Skenování a audit cookies: Zjistěte, co váš web nastavuje
Nemůžete dodržovat předpisy o cookies, pokud nevíte, které cookies váš web nastavuje. Zní to samozřejmě, přesto jde o nejčastější příčinu selhání v oblasti souladu cookies. Weby se neustále vyvíjejí — instalují se nové pluginy, přidávají se marketingové tagy, aktualizují se skripty třetích stran — a každá změna může přinést nové cookies. Audit cookies není jednorázová činnost. Je to průběžný proces, který musí držet krok s vývojem vašeho webu.
Proč na skenování cookies záleží
Každá povinnost týkající se souladu cookies závisí na přesném a úplném seznamu vašich cookies. Bez něj:
- Vaše cookie lišta je neúplná. Pokud vaše lišta uvádí čtyři kategorie cookies, ale váš web ve skutečnosti nastavuje cookies v páté kategorii, uživatelé nemohou udělit informovaný souhlas. Jejich souhlas je podle GDPR neplatný.
- Vaše zásady používání cookies jsou nepřesné. Úřady pro ochranu osobních údajů očekávají, že vaše zásady používání cookies uvedou každou cookie podle názvu, účelu, typu a doby trvání. Neúplné nebo zastaralé zásady jsou selháním souladu, které úřady při auditech aktivně vyhledávají.
- Váš mechanismus souhlasu nemusí blokovat všechny cookies. Pokud nově přidaný skript nastavuje cookies, které nejsou zahrnuty v konfiguraci správy souhlasu, tyto cookies se spustí bez souhlasu — přímé porušení článku 5 odst. 3 směrnice ePrivacy.
- Nemůžete reagovat na žádosti uživatelů. Podle GDPR mají uživatelé právo vědět, jaké údaje o nich shromažďujete. Pokud nevíte, které cookies váš web nastavuje, nemůžete přesně reagovat na žádosti subjektů údajů o přístup.
Co skenování cookies odhalí
Důkladné skenování cookies identifikuje:
- Názvy cookies: Přesný identifikátor každé cookie (např.
_ga,_fbp,JSESSIONID). - Původ: Zda jde o cookie první strany (nastavenou vaší doménou) nebo třetí strany (nastavenou externí doménou).
- Typ: Relační cookie (odstraněná při zavření prohlížeče) nebo trvalá cookie (zůstává po stanovenou dobu).
- Doba trvání: Jak dlouho cookie přetrvává, než vyprší (např. 30 minut, 1 rok, 2 roky).
- Účel: Co cookie dělá — správa relace, analytika, reklama, personalizace nebo funkční účely.
- Kategorie: Kategorie souladu, do které cookie patří — nezbytně nutné, funkční, analytické/výkonnostní nebo marketingové/reklamní.
- Poskytovatel třetí strany: Pokud cookie nastavuje třetí strana, ke které službě patří (Google Analytics, Facebook, HubSpot, Hotjar atd.).
- Shromažďované údaje: Jaké informace cookie ukládá nebo umožňuje shromažďovat.
Manuální skenování cookies pomocí vývojářských nástrojů prohlížeče
Nejzákladnější metoda skenování cookies využívá vývojářské nástroje zabudované v každém moderním prohlížeči. Ačkoli má manuální skenování značná omezení, je užitečné pro namátkovou kontrolu a pochopení, jak cookies na vašem webu fungují.
Krok za krokem: Manuální audit cookies v Chrome
- Otevřete okno v anonymním/soukromém režimu. Tím zajistíte, že začínáte s čistým štítem — žádné existující cookies z předchozích návštěv.
- Otevřete DevTools (stiskněte F12 nebo klikněte pravým tlačítkem a vyberte „Prozkoumat“).
- Přejděte na kartu Application (v Chrome) nebo kartu Storage (ve Firefoxu).
- Rozbalte sekci „Cookies“ v levém postranním panelu. Zobrazí se seznam domén.
- Navštivte svůj web bez interakce s cookie lištou. Zaznamenejte, které cookies jsou nastaveny okamžitě — to jsou cookies nastavené před souhlasem, což by měly být pouze nezbytně nutné cookies.
- Přijměte všechny cookies na své cookie liště. Obnovte kartu Application/Storage a zaznamenejte nové cookies, které se objeví.
