Jak napsat zásady používání cookies: Podrobný návod
Zásady používání cookies jsou tak dobré, jak jsou přesné a srozumitelné. Tento návod vás provede procesem tvorby zásad používání cookies, které splňují právní požadavky, slouží vašim uživatelům a zůstávají v čase přesné. Postupujte podle těchto devíti kroků a vytvořte zásady, které jsou komplexní, transparentní a snadno udržovatelné.
Krok 1: Proveďte audit svých cookies
Než začnete o svých cookies psát, musíte přesně vědět, které cookies váš web nastavuje. To je základ celých vašich zásad — a krok, který většina organizací dělá špatně.
Důkladný audit cookies zahrnuje:
- Prohledání každé stránky. Cookies se mohou lišit stránku od stránky. Vaše domovská stránka může nastavovat jiné cookies než stránka pokladny, blog nebo stránky účtu. Kompletní audit musí pokrýt všechny typy stránek.
- Zachycení cookies první i třetí strany. Cookies první strany nastavuje vaše vlastní doména. Cookies třetí strany nastavují externí služby — analytické platformy, reklamní sítě, widgety sociálních sítí, vložená videa, chatovací widgety, platební brány a další.
- Identifikaci úložišť mimo cookies. Moderní weby využívají také localStorage, sessionStorage, IndexedDB a pixelové značky. Komplexní zásady pokrývají všechny mechanismy úložišť na straně klienta, nejen HTTP cookies.
- Testování s uděleným souhlasem i bez něj. Některé cookies se nastavují bez ohledu na souhlas (nezbytně nutné cookies). Jiné by se měly objevit teprve po udělení souhlasu. Váš audit by měl ověřit, že jsou nepodstatné cookies skutečně blokovány, dokud není udělen souhlas.
Ruční audity jsou nespolehlivé. Ruční otevírání vývojářských nástrojů prohlížeče na několika stránkách přehlédne cookies nastavované skripty třetích stran, které se načítají asynchronně, cookies nastavované jen při určitých akcích uživatele a cookies, které se objeví teprve při dalších návštěvách. Pro úplný obraz použijte automatizované skenovací nástroje.
Automatizovaný skener cookies od Passira prochází celý váš web, identifikuje každou cookie a mechanismus úložiště a poskytuje kategorizovaný přehled — ideální výchozí bod pro vaše zásady.
Krok 2: Zařaďte každou cookie do kategorie
Jakmile máte kompletní seznam cookies, roztřiďte je do standardních kategorií. Nejrozšířenější kategorizace, kterou používá IAB Transparency and Consent Framework a doporučuje ji většina dozorových úřadů pro ochranu osobních údajů, je:
Nezbytně nutné
Cookies, bez nichž web nemůže fungovat. Příklady: relační cookies pro stav přihlášení, cookies nákupního košíku, tokeny ochrany proti CSRF, cookies vyrovnávače zátěže, cookies s preferencí souhlasu s cookies. Ty jsou podle článku 5 odst. 3 směrnice ePrivacy osvobozeny od požadavku na souhlas, přesto je ale ve svých zásadách musíte uvést.
Preferenční / funkční
Cookies, které umožňují rozšířenou funkčnost a personalizaci. Příklady: volba jazyka, preference regionu/měny, nastavení velikosti písma, naposledy zobrazené položky. Nejsou nezbytně nutné — web by fungoval i bez nich — ale zlepšují uživatelský zážitek. Vyžadují souhlas.
Analytické / statistické
Cookies používané ke shromažďování údajů o tom, jak návštěvníci web používají. Příklady: cookies Google Analytics (_ga, _gid), relační cookies Hotjar, Plausible Analytics. Ve většině jurisdikcí EU vyžadují souhlas, ačkoli některé dozorové úřady (zejména francouzský CNIL) zavedly omezené výjimky pro nástroje měření návštěvnosti, které splňují přísné podmínky.
Marketingové / reklamní
Cookies používané pro cílenou reklamu, retargeting a měření výkonu reklamy. Příklady: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies reklamních sítí. Tyto vždy vyžadují souhlas a jsou nejsledovanější kategorií.
Ke každé cookie přiřaďte kategorii a ověřte, že je zařazení správné. Častou chybou je zařazení analytických nebo marketingových cookies jako „funkčních“ ve snaze vyhnout se požadavku na souhlas — to je v rozporu s předpisy a regulátoři to snadno odhalí.
Krok 3: Napište úvod
Vaše zásady používání cookies by měly začínat stručným úvodem, který obsahuje:
- Kdo jste. Právnická osoba provozující web (název společnosti, sídlo).
