Pavel Šabatka

Rubrika: GDPR

  • GTM v rozporu s GDPR

    Soud v Německém Hannoveru rozhodnul, že používání Google Tag Manageru (GTM) je v rozporu s GDPR. Tohle rozhodnutí mě zaujalo – protože se netýká měřicí nebo marketingové platformy, ale GTM – který by měl být „nezaujatý spouštěč“ marketingových kódů.

    O co přesně šlo? A jaký dopad to bude mít na měření?

    Celý text rozsudku je na stránkách Dolního Saska. Nejsem právník a k překladu jsem použil Google Translator (německy neumím). Tento článek neberte jako právní rady, ale jako můj pohled na situaci.

    Jak bylo měření webu postaveno

    Přesné řešení není známo, z obhajoby jde ale odvodit:

    • Na webu byl Google Tag Manager, který se načítal hned po spuštění stránky.
      GTM byl nastaven tak, aby podporoval Consent Mode 2. Výchozí nastavení u všech tagů bylo „denied“.
    • Spouštěla se funkční cookie lišta.
      Nejsem si jist, jestli splňovala vizuální požadavky GDPR na vzhled (přítomnost všech tlačítek, jejich velikosti), to ale není předmětem tohoto článku.
    • Marketingové a měřicí kódy se spouštěly vždy až po udělení souhlasu.

    To bych označil jako „běžné nastavení“ podle Consent Mode 2.0 a doporučení Google. A takto je nastavena většina běžných webů.

    Mezi řádky…

    Součástí rozsudku je poměrně rozsáhlá argumentace k tomu, proč stávající řešení nevyhovuje. Zde vybírám několik zásadních věcí (dovolil jsem si je zkrátit a pro čitelnost lehce upravit). A přidávám vlastní interpretaci.

    Rozsudek: GTM není službou výslovně požadovanou uživateli webových stránek, ani neposkytuje přidanou hodnotu ani funkci pro používání webových stránek.

    GTM tedy nelze považovat za technicky nezbytně nutný pro funkčnost webu.

    Rozsudek: …GTM je nezbytný z ekonomických důvodů…, nepřevažuje to ale nad právy uživatelů…

    GTM nejde načítat v oprávněném zájmu. Je otázka, jak by toto soud posuzoval, pokud bychom se nebavili o tag manageru od Google, ale od nějakého jiného poskytovatele.

    Rozsudek: Google Tag Manager je načítán z domény www.googletagmanager.com

    Pokud na internetu cokoliv načítáte odkudkoliv, vždycky při tom přenášíte IP adresu, cookies a informace o zařízení uživatele. To je součástí technologie, na které je internet postaven a toto nejde změnit. Tj. pokud načítáte GTM z domény www.googletagmanager.com, vždy společnosti Google poskytujete osobní údaje. Navíc tím posíláte data mimo EU. A to ještě před udělení souhlasu.

    Rozsudek: Žalobce službu k těmto účelům používá a tvrdí, že samotný Google Tag Manager nenastavuje ani nečte soubory cookie, ale pouze služby spravované tímto nástrojem.

    Podle mého může mít v principu žalobce pravdu, GTM by cookies bez souhlasu číst nemusel. Do jeho kódu ale nevidíte a nemůžete s určitostí tvrdit, jestli to opravdu dělá, nebo ne.
    Při samotném načtení GTM ale k přenosu IP adres, cookies atd. rozhodně dochází.

    Jak tedy nastavovat GTM

    Používat Server-Side GTM (SGTM) nebo Google Tag Gateway? Jiný nástroj? Jak to má být správně?

    To už se v rozsudku bohužel nepraví.

    Jednoduché vložení GTM není v souladu s GDPR. Ať máte nastaven Consent Mode 2.0 nebo ne.

    Pojďme se mrknout na jiné možnosti.

    Google Tag Manager

    Víme, že GTM není technicky nezbytně nutné. Potřebujeme technické řešení, které bude respektovat souhlas (první řešení) nebo ho obhájíme jako oprávněný zájem (ostatní).

    Máte několik možností, jak s GTM pracovat:

    1. GTM z domény www.googletagmanager.com načítat až po udělení nějakého souhlasu
      Před udělením souhlasu skript úplně blokovat. Některé cookie lišty toto umožňují samy. Nebo by vám s tím musel pomoct programátor.
      Respektujeme souhlas uživatele s měřením.
      Za mě OK.
    2. Použití Google Tag Gateway
      GTG vzniklo jako projekt Google a Cloudflare. Technicky jde request jdou z prohlížeče přes Cloudflare, kde přesměrován na endpoint Google. Nikde jsem ale nenašel, že by Cloudflare odstraňovalo původní IP adresu, cookies apod.
      V případě sporu je to podle mě spíše neobhajitelné, tj. za mě spíše NE.
    3. Použití SGTM na Google Cloud
      Pokud hostujete SGTM na Google Cloud Run, stále jdou při načtení GTM uživatelská data na servery Googlu, byť na vaši placenou službu.
      A nejsem si jist, jak by toto hodnotila legislativa, nicméně za mě spíše NE.
    4. Použití SGTM hostovaný mimo Google ekosystém
      Tady předpokládám, že jste schopni SGTM obalit firewallem a máte pod kontrolou, co přesně kam posíláte.
      Za mě spíš OK.
    5. Použít proxy pro GTM (nebo SGTM) a GTAG
      Můžete si udělat vlastní „krabičku“, přes kterou poteče request, očistíte ho o všechno a pak předáte data dál.
      Za mě OK.
    6. Použít nějakou alternativu GTM na vlastním hostingu
      Existuje několik alternativ GTM, a to european-alternatives.eu nebo na omr.com. Pokud použiji alternativní nástroj, ideálně na vlastním hostingu, věřím, že toto může být v oprávněném zájmu.
      Za mě OK.

    Google Analytics 4 a Google Ads

    Bez souhlasu posílají GA4 a GAds ve výchozím nastavení Consent Mode 2.0 na servery Google „anonymní pingy“. Při tom neumisťují cookies. Ale – jak už bylo zmíněno výše – vždy, když posíláte cokoliv na internetu, je vždy přenesena IP adresa uživatele a ostatní cookies platné pro danou doménu. Ve výsledku tedy anonymní pingy nejsou anonymní.

    Co dál

    Pokud jste webový analytik, vezte, že Consent Mode 2.0 není zárukou toho, že máte vše v pořádku. A pokud spoléháte v nastavení jen na toto, pak je možná na čase přehodnotit přístup.

    Pokud jste majitel webu, ověřte si, jak přesně máte měření nastaveno. Dokážete opravdu opravdu danou konfiguraci obhájit, pokud vám přijde z úřadu dopis?

    Potřebujete s tím pomoct?

    Napište mi
    Sdílet na LinkedIN

  • Cookie lišty nakonec i v ČR

    Poslaneckou sněmovnou prošla novela zákona o elektronických komunikacích. Ta přináší zásadní změny v používání cookies na webech. Zákon sice ještě čeká na podpis prezidenta, je ale pravděpodobné, že začne platit od 1. 1. 2022. Co to znamená a co je třeba do té doby udělat?

    Co se přesně mění?

    Dosud byl v Zákoně o elektronické komunikaci uplatňován princip opt-out, což znamená, že uživatele po příchodu na web upozorníte, že používáte cookies, ty ale využíváte hned po jeho příchodu na web. Typicky se jedná o lišty ve smyslu „Web používá cookies, jeho používáním s tím souhlasíte“:

    Nově bude třeba, aby uživatel dal s využitím cookies jasný souhlas –⁠ např. kliknul na tlačítko „Souhlasím“ apod. A teprve poté lze začít využívat cookies a jiné podobné technologie. Takto má souhlas zpracovaný server idnes.cz:

    Poznámky:

    • Zákon se týká i podobných technologií, např. browser storage apod. Nejde tedy pouze vyměnit cookies za jinou technologii, která ukládá nějaká data na počítač uživatele.
    • Zákon se netýká technicky nezbytných cookies –⁠ např. nutných pro přihlašování do služby nebo pro uložení košíku eshopu.

    Co to v praxi znamená?

    Cookies využívá spousta nástrojů na webu. Namátkou jsou to:

    • měřicí nástroje –⁠ Google Analytics, Hotjar, Smartlook,…,
    • remarketingové platformy –⁠ Google Ads, FB pixel, Sklik Remarketing,…,
    • konverzní kódy –⁠ Google Ads, FB pixel, Sklik Remarketing,…,
    • affiliate měřicí kódy –⁠ CJ, AffilBox,…,
    • chatovací nástroje –⁠ SmartSupp,…,
    • videa vložená do webu –⁠ YouTube, Vimeo,…,
    • tlačítka sociálních sítí pro sdílení nebo komentování –⁠ FB like box,…,
    • a další.

    Všechny tyto platformy a nástroje bude třeba upravit tak, aby nevyužívaly cookies bez souhlasu uživatelů. Pokud spravujete web nebo e-shop, téměř jistě vás čeká velké množství práce.

    Mimo samotných technických úprav bude mít ale změna další důsledky. Část uživatelů vám souhlas s používáním cookies neudělí (a můžete předpokládat, že to bude více než 50 %. Což bude mít další důsledky) a část z nich můžeme odhadnout už nyní:

    • Drastické snížení výkonu remarketignových a RTB kampaní –⁠ nebudete moci cílit remarketingové reklamy na uživatele, kteří k tomu nedali výslovný souhlas. Což v praxi může být v lepším případě polovina uživatelů. Provozovatelé se s tím snaží pracovat, např. AdFom představil koncept First-Party ID.
    • Nepřesná data v Google Analytics –⁠ i bez cookies můžete spouštět kód Google Analytics, uživatelé bez souhlasu se ale budou jevit jako jednostránkové návštěvy (bounces). Každá další stránka bude brána jako nová návštěva a nový uživatel. Bude tedy poměrně obtížné vyhodnotit měření konverzí i v rámci sessions, multifunnel bude téměř nemožný.
    • Konec vyhodnocení kampaní v rozhraní marketingových platforem –⁠ počet konverzí zaznamenaných v konverzních kódech (Google Ads, Sklik, Heureka, Zboží,…) bude výrazně zkreslen. Data pro optimalizaci kampaní budou v platformách jen obtížně použitelná.
    • Dopad na affiliate platformy a jejich partnery –⁠ ty používají cookies k připsání provize partnerovi, který konverzi přivedl. Tedy partneři by měli přijít v lepším případě o 50 % připsaných konverzí. U nich předpokládáme přechod na jiný způsob připisování konverzí, např. používání slevových kódů.

    Problém s vyhodnocením kampaní

    Problém s daty budou mít Google Analytics v tom, jak budou vyhodnocovány konverze jednotlivým zdrojům. Představme si situaci, že na web přijde uživatel z Google / CPC, projde 4 stránky, ve kterých na webu nakoupí. To může vypadat nyní nějak takto:

    Nyní (s cookies) vidíme v GA, odkud uživatel přišel i za kolik v rámci dané návštěvy nakoupil. Co se ale bude dít v době souhlasové? Vezměme 2 příklady:

    Uživatel nedá souhlas

    Pro stejný případ, ve kterém uživateli zobrazíme na úvodní stránce cookie lištu, ale uživatel klikne na „Nesouhlasím“:

    Google Analytics posílají na server pingy, které si nesou informaci, jestli jsou se souhlasem nebo bez něj. Pokud nedostanu cookies, celá session se v Google Analytics neobjeví.

    Uživatel dá souhlas až na 2. stránce

    Fajn, co se ale stane, pokud uživatel souhlasí, ale ne hned na první stránce?

    V takovém případě i tak ztrácíme informace o původním zdroji. Souhlas je tedy třeba získat co nejdřív. Pokud uživatel nedá souhlas na první stránce, bude to mít výrazný vliv na vyhodnocení kampaní.

    Google Analytics 4 dokážou částečně mezery v datech zaplnit –⁠ pro práci s konverzemi dokážou část konverzí na základě modelování konverzí odhadem přiřadit jejich zdroji. Data o chování návštěvníků (jaké stránky viděli, flow na webu atd.) budou chybět. V Universal Analytics budou chybět všechna data.

    Co je třeba udělat?

    Čeká vás určitě několik základních kroků

    1. Mapování –⁠ je třeba si sepsat, jaké vlastně používáte nástroje a jaké tyto nástroje využívají cookies. Dále je třeba sepsat si interní procesy, které využívají tyto nástroje, a popsat jak se jich úpravy dotknou.
    2. Nasazení nástroje pro sběr souhlasů –⁠ můžete vybrat nějaký z existujících (většinou placených) nástrojů, nebo vytvořit vlastní.
    3. Technická úprava měření a marketingových platforem –⁠ bude třeba upravit spouštění marketingových platforem tak, aby respektovaly souhlas uživatele. Pokud používáte Google Tag Manager, bude to pro vás jednoduší. Pokud ne, doporučujeme s tím začít.
    4. Technická úprava webu –⁠ typicky se jedná a videa vložená na vašem webu, FB a jiná sdílecí tlačítka apod., která vkládají do webu přímo vaši programátoři. Bude třeba, aby to nedělali. A např. místo videa zobrazili statický obrázek, video pak načítali teprve po kliknutí uživatele.
    5. Úprava procesů –⁠ optimalizujete kampaně? Děláte reporty z Google Analytics? Zamyslete se nad tím, jak toto budete dělat nově.
    6. Papírování –⁠ doporučujeme při této příležitosti revidovat, jestli máte uzavřené smlouvy se subjekty, které zpracovávají vaše data (nebo k nim mají přístup).

    Nečekejte!

    Nařízení platí od 1. 1. 2022 a nastavení cookie lišt není otázkou pár minut práce. Nějakou dobu vám také zabere experimentování a testování, jak budou novým způsobem sbíraná data vypadat a jaké formáty cookie lišty vám přináší největší opt-in rate. Začněte co nejdříve!

    Napište mi
    Sdílet na LinkedIN