Zásady používání cookies: Co to je a co musí obsahovat
Zásady používání cookies jsou dokument, který návštěvníkům vašeho webu vysvětluje, jaké cookies a podobné sledovací technologie váš web používá, proč je používá a jak je uživatelé mohou ovládat. Jde o zákonnou povinnost vyplývající jak ze směrnice ePrivacy, tak z GDPR, a je základním kamenem transparentního zpracování údajů.
Tento průvodce se věnuje tomu, co jsou zásady používání cookies, jak se liší od zásad ochrany osobních údajů, co musí podle současných předpisů obsahovat a jak je udržovat přesné v čase.
Co jsou zásady používání cookies?
Zásady používání cookies jsou samostatný dokument — buď samostatná stránka, nebo jasně rozpoznatelná část v rámci vašich zásad ochrany osobních údajů — který poskytuje komplexní informace o používání cookies a podobných technologií na vašem webu (local storage, session storage, pixelové značky, webové majáky, fingerprinting a podobně).
Právní základ pro požadavek na zásady používání cookies vychází ze dvou vzájemně souvisejících předpisů:
- Směrnice ePrivacy (2002/58/ES), článek 5 odst. 3 — vyžaduje, aby byly uživatelům poskytnuty „jasné a úplné informace“ o účelech cookies před získáním souhlasu.
- GDPR, články 12–14 — vyžadují transparentnost ohledně zpracování údajů, včetně toho, jaká data se shromažďují, za jakými účely, s kým se sdílejí a jak dlouho se uchovávají.
Tyto předpisy společně vyžadují, abyste svým uživatelům přesně sdělili, jaké sledovací technologie používáte, a poskytli jim smysluplnou kontrolu nad těmito technologiemi.
Zásady používání cookies vs. zásady ochrany osobních údajů
Zásady používání cookies a zásady ochrany osobních údajů jsou vzájemně se doplňující, ale odlišné dokumenty. Pochopení rozdílu je důležité:
| Aspekt | Zásady používání cookies | Zásady ochrany osobních údajů |
|---|---|---|
| Rozsah | Konkrétně cookies a sledovací technologie | Veškeré zpracování osobních údajů (formuláře, účty, nákupy atd.) |
| Právní základ | Směrnice ePrivacy + požadavky na transparentnost GDPR | GDPR, články 12–14 |
| Zaměření obsahu | Názvy cookies, účely, doby platnosti, typy, kategorie, mechanismy ovládání | Kategorie údajů, právní základy, práva, přenosy, DPO, uchovávání |
| Formát | Samostatná stránka nebo část v rámci zásad ochrany osobních údajů | Samostatná stránka (povinné) |
| Frekvence aktualizací | Kdykoli se cookies změní (přidání/odebrání nástrojů, dodavatelů) | Kdykoli se změní postupy zpracování údajů |
Zásady používání cookies můžete zahrnout jako část svých zásad ochrany osobních údajů, ale musí být jasně rozpoznatelné a snadno dostupné. Mnoho organizací udržuje samostatnou stránku se zásadami používání cookies kvůli přehlednosti a proto, že informace o cookies mohou být poměrně podrobné.
Vaše cookie lišta by měla odkazovat na zásady používání cookies. Pokud jsou informace o cookies součástí vašich zásad ochrany osobních údajů, měl by odkaz směřovat přímo na danou část — nenuťte uživatele procházet stránky nesouvisejících informací o ochraně soukromí, aby našli detaily o cookies.
Zákonná povinnost mít zásady používání cookies
Směrnice ePrivacy vyžaduje „jasné a úplné informace“ jako předpoklad platného souhlasu. Zásada transparentnosti GDPR (článek 5 odst. 1 písm. a)) a informační požadavky (články 13–14) dále vyžadují, aby tyto informace byly:
- Stručné, transparentní a srozumitelné (článek 12 odst. 1)
- Poskytnuté jasným a jednoduchým jazykem (článek 12 odst. 1)
- Snadno dostupné (článek 12 odst. 1)
- Poskytnuté bezplatně (článek 12 odst. 5)
V praxi to znamená: vaše zásady používání cookies musí být napsané jazykem, kterému rozumí i netechnicky zaměřený člověk, musí být odkazovány z vaší cookie lišty a z patičky webu a musí obsahovat konkrétní informace o každém cookie, které váš web používá.
Co musí zásady používání cookies obsahovat
Na základě kombinovaných požadavků směrnice ePrivacy, GDPR a pokynů dozorových úřadů, včetně ICO (Spojené království), CNIL (Francie) a pracovní skupiny zřízené podle článku 29, musí vaše zásady používání cookies obsahovat následující informace:
1. Jaké cookies používáte
Uveďte úplný seznam všech cookies a podobných technologií aktivních na vašem webu. To zahrnuje cookies nastavené vaším vlastním kódem (first-party) i cookies nastavené třetími stranami, jejichž služby využíváte (analytické platformy, reklamní sítě, widgety sociálních médií, vložený obsah, chatboti atd.).
Každé cookie by mělo být identifikováno názvem. „Používáme analytické cookies“ nestačí — musíte uvést konkrétní cookies: například _ga, _gid, _gat pro Google Analytics.
2. Účel každého cookie
U každého cookie nebo skupiny souvisejících cookies vysvětlete jednoduchým jazykem, co dělá. Vyhněte se technickému žargonu. Účinné popisy účelu:
- „Ukládá vaše preference souhlasu s cookies, abychom se neptali znovu při každé návštěvě.“
- „Pomáhá nám počítat, kolik lidí navštěvuje náš web a které stránky jsou nejoblíbenější.“
- „Umožňuje nám zobrazovat vám na jiných webech reklamy relevantní vašim zájmům.“
3. First-party vs. third-party
Uveďte, zda je každé cookie nastaveno přímo vaším webem (first-party), nebo externí službou (third-party). U third-party cookies identifikujte poskytovatele a odkažte na jeho zásady ochrany osobních údajů. Uživatelé mají právo vědět nejen to, že jsou jejich data shromažďována, ale i kým.
4. Doba platnosti / expirace
Uveďte, jak dlouho každé cookie přetrvává. Existují dva typy:
- Cookies relace (session cookies) — smazané při zavření prohlížeče uživatelem. Uveďte to jasně: „Relace (smaže se při zavření prohlížeče).“
- Trvalá cookies (persistent cookies) — zůstávají na zařízení uživatele po stanovenou dobu. Uveďte konkrétní dobu: „2 roky,“ „30 dní,“ „13 měsíců.“ Nepoužívejte vágní výrazy jako „dlouhodobě.“
Dozorové úřady doby platnosti cookies důkladně prověřovaly. Například CNIL doporučuje, aby cookies souhlasu (cookies ukládající volbu souhlasu uživatele) nepřesahovaly 13 měsíců.
5. Jak spravovat a mazat cookies
Vysvětlete, jak mohou uživatelé ovládat cookies pomocí dvou mechanismů:
- Vaše lišta souhlasu. Vysvětlete, že uživatelé mohou kdykoli změnit své preference cookies prostřednictvím nastavení cookies (uveďte umístění odkazu/ikony nastavení).
- Nastavení prohlížeče. Poskytněte obecné pokyny pro správu cookies v běžných prohlížečích (Chrome, Firefox, Safari, Edge). Nemusíte poskytovat podrobný návod krok za krokem, ale měli byste vysvětlit, že nastavení prohlížeče existuje, a odkázat na příslušné stránky podpory pro každý prohlížeč.
6. Jak odvolat souhlas
Článek 7 odst. 3 GDPR vyžaduje, aby odvolání souhlasu bylo stejně snadné jako jeho udělení a aby byli uživatelé o tomto právu informováni před udělením souhlasu. Vaše zásady používání cookies musí vysvětlovat:
- Že má uživatel právo kdykoli odvolat souhlas.
- Jak to udělat (obvykle: kliknutím na ikonu/odkaz nastavení cookies viditelný na každé stránce, nebo vymazáním cookies prostřednictvím nastavení prohlížeče).
- Že odvolání souhlasu neovlivňuje zákonnost zpracování založeného na souhlasu před jeho odvoláním.
7. Kategorie cookies
Rozdělte cookies do standardních kategorií používaných vaší lištou souhlasu. Nejrozšířenější kategorizace je:
- Nezbytně nutné — cookies potřebné pro fungování webu (přihlašovací relace, nákupní košíky, bezpečnostní tokeny). Tyto podle směrnice ePrivacy nevyžadují souhlas.
- Preference / Funkční — cookies, které si pamatují volby uživatele (jazyk, region, nastavení zobrazení). Tyto vylepšují uživatelský zážitek, ale nejsou nezbytné.
- Analytické / Statistické — cookies používané ke shromažďování anonymních údajů o používání (zobrazení stránek, zdroje návštěvnosti, vzorce chování uživatelů).
- Marketingové / Reklamní — cookies používané pro cílenou reklamu, retargeting a měření reklamy.
Kategorie ve vašich zásadách používání cookies by měly odpovídat kategoriím ve vaší liště souhlasu. Nesoulad mezi oběma dokumenty narušuje transparentnost.
8. Kontaktní údaje
Uveďte kontaktní údaje pro dotazy ohledně vašich postupů týkajících se cookies. Ty obvykle zahrnují:
- Totožnost správce údajů (název vaší společnosti a sídlo)
- E-mailovou adresu pro dotazy týkající se ochrany soukromí
- Kontaktní údaje pověřence pro ochranu osobních údajů (DPO), pokud jste jej jmenovali
- Váš dozorový úřad (příslušný úřad pro ochranu osobních údajů)
Kde zobrazit zásady používání cookies
Vaše zásady používání cookies musí být snadno dostupné z několika míst:
- Patička webu. Odkaz „Zásady používání cookies“ v patičce, viditelný na každé stránce. Toto je standardní umístění, které uživatelé očekávají.
- Cookie lišta. Přímý odkaz z vaší cookie lišty na úplné zásady používání cookies. Jde o zákonnou povinnost — uživatelé musí mít možnost získat podrobné informace z rozhraní souhlasu.
- Panel nastavení/preferencí cookies. Druhá vrstva vašeho rozhraní souhlasu by měla odkazovat na zásady používání cookies pro uživatele, kteří chtějí více informací.
- Zásady ochrany osobních údajů. Pokud jsou vaše zásady používání cookies samostatným dokumentem, odkazujte na ně z vašich zásad ochrany osobních údajů a naopak.
Prezentace informací o cookies
Nejúčinnějším a nejtransparentnějším formátem pro prezentaci jednotlivých cookies je tabulka. Dozorové úřady, včetně ICO, tento formát doporučují:
| Název cookie | Poskytovatel | Účel | Typ | Doba platnosti |
|---|---|---|---|---|
_ga |
Google Analytics | Rozlišuje jedinečné návštěvníky přiřazením náhodně vygenerovaného čísla | Third-party, analytické | 2 roky |
_gid |
Google Analytics | Rozlišuje jedinečné návštěvníky pro aktuální den | Third-party, analytické | 24 hodin |
cookie_consent |
Tento web | Ukládá vaše preference souhlasu s cookies | First-party, nezbytné | 12 měsíců |
Tento formát je přehledný, snadno prohlédnutelný a poskytuje všechny požadované informace na první pohled.
Jak často aktualizovat
Vaše zásady používání cookies musí být za všech okolností přesné. Aktualizujte je vždy, když:
- Přidáte novou službu třetí strany, která nastavuje cookies (nový analytický nástroj, novou marketingovou platformu, nového chatbota).
- Odeberete službu, která dříve nastavovala cookies.
- Služba třetí strany změní svá cookies (nové názvy, nové doby platnosti, nové účely).
- Změníte kategorie ve vaší liště souhlasu.
- Změní se regulační pokyny (nové požadavky, nové osvědčené postupy).
Uveďte datum „Naposledy aktualizováno“ v horní nebo dolní části zásad používání cookies. To dokládá, že jsou zásady aktivně udržovány, a pomáhá uživatelům posoudit jejich aktuálnost.
Výzvou samozřejmě je vědět, kdy se vaše cookies změní. Služby třetích stran své sledování často aktualizují a cookie, které existovalo před třemi měsíci, mohlo být nahrazeno nebo přejmenováno. Ruční audity jsou nespolehlivé, protože závisí na tom, zda si někdo vzpomene kontrolu provést.
Udržování přesnosti zásad pomocí automatizovaného skenování
Nejčastějším selháním v oblasti souladu u zásad používání cookies není absence informací — jsou to nepřesné informace. Zásady, které uvádějí cookies, jež již nepoužíváte, nebo které nezmiňují cookies přidané nedávnou integrací marketingového nástroje, nejsou v souladu.
Automatizované skenování cookies tento problém řeší. Skener navštěvuje váš web v pravidelných intervalech, identifikuje všechna nastavovaná cookies, porovnává je s vašimi deklarovanými cookies a upozorňuje vás na nesrovnalosti.
Passiro automaticky skenuje váš web na cookies, kategorizuje je a upozorňuje na jakákoli nedeklarovaná cookies, která ještě nejsou zohledněna ve vašich zásadách. Vaše zásady používání cookies tak zůstávají přesné bez nutnosti ručních auditů. Zjistěte více o automatizovaném skenování cookies od Passiro.
V této sekci
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma