatele informovaný souhlas a ten pak sdělit dané stránce (např. v HTTP hlavičce). Což je ale víc problém právnický než technický (realizovat to tak, aby to kontrolní orgány opravdu považovali za splnění paragrafu).
Takže ak si cookies povoľujem nástrojmi prehlidača len pre weby kde to pre mňa má zmysel a všade inde ich defaultne blokujem, budem musieť strpieť tú idiotskú lištu na každom webe?! Za to by som idiotov ktorí toto vymysleli nakopal medzi nohy.
Chelo by to dohodu aby na túto lištu správcovia webov aplikovali rovnakú triedu, podľa ktorej by sa to dalo hromadne blokovať, napríklad fucking_eu_banner alebo CookiesOK. https://cookiesok.com/
V tom případě zde mám geniální řešení a naší drahé EU ho nabízím zcela zdarma (pokud by trvali na tom, že mi musí z vděčnosti postavit sochu, tak prosím z bílého mramoru ;).
Obecně vzato, nelze nikdy věřit všem provozovatelům webů. Nějakou HTTP hlavičku můžou klidně ignorovat a kontrola je už kvůli jejich množství extrémně problematická až nemožná. Efektivní řešení tak musí být nutně na straně uživatele, tj. v prohlížeči. Dobrá zpráva je, že už to tam je, každý normální prohlížeč má bohaté možnosti nastavení, jak má zacházet s cookies (přijímání jen vlastních cookies nebo i cookies třetích stran, omezení délky platnosti, vyjímky pro jednotlivé weby, prostě všechno, co si může uživatel pro svou ochranu přát).
Jediný problém je v tom, že je tam výchozí nastavení, ke kterému se uživatel nijak nevyjádřil a prohlížeč tak může dělat něco, co si ve skutečnosti nepřeje. Pomoc je snadná, stačí při prvním spuštění prohlížeče zobrazit uživateli infostránku o cookies a nechat ho vybrat, jakým způsobem s nimi má prohlížeč pracovat. Informovaného souhlasu bude dosaženo a bude to mnohem efektivnější, než to dělat na každém webu zvlášť. Možnost odlišného nastavení pro jednotlivé weby, pokud o něj má uživatel zájem, stále zůstává.
Prohlížečů je pět a půl, takže není problém jejich autory donutit ke spolupráci (ve srovnání s mnoha milióny webů). A i když by to někdo stále mohl považovat za buzeraci, objektivně o nic nejde, prostě při prvním spuštění zobrazí v novém panelu infostránku s dotazem. To je přece jen malá oběť za to, že milióny uživatelů nebudou muset každodenně odklikávat zbytečné dotazy.
Jednoduché, elegantní a efektivní, není-liž pravda? :)
Už sem si začal skoro myslet, že jsem jediný kdo pochopil, že to není tak jednoduché jak se nám stále snaží všechny ostatní weby se svými články namluvit. Všude zveřejňované návody totiž neřeší vůbec nic. Jen zobrazí lištu pro souhlas aby se již dále nezobrazovala, ale vůbec nikdo z nich neřeší, že je potřeba ty scripty také nejprve skutečně zakázat dokud souhlas neobdržím. To, že ji přijde návštěvník na stránky a zobrazí mu lištu, tak tím nevyřešili vůbec nic a stále vše porušují, protože by museli provést i úpravy ve vlastním kódu aby vůbec nedocházelo k načítání těchto scriptů, které následně ukládají cookies. A to nemluvě o tom, že kdykoliv později má mít ještě uživatel možnost svůj souhlas kdykoliv odvolat, což tyto lišty také neřeší.
To s těmi „normálními cookies“ moc nechápu. Ať se šmírovací skript bere odkudkoliv, jeho prací je posílat HTTP požadavky na doménu třetí strany (a spoléhat na podporu cookies v těchto požadavcích). V tomto směru to byly, jsou a budou pořád 3rd party cookies.
A fingerprinting je, dle našeho měření, mnohem hůře použitelný, než kolik se obecně soudí. Jistě, v jistém procentu případů je až nebezpečně přesný, ale toto procento je velmi nízké. A naopak ve valné většině měření je fingerprint natolik nejednoznačný, že je pro identifikaci (a ztotožňování) víceméně nepoužitelný.
Mylný dojem o přesnosti fingerprintingu je mj. způsoben tím, že fingerprint bývá mnohem přesnější pro pokročilé uživatele (ty, kteří svůj prohlížeč / počítač / mobil nějak upravují a nastavují), geeky, IT publicisty a podobně. Ale většinová šedá masa tuctových uživatelů se v praxi identifikuje řádově hůře.
A jak to navrhujete řešit v mobilních aplikacích, jejichž hlavní příjem je ze zobrazené reklamy? Nápady?
Jak je to tedy s Like butonem od Facebooku? Z článku mi to není jasné. Pokud bych provozoval web s evropským dosahem, musím si nechat schvalovat od uživatele i v případě, že mám pouze Like Button?