- Projděte klíčové stránky svého webu (domovská stránka, produktové stránky, pokladna, kontaktní formulář, blog). Některé cookies se nastavují pouze na konkrétních stránkách nebo po konkrétních interakcích.
- Zdokumentujte každou cookie: U každé nalezené cookie zaznamenejte její název, doménu, cestu, datum vypršení, velikost a zda je HTTP-only nebo zabezpečená.
- Zkontrolujte kartu Network kvůli dalšímu sledování. Některé sledovací technologie používají pixely, majáky nebo API volání spíše než tradiční cookies. Karta Network odhalí všechny odchozí požadavky na domény třetích stran.
Omezení manuálního skenování
Manuální skenování je cenné pro učení a namátkovou kontrolu, ale pro účely souladu má vážná omezení:
- Neúplné pokrytí. Můžete zkontrolovat pouze stránky, které navštívíte ručně. Velký web se stovkami stránek může nastavovat různé cookies na různých stránkách. Manuální skenování je prakticky nemůže všechny pokrýt.
- Žádná kategorizace. DevTools vám ukáží nezpracovaná data cookies, ale nekategorizují cookies podle účelu nebo kategorie souladu. Každou cookie musíte prozkoumat jednotlivě.
- Pouze snímek v čase. Manuální skenování vám poskytne momentku. Nedetekuje nové cookies přidané po vašem auditu.
- Žádné ověření blokování skriptů. Manuální skenování nemůže snadno ověřit, že vaše platforma pro správu souhlasu správně blokuje skripty před souhlasem.
- Časově náročné. U webu s pouhými 20 stránkami trvá ruční kontrola každé stránky a dokumentace každé cookie hodiny.
Automatické skenování cookies
Nástroje pro automatické skenování cookies řeší omezení manuálního skenování tím, že procházejí celý váš web, identifikují všechny cookies a systematicky je kategorizují. Dobrý nástroj pro automatické skenování poskytuje:
- Komplexní procházení: Skener navštíví každou stránku vašeho webu (nebo definovanou podmnožinu), včetně stránek dostupných pouze prostřednictvím navigace nebo vyhledávání.
- Před a po souhlasu: Skener zkontroluje, které cookies jsou nastaveny před udělením souhlasu, které se objeví po souhlasu a zda jsou odmítnuté kategorie správně blokovány.
- Automatická kategorizace: Známé cookies (jako
_gaod Google Analytics nebo_fbpod Facebooku) jsou automaticky kategorizovány na základě udržovaných databází účelů cookies. - Identifikace třetích stran: Všechny domény třetích stran nastavující cookies jsou identifikovány a zdokumentovány.
- Naplánované skenování: Skenování probíhá automaticky podle plánu (týdně, po nasazení), aby zachytilo nové cookies, jakmile se objeví.
- Detekce změn: Skener vás upozorní, když se objeví nové cookies nebo když se stávající cookies změní, takže můžete aktualizovat svůj mechanismus souhlasu a zásady používání cookies.
- Zprávy o souladu: Výsledky jsou formátovány tak, aby podporovaly vaši dokumentaci souladu.
Na co se zaměřit při výběru nástroje pro skenování cookies
Při hodnocení řešení pro automatické skenování cookies zvažte:
- Vykreslování JavaScriptu: Mnoho cookies nastavuje JavaScript, který běží po načtení stránky. Skener musí spouštět JavaScript (pomocí skutečného jádra prohlížeče), aby tyto cookies detekoval. Jednoduché HTTP crawlery, které nevykreslují JavaScript, minou většinu cookies třetích stran.
- Hloubka procházení: Skener by měl sledovat interní odkazy a procházet celý váš web, nejen domovskou stránku. Cookies nastavené vloženými videi, formuláři, chatovacími widgety nebo platebními procesory na konkrétních stránkách budou vynechány, pokud se skenuje pouze domovská stránka.
- Simulace první návštěvy: Skener by měl simulovat návštěvníka poprvé (žádné existující cookies, žádný udělený souhlas), aby ověřil, že před souhlasem nejsou nastaveny žádné nepodstatné cookies.
- Databáze cookies: Udržovaná databáze známých cookies s jejich účely a kategoriemi dramaticky snižuje manuální úsilí při klasifikaci.
- Reportování: Přehledné, exportovatelné zprávy, které lze sdílet s právním, marketingovým a vývojářským týmem.
- Plánování a upozornění: Automatické skenování podle konfigurovatelného plánu s notifikacemi při detekci nových cookies.
Proces skenování cookies
Důkladné skenování cookies probíhá v pěti krocích, ať už se provádí ručně nebo automatickými nástroji:
Krok 1: Projděte všechny stránky
Začněte vytvořením kompletní mapy svého webu. To zahrnuje všechny veřejné stránky, autentizované stránky (pokud jsou relevantní), vstupní stránky, děkovací stránky, chybové stránky a jakoukoli stránku, na kterou by se návštěvník mohl dostat. Neomezujte skenování na domovskou stránku — cookies často nastavují skripty třetích stran, které se načítají pouze na konkrétních stránkách (např. vložené YouTube na blogovém příspěvku, platební procesor na stránce pokladny nebo chatovací widget, který se objevuje pouze na stránkách podpory).
Krok 2: Identifikujte všechny cookies
U každé stránky zaznamenejte každou nastavenou cookie. To zahrnuje jak HTTP cookies (viditelné v hlavičce Set-Cookie a v úložišti cookies prohlížeče), tak mechanismy úložiště na straně klienta (localStorage, sessionStorage, IndexedDB), které mohou fungovat jako sledovací technologie, přestože technicky vzato nejsou cookies.
Krok 3: Určete původ cookies
U každé cookie zjistěte, zda jde o cookie první strany (nastavenou vaší vlastní doménou) nebo třetí strany (nastavenou externí doménou). Cookies třetích stran jsou pro soulad obzvláště důležité, protože obvykle zahrnují sdílení dat s externími organizacemi, což vyžaduje zveřejnění ve vašich zásadách používání cookies a v mnoha případech smlouvu o zpracování údajů.
Krok 4: Klasifikujte cookies podle kategorie
Přiřaďte každou cookie ke kategorii souladu:
- Nezbytně nutné: Vyžadované pro fungování webu. Uživatel je nemůže vypnout. Příklady: relační cookies, CSRF tokeny, cookies pro vyvažování zátěže, cookies s předvolbami souhlasu s cookies.
- Funkční: Umožňují rozšířenou funkčnost a personalizaci. Příklady: jazykové předvolby, výběr regionu, nedávno prohlížené položky (pokud nejsou používány pro reklamu).
- Analytické/výkonnostní: Shromažďují informace o tom, jak návštěvníci web používají. Příklady: cookies Google Analytics, Hotjar, Matomo.
- Marketingové/reklamní: Sledují návštěvníky napříč weby pro reklamní účely. Příklady: Facebook Pixel, cookies Google Ads, retargetingové cookies, cookies pro sledování affiliate.
Krok 5: Zdokumentujte účel, dobu trvání a typ
U každé cookie zdokumentujte její účel jednoduchým jazykem, kterému rozumí i netechnická osoba, její dobu trvání (relační nebo trvalá, a pokud trvalá, jak dlouho) a její typ (HTTP cookie, localStorage atd.). Tato dokumentace tvoří základ vašich zásad používání cookies a informací poskytovaných ve vaší cookie liště.
Průběžné monitorování
Skenování cookies je platné pouze v okamžiku jeho provedení. Váš web není statický — vyvíjí se s každým nasazením, aktualizací pluginu a marketingovou kampaní. Průběžné monitorování je nezbytné, protože:
- Nové skripty přinášejí nové cookies. Když vývojář přidá nový analytický nástroj, marketingový tým nainstaluje nový sledovací pixel nebo se aktualizuje plugin, mohou se na vašem webu objevit nové cookies, aniž by o jejich přidání někdo výslovně rozhodl.
- Skripty třetích stran se mění. I když svůj web nezměníte, služby třetích stran, které používáte, mohou aktualizovat své skripty a zavést nové cookies. Aktualizace Google Analytics, změna widgetu sociálních sítí nebo aktualizace konfigurace CDN mohou všechny ovlivnit cookies na vašem webu.
- Soulad je nepřetržitý. Úřady pro ochranu osobních údajů očekávají, že vaše zásady používání cookies a mechanismus souhlasu odrážejí aktuální stav vašeho webu. Zásady, které byly přesné před šesti měsíci, ale neobsahují cookies přidané od té doby, jsou dnes v rozporu s předpisy.
Osvědčeným postupem je spouštět automatické skenování po každém nasazení a minimálně jednou měsíčně. Nastavte si upozornění na nové cookies, aby je váš tým mohl vyhodnotit, kategorizovat a přidat do mechanismu souhlasu dříve, než se stanou problémem souladu.
Skenování cookies a vaše zásady používání cookies
Vaše zásady používání cookies a výsledky skenování cookies musí zůstat synchronizované. Každá cookie identifikovaná při skenování by měla být zdokumentována ve vašich zásadách a každá cookie uvedená ve vašich zásadách by měla být skutečně přítomna na vašem webu. Nesoulad v kterémkoli směru je problém:
- Cookies na webu, ale ne v zásadách: To znamená, že uživatelé nejsou informováni o veškerém sledování na vašem webu. Jejich souhlas, i když byl udělen, nemusí pokrývat nezveřejněné cookies.
- Cookies v zásadách, ale ne na webu: Ačkoli je to méně závažné, uvádění neexistujících cookies vytváří zmatek a podkopává důvěru v přesnost vaší dokumentace.
Nejefektivnější přístup je integrovat nástroj pro skenování se svými zásadami používání cookies tak, aby se zásady automaticky aktualizovaly při detekci nových cookies. Tím se eliminuje manuální krok aktualizace zásad po každém skenování a snižuje se riziko, že se oba dokumenty rozejdou.
Jak Passiro řeší skenování cookies
Skener Passiro používá jádro bezhlavého prohlížeče (headless browser) k návštěvě každé stránky vašeho webu a spouští JavaScript přesně tak, jak by to udělal prohlížeč skutečného návštěvníka. Tím je zajištěno, že jsou detekovány všechny cookies nastavené dynamicky načítanými skripty, vloženým obsahem a frameworky pro jednostránkové aplikace. Skener běží před a po simulovaném souhlasu, aby ověřil, že vaše správa souhlasu funguje správně — že nepodstatné cookies jsou skutečně blokovány, dokud není udělen souhlas.
Výsledky skenování jsou automaticky kategorizovány pomocí průběžně aktualizované databáze známých cookies s možností ruční klasifikace nebo reklasifikace jakékoli cookie. Naplánované skenování probíhá na konfigurovatelném základě a při objevení nových cookies na vašem webu obdržíte upozornění, abyste mohli jednat dříve, než se stanou rizikem souladu.
Jak často byste měli skenovat?
Správná frekvence skenování závisí na tom, jak často se váš web mění:
- Po každém nasazení: Jakákoli změna kódu má potenciál zavést nové cookies. Integrujte skenování cookies do svého CI/CD pipeline nebo spusťte skenování po každém vydání.
- Po přidání služeb třetích stran: Kdykoli přidáte nový analytický nástroj, marketingovou platformu, chatovací widget, platební procesor nebo jakýkoli skript třetí strany, skenujte okamžitě.
- Minimálně měsíčně: I když neprovedete žádné změny, skripty třetích stran na vašem webu se mohou aktualizovat a zavést nové cookies. Měsíční skenování tyto změny zachytí.
- Po aktualizacích CMP: Pokud aktualizujete svou platformu pro správu souhlasu nebo změníte kategorie cookies, skenujte, abyste ověřili, že změny fungují podle očekávání.
- Čtvrtletní revize: Kromě automatického skenování provádějte čtvrtletní manuální revizi svého seznamu cookies, abyste ověřili, že kategorizace jsou stále přesné, že poskytovatelé třetích stran jsou stále potřební a že vaše zásady používání cookies odrážejí realitu.
Organizace, které ke skenování cookies přistupují jako k rutinní údržbě spíše než k periodickému auditu, jsou ty, které udržují nepřetržitý soulad — a vyhnou se nepříjemnému překvapení v podobě objevení nezdokumentovaných sledovacích cookies během vyšetřování úřadu pro ochranu osobních údajů.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma