Cookies a GDPR sú dve rozdielne veci!

S nevedomosťou tejto základnej veci sa stretávam pri mnohých klientoch. V tomto článku si teda vysvetlíme, ako to je, čo je čo. Je jasné, že sú to všetko hlúposti a nikto príčetný také somariny čítať a riešiť nebude. Ale EÚ povedala, tak musí byť… Poďme na to

Cookies

Cookies sú výlučne vecou programovacieho jazyka. Mnohé jazyky využívajú cookies, vrátane jazyka PHP, v ktorom je programovaný aj WordPress. Cookie je vlastne typ premennej, ktorá je špecifická pre teba ako užívateľa. Tzn. ja pri návšteve tejto svojej stránky mám iné cookies ako ty. To je úplne normálne, ba dokonca toto je zmysel cookies. 

Uvedieme si príklad zo života. Ja idem na alza.sk aj ty. Ja dám do košíka počítač a ty mobil. Ako je možné, že na rovnakej URL adrese máme ja a ty iné produkty v košíku? No jedine na základe cookies a sessions. Session (v preklade – sedenie) je vlastne to isté čo cookies, len sa ukladá na server a rýchlejšie sa maže. 

Cookies sa uloží do tvojho PC, z ktorého aktuálne pozeráš konkrétny web ako malý .txt súbor niekde do vyrovnávacej pamäte. Ani ho nenájdeš, ak nevieš ako na to.

Na rozdiel od sessions, cookies majú striktne určený tzv. expiration date, čiže dobu uplynutia. Tá je štandardne 30 dni. Po 30 dňoch sa teda cookies tak či tak vymažú. 

V praxi sa potom cookies využívajú na držanie produktov v košíku, zapamätanie prihlásenia (keď pri prihlásení zaškrtneš ten checkbox „Zapamätať prihlásenie“, tak sa uloží cookies s tokenom, ktorý ťa pri opätovnom prístupe identifikuje a prihlási bez zadávania mena a hesla). Cookies však používajú aj analytické služby ako Google Analytics, tag manager, Yandex, Facebook a rozličné iné reklamné a marketingové platformy. 

No a práve to, že web si vytvorí malý .txt súbor do tvojho PC, je podľa EÚ brutálny zásah do súkromia užívateľa a užívatelia tak musia byť o tom upovedomení. To je tá otravná cookies hláška. Aby toho nebolo málo, od februára 2022 musíš dať ešte aj užívateľovi na výber, ktoré cookies chceš a ktoré nechceš. Delia sa prakticky na niekoľko kategórií, napr. nevyhnutné, marketingové a pod. Môžeš si na každej stránke vyberať, ktoré chceš a ktoré nechceš použiť. 

Podľa môjho názoru v roku 2023 odmietať akékoľvek cookies, je ako odmietať klimatizáciu v aute. Proste na smiech. 

Každopádne, cookies sú vecou programovacieho jazyka, musí byť na výber, čo si človek chce a čo nechce aktivovať, ktorý typ cookies. Nemá to absolútne nič spoločné s tvojim biznisom, ani tvojou firmou. Je to vecou programátora, aby to spravil tak, ako to má byť, a aby to bolo funkčné. 

GDPR

General data protection rules naproti tomu je dokument, ktorý s webom prakticky nemusí mať nič spoločné. GDPR by totiž mal mať každý, kto spracováva osobné údaje. Takže teoreticky, aj keď predávaš niečo na bazoši a posielaš to poštou, získal si osobné údaje iného človeka (meno, adresu, tel. číslo, email a pod.) a mal by si mať svoj GDPR dokument. Samozrejme, je to bullshit a nikto to nerobí. 

Webová stránka však potrebuje mať vypracovaný GDPR dokument vtedy, ak dochádza k interakcií s užívateľom. V prípade e-shopov teda vždy pri tvorbe objednávky – získavaš užívateľove meno, email, adresu… V prípade jednoduchých a prezentačných stránok sa väčšinou bavíme o kontaktných a objednávkových formulároch – získavaš meno a email užívateľa. Pokiaľ si firma / živnostník, môže byť dosť prúser, ak GDPR nemáš, resp. ak ho máš zle. 

GDPR, ako som uviedol vyššie, nie je vecou webovej stránky, ale vecou firmy! Teda GDPR potrebuješ aj na prijímacie pohovory, aj na xy iných príležitosti, aj v offline svete. Proste vždy, keď pracuješ s cudzími osobnými údajmi. A práve preto ja nie som ten, kto ti dokáže vytvoriť GDPR dokument. Je to právna vec a ja nie som právnik. Božechráň! Takéto veci sa riešia vždy na mieru, ja predsa nemôžem vedieť, či ty po získaní osobných údajov si ich nevytlačíš a neotapetuješ s nimi dom z vonkajšej strany napríklad… 🙂 

V praxi sa možno stretneš s kódermi a vývojarmi, ktorí budú bohorovne tvrdiť, že ti za 50€ „spravia“ GDPR. Pozor na to. Ich „spravenie“ GDPR totiž znamená, že ukradnú GDPR z nejakej podobnej – konkurenčnej firmy a údaje zmenia na tvoje. Môže, ale aj nemusí to byť v poriadku. Pokuty za GDPR sa hýbu až v nepochopiteľne vysokých sumách (odvodzujú sa od HDP krajiny). Takže dvakrát si rozmysli, či to zveríš fušerovi, alebo niekomu, čo tomu naozaj rozumie. 

Takže čo teda treba k stránke?

K stránke od klienta potrebujem GDPR, ktoré sa týka stránky. Toť vsio. 

Niektoré firmy, ktoré produkujú GDPR sú miestami moc hyperaktívne a vpisujú do GDPR aj informácie o cookies, je to úplne zbytočné. Tie firmy totiž nemôžu vedieť, ktoré cookies stránka bude, a ktoré nebude používať. To neviem dopredu ani ja, až pri spustení stránky sa pustí scan, ktorý nájde presne tie cookies, ktoré web používa (napr. google fonts, adobe fonts, youtube, facebook, pixely, analytics a pod.). Toto žiaden právnik dopredu nemôže vedieť, lebo nevie ani, čo to je. 

Takže právnik nech dodá GDPR pre web, tam sa píše, čo ty ako majiteľ webu môžeš a nemôžeš robiť s údajmi užívateľa a cookies nech nechá na mňa. A bude všetko v poriadku 😉

Pozrite aj

Chcem webstránku. Abo čo. Abo jak.

Problémom mnohých klientov je to, že nevedia, čo chcú. Preto v tomto článku opíšem, čo všetko je potrebné riešiť ešte pred začiatkom spolupráce. Čím viac

50 odtieňov odžubu

Dobre bráško. Už ma to nebaví. Aby si vedel, ako sa vyhnúť podvodom, musíš najprv vedieť, ako sa veci majú a ako fungujú. Potom nenaletíš…

E-mail v mobile

Ako tie mailové servery vlastne fungujú a ako dostať e-maily do telefónu?