Skip to main content

Kontrolní seznam pro soulad s pravidly cookies: 25 bodů k plnému souladu

Soulad s pravidly pro cookies zahrnuje technickou implementaci, právní dokumentaci a průběžné provozní procesy. Chybějící jediný prvek může vést k nesouladu, i když je vše ostatní v pořádku. Tento strukturovaný kontrolní seznam s 25 body pokrývá každý aspekt souladu s pravidly cookies podle GDPR, směrnice ePrivacy a hlavních mezinárodních zákonů o ochraně soukromí. Použijte jej jako průvodce implementací i jako nástroj pro pravidelné audity.

Inventura cookies

Nemůžete spravovat to, co jste nezměřili. Kompletní a přesná inventura cookies je základem každé další činnosti v oblasti souladu.

  1. Všechny cookies identifikovány a zdokumentovány

    Každá cookie, kterou váš web nastavuje, musí být identifikována, včetně cookies nastavovaných skripty třetích stran, vloženým obsahem a dynamicky načítanými zdroji. Použijte automatizované skenování k zajištění úplného pokrytí všech stránek, nejen domovské stránky. Vaše inventura by měla zahrnