Od 6. 3. platí nové nařízení EU s názvem Digital Marketing Act. Z online webináře pod vedením agentury Taste a Petry Dolejšové už teď víme, že řádně zahýbe s marketingem a analytikou. Sepsali jsme vše podstatné, co jsme si z webináře odnesli a přihodili i pár otázek a odpovědí k tématu, které možná řešíte i vy.

Co se v článku dozvíte:

1. Co se děje a proč.
2. Co je nutné nastavit po technické stránce.
3. Jak má správně právně vypadat uspokojivá souhlasová lišta.
4. Nejdůležitější Q&A, co vám nesmí uniknout.

Co se děje v rámci Consent Módu 2.0

Téma nového nařízení ohledně sbírání sušenek jsme nakousli v našem posledním článku trendů v online marketingu. Pro připomenutí, oč přesně jde. Jde o zásadní změnu v analytice. O nařízení s názvem Digital Marketing Act, se kterým přišla Evropská Unie v rámci boje za ochranu osobních dat uživatelů na internetu. 

Evropská Unie tak navazuje na novelu zákona o elektronických komunikacích z roku 2022. V tomto ohledu má zásadní problém s množstvím osobních dat, kteří velcí giganti jako je např. Google, Meta, Amazon, Microsoft a jiní shromažďují. A proto od 6. 3. podlehnou speciálně navrženým povinnostem, regulaci, která zásadním způsobem právě sběr osobních dat ovlivní.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Evropa (mimo jiné) Googlu zakázala, aby spojoval a kombinoval data z vlastních nástrojů (třeba Google Analytics, Google Ads, Nákupy Google, Google Play) bez našeho výslovného souhlasu.

Takže, co z toho vyplývá? 

Od 6. 3. nesmí Google, bez souhlasu, pro účely zacílení reklamy spojovat data uživatelů (ze všech svých nástrojů) dohromady. Jinými slovy nesmí Google data uživatelů, kteří přijdou na váš web, spojovat dohromady, pokud k tomu vy nedostanete od nich souhlas. Když si to shrneme:

1. Pokud jste dosud v “Gáčkách” spojovali analytická i marketingová data uživatelů dohromady, to už bez souhlasu nepůjde.
2. Doteď bylo v podstatě “jedno”, zda jste splnili nařízení v rámci první vlny, protože odpovědnost za splnění či nesplnění nařízení šla jen za majiteli webů. Data z Google Analytics byla i tak dostupná. 
3. Teď ale jdou sankce i za samotným Googlem a nejsou malé (vyměřují se z celosvětového obratu). Což se Googlu pochopitelně nelíbí a musí to řešit.

Co je nutné nastavit po technické stránce

Consent Mode je podle Jana Tichého z agentury Taste situace, kdy oznamujeme reklamním systémům, že máme preference uživatelů (jejich souhlasy/nesouhlasy). Respektive, preference uživatelů vezmeme a pošleme je do reklamních systémů, například do Google Ads.

Co se děje na pozadí

V Consent Modu umí nástroje Googlu (nebo jiných reklamních systémů) s daty velmi šikovně pracovat, pomáhá jim totiž chybějící data uživatelů modelovat. Bez získaných měření (bez získaných souhlasů) máme mezi získanými daty díry. Typickým příkladem jsou například chybějící konverze. Google Analytics a Google Ads mají velmi dobrou představu o tom, jak velké ty díry chybějících dat jsou a umí si je dopočítat statisticky.

Google Analytics i Google Ads tak mají lepší představu o chování uživatelů na webu, aniž by nutně musely uživatele, kteří si trackování nepřejí, sledovat.

Google rozlišuje Consent Mode třemi způsoby:

Consent Mode se na webu neřeší nebo řeší špatně:

• Typicky jde o případy, kdy se legislativa moc neřeší. Na webu je nasazený určitý Google trackovací kód (Google Ads nebo Google Analytics), lišta buď chybí a nebo je špatně nastavená. Google tedy nedostává žádné preference nebo se vůbec nesbírají.
• Měřící kódy jsou spuštěné vždy, jako by se nechumelilo.

Basic Consent Mode:

• Consent Mode se na webu řeší, měřící kódy se spouští až se souhlasem uživatelů.
• Google dostává jen tu část odsouhlasených dat a zatím netuší, jak velká je díra chybějících dat. Ty si přesto dokáže nějakým alternativním způsobem dopočítat (avšak ne úplně jednoduchým způsobem).
• Legislativně jde o lepší verzi, avšak z pohledu Googlu jde o poměrně náročné řešení.

Advanced Consent Mode:

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

• Vznikl v reakci na Basic Consent Mode. Měřící kód je spuštěný vždy a reklamní systém sám přizpůsobuje své chování podle toho, zda uživatelé na webu Consent Mode udělili (dali souhlas) nebo ne. Bez souhlasu se posílá Googlu jen zbytek základních anonymizovaných dat bez osobních údajů nebo cookies.

Jak vypadají snippety kódů na pozadí “zdrojáku”, ukazuje Jan Tichý v záznamu z webináře:

Implementace kódu má různé variantnosti. Pokud máte na webu nasazenou lištu skrze CMP nástroje, jako je například Cookiebot, uvedený kód nikam nepíšete. Nástroj vše vyřeší za vás.

Ze všech verzí vyplývá, že Advanced Consent Mode je nejlepší a doporučované řešení. Reklamním systémům dává nejlepší obrázek pro remarketing a následné rozhodování, cílení a propočítávání konverzí a jiných aktivit.

Jak šel čas s Consent Modem

V první vlně Consent Modu šlo Googlu hlavně o souhlas s ad_storage a analytics_storage cookies, ostatní ignoroval. Hlavním cílem z pohledu uživatelů bylo získat kontrolu nad tím, jak Google s datama nakládá v reklamě, analytice, bezpečnosti, personalizaci a funkčnosti. 

• ad_storage → souhlas s ukládáním a používáním marketingových cookies (pro rozpoznání a remarketing uživatelů, typicky skrze Facebook, Google Ads, Sklik apod).
• analytics_storage → souhlas s ukládáním statistických a analytických cookies v rámci GA, Hotjaru, session trackingu atd.

Od 6. 3. se ale vedle ad_storage a analytics_storage přidává ještě:

• ad_user_data → souhlas s posíláním osobních údajů typu e-mail a telefon.
• a ad_personalization‘ → souhlas s personalizováním dat, které Google dosud dostal (například v rámci remarketingu).
• Máte s výše zmíněnými cookies souhlas? Pokud bude jakákoliv dílčí část chybět anebo bude zamítnutá → Google ji nebude provozovat.
• Chybí souhlas s ad_storage? → Přestanou fungovat 3rd party cookies.
• Chybí souhlas s ad_personalization? → Přestane fungovat remarketing. Noví uživatelé (příchozí na web od 6. 3.) nebudou spadat do remarketingových publik.
• Můžeme mít sice souhlas se sběrem marketingových cookies, ale pokud nemáme ad_personalization, nemůžeme s nimi nadále nikterak nakládat.

Google nově chce, abychom nějaký Consent Mode na webu měli. Když web nebude preference zjišťovat, přestanou fungovat Google Adwords, přestane fungovat. remarketing, nebudou se správně měřit konverze… zkrátka se celý měřící systém rozbije, protože nebudou fungovat jakékoliv reklamní pixely na vašem webu.

Co se stane, pokud změny neprovedeme?

GA4, Sklik, Facebook budou zatím měřit normálně, ovšem změny nastanou u Googlu:

• Weby bez Consent Mode → Google Ads měří prokliky, neměří konverze ani nepřidává nové uživatele do publik.
• Consent Mode 1.0 → Google Ads měří prokliky a konverze, ale nepřidává nové uživatele do publik. Bez souhlasu s ad_personalization nefungují remarketingová publika.
• Consent Mode 2.0 → S přidáním ad_user_data a ad_personalization Google Ads měří vše jako obvykle a respektuje vše podle preferencí uživatelů, domodelovává chybějící data.

Jak má správně právně vypadat uspokojivá souhlasová lišta

V první vlně novely zákona o elektronických komunikacích bylo legislativně nutné sbírat souhlasy:

• Dobrovolně (opt-in) → Uživatel měl mít možnost volby, bez manipulace s předem zaškrtnutou odpovědí.
• S každým účelem → Uživatel měl mít možnost dát souhlas s každým druhem cookies zvlášť (povinně s analytickými, a marketingovými cookies).

Co si pod “každým účelem” od 6. 3. představit:

• souhlas s analytickými cookies,
• s marketingovými cookies,
• souhlas s propojením dat v nástrojích,
• souhlas s využitím e-mailu,
• souhlas s využitím telefonního čísla.
• Aby vše prošlo správně právně, nová verze lišty by musela mít opt-in možnosti u všech účelů najednou.

Nová podoba lišt by mohla mít například následující náležitosti:

Googlu bude úplně jedno, jakým způsobem lištu nastavíte. Jde mu o to, aby na webu lišta byla a že na ni někdo klikne. Jedna z únosných verzí může být spojit všechny účely do “analytika a marketing” s tlačítkem “potvrdit” nebo “odmítnout”.Taková verze se ale nemusí líbit Úřadu pro ochranu osobních údajů.

Co by se tedy mělo změnit po textové stránce věci?

Nově by v souhlasové liště mělo zaznít, že pracujeme s daty v rámci marketingu a analytiky. Výrazy “marketingové a analytické cookies” nebo obecně “cookies” budou pasé. V souhrnném dokumentu na webu musí být informace o tom, že vedle Google nástrojů pracujeme také s e-mailem a telefonem uživatelů.

Další možné verze použití ukázala Petra Dolejšová na webináři:

Případně mrkněte na to, zda máte všechny náležitosti nastavené správně, Petra je zmiňuje ve svém příspěvku na LinkedIn:

Q&A k tématu

Dali jsme dohromady dotazy vás uživatelů nejen z webináře, ale i z facebookové skupiny Webová analytika, kde se téma cookie lišt probírá poslední měsíc dosti hojně. Některé dotazy jsou pokročilejší, jiné úplně základní, ale věříme, že pomohou:

1. Musíme v nové verzi získat opět souhlasy? Respektive musíme vyjádření, které nyní máme vynulovat a sbírat je znovu?

Odpověď: Pokud pracujeme s e-mailem a telefonem dobře, tak není nutné, ale pokud ne, je nutné vyjádření vynulovat. Právně je i tak dobré sbírat souhlasy pro jistotu po novu.

2. Týkají se změny i jiných analytických nástrojů? Například Matomo?

Odpověď: Nařízení se týká hlavně vytipovaných Gatekeeperů jako je META, Amazon, Google, Apple, Microsoft, ByteDance a Alphabet…, je důležité si zjistit, zda spadá nástroj mezi některé z nich:

3. Co přesně Google sbírá při nesouhlasu z cookies lišty?

Odpověď: Nejbližší vysvětlení, jaká data se posílají, je v nápovědě od Googlu. Případně v této nápovědě, kde je i video, kde se mluví o tom samém.

4. Lze používat i vlastní / open source řešení, anebo je nutné používat pouze Googlem certifikované CMP?

Odpověď: Povinnost mít Googlem certifikované řešení se týká pouze publisherů, tedy těch, kteří mají na své straně nějakou reklamní plochu. Majitelé webů/e-shopů, inzerenti a ostatní můžou využít vlastní řešení, pokud bude splňovat všechny nové podmínky (správné texty, nastavení, povinnosti aj.

5. Týká se nové nařízení opravdu pouze EU nebo i zbytku světa?

Odpověď: Nařízení se týká opravdu pouze na území Evropské Unie, evropských klientů. Chování remarketingových pixelů dokáže rozpoznat IP adresu zařízení a podle toho přizpůsobuje své chování. Uživatele přicházející ze zařízení odjinud než z území Evropské Unie nebo Evropského Hospodářského Prostoru automaticky vynechává.

6. Pokud máme na webu Cookiebot, je lišta automaticky aktualizovaná o nové parametry ad_user_data a ad_personalisation? Není tedy nutné v liště cokoliv upravovat?

Odpověď: Pokud máte Cookiebot a jiná CMP řešení nasazené přímo na webu, všechno posílají sami. Co určitě chce minimálně změnit, je text na liště. Petra Dolejšová to podrobně vysvětluje v části textových změn. Pokud máte ale řešení nasazené skrze GTM, je nutné ho aktualizovat.

7. Je nějaké řešení consentu i pro WordPress? Nějaké skrze free nebo placený plugin za rozumnou cenu?

Odpověď: Jedno z možných řešení je použít nástroj, které má Google v oficiální certifikaci.

Jeden z doporučovaných placených nástrojů je pak CookieYes, kde je možné si poslat při souhlasu s jednotlivou kategorií cookies vlastní skript.

Bezplatná verze umožňuje scan 100 stránek a 25k views za měsíc, což na většinu webů stačí. Scan 100 stránek lze i obejít, protože můžete naskenovat jenom všechny unikátní obsahové typy, takže pokud máte i e-shop, je možné naskenovat 10 stránek místo 1 000. Plugin je CMP, takže správa jde přímo v jejich dashboardu.

WordPress specialista Jan Drábek ve svém příspěvku ve skupině WordPress CZ/SK zmiňuje, jak CookieYes nasadit správně:

1. Instalace CookieYes – Je vhodné ji udělat přes WordPress admin, protože jen díky aktivaci z adminu dostanete do CookieYes dashboardu více free stránek.
2. Po instalaci přejděte do dashboardu a nastavte si jazyk na češtinu a pak upravte design banneru dle potřeby.
3. V cookie scanneru zastavte běžící scan a pusťte si nový vlastní jen na vybrané stránky, doporučuji zvolit unikátní obsahové typy.
4. Banner máte vyřešený. V nastavení je Consent Mode povolený automaticky, takže není potřeba nic řešit.

Integrace pomocí Google Tag Manageru – Tomuto kroku jsem se nevyhnul, ale integrace je hodně easy. Na webu mi nasazení komplet lišty trvá tak 5 minut včetně vyřešení consent modu. Tenhle krok je nezbytný, protože consent ovládá cookieyes a vyžaduje správný tag.

1. Tag manager musíte mít nasazený a nebo nasadit. Nejjednodušší varianta je třeba přes SiteKit.
2. Musíte přidat značku pro CookieYes s konfigurací pro consent. Mají to dobře popsané v nápovědě a je to pár kliků:
3. Pak nezapomeňte odeslat změny. Nyní je vše funkční a přes funkci náhledu je možné consent jednoduše otestovat.

Vypnutí CookieYes – Důležitý krok je vypnutí pluginu na webu, protože dává script do stránky, ale současně tam ten script dává i Tag Manager, takže se to může vzájemně prát. Jakmile plugin vypnete, máte vyřešeno.

8. Chápu správně, že parametry „ad_user_data“ a „ad_personalization“ mi zaručí sběr zmíněných anonymních cookies? Za předpokladu správně nastavených triggerů v GTM?

Odpověď: Vlastně to tak není. Ty nové parametry se týkají jen Google Ads a netýkají se (zatím) vůbec Google Analytics 4. Takže pokud mluvíte o behaviorálním modelování chybějících dat v GA4, tak v tomto ohledu nemusíte dělat vůbec nic a tam se to bude chovat s dosavadním consentem pořád stejně.

Consent Mode v2 se týká (zatím) jenom Google Ads. A tam implementačně fakt stačí, když budete při consent default a consent update vedle dosavadních dvou analytics_storage a ad_storage příznaků posílat ještě další dva – ad_user_data a ad_personalization (dneska se dokonce navíc ukázalo, že stačí přidat jenom ten druhý z nich). To je vlastně skoro celá minimální změna, co je potřeba implementačně udělat. Neřešíme teď právní dopady, jak změnit nebo přetextovat samotnou lištu, ale to teda neřeší ani Google. Jemu stačí, když mu tam ty parametry prostě přibydou a když je tam uvidí.

9. Jak získám anonymní cookies do GA4, i když mi uživatel nedá na žádný parametr souhlas? A můžu vůbec?

V GA4 se vše měří pořád stejně, GA4 ovlivňuje jen a pouze analytics_storage, stejně jako dosud. Když je ‘granted’ (schválený), tak se měří v plné palbě. Když je ‘denied’ (zamítnutý), posílají s Analytics jen anonymizované hity a podle nich pak modelují.

V reklamním systému Google Ads rozhodují ty tři další parametry:

ad_storage – Určuje, jestli se smí pracovat s reklamní 3rd party cookie.

• Když je ‘granted’, tak Google Ads u konverze přesně vědí, ke kterému prokliku ji přiřadit, u cílení/remarketingu/biddingu znají daného uživatele a můžou ho profilovat a cílit.
• Když je ‘denied’, tak na ni systém nesmí sáhnout, takže nemá k čemu přiřazovat prokliky a konverze, podle čeho budovat remarketing publika. Čili s touhle zakázanou cookie jde u kýženého uživatele pryč prakticky všechno přesné cílení a přiřazování konverzí. Právě v takových případech to Google Ads u reportů nahrazují konverzním modelováním. A remarketing nefunguje, protože nemáme id uživatele, kterého bychom mohli přidat do publik.

ad_user_data – Tohle je podobná varianta na předchozí odstavec, jenom mimo tu cookie je párovacím klíčem e-mail/telefon/adresa/… daného uživatele. Je to pro Google příprava na dobu, až 3rd party cookies nebudou fungovat vůbec.

• Už i dnes při zakázaném ad_storage, ale povoleném ad_user_data bude velká část věcí z předchozího odstavce fungovat, protože se namísto 3rd party cookie u uživatele propárují jeho osobní údaje.
• Naopak, když bude ad_storage i ad_user_data zakázané, tak viz předchozí odstavec, žádné přesné měření se nekoná, konverze se odhadují (modelují) a remarketing neremarketuje.

ad_personalization – To je dodatečný příznak, který u dvou předchozích bodů říká, že se mohou použít i právě pro přidání daného uživatele do remarketingových publik. Jak se chová vzhedem k preferencím:

• Když je tedy ad_personalization povolené, (a pokud budou zároveň povolené i předchozí příznaky) bude uživatel přidán do našich remarketingových publik.
• Naopak pokud je ad_personalization zakázaný, data z předchozích dvou bodů se použijí jen pro počítání konverzí, ale ne pro remarketing.

10. Který parametr(y) tyto anonymní cookies „sbírá“?

Odpověď: Pro GA4 je potřeba analytics_storage pro Google Ads je potřeba ad_storage.

Co se může dít za předpokladu povolených ad_user_data?

Odpověď: Tím říkáme, jestli máme nebo nemáme od uživatele povolené posílat do GAds jeho další osobní údaje (e-mail, telefon, adresu…) jako doplněk/náhradu místo 3rd party cookies (tedy místo ad_storage). Pokud je dosud neposíláte, nemusíte to řešit. Pokud je posíláte (tedy jinými slovy, pokud máte Enhanced Conversions), pro ty ten výslovný souhlas uživatele stejně už dávno asi tak posledních 6 let podle GDPR mít musíte (mimochodem, to je to, co nikdo posledních 6 let neřeší – souhlas z cookie lišty s marketingovými cookies nestačí, to je úplně jiný souhlas s úplně něčím jiným), takže tím Googlu jenom potvrdíte, že ho máte.

11. Musím umožnit vstup na můj web, přestože návštěvník cookies neodsouhlasil?

Odpověď: Ano. Jinak totiž nejde o dobrovolný souhlas, uživatelé nesmějí mít pocit, že jsou za odmítnutí “trestaní”. Pokud se kontrola namátkově dozví, že se tohle děje, už to je samo o sobě průšvih.

Pokud je ale váš byznys postavený na tom, že prodáváte placený obsah a vy od nich chcete e-mail při registraci, tak zde už nejde o jakékoliv “vynucování” dat.

Je možné lidi motivovat za to, co získají, když vám svůj souhlas dají (například e-book zdarma apod.), ale bacha, i tak to neznamená, že s jeho e-mailem můžeme svobodně nakládat například na Facebooku, zde už musí být explicitně oddělený souhlas.

12. Jak je to s consentem v mobilu? Je nutné mít consent lištu i v aplikacích (Android, iOS)? Pokud chceme trackovat návštěvnost v Analytics.

Odpověď: Nějaké souhlasy určitě mít musíte. Zákon říká, že, co platí na webu musí být i v aplikacích. Pokud chcete párovat ad_user data i ad_personalization, je nutné všechny aplikace aktualizovat, nasadit nové řešení, které toto vše řeší. 

13. Jak lze otestovat, že consent mode 2 je implementovaný správně?

Odpověď: V administraci GA4 je sekce “Data streams”, kde přibyla sekce, která ukazuje, jestli na měřeném webu je vše v pořádku nebo ne. Přestože se změny týkají primárně Google Ads.

14. Je z právního hlediska v pořádku zasílání dat server-to-server bez souhlasu, server side tagging, nesouhlas s cookies a data jdoucí přes CAPI do FB Ads?

Odpověď: Pokud jakkoliv “saháte” do zařízení uživatelů a jakkoliv data párujete…, je nutné souhlas získat. Zde jde o základní problematiku GDPR.

15. Je možné při implementaci advanced verze Google Consent Mode v2 vidět anonymizovaná data používaná například pro dopočet dat bez souhlasu, v rámci exportu neb streamingu z GA4 do BigQuery?

Odpověď: V rozhraní GA4 anonymizovaná data nevidíte, tam vidíte pouze tu část consentovanou a ukáže pouze tu odhadnutou část, nic konkrétního. Nicméně, pokud si zapnete export z GA4 do BigQuery, tak tam padá vše agregovaně, včetně nekonsentovaných dat. Ty jsou ale očesané o cokoliv, co by consentu mohlo podléhat, nejsou tam data ze zařízení (cookies) neměly by tam protékat data typu adresy, user id apod. Pokud tam máte vlastní custom parametry, je vaše odpovědnost si pohlídat, co vám v nich protéká za data.

16. Jak je to s obsahovými (zpravodajskými) weby? Pokud chceme sledovat například čtenost článků? Vše anonymizovaně.

Odpověď: Pokud chceme jen čisté údaje o čtenosti bez osobních dat, jednoduché číslo pageviews bez vazby k chování, nepracujeme s cookies, zde se vejdeme do řešení bez lišty (souhlas nepotřebujeme). Pokud ale potřebujeme pracovat s konkrétním uživatelem (mluvíme například o průměrné návštěvě, době strávené u článku apod.), souhlas už potřebujeme.

17. Je nutné odkazovat na privacy policy jednotlivých zpracovatelů?

Odpověď: Nutné to není, ale pokud nástroje pracují jakkoliv po svém, odkaz určitě neuškodí.

Závěrem

Nové nařízení rozhodně nepodceňujte a pořádně se připravte. Je jasné, že určité dopady budou a budou zásadní pro všechny majitele webů. Na druhou stranu na to nejste sami. Téma se momentálně dost rozebírá nejen ve zmiňované facebookové skupině Webová analytika, ale existuje i spousta dalších zajímavých zdrojů. Například článek od Agentury Taste.

Pokud byste si s čímkoliv nevěděli rady i z hlediska práva, nebojte se ozvat i přímo Petře Dolejšové.