Využití cookies v marketingu

Cookies lze rozdělit do tří kategorií:

1. Sledovací a konverzní cookies, které umožňují analyzovat výkon různých prodejních kanálů.

2. Marketingové cookies, které pomáhají personalizovat obsah reklamy a efektivněji zacílit na zákazníka.

3. Analytické a esenciální cookies, které pomáhající zefektivnit uživatelské prostředí internetové stránky a základní funkčnost webu.[1]

Cookies nacházejí široké uplatnění v oblasti internetového marketingu. Můžeme je dále rozlišit na cookies první strany, které ukládá navštívený web pro fungování svých základních služeb. Tou může být například funkce košíku v e-shopu. Cookies si pamatuje obsah virtuálního košíku během procházení internetového obchodu. Dokonce i po návratu do e-shopu druhý den mohou být v košíku stále připraveny položky, které do něj uživatel vložil, avšak nákup nedokončil.

Druhým typem jsou cookies třetích stran. Ty pro marketing využívají mimo jiné provozovatelé reklamních systémů, jakými jsou Google Ads nebo Facebook Ads Manager. Pomáhají v cílení reklamy podle toho, co uživatele zajímá, ke zlepšování přehledů o výkonu kampaní a k tomu, aby se uživateli nezobrazovaly reklamy, které už viděl.[2]

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Cookies jsou nezbytné pro fungování marketingové metody zvané „remarketing“[3]. Remarketing umožňuje cíleně zobrazovat reklamy uživatelům, kteří v minulosti internetové stránky již navštívili. Jde o vysoce efektivní způsob cílení reklamy na stále ještě nerozhodnutého zákazníka ve fázích Think a Do[4]. Ve výše uvedeném příkladu s e-shopem si využití remarketingu lze představit tak, že návštěvníkovi, který z e-shopu odešel, aniž by nákup dokončil, bude reklama i na jiných internetových stránkách a ve vyhledávačích nadále připomínat, o jaké produkty měl zájem a že by mohl nákup dokončit.

Ochrana osobních údajů a souhlas s použitím cookies

Evropská unie si uvědomuje existenci možných konfliktů cookies s ochranou soukromí uživatelů internetu, a proto ve směrnici č. 2002/58/ES ze dne 12. července 2002, o soukromí a elektronických komunikacích (tzv. „ePrivacy Directive“), již této problematice věnovala svou pozornost. Především zavedla povinnost jasně a úplně informovat uživatele, mimo jiné o účelech použití cookies a o rozsahu informací ukládaných do jeho zařízení.

Co se týče souhlasu s jejich ukládáním, nejprve evropský zákonodárce zavádí opt-out režim, tedy že uživatel musí mít možnost odmítnout ukládání cookies do svého zařízení.[5] V pozdější novelizaci ePrivacy Directive směrnicí č. 2009/136/ES ze dne 25. listopadu 2009 tento přístup mění na opt-in. Možnost odmítnout ukládání cookies mění na povinnost získat předchozí souhlas uživatele: „Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování.“[6]

Režim opt-out nadále platí pro technické cookies nezbytné pro technické zajištění provozu stránek a pro poskytování služeb, které si účastník nebo uživatel výslovně vyžádal (nejedná se o použití pro marketingové účely).

Náležitostí souhlasu se zabýval Soudní dvůr EU v předběžné otázce německého Spolkového soudního dvora. Ve svém rozhodnutí ze dne 1. října 2019 se mimo jiné vyjadřuje k platnosti souhlasu uděleného formou předem zaškrtnutého políčka. Soudní dvůr trvá na tom, že poskytnutí souhlasu vyžaduje aktivní jednání ze strany uživatele (např. zaškrtnutím souhlasného políčka). A naopak souhlas není právoplatně udělen, pokud je ukládání cookies a přístup k nim povolen předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit.[7]

Povaha směrnice vyžaduje její implementaci do národního právního řádu. Český zákonodárce však implementaci provedl nedůsledně, když nezohlednil novelizaci ePrivacy Directive č. 2009/136/ES a do českého zák. č. 127/2005 Sb. , o elektronických komunikacích, zavedl s účinností od 1. ledna 2012 pouze režim opt-out. Podle § 89 odst. 3 platí nadále povinnost umožnit odmítnout používání marketingových cookies.

Nepřesná transpozice směrnice ePrivacy Directive však ani po zpřesňujícím eurokonformním výkladu Soudního dvora EU nezakládá povinnost českým soukromým subjektům nově souhlas s použitím cookies vyžadovat. Nadále postačuje řídit se platným zněním zákona o elektronických komunikacích (opt-out režim).

Situaci zcela nevyjasnilo ani nařízení GDPR, které zmiňuje cookies v bodě 30 preambule. Pokud jsou soubory cookies využívány k identifikaci uživatelů, považují se za osobní údaje a podléhají regulaci GDPR. V takovém případě by byl předem poskytnutý souhlas nutný.

Otázkou tedy je, kdy cookies jsou osobním údajem podle čl. 4 bodu 1 nařízení GDPR a kdy nikoliv. Osobním údajem budou vždy, pokud obsahují informace, které jsou schopny identifikovat konkrétní fyzickou osobu, či jsou informace z nich spojovány s informacemi o již identifikované fyzické osobě (například, pokud je sledováno chování uživatele na internetu a vysledované informace následně propojeny s jeho uživatelským účtem).[8] V opačném případě se GDPR neuplatní.

Představme si situaci, kdy internetová stránka ukládá cookie obsahující informace jako „180 cm, 85 kg, Praha 3, zájem o fotbal“. Tyto informace samy o sobě nelze považovat za osobní údaje. Pokud bychom ale ještě přidali informaci „Karel Novák, ulice Seifertova“, pak už o osobní údaje půjde, protože na základě nich můžeme identifikovat konkrétní fyzickou osobu.

Co na to Úřad pro ochranu osobních údajů?

Své doporučení vydal také Úřad pro ochranu osobních údajů.[9] Pokud je vyžadován souhlas s použitím cookies, lze podle Úřadu považovat za jeho poskytnutí v kvalitě dle čl. 4 bodu 11 nařízení GDPR i nastavení internetového prohlížeče, které umožňuje internetové stránce cookies ukládat. Úřad odkazuje na novelizační směrnici č. 2009/136/ES, která v bodě 66 preambule říká, že „Je-li to technicky možné a efektivní, může být v souladu s příslušnými ustanoveními směrnice 95/46/ES souhlas uživatele se zpracováním údajů vyjádřen vhodným nastavením prohlížeče nebo jiné aplikace.“

Úřad doporučuje pro marketingové cookies souhlas získat vždy, a to alespoň tímto způsobem.

Pravidla dle nařízení ePrivacy (PECR)

Jasná pravidla pro používání marketingových cookies má definovat nové nařízení o soukromí a elektronických komunikacích (PECR).[10] Dosavadní harmonizační snahou EU nebylo dosaženo kýženého cíle, přímo účinné nařízení má pravidla unifikovat a nahradit výše uvedenou směrnici ePrivacy a národní právní úpravu.

Cílem nařízení PECR je zvýšit důvěru a bezpečnost na jednotném digitálním trhu. Jeho předpokladem je, že uživatelé budou mít kontrolu nad informacemi uloženými v jejich zařízeních, tedy i nad cookies. Přestože mělo nařízení PECR nabýt platnosti spolu s nařízením GDPR, jeho schválení je zatím v nedohlednu.

Aktuální návrh nařízení PECR se ke cookies staví jako k osobnímu údaji per se (s výjimkou technických cookies). K jejich marketingovému použití bude vyžadovat jednoznačný informovaný souhlas uživatele. Povaha souhlasu má odkazovat na jeho definici a podmínky v čl. 4 bodu 11 a čl. 7 nařízení GDPR: „Souhlasem se rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“

Za souhlas dle čl. 4 bodu 11 nařízení GDPR nelze považovat:

• Pasivní jednání uživatele – Tím je např. ponechání předem zaškrtnutého souhlasného políčka.

• Tzv. „cookie wall“ – Jde o nastavení, které brání přístupu na internetovou stránku nebo k některým jejím funkcím, pokud uživatel neudělí souhlas s použitím cookies. Pokud je podmínkou souhlasu zpřístupnění služby, pak takový souhlas není považován za svobodný.

• „Scrollování“ po stránce – Pouhé posouvání po zobrazené internetové stránce nesplňuje podmínku jednoznačnosti projevu vůle. Přejíždění kurzorem po obrazovce či její posunování tedy není považováno za vyjádření souhlasu.[11]

Nařízení PECR má i nadále umožnit získat souhlas odpovídajícím transparentním a k uživateli vstřícným nastavením internetového prohlížeče nebo jiné aplikace. Většina internetových prohlížečů však má ve výchozím stavu nastaveno „přijímat všechna cookies“, proto bude muset umožnit konfigurovat nastavení i tak, aby uživatel měl možnost ukládání marketingových cookies zabránit.

Uživatelé by měli mít možnost vybrat si z několika úrovní zabezpečení – od vyšší úrovně ochrany (například „nikdy nepřijímat cookies“) přes střední úroveň (například „odmítnout přijímání cookies třetích stran“) až po nižší úroveň (například „vždy přijímat cookies“).

Tato nastavení ochrany soukromí mají být prezentována snadno viditelným a srozumitelným způsobem.

Pokud internetový prohlížeč má ve výchozím stavu nastaveno „přijímat všechna cookies“, měl by již při instalaci nebo prvním spuštění informovat, že si uživatel může vybrat z různých možností nastavení ochrany soukromí, a nabídnout možnost volby.

Pokud internetový prohlížeč tyto funkce ještě nenabízí, pravděpodobně je budou vývojáři muset implementovat v některé z prvních aktualizací po nabytí platnosti nařízení.

Ani v případě, kdy se uživatel rozhodne pro nastavení svého internetového prohlížeče globálně na „odmítnout přijímání cookies třetích stran“, není vyloučeno dodatečné získání souhlasu prostřednictvím individuální žádosti uživateli. V praxi však bude pro inzerenty v internetovém prostředí tento způsob získávání souhlasů obtížnější.

Kritika nařízení ePrivacy (PECR)

Členské státy EU se zatím nedokážou shodnout na finálním znění nařízení PECR. Ke konci roku 2019 Evropská komise avizovala, že současný návrh upraví nebo připraví zcela nový.

Na nedostatky současného návrhu a možné negativní dopady na digitální průmysl upozorňuje také české Sdružení pro internetový rozvoj (SPIR). Varuje před výrazným snížením výdajů na digitální reklamu.

Cílená online inzerce je výrazně účinnější, než reklama necílená, a pro inzerenty je klíčová. Nebudou-li moci inzerenti využívat cílenou reklamu, hrozí, že omezí své investice do tohoto segmentu reklamy. Přitom reklama je pro existenci médií klíčová. Omezování cílené reklamy by pak znatelněji dopadlo na menší nezávislé vydavatele.[12]

SPIR vadí především nevyváženost zájmů digitálního průmyslu se zájmy subjektů osobních údajů a rozšíření omezení nad rámec nařízení GDPR. SPIR přesto cíle nařízení PECR podporuje, na druhou stranu by ale rádo zachovalo byznys model internetové reklamy 21. století. Navrhuje, aby bylo rozlišováno mezi profilováním na základě osobních údajů, kterým se zabývá GDPR, a segmentací za účelem cílené reklamy. Na základě historie zhlédnutých stránek je internetový prohlížeč, a nikoli uživatel jako konkrétní fyzická osoba, zařazen do široké kategorie, která vykazuje společné znaky, a tudíž nehrozí žádný významný zásah do soukromí. Nebude tedy důvod k tomuto sběru informací přistupovat restriktivněji, než nyní přistupuje nařízení GDPR.

Z pohledu uživatele pak hrozí, že bude zatížen přemírou individuálních žádostí o udělení souhlasu. Méně obezřetný uživatel tak může být náchylnější k „odkliknutí“ i potenciálně nebezpečného obsahu.

Závěr

Je zřejmé, že v otázce používání cookies pro marketingové účely není co do ochrany osobních údajů ještě zcela jasno. Než bude v platnosti nové nařízení PECR, lze postupovat tímto způsobem:

• Pečlivě vyhodnoťte, zda vaše marketingové cookies jsou osobním údajem či nikoliv. Osobním údajem budou vždy, pokud je lze spojit s konkrétní fyzickou osobou (tzn., obsahují informace o identifikované nebo identifikovatelné fyzické osobě).

• Pokud cookies jsou osobním údajem, musíte před jejich použitím získat od návštěvníka stránek svobodný, konkrétní, informovaný a jednoznačný souhlas.

• Pokud cookies nejsou osobním údajem, nemusíte žádat o souhlas, ale nadále musíte splnit povinnost návštěvníka stránek řádně a úplně informovat o tom, jaké údaje, v jakém rozsahu a za jakým účelem prostřednictvím cookies zpracováváte. Uživatel má mít možnost zpracování jednoduše odmítnout. Stačí informovat, že tak lze učinit vhodným nastavením internetového prohlížeče.

Provozovatelé internetových stránek si pro účely informování o použití cookies oblíbili formát informační lišty ve spodní části stránky. Rozšířila se v internetovém prostředí do takové míry, že už je mylně považována za povinnou. Podle Úřadu pro ochranu osobních údajů ale není nutné o používání cookies informovat tímto způsobem, stačí přehledně informovat kdekoliv na stránkách, a to například na samostatné podstránce.

Mgr. Miloslav Tichý

Autor se specializuje na digitální marketing, je absolventem mediálních a komunikačních studií na Univerzitě Tomáše Bati ve Zlíně a studentem pátého ročníku Právnické fakulty Univerzity Palackého v Olomouci.