Upozornění: Tento postup nenahrazuje plnohodnotný audit internetových stránek. Postup je určen převážně pro kontrolu menších webů, čemuž je přizpůsobena i použitá terminologie a metody.
Cookies: základní terminologie
Ačkoliv je celá problematika poměrně složitá, pro základní analýzu nám postačí následující pojmy:
Cookie – datová informace ukládaná v prohlížeči návštěvníka stránek. Pro účely tohoto článku budeme jako cookie chápat i ekvivalentní technologie, jako objekty v místním úložišti a úložišti relace.
Cookie lišta – webové dialogové okno, které návštěvníky informuje o využití cookies a v případě potřeby získá jejich souhlas.
Technické cookies – tyto jsou nezbytné pro správné fungování stránky.
Netechnické cookies – bez nich stránka může normálně pracovat, většinou jde o cookies z kategorií níže.
Analytické cookies – tyto stránka využívá pro analýzu návštěvnosti.
Marketingové cookies – souvisí s profilováním a marketingem, včetně retargetingu.
Preferenční cookies – díky těmto si stránka pamatuje různá nastavení na míru, jako jazyk, barvy, font, velikost rozlišení atd.
Vzorový scénář kontroly webových stránek
Výrobní podnik, menší e-shop, obec či škola si nechá na zakázku vyrobit webovou prezentaci. Předpokládejme internetové stránky s jednoduchou lištou, která se objeví hned po načtení stránek.
Tato se zobrazí ve střední části okna prohlížeče a má 2 tlačítka – „Povolit vše“ a „Nastavení“, přičemž první tlačítko je výraznější a větší. Návštěvník je na stránky plnohodnotně vpuštěn po provedení (jakékoliv) volby v cookie liště, do té doby není možné stránku posouvat ani klikat na odkazy mimo lištu.
Zmíněná webová prezentace obsahuje extra stránku se základními informacemi o cookies, kde je návštěvník stránek informován o kategoriích cookies a jejich účelu, přičemž lišta se objevuje i na této stránce. Stránka využívá externí služby pro analýzu návštěvnosti a retargeting pro reklamu.
I když je web připravený externí společností, za soulad s regulací, zejména požadavky zákona o elektronických komunikacích a GDPR, je stále odpovědný vlastník a provozovatel webu. Jak si má odpovědná organizace zkontrolovat, že cookies jsou používány v souladu s právními předpisy?
Použité nástroje k analýze webu
V našem případě si vystačíme s trochou selského rozumu a internetovým prohlížečem Microsoft Edge. Je běžnou součástí Windows 10 a vyšších, takže ve většině případů není třeba nic instalovat a pro základní analýzu obsahuje vše potřebné. Selský rozum pak použijeme při klasifikaci cookies.
Nastavení prohlížeče
Prohlížeč je třeba nejdříve nastavit. Po spuštění stiskneme klávesy CTRL+SHIFT+DEL a vyčistíme vyrovnávací paměť. Je třeba zaškrtnout minimálně položku „Soubory cookie a další data webu“, lze doporučit i „Obrázky a soubory uložené v mezipaměti“. Následně, po stisknutí tlačítka „Vymazat“, na stejné stránce vypneme veškeré ochrany proti sledování, ochrany osobních údajů, přizpůsobení reklam atd. Deaktivujeme-li na této stránce s nastavením všechny funkce, chybu neuděláme. Často se stává, že kontrolující ponechá tyto funkce zapnuté, takže v rámci výstupů nedetekují všechny cookies, a aplikovaná opatření pak nejsou dostatečná.
Dále je doporučeno nastavit prohlížeč tak, aby po startu nabíhal na stránku jednoduchou, případně prázdnou. Nebude pak hrozit nastavení nějaké cookie, která by teoreticky mohla výsledky zkreslit. Vyčištění je třeba provést před každou kontrolou webu.
Základní fáze kontroly
Ihned po načtení stránky stiskneme klávesu F12 a zobrazíme „Nástroje pro vývojáře“. V horní liště nalistujeme kartu „Aplikace“ a v levém menu klikneme na položku „Cookies“. Zobrazí se seznam cookies, které stránka aktuálně nastavila.
Nyní bychom měli jednotlivé cookies na seznamu klasifikovat. Klíčové informace jsou název cookie, hodnota, doména, pro kterou je cookie nastavena, a také datum a čas expirace cookie. Cílem tohoto článku není přesně identifikovat konkrétní části zdrojového kódu či hlavičky „Set-Cookie“, pomocí kterých došlo k nastavení cookies, proto postup zjednodušíme a pokusíme se cookies vyhledat pomocí informací z internetu, například prostřednictvím služeb Cookiedatabase a Cookiepedia. Tyto databáze cookies obsahují vyhledávací pole, kam když zadáme název cookie, pravděpodobně dostaneme potřebné informace.
V případě druhé z uvedených služeb je třeba nezapomenout přepnout vyhledávací pole z režimu „Website“ do režimu „Cookie“. Lze také použít služby typu Cookiebot. Ne vždy získáme u všech cookies odpověď, pak je třeba dále hledat na internetu nebo kontaktovat dodavatele stránek, který by měl poskytnout relevantní odpověď.
Identifikace neklasifikovaných cookies
Může se stát, že se nám účel pomocí výše uvedeného postupu nepodaří identifikovat u všech cookies. Víme-li, jaká služba cookie nastavila, například podle domény uvedené na řádku s cookie, dobrou pomůckou pro klasifikaci je samotná definice technické cookie a výše zmíněný selský rozum.
Fungují bez této cookie stránky? Ano? Pak pravděpodobně potřebujeme získat od návštěvníka stránek souhlas, přičemž charakter cookie (kategorii) můžeme určit dle charakteru služby.
Nastavuje cookie služba, jejímž hlavním účelem je marketing? Pak pravděpodobně půjde o marketingovou cookie. Je cookie nastavena nástrojem pro analýzu návštěvnosti? Zřejmě bude mít charakter analytické cookie.
Zopakujme, že souhlas nepotřebujeme jen na takové cookies, bez kterých stránky nefungují! Technické cookies by pak zároveň bez souhlasu neměly plnit funkce netechnických cookies, tj. neexistuje, abychom si návštěvníka, který nám nedal příslušný souhlas, marketingově vyhodnocovali například pomocí technické cookie s identifikátorem košíku v e-shopu.
Netechnické cookies fungující bez souhlasu
Pokud takové cookies objevíme, je třeba věc urychleně řešit. Buď musíme upravit nastavení cookie lišty či webu nebo kontaktovat IT dodavatele, aby nápravu sjednal on. Z různých důvodů může dojít k situaci, kdy lišta kvůli nějaké malé změně nebo technickému problému na straně dodavatele najednou přestane fungovat či funguje jen částečně. Těchto případů není málo a netýkají se jen situací, kdy někdo na stránce například zapne nový skript (funkci, algoritmus) a lišta této novince ještě není přizpůsobena.
Špatná klasifikace cookies
Správné fungování cookie lišty bychom měli prověřit i pro jednotlivé kategorie cookies. Nemělo by například dojít k situaci, kdy se marketingová cookie zapne po povolení analytických cookies v liště atd.
Identifikace všech cookies
Opravdu je třeba identifikovat všechny cookies, které jsou na vašem webu nasazeny, jsou ukládány do zařízení návštěvníků vašich stránek? Lze to rozhodně doporučit. Pokud budeme mít na stránce cookies, jejichž účel neznáme, těžko splníme informační povinnost, neboť návštěvník stránek má právo na informace o všech cookies. Řešením proto rozhodně není nastavit lištu tak, aby neidentifikované cookies prostě povolila až v případě povolení všech cookies.
Parametry cookie lišty, informační povinnost
Zde nám s kontrolou pomůže článek „Cookie lišty a udělování souhlasu“ ze stránek českého dozorového úřadu, který můžeme použít trochu jako checklist. Porovnáním zmíněných opatření se vzorovou lištou zjistíme zejména následující skutečnosti:
Stránka lištu potřebuje, neboť netechnické cookies lze využívat jen se souhlasem.
Na stránce v první vrstvě lišty chybí tlačítko „Odmítnout vše“ či významově ekvivalentní volba.
Lišta před provedením volby aktivně brání uživateli stránku využívat a uživatel nemá možnost volbu odložit, např. kliknutím na tlačítko „X“ v rohu lišty.
Informace neobsahují údaje o konkrétních cookies. Důrazně se doporučuje informovat o případných třetích stranách, které cookies nastavují, platnosti cookies a chybět by neměly ani odkazy na informační memoranda třetích stran.
Lištu není možné po poskytnutí souhlasu znovu vyvolat a volbu upravit či odvolat.
Lišta nám do provedení volby aktivně brání ve studiu informací o cookies, takže před provedením volby nemáme možnost si přečíst, s čím vlastně souhlasíme/nesouhlasíme.
Získat musíme souhlas pro netechnické cookies, o těch technických stačí informovat.
Tlačítko pro přijetí všech cookies by nemělo být výrazně větší či barevnější, než tlačítko pro odmítnutí netechnických cookies či podrobnější nastavení webu.
Správné nastavení a průběžná kontrola cookie lišt
Praktické využívání a kontrola cookies není zcela triviálním ani jednorázovým cvičením. Kromě úvodního nastavení před spuštěním webu je nezbytná i průběžná kontrola cookie lišt. Často dochází k situacím, kdy některý z adminů zapne na webu novou funkci, na kterou lišta není adaptována, a na změnu je nezbytné reagovat.
Zvláště u webů, které používají počty cookies v řádech vyšších desítek či stovek, je hlídání souladu velmi složité a lze rozhodně doporučit nasazení nástrojů, které lišty průběžně kontrolují. Některé lišty umí změny v cookies částečně kompenzovat automatickým skenováním stránek s průběžnou úpravou informačního memoranda. Pokud ovšem nové cookies nerozpoznají, vytvoří kategorii „neklasifikované“ a opět tu máme možný nesoulad.
Rizika spojená s dynamickými změnami cookies jsou relevantní zejména pro webové stránky, které využívají marketingové a reklamní nástroje ve větším rozsahu.
To naštěstí není případ zde zmíněného modelového scénáře, který odpovídá malému webu a jednodušší liště, takže bylo možné zjednodušit použité metody i terminologii. Berte tak tento článek jako určitý úvod do problematiky. Zvláště u větších webů se kontrola často neobejde bez specialisty, který se problematice cookies jak z technického, tak právního hlediska aktivně věnuje.
