Cookie lišty: Kompletní průvodce
Cookie lišta je rozhraním mezi vaším webem a právem vašich návštěvníků na soukromí. Je mechanismem, jehož prostřednictvím získáváte — nebo nezískáte — právně platný souhlas s neesenciálními cookies. Správně ji nastavit není volitelné: je to zákonný požadavek napříč celou Evropskou unií a stále rostoucím počtem jurisdikcí po celém světě.
Tento průvodce se zabývá tím, co cookie lišty jsou, proč existují, co vyžaduje zákon a jak implementovat takovou, která je zároveň v souladu s předpisy i uživatelsky přívětivá.
Co je cookie lišta?
Cookie lišta je prvek uživatelského rozhraní — obvykle zobrazený, když návštěvník poprvé přijde na váš web —, který uživatele informuje o tom, že web používá cookies a podobné sledovací technologie, a poskytuje mu mechanismus pro udělení či odepření souhlasu.
Termín „cookie lišta" je do jisté míry neformální. Z právního hlediska jde o rozhraní pro správu souhlasu. Existuje kvůli dvěma se prolínajícím zákonům EU:
- Směrnice ePrivacy (2002/58/ES), článek 5(3) — vyžaduje předchozí souhlas před uložením informací na zařízení uživatele nebo přístupem k nim (s úzkými výjimkami pro striktně nezbytné cookies).
- Obecné nařízení o ochraně osobních údajů (GDPR), články 4(11) a 7 — definuje, co představuje platný souhlas: musí být svobodný, konkrétní, informovaný a jednoznačný, udělený jasným kladným úkonem.
Dohromady tyto zákony znamenají, že než nastavíte analytické cookie, marketingový pixel nebo jakýkoli jiný neesenciální sledovací nástroj, musíte se uživatele zeptat a získat jasné „ano".
Zákonné požadavky na cookie lišty
Cookie lišta v souladu s předpisy není pouhé oznámení — je to mechanismus souhlasu. Evropský sbor pro ochranu osobních údajů (EDPB) a národní úřady pro ochranu osobních údajů vydaly rozsáhlé pokyny k tomu, co musí lišty obsahovat. Zde jsou nesmlouvavé požadavky:
Co musí být zobrazeno
- Jasný popis účelu. Uživatelé musí rozumět tomu, proč se cookies používají, ne jen tomu, že existují. „Používáme cookies ke zlepšení vašeho zážitku" nestačí. Musíte vysvětlit konkrétní účely: analytiku, reklamu, personalizaci, integraci sociálních médií.
- Tlačítko pro přijetí. Jasný, kladný úkon pro udělení souhlasu s neesenciálními cookies.
- Tlačítko pro odmítnutí (nebo ekvivalent). Uživatelé musí mít možnost odmítnout neesenciální cookies stejně snadno. CNIL (Francie), dánský úřad pro ochranu osobních údajů (Datatilsynet) i EDPB to potvrdily: odmítnout cookies musí být stejně snadné jako je přijmout.
- Odkaz na nastavení cookies nebo předvolby. Uživatelé musí mít možnost činit podrobná rozhodnutí — přijmout některé kategorie cookies a jiné odmítnout.
- Odkaz na vaše zásady používání cookies. Lišta musí poskytovat přístup k podrobným informacím o tom, které cookies používáte, k jakým účelům, po jakou dobu a zda jsou vlastní (first-party) nebo od třetích stran (third-party).
- Identita správce údajů. Uživatelé musí vědět, kdo shromažďuje jejich údaje.
Co se nesmí stát
- Neesenciální cookies nesmí být nastaveny dříve, než uživatel učiní rozhodnutí.
- Souhlas nesmí být vyvozován z rolování, pokračování v prohlížení nebo nečinnosti.
- Předem zaškrtnutá políčka nepředstavují platný souhlas (potvrzeno Soudním dvorem EU v rozsudku Planet49, věc C-673/17).
- Cookie zdi — blokování přístupu na web, dokud uživatel neudělí souhlas — jsou obecně zakázány, ačkoli v některých jurisdikcích existují omezené výjimky.
Typy cookie lišt
Ne všechny cookie lišty jsou stejné. Typ, který potřebujete, závisí na vaší jurisdikci, cookies, které používáte, a úrovni souladu s předpisy, kterou chcete dosáhnout.
