Podléhají cookies košíku souhlasu?

Technické základy

Cookies košíku se používají, když uživatel vloží produkty do košíku webového obchodu. To slouží k identifikaci uživatele serverem, resp. webovým obchodem, napříč relacemi.

Bez možnosti identifikace by webový obchod nemohl košík uživateli přiřadit, pokud uživatel po naplnění košíku před dokončením nákupu zavře svůj prohlížeč nebo pokud relace z jiných důvodů skončí (např. vypršením časového limitu z důvodu delší neaktivity uživatele).

Proto server, resp. webový obchod uloží na koncové zařízení uživatele cookie, které uživatele identifikuje. Webový obchod tak může při návštěvě uživatele zjistit přečtením cookie, zda uživatel již má nevyužitý košík, a znovu načíst obsah košíku z databáze.

Uložením cookie košíku na koncové zařízení uživatele a pozdějším přečtením cookie košíku serverem / webovým obchodem může webový obchod uživatele identifikovat i po skončení relace a přiřadit uživateli obsah jeho košíku.

Technická nezbytnost / souhlas

Lze rozumně předpokládat, že uživatel očekává fungující řešení košíku, že se obsah košíku neztratí pouhým zavřením prohlížeče nebo delší neaktivitou. Kdo by měl chuť znovu vyhledávat všechny produkty jen proto, že mezitím proběhl telefonát nebo porovnání cen v jiných obchodech?

Odpovídajícím způsobem by cookies košíku měly být podle čl. 5 odst. 3 směrnice 2002/58/ES (resp. v Rakousku § 96 odst. 3 TKG) klasifikovány jako cookies, které jsou nezbytně nutné k poskytování služby výslovně požadované uživatelem.

Pro ukládání a čtení cookies košíku by tak nebyl vyžadován souhlas.

Proces zpracování „Košík“

Nastavení cookie košíku však není samostatný proces zpracování, ale pouze část předběžného smluvního procesu zpracování „Košík“. Košík je předběžný smluvní proces zpracování, který je spuštěn, když uživatel vloží produkty do košíku. Proces zpracování „Košík“ je tedy podle čl. 6 odst. 1 písm. b) GDPR nezbytný pro provedení předběžných smluvních opatření, která jsou prováděna na žádost dotčené osoby.

Pro celý předběžný smluvní proces zpracování „Košík“ by tak nebyl vyžadován souhlas.

Implementace v souladu s právem

Zatím všechno dobré. Jako obvykle však i u košíku záleží na správné implementaci.

Session Cookies

Zcela bezproblémové by byly session cookies, tedy cookies, které jsou smazány na konci relace při zavření okna prohlížeče. Obsah košíku by pak sice za určitých okolností ještě byl v databázi, ale kvůli chybějícímu odpovídajícímu cookie košíku by již nemohl být přiřazen žádnému uživateli.

Session cookies však nejsou pro řešení košíku optimální. Zákazníci často vkládají produkty do košíku, ale z různých důvodů nenakupují ihned. Pokud však zákazník zavře okno prohlížeče, aby před nákupem provedl další srovnání cen nebo si to ještě rozmyslel, pak by u session cookie byl obsah košíku při opětovném načtení stránky pryč.

To není optimální ani pro provozovatele obchodu, protože by to výrazně snížilo míru dokončení nákupu, ani pro zákazníky, protože by museli své produkty znovu vyhledávat.

Trvalé cookies

Proto se u košíku používají permanentní cookies, tedy cookies, které přežijí konec relace. Přísně vzato je označení permanentní nepřesné, protože i permanentní cookies košíku vyprší. Kdy přesně cookie vyprší, je stanoveno prostřednictvím atributu Expiry nebo Max-Age cookie.

Datum vypršení platnosti v souladu s právem

Teoreticky by tedy bylo možné cookie košíku navrhnout tak, aby vypršelo až za 10 let. To by však k dosažení účelu smysluplného řešení košíku nebylo technicky nutné, protože to je příliš dlouhá doba. Žádný zákazník se po 10 letech nevrátí a neřekne: „tak dnes to koupím“. Proto by takto dlouhé datum vypršení platnosti bylo bez technické nutnosti přípustné pouze se souhlasem zákazníka. Protože je však takto dlouhé datum vypršení platnosti stejně nesmyslné, získání souhlasu samozřejmě není možnost.

Správně je datum vypršení platnosti cookie košíku přizpůsobit skutečným potřebám zákazníků. To je jednoduché, pokud se můžete opřít o zkušenosti, resp. potřebné informace vyčíst z webové statistiky. Perfektní datum vypršení platnosti je nastaveno tak, aby většina zákazníků, kteří se později vrátí a nakoupí, ještě našla plný košík.

Bezproblémových je pravděpodobně 7 až 14 dní. Vše, co je delší, byste měli být schopni dobře zdůvodnit pomocí statistiky. Exotické výjimky typu „jednou jsme měli někoho, kdo se vrátil o týdny později a koupil“ se při stanovení data vypršení platnosti neberou v úvahu.

Není nutný žádný souhlas

Je-li datum vypršení platnosti smysluplně nakonfigurováno, platí jako technicky nutné, aby byla k dispozici funkce košíku požadovaná zákazníkem. Proto v tomto případě není vyžadován souhlas zákazníka s ukládáním a čtením cookie.