- Co tento dokument pokrývá. „Tyto zásady používání cookies vysvětlují, jak [název společnosti] používá cookies a podobné technologie na [URL webu].“
- Kdy byly naposledy aktualizovány. Uveďte výrazné datum.
- Jak vás kontaktovat. Uveďte kontaktní e-mail a případně údaje o svém pověřenci pro ochranu osobních údajů.
Úvod omezte na dvě až tři věty. Uživatelé sem přišli pro konkrétní informace, ne pro firemní preambuli.
Krok 4: Vysvětlete, co jsou cookies
Zahrňte stručné, netechnické vysvětlení, co jsou cookies. Mnoho vašich návštěvníků to nebude vědět. Dobré vysvětlení zní:
Cookies jsou malé textové soubory, které se ukládají na vaše zařízení (počítač, tablet nebo telefon), když navštívíte webovou stránku. Široce se používají k tomu, aby weby fungovaly, aby zvýšily jejich efektivitu a aby poskytovaly informace provozovatelům webů. Cookies nastavené webem, který navštěvujete, se nazývají „cookies první strany“. Cookies nastavené jinými společnostmi (například analytickými nebo reklamními službami) se nazývají „cookies třetích stran“.
Pokud váš web používá technologie nad rámec HTTP cookies — například localStorage, pixelové značky nebo fingerprinting — zmiňte i ty. „V těchto zásadách používáme pojem ‚cookies‘ k označení cookies a podobných technologií, není-li uvedeno jinak.“
Krok 5: Uveďte cookies ve formě tabulky
Prezentujte své cookies ve strukturované tabulce, uspořádané podle kategorií. U každé cookie uveďte:
| Pole | Popis | Příklad |
|---|---|---|
| Název | Technický název cookie | _ga |
| Poskytovatel | Kdo tuto cookie nastavuje | Google Analytics (google.com) |
| Účel | Co cookie dělá, srozumitelně | Generuje jedinečné ID pro zaznamenávání statistických údajů o tom, jak web používáte |
| Typ | První nebo třetí strana; HTTP cookie, localStorage atd. | HTTP cookie třetí strany |
| Doba trvání | Jak dlouho cookie přetrvává | 2 roky |
Zde je příklad dobře strukturované tabulky cookies pro kategorii analytiky:
| Název cookie | Poskytovatel | Účel | Typ | Doba trvání |
|---|---|---|---|---|
_ga |
Google Analytics | Přiřazuje jedinečné ID k rozlišení návštěvníků a sestavování statistických přehledů | Třetí strana | 2 roky |
_gid |
Google Analytics | Přiřazuje jedinečné ID pro každou relaci prohlížení k sestavování statistických přehledů | Třetí strana | 24 hodin |
_gat_UA-* |
Google Analytics | Omezuje rychlost sběru dat na webech s vysokou návštěvností | Třetí strana | 1 minuta |
Tuto tabulku zopakujte pro každou kategorii: nezbytně nutné, preferenční, analytické a marketingové.
Krok 6: Popište každou kategorii
Před každou tabulkou cookies uveďte stručný popis kategorie:
- Co cookies v této kategorii dělají — obecně.
- Zda je vyžadován souhlas — nezbytně nutné cookies souhlas nevyžadují; všechny ostatní ano.
- Co se stane, pokud uživatel souhlas odmítne — „Pokud analytické cookies odmítnete, nebudeme shromažďovat údaje o vašich návštěvách. Web bude fungovat normálně.“
Tyto kontextové informace pomáhají uživatelům činit informovaná rozhodnutí a splňují požadavky GDPR na transparentnost.
Krok 7: Vysvětlete, jak mohou uživatelé cookies ovládat
Tato část musí pokrýt dva mechanismy ovládání:
Prostřednictvím vašeho banneru souhlasu
Vysvětlete, že uživatelé mohou své preference cookies kdykoli spravovat kliknutím na váš odkaz nebo ikonu nastavení cookies. Popište, kde je najdou (např. „Klikněte na ikonu cookies v levém dolním rohu kterékoli stránky“ nebo „Klikněte na ‚Nastavení cookies‘ v zápatí“). Buďte konkrétní — neříkejte jen „prostřednictvím našeho banneru cookies“.
Prostřednictvím nastavení prohlížeče
Poskytněte odkazy na návody ke správě cookies pro hlavní prohlížeče:
Upozorněte na důsledek: „Vezměte prosím na vědomí, že vypnutí cookies v nastavení prohlížeče může ovlivnit funkčnost tohoto i dalších webů, které navštěvujete.“
Krok 8: Přidejte kontaktní údaje a informace o pověřenci pro ochranu osobních údajů
Poskytněte jasné kontaktní údaje pro dotazy týkající se ochrany soukromí:
- Totožnost správce údajů: název společnosti, sídlo, identifikační číslo.
- Kontaktní e-mail pro ochranu soukromí: sledovaná e-mailová adresa (např. [email protected]).
- Pověřenec pro ochranu osobních údajů: pokud jste pověřence jmenovali (pro určité organizace je to podle článku 37 GDPR povinné), uveďte jeho jméno a kontaktní údaje.
- Dozorový úřad: uveďte příslušný úřad pro ochranu osobních údajů a odkaz na jeho mechanismus pro podávání stížností. Například: „Máte právo podat stížnost u [název úřadu] na [URL].“
Krok 9: Opatřete zásady datem a naplánujte aktualizace
Uveďte jasné datum „Naposledy aktualizováno“. Zavažte se k pravidelnému přezkoumávání a aktualizaci zásad a vždy, když se změní vaše používání cookies.
Zvažte přidání prohlášení, například: „Tyto zásady používání cookies pravidelně přezkoumáváme a v případě potřeby je aktualizujeme. Veškeré významné změny budou oznámeny prostřednictvím upozornění na našem webu.“
Z praktického hlediska počítejte alespoň se čtvrtletním přezkumem. Služby třetích stran své cookies často mění a i drobná aktualizace integrace může zavést nové cookies, které je třeba deklarovat.
Časté chyby, kterých se vyvarujte
I pečlivě napsané zásady používání cookies často obsahují tyto chyby:
- Vágní popisy účelu. „Tato cookie zlepšuje váš zážitek“ uživateli neřekne nic. Buďte konkrétní: jaká data cookie shromažďuje a k čemu se používají?
- Zastaralé seznamy cookies. Pokud vaše zásady uvádějí cookies z nástroje, který jste před půl rokem odstranili, nebo neuvádějí cookies z nástroje, který jste minulý týden přidali, jsou nepřesné. Nepřesné zveřejnění podkopává transparentnost.
- Chybějící cookies třetích stran. Mnoho organizací uvede vlastní cookies, ale zapomene zdokumentovat cookies třetích stran nastavené vloženým obsahem (videa YouTube, tlačítka sociálních sítí, chatovací widgety atd.). To jsou často cookies, které nejvíce zasahují do soukromí.
- Chyby v kategorizaci. Zařazení marketingových nebo analytických cookies jako „funkčních“ nebo „nezbytných“ ve snaze vyhnout se požadavku na souhlas. Dozorové úřady po tomto konkrétně pátrají.
- Chybějící mechanismus pro změnu preferencí. Uvedení, že uživatelé mohou spravovat své preference, ale neposkytnutí jasně popsaného, vždy dostupného mechanismu k tomu.
- Zkopírování šablony bez úprav. Obecné šablony zásad používání cookies, které neodpovídají vašim skutečným cookies, vašim skutečným službám ani vašemu skutečnému zpracování údajů. Šablona je výchozí bod, ne hotový dokument.
- Nesrozumitelný jazyk. Právnický žargon, technická terminologie a zbytečně složité větné konstrukce. GDPR vyžaduje jasný a srozumitelný jazyk. Pište pro nezasvěcené publikum.
Udržování zásad v souladu se skutečnými cookies
Nejtěžší částí údržby zásad používání cookies není jejich napsání — je to udržování jejich přesnosti. Weby jsou dynamické. Marketingové týmy přidávají nové nástroje, vývojáři integrují nové služby, redakční systémy instalují pluginy se sledovacími funkcemi. Každá změna může zavést cookies, které vaše zásady nezmiňují.
Řešením je automatizované, průběžné monitorování. Namísto spoléhání na ruční audity (které jsou řídké, neúplné a náchylné k chybám) použijte skenovací nástroj, který pravidelně prochází váš web, identifikuje všechny aktivní cookies a porovnává je s vaším deklarovaným seznamem cookies.
Passiro skenuje váš web automaticky, detekuje nedeklarované cookies a upozorní vás, když je třeba vaše zásady aktualizovat. Tím zajistí, že vaše zásady používání cookies vždy odpovídají realitě — nikoli snímku z doby, kdy si někdo naposledy vzpomněl, že to má zkontrolovat. Zjistěte více o automatizovaném souladu s předpisy o cookies od Passira.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma