Kdy je vyžadován souhlas s cookies?
Obecné pravidlo je jednoduché: souhlas je vyžadován pro všechny cookies s výjimkou těch, které jsou nezbytně nutné. Na detailech ale záleží. Přesná znalost toho, kdy je a kdy není souhlas vyžadován, brání jak nadměrné shodě (obtěžování uživatelů zbytečnými žádostmi o souhlas), tak nedostatečné shodě (umisťování cookies bez právního základu).
Obecné pravidlo
Článek 5 odst. 3 směrnice o soukromí a elektronických komunikacích (ePrivacy) stanoví výchozí bod:
Členské státy zajistí, aby uchovávání informací nebo získání přístupu k již uchovávaným informacím v koncovém zařízení účastníka nebo uživatele bylo povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace [...] o účelech zpracování.
To se týká všech cookies, veškerého místního úložiště, veškerého ukládání nebo přístupu na úrovni zařízení. Pokud vaše webová stránka zapisuje cokoli do zařízení uživatele, výchozím požadavkem je souhlas.
Výjimka pro nezbytně nutné cookies
Tentýž článek stanoví jedinou výjimku:
Tímto se nebrání jakémukoli technickému uchovávání nebo přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací nebo které je nezbytně nutné k tomu, aby poskytovatel služby informační společnosti výslovně vyžádané účastníkem nebo uživatelem tuto službu poskytl.
Tato výjimka má dvě části:
- Technický přenos: Cookies, které jsou technicky nezbytné k tomu, aby ke komunikaci došlo. Tento rozsah je úzký — v podstatě se omezuje na cookies pro vyvažování zátěže a podobné nezbytnosti na úrovni sítě.
- Nezbytně nutné pro službu: Cookies, které jsou nezbytné pro službu, kterou uživatel výslovně požadoval. Klíčovým slovním spojením je „výslovně vyžádané účastníkem nebo uživatelem". Služba musí být něčím, o co uživatel požádal, a cookie musí být pro její poskytnutí nepostradatelný.
Cookies, které jsou nezbytně nutné (souhlas není vyžadován)
- Cookies pro autentizaci relace. Když se uživatel přihlásí, cookie relace udržující jeho ověřený stav je nezbytně nutný pro službu, kterou si vyžádal (přístup ke svému účtu).
- Cookies nákupního košíku. Na e-shopu je cookie sledující položky v košíku nezbytně nutný pro nákupní službu, kterou uživatel používá.
- Tokeny pro ochranu proti CSRF. Ty jsou nezbytně nutné pro bezpečný provoz odesílání formulářů.
- Cookies pro uchování preferencí souhlasu. Cookie, který ukládá volby souhlasu uživatele, je nezbytně nutný — bez něj nelze respektovat jeho preference ohledně soukromí.
- Cookies související se vstupem. Cookies, které si pamatují vstupy z formuláře napříč vícekrokovým procesem (jako je pokladní formulář), který uživatel zahájil.
- Cookies pro vyvažování zátěže. Technické cookies, které směrují požadavky na správný server. Ty spadají pod část výjimky týkající se „přenosu".
- Cookies pro přizpůsobení uživatelského rozhraní. Když uživatel prostřednictvím ovládacího prvku na stránce výslovně zvolí jazyk nebo motiv, cookie ukládající tuto volbu je nezbytně nutný pro službu, kterou si vyžádal. To však závisí na kontextu — viz níže.
Cookies, které NEJSOU nezbytně nutné (souhlas je vyžadován)
- Analytické cookies. Měření návštěvnosti webu prospívá provozovateli webu, nikoli uživateli. Uživatel si službu analýzy návštěvnosti nevyžádal.
- Reklamní a remarketingové cookies. Ty slouží zájmům inzerentů a provozovatele webu, nikdy uživateli.
- Cookies pro sdílení na sociálních sítích. Ty nastavují sociální sítě třetích stran, nikoli pro službu, kterou si uživatel vyžádal.
- Cookies pro A/B testování. Ty slouží optimalizačním cílům provozovatele.
- Cookies pro sledování affiliate partnerů. Ty sledují, který partner uživatele doporučil, a slouží obchodním zájmům provozovatele.
- Cookies trvalého přihlášení („zapamatovat si mě"). EDPB uvedl, že zatímco cookie relace pro aktuální přihlášení je nezbytný, trvalý cookie, který udržuje uživatele přihlášeného napříč relacemi, přesahuje rámec toho, co je nezbytně nutné. Uživatel se může přihlásit znovu.
- Cookies pro monitorování výkonu. Cookies používané ke sledování doby načítání stránek, chybovosti a podobných technických metrik slouží provozovateli, nikoli uživateli.
Debata o analytice první strany
Jednou z nejspornějších oblastí v oblasti souladu s cookies je otázka, zda lze analytické cookies první strany používat bez souhlasu. Odpověď se liší podle jurisdikce a stále se vyvíjí.
Postoj CNIL (Francie)
Francouzský CNIL vydal konkrétní pokyny, podle nichž mohou být určité cookies pro měření návštěvnosti od souhlasu osvobozeny, za předpokladu, že:
- Účel je striktně omezen na měření návštěvnosti (žádné sledování napříč weby)
- Data nejsou sdílena s třetími stranami
- Cookies jsou pouze první strany
- Data se používají výhradně k tvorbě anonymních statistik
- Cookies mají omezenou životnost (maximálně 13 měsíců)
- Uživatelé jsou o jejich použití informováni
- Uživatelé mohou použití odmítnout
Za těchto podmínek CNIL považuje určité nástroje (například Matomo nakonfigurované v režimu respektujícím soukromí) za způsobilé pro výjimku. Google Analytics se nekvalifikuje, především proto, že Google zpracovává data na vlastní infrastruktuře a může je používat pro vlastní účely.
Postoj nizozemského AP (Nizozemsko)
Nizozemský úřad Autoriteit Persoonsgegevens obdobně naznačil, že analytické cookies s minimálním dopadem na soukromí lze používat bez souhlasu, ale stanovil podmínky srovnatelné s CNIL.
Jiné jurisdikce
Většina ostatních evropských dozorových úřadů výslovnou výjimku pro analytiku nepřijala. ICO (Velká Británie) uvedl, že analytické cookies vyžadují souhlas. Německé dozorové úřady obecně vyžadují souhlas pro všechny nezbytně nenutné cookies. Postoj španělského AEPD se přiklání k vyžadování souhlasu.
Praktické doporučení
Pokud nepůsobíte výhradně ve Francii nebo Nizozemsku a nemůžete splnit všechny podmínky CNIL/AP, nejbezpečnějším přístupem je považovat analytické cookies za vyžadující souhlas. Pokud se na výjimku pro analytiku spoléháte, zdokumentujte své odůvodnění, zajistěte splnění každé podmínky a sledujte regulatorní vývoj — tato oblast se stále vyvíjí.
Výjimky ze souhlasu podle účelu cookie: rozhodovací diagram
U každého cookie na vaší webové stránce projděte tyto otázky:
- Je cookie technicky nezbytný pro přenos komunikace? (např. vyvažování zátěže) Pokud ano: souhlas není potřeba. Pokud ne: pokračujte.
- Vyžádal si uživatel výslovně službu, která tento cookie vyžaduje? (např. přihlášení, přidání položek do košíku) Pokud ano: pokračujte. Pokud ne: souhlas je vyžadován.
- Přestala by vyžádaná služba fungovat bez tohoto konkrétního cookie? Pokud ano: souhlas není potřeba (nezbytně nutný). Pokud by služba fungovala, ale byla méně pohodlná: souhlas je vyžadován.
- Je cookie první strany, omezený na agregovanou analytiku, s daty nesdílenými s třetími stranami, a nacházíte se v jurisdikci s výjimkou pro analytiku? Pokud ano na vše: potenciálně osvobozeno, ale zdokumentujte své odůvodnění. Pokud ne u čehokoli: souhlas je vyžadován.
- Ve všech ostatních případech: souhlas je vyžadován.
Zvláštní situace
Cookie stěny
Cookie stěna blokuje přístup k webové stránce, pokud uživatel nepřijme cookies. Postoj EDPB je takový, že cookie stěny obecně brání tomu, aby byl souhlas udělen „svobodně", a nejsou tedy v souladu s předpisy. Některé dozorové úřady (zejména nizozemský AP, po soudním rozhodnutí) však naznačily, že cookie stěny mohou být přijatelné, pokud je nabídnuta skutečná, rovnocenná alternativa — například placená verze služby bez cookies. Toto zůstává spornou oblastí.
Placená stěna vs. cookie stěna
Někteří vydavatelé nabízejí model „souhlas nebo platba": přijměte sledovací cookies pro bezplatný přístup, nebo zaplaťte za zážitek bez cookies. EDPB vydal v roce 2024 stanovisko k této praxi, v němž uznal, že za určitých podmínek může být přípustná, ale vyjádřil obavy, že alternativa „platby" musí být skutečně přiměřená a nesmí být stanovena na ceně navržené k vynucení souhlasu.
Děti
Podle článku 8 GDPR vyžaduje souhlas se službami informační společnosti zaměřenými na děti ověření a u dětí do určitého věku (v závislosti na členském státě od 13 do 16 let) souhlas rodičů. Pokud vaše webová stránka cílí na děti, jsou požadavky na souhlas s cookies přísnější.
Kontext zaměstnanců a B2B
Směrnice ePrivacy se vztahuje na „účastníka nebo uživatele" — nikoli pouze na spotřebitele. Pokud vaše B2B SaaS platforma používá nezbytně nenutné cookies, souhlas jednotlivého uživatele je stále vyžadován, a to i v obchodním kontextu.
Co se stane bez platného souhlasu
Pokud umístíte nezbytně nenutné cookies bez platného souhlasu:
- Data, která shromažďujete, mohou být nezákonná jak podle směrnice ePrivacy, tak podle GDPR.
- Hrozí vám potenciální pokuty podle GDPR až do výše 20 milionů EUR nebo 4 % celkového ročního celosvětového obratu, podle toho, která hodnota je vyšší (článek 83 odst. 5).
- Může vám být nařízeno vymazat nezákonně shromážděná data.
- Vaše analytická a reklamní data mohou být kompromitována — pokud je právní základ pro shromažďování neplatný, data nelze zákonně použít.
- Odpovědnost mohou nést i navazující příjemci těchto dat (reklamní sítě, poskytovatelé analytiky).
Nejde o hypotetická rizika. CNIL uložil pokutu Google ve výši 150 milionů EUR a Facebooku 60 milionů EUR výslovně za porušení pravidel souhlasu s cookies. Menší podniky čelily za podobná pochybení pokutám ve výši desítek tisíc eur.
Passiro identifikuje každý cookie na vaší webové stránce a označí ty, které vyžadují souhlas, takže si můžete být jisti, že váš mechanismus souhlasu pokrývá správné cookies — ani víc, ani míň.
Dále si porovnejme dva základní modely souhlasu: opt-in versus opt-out, a kdy se který uplatňuje.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma