Nový výklad ePrivacy a digitální marketing

Online marketing velmi často cílí na konkrétního adresáty. K tomu je většinou nutný souhlas. Nová metodika evropských úřadů pro ochranu dat chce použití souhlasu ještě rozšířit.

Nový výklad ePrivacy a digitální marketing

Jak a proč nás reklamní platformy měří

Reklamní platformy sledují uživatele ze dvou hlavních důvodů.

Jsou jimi lepší cílení reklamy a doložení její návratnosti. Online marketing je totiž postaven na myšlence absolutní doměřitelnosti. Jako kontrast ke klasickým médiím byl internet vždy představován jako místo, kde jsme schopni změřit cestu zákazníka, od zobrazení reklamy přes návštěvu webové stránky až po finální nákup.

Reklamní platforma (Google, Meta, apod.) tak na jedné straně potřebuje mechanismus, díky kterému bude schopna spárovat zobrazení reklamy a prodej produktu konkrétnímu uživateli. Na druhé straně sleduje celkové chování uživatele, aby znala jeho zájmy, životní situaci i nákupní preference, a byla tak schopna svou reklamu dobře cílit.

Monitorování či profilování konkrétních lidí a sledování účinnosti zobrazení reklamy nejsou oddělenými nádobami. Naopak, reklamní platformy využívají k zpřesnění uživatelova profilu informace ze stránek, které na základě dříve zobrazených reklam navštívil. A často využívají i informace, co na těchto stránkách dělal, na co kliknul, co si koupil. 

Aby to fungovalo, reklamní platformy potřebují zajistit párování konkrétního uživatele v rámci reklamní platformy i jeho chování mimo ni - na stránkách inzerenta.

Cookies jsou základ

Nejběžnější technologie, díky které to celé funguje, jsou cookies. Uživatel přijde na stránku a do počítače se mu uloží cookies. Textové soubory, do kterých se nahrávají informace o jeho chování na dané stránce. Ty mocnější, cookies třetích stran, umožňují “sledovat” uživatele nejen na jedné stránce, ale napříč internetem. Může je totiž vytvářet a upravovat jiná doména, než na které se uživatel nachází (typicky je vytváří právě reklamní platforma).

Cookies třetích stran představují největší zásah do soukromí. Jelikož právní úprava mezi cookies prvních a třetích stran nerozlišuje, přebírají aktivitu některé prohlížeče (z velkých je to Firefox, Safari, ke konci 2024 by se měl přidat i Chrome) a některá zařízení (Apple ITP). Cookies třetích stran buď kompletně blokují, či alespoň výrazně omezují.

Proto se reklamní platformy snaží párování uživatelů řešit jiným způsobem. Dnešním trendem je snaha o přenesení odpovědnosti za  sběr dat z reklamní platformy na inzerenta. 

Jak nahradit cookies třetích stran?

Různé přístupy si můžeme demonstrovat na příkladu Facebook Ads, které byly dřív na cookies třetích stran také závislé.

Facebook Pixel, který se používá pro vyhodnocování cílené reklamy, Facebook Ads, a který dříve fungoval s cookies třetích stran, nyní můžeme spouštět i s cookies prvních stran. S facebookovým profilem se cookies propojí díky unikátnímu uživatelskému identifikátoru, Facebook click id (fbclid), které Facebook generuje do odkazu v momentě zobrazení reklamy.

Faktickým omezením využitelnosti cookies je jejich navázanost na jedno zařízení, respektive prohlížeč či profil v rámci prohlížeče. Jelikož lidé často přistupují k internetu z více zařízení (pracovní počítač, soukromý tablet, mobilní telefon), jsou možnosti vyhodnocení jejich chování a spotřebitelských zvyklostí čistě na úrovni cookies limitované.

Proto Facebook umožňuje inzerentům kromě Facebook Pixelu využívat své Conversion API. Díky němu může inzerent posílat informace o pohybu uživatele bez využití cookies přímo “server to server”, tedy bez nutnosti ukládat cokoliv do počítače uživatele. V momentě, kdy uživatel přijde na web inzerenta, vloží zboží do košíku, dokončí objednávku, nebo udělá jakoukoliv jinou pro inzerenta hodnotnou akci, může inzerent přes Facebook Conversion API poslat informaci o této události.

Aby Facebook tuto událost spárovat s uživatelem, kterému zobrazil reklamu, inzerent přes Facebook API posílá například jméno, adresu, datum narození, telefonní číslo či e-mail uživatele. Pokud je u něj uživatel registrovaný, může tato data posílat od prvního zobrazení stránky. U neregistrovaných uživatelů je inzerent většinou má až ke konci nákupu a obohacuje tak o ně až události z objednávkového procesu.

Fingerprint: otisk prstu nebo otisk počítače?

Další z metod sledování, které nevyžadují ukládání čehokoliv do zařízení koncového uživatele (a kterou pro pořádek Facebook nepodporuje), je fingerprinting. Snaha získat a analyzovat kombinaci různých dat týkajících se konkrétního uživatele, například informace o poloze, zařízení, výrobci a modelu, operačním systému, prohlížeči a jeho rozšířeních, nastavení displeje, hardwaru. Kombinace těchto dat je do slušné míry schopna identifikovat jednotlivce, resp. odlišit od sebe různé uživatele. 

Proti využívání fingerprintingu se prohlížeče i zařízení snaží aktivně zasahovat. Přestože existují reklamní nástroje, které fingerprinting aktivně využívají, výraznější trend vidíme v přenášení právní odpovědnosti za sběr informací na inzerenty.

Online marketing a právo

Při adresném online marketingu, včetně využívání reklamních platforem, je nutno brát v potaz dvě hlavní regulace

  • ePrivacy směrnici, která mj. řeší ochranu soukromí při poskytování či využívání služeb elektronických komunikací; do českého práva ji převádí (transponuje) především zákon č. 127/2005 Sb., o elektronických komunikacích

  • Obecné nařízení o ochraně osobních údajů (GDPR), které nastavuje pravidla pro další využití (zpracování) získaných dat (osobních údajů); nařízení je přímo účinné a závazné 

V čem se liší zaměření těchto předpisů?

Směrnice ePrivacy a příslušné části českého zákona o elektronických komunikacích chrání soukromí a související práva uživatelů v online světě. 

Obecné nařízení o ochraně osobních údajů je, jak ostatně napovídá jeho název, obecným právním předpisem. To znamená, že se, až na drobné výjimky, uplatní na každé zpracování osobních údajů. To ovšem neplatí, pokud určitý druh zpracování nebo některý jeho aspekt upravuje sektorová regulace, např. V oblasti zdravotnictví, školství, finančního sektoru atd. Nebo při online marketingu, jak to dělá ePrivacy směrnice, resp. zákon o elektronických komunikacích.

Co všechno je v online prostředí osobním údajem?

GDPR pojmy osobní údaj a zpracování údajů definuje velmi široce. 

Osobním údajem se rozumí každá informace, která se týká identifikované nebo přímo či nepřímo identifikovatelné osoby, i když ji třeba ten, kdo tyto informace využívá, sám identifikovat nedokáže. Stačí, když tuto osobu, dokáže odlišit od ostatních uživatelů, návštěvníků webu, například vlastním ID či analýzou jeho prohlížeče a zařízení (fingerprint). Zpracováním je pak takřka každá operace s osobními údaji, kterou si lze představit. 

Co to znamená v praxi?

Pokud chce kdokoliv získávat informace o činnosti uživatele v online prostředí, např. prostřednictvím cookies, musí splňovat podmínky ePrivacy směrnice a českého zákona o elektronických komunikacích. Jestliže získané informace splňují definici osobních údajů a organizace je chce dále využívat, musí k tomu plnit i povinnosti podle GDPR. 

Zní to komplikovaně? Buďme ještě konkrétnější.

Pro přístup k datům, které uživatel má ve svém internetovém prohlížeči, nebo pro uložení dalších dat do jeho prohlížeče za účelem marketingu, analytiky, měření návštěvnosti webu atd., je podle ePrivacy směrnice, a od roku 2022 i podle českého zákona o elektronických komunikacích, nezbytných předchozí souhlas uživatele. Tyto předpisy neznají, jindy tak oblíbený, oprávněný zájem. Takže marketingové či analytické cookies lze získávat vždy jen se souhlasem uživatele, bez ohledu na to, jestli se jedná o cookies první nebo třetí strany.  

Pokud ovšem z cookies o uživateli získáte další informace, nebo je naopak spojíte s daty, která už máte, například o jím využívaných produktech či službách, zařazení do určitého segmentu atd., a tuto datovou sadu dále využíváte například pro vylepšení svých procesů pro obsluhu klientů nebo pro ochranu před podvodníky, jste v režimu GDPR. A pro navazující zpracování v některých případech lze použít oprávněný zájem, na druhé straně je nutné plnit další povinnosti, které GDPR pro každé zpracování osobních údajů ukládá. 

Opt-in pro cookies? Možná i pro  IP adresy či data z internetu věcí

Evropský sbor pro ochranu osobních údajů, orgán sdružující dozorové úřady pro ochranu dat z celé EU, vydal v listopadu 2023 návrh metodiky k rozsahu záběru ePrivacy směrnice. Dozorové úřady se snaží upřesnit, co všechno představuje onen zásah do soukromí v online prostředí, na které musíme uplatnit odlišná, a v něčem přísnější, pravidla. 

Co přesně říká příslušný čl. 5 odst. 3 ePrivacy směrnice?

Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES (nyní v souladu s GDPR), mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.

Česká republika to zajišťuje prostřednictvím § 89 odst. 3 zákona o elektronických komunikacích takto: Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.

Pro určení rozsahu informací, na které se tyto předpisy vztahují, jsou důležité právě ty vytučněné pojmy: Ukládání nebo získávání přístupu k informacím uloženým v koncovém zařízení. Tyto dva druhy zásahu do soukromí uživatelů odrážení zájmy, které regulace chrání: Důvěrnost komunikací a ochrana integrity koncového zařízení uživatele. 

Regulace cookies v praxi

A právě na příkladu cookies si můžeme ukázat, jak to regulace myslí. 

Uživatel se připojí na webovou stránku. Její provozovatel v tom okamžiku přistupuje do jeho prohlížeče a zkoumá, jaké informace o uživateli může z uložených cookies získat. Google ID, Seznam ID, informace o tom, že se jedná o již známého (zalogovaného) uživatele, jaké jsou jeho preference rozlišení či zobrazení webu, odkud na web přišel atd. 

V průběhu připojení také nějaké informace, cookies, do prohlížeče ukládá. Například o aktivitě uživatele na jeho webu, parametrech jeho připojení, o tom, jaké zboží či služby si prohlížel atd. 

Návrh metodiky Evropského sboru pro ochranu osobních údajů se ovšem snaží tento záběr výrazně rozšířit. V příkladech sledovacích technik, které by podle jejich názoru měly také být v režimu ePrivacy směrnice, totiž uvádí i ty, které technicky neznamenají ani přístup k informacím uloženým v koncovém zařízení uživatele, ani ukládá žádných dalších dat. Jedná se například o sledování (trackování) aktivit uživatele prostřednictvím jeho IP adresy, využívání unikátních url adres, monitorování informací (dat), které o sobě samy šíří některé věci připojené k internetu, získávání fingerprintu atd. 

Právě na všechny tyto situace by se podle názoru Evropského sboru měla vztahovat ePrivacy směrnice, resp. její národní transpozice. Pro využití těchto dat k jiným, než technicky nezbytným účelům, by tak byl potřeba předchozí souhlas uživatele. Souhlas aktivní, informovaný a svobodný. 

Kdy bude metodika závazná?

Evropský sbor předložil návrh metodiky k veřejné konzultaci, připomínky může kdokoliv zaslat až do 18. ledna 2024. Podle dosavadních zkušeností lze očekávat, že sbor obdrží řadu komentářů, některé z nich asi i zohlední, a konečnou verzi metodiky vydá v létě 2024.

Věřme, že takto extenzivní výklad, který navíc zřejmě postrádá jednoznačnou oporu v právu, v konečném znění nebude. Třeba proto, že Evropský sbor sezná, že se ve svém výkladu nechal opravdu tak trochu unést nad rámec právních předpisů.

Co se ovšem stane, když Evropský sbor na svém výkladu setrvá

Z právního hlediska to bude poměrně zajímavá situace. Český zákon o elektronických komunikacích se uplatní jen na situace, kdy je přistupováno k informacím v koncovém zařízení uživatele, nebo jsou do něj další informace ukládány. A zákon má větší sílu, než právně nezávazné metodické doporučení. 

Jsou tu dvě ale: Úřad pro ochranu osobních údajů, který dodržování této části zákona o elektronických komunikacích kontroluje, může mít tendenci svůj výklad přibližovat výkladu Evropského sboru. A tím fakticky posouvat, resp. rozšiřovat hranice působnosti zákona. Dosavadní zkušenosti sice podle názoru autorů tuto obavu spíše nepotvrzují, ale tlak na jednotnost výkladu GDPR a souvisejících předpisů roste. 

Druhá obava je ryze praktická a zřejmě reálnější: Pokud by na tento výklad přistoupili velcí hráči v oblasti online analytiky a marketingu, a uzpůsobili by mu podmínky využívání svých produktů a nástrojů, metodika by fakticky ovlivnila každého, kdo by chtěl tyto nástroje nadále využívat. Pod tlakem jejich poskytovatelů by tak musel například získávat souhlasy uživatelů, ačkoliv by tak podle lokálních předpisů zřejmě vždy dělat nemusel.

Dopad nové metodiky na digitální analytiku a online marketing celkově

  1. Pro většinu firem se z hlediska digitální analytiky nic dramaticky nezmění - nástroje typu Google Analytics fungují na principu cookies prvních stran, tedy již nyní k jejich používání potřebujeme uživatelův souhlas.

  2. Změna by zasáhla firmy, které více využívají fingerprinting. Ten se ale v praxi složitě dokazuje. Technicky je daleko jednodušší jeho omezení ze strany prohlížečů či koncových zařízení, než vymahatelnost ze strany dozorového úřadu. Trend bránit tomuto způsobu identifikace uživatelů tu ze strany prohlížečů a dalších hráčů už je, přijetí tohoto výkladu by jej zřejmě jen posílilo. 

  3. Na co by nová úprava určitě měla vliv, je předávání informací o uživateli a jeho online aktivitě reklamním platformám nad rámec využití cookies. Což je právě příklad Facebook Conversion API či Google Enhanced Conversions. Ty nyní teoreticky mohou inzerenti posílat bez souhlasu uživatele, pokud si dokáží obhájit oprávněný zájem ve smyslu GDPR. Pokud by ovšem nový výklad rozšířil záběr ePrivacy směrnice, která oprávněný zájem jako právní důvod ke sdílení dat nezná, tato možnost by zcela odpadla. 

  4. Na straně reklamních platforem i digitální analytiky navíc stále sílí trend modelovaných dat. Způsob modelování se liší, ale často je založený na práci s trendem a sbírání anonymních dat (tedy dat nespojených a nespojitelých s konkrétním uživatelem). Právě díky nim můžeme v kombinaci s naměřenými daty obarvit slepá místa.