Lišty pouze s oznámením
Tyto pouze informují uživatele, že se cookies používají, často s jediným tlačítkem „OK" nebo „Rozumím". Lišty pouze s oznámením nejsou v souladu se zákony EU. Byly běžné v počátcích regulace cookies, ale nesplňují standard GDPR pro souhlas. Pokud váš web cílí na uživatele v EU, je lišta pouze s oznámením rizikem.
Opt-in lišty (souhlas jako první)
Zlatý standard souladu s předpisy EU. Žádné neesenciální cookies nejsou nastaveny, dokud uživatel kladně neudělí souhlas. Lišta prezentuje jasné možnosti přijetí a odmítnutí a ideálně odkaz na podrobné nastavení. Toto je model vyžadovaný směrnicí ePrivacy, jak je vykládána prostřednictvím GDPR.
Vrstvené lišty
Vrstvený přístup prezentuje základní informace na první vrstvě (samotné liště) a podrobné informace na druhé vrstvě (panelu předvoleb nebo stránce nastavení). Toto je přístup doporučovaný EDPB a většinou úřadů pro ochranu osobních údajů. Vyvažuje transparentnost s použitelností: uživatelé získají klíčové informace hned, s možností jít více do hloubky.
Dobře implementovaná vrstvená lišta obvykle zobrazuje:
- První vrstva: Stručný popis účelu, tlačítko pro přijetí, tlačítko pro odmítnutí, odkaz „Spravovat předvolby".
- Druhá vrstva: Rozpis podle jednotlivých kategorií s přepínači, podrobnými popisy a seznamem konkrétních cookies v každé kategorii.
Umístění lišty
To, kam umístíte svou cookie lištu, ovlivňuje jak soulad s předpisy, tak uživatelský zážitek. Mezi běžná umístění patří:
| Umístění | Výhody | Nevýhody |
|---|---|---|
| Spodní lišta | Nenápadná, umožňuje prohlížení obsahu, široce rozpoznatelná | Může být přehlédnuta, může zakrývat obsah patičky |
| Centrální modální okno (překryv) | Nelze ignorovat, vynucuje rozhodnutí, vysoká angažovanost | Přerušuje zážitek, může působit agresivně |
| Horní lišta | Viditelná, konvenční umístění | Může posouvat obsah dolů, může narušovat navigaci |
| Rohový widget | Minimální vizuální dopad, nenápadný | Snadno přehlédnutelný, nízká angažovanost, může vyvolávat obavy ohledně souladu s předpisy |
EDPB nepředepsal konkrétní umístění, ale lišta musí být jasně viditelná a ne snadno přehlédnutelná. Centrální modální okno nebo výrazná spodní lišta jsou z hlediska souladu s předpisy nejbezpečnější volbou. Malý rohový widget, který uživatelé běžně ignorují, nemusí splňovat standard „jasných a výrazných" informací.
Co musí lišta v souladu s předpisy obsahovat
Shrneme-li to, lišta, která splňuje současné standardy EU, musí obsahovat tyto prvky:
- Popis účelu: Stručné vysvětlení, proč se cookies používají, uspořádané podle kategorií (nezbytné, analytické, marketingové, předvolby).
- Tlačítko Přijmout vše: Jasně označené, udělující souhlas se všemi neesenciálními kategoriemi cookies.
- Tlačítko Odmítnout vše: Stejně výrazné jako tlačítko pro přijetí — stejná velikost, stejná vizuální váha, stejná úroveň přístupnosti.
- Odkaz Spravovat předvolby / Nastavení: Otevírá druhou vrstvu, kde mohou uživatelé činit rozhodnutí podle jednotlivých kategorií.
- Odkaz na zásady používání cookies: Odkazuje na podrobný dokument se zásadami používání cookies.
- Odkaz na zásady ochrany osobních údajů: Odkazuje na kompletní zásady ochrany osobních údajů webu (může být sloučen s odkazem na zásady používání cookies).
Časté chyby při implementaci cookie lišt
I dobře míněné implementace často obsahují chyby, které narušují soulad s předpisy:
- Nastavování cookies před udělením souhlasu. Nejčastější a nejzávažnější chyba. Pokud se vaše analytické nebo reklamní tagy spustí při načtení stránky, dříve než uživatel s lištou interaguje, porušujete předpisy. Souhlas musí být získán předtím, než jsou cookies nastaveny.
- Chybějící tlačítko pro odmítnutí. Nabízet pouze „Přijmout" a „Nastavení" nestačí. Uživatelé musí mít možnost odmítnout všechny neesenciální cookies z první vrstvy jediným úkonem.
- Vizuální manipulace. Udělat tlačítko pro přijetí velké a zelené, zatímco možnost odmítnutí je malý textový odkaz, je dark pattern (klamavý vzor). Úřady pro ochranu osobních údajů za tuto praxi uložily značné pokuty.
- Vágní popisy účelu. „Používáme cookies ke zlepšení vašeho zážitku" uživateli nic neříká. Buďte konkrétní: analytika, cílená reklama, vložené prvky sociálních médií, A/B testování.
- Ignorování souhlasu na následujících stránkách. Souhlas (nebo odmítnutí) musí přetrvávat po celou relaci i napříč návštěvami. Pokud uživatel odmítne cookies na domovské stránce, toto rozhodnutí musí být respektováno na každé následující stránce.
- Neposkytnutí způsobu ke změně předvoleb. Uživatelé musí mít možnost odvolat souhlas kdykoli, stejně snadno, jako jej udělili (GDPR článek 7(3)). Trvalý odkaz na nastavení — často malá ikona v rohu stránky — by měl být vždy k dispozici.
- Neaktualizace při změně cookies. Pokud přidáte nový marketingový nástroj, musí být kategorie na vaší liště a zásady používání cookies aktualizovány. Zastaralý souhlas není platný souhlas.
Výkon lišty a stránky
Cookie lišty se nacházejí v kritickém místě: načítají se při každé první návštěvě, na každé stránce. Špatně implementovaná lišta může výrazně zhoršit výkon vašeho webu, ovlivnit Core Web Vitals a potažmo i vaše pozice ve vyhledávání.
Klíčové úvahy ohledně výkonu:
- Velikost skriptu. Skript platformy pro správu souhlasu (CMP) by měl být co nejlehčí. Těžké skripty, které načítají další závislosti, mohou přidat stovky milisekund k době načítání stránky. Cílem je méně než 30 KB v gzip komprimaci pro skript lišty.
- Blokování vykreslování. Skript lišty se musí načítat asynchronně. Nikdy by neměl blokovat vykreslování obsahu vaší stránky. Uživatelé by měli vidět načítání vašeho webu, zatímco se lišta objevuje.
- Posun rozvržení. Lišta, která posouvá obsah dolů nebo způsobuje, že prvky poskakují, poškodí vaše skóre Cumulative Layout Shift (CLS). Používejte pevné nebo překryvné umístění, abyste se posunům rozvržení vyhnuli.
- Správa tagů. Lišta se musí integrovat s vaším správcem tagů, aby podmíněně načítala skripty na základě souhlasu. Tagy, které se spustí před ověřením souhlasu, jsou jak právním, tak výkonnostním problémem — načítají zbytečné zdroje.
Nejlepším přístupem je řešení lišty, které je od základu postaveno na výkonu: minimální JavaScript, žádné externí závislosti, asynchronní načítání a těsná integrace se správou vašich tagů.
Přístup Passiro k souhlasu s cookies
Souhlasová lišta Passiro je navržena tak, aby splňovala každý požadavek uvedený na této stránce — a to bez kompromisů ve výkonu vašeho webu. Náš skript lišty má méně než 15 KB v gzip komprimaci, načítá se asynchronně, podporuje Google Consent Mode v2 a poskytuje plně přístupné, s WCAG AA v souladu, souhlasové rozhraní hned po instalaci. Passiro je registrováno u IAB Europe pod CMP ID 499, což umožňuje generování platných TC String a plnou účast v rámci IAB TCF v2.3.
Postaráme se o právní složitost, abyste se mohli soustředit na své podnikání. Passiro automaticky skenuje váš web na cookies, kategorizuje je, generuje konfiguraci lišty v souladu s předpisy a udržuje vše synchronizované, jak se váš web vyvíjí.
Podívejte se, jak vám Passiro může pomoci dosáhnout souladu v oblasti cookies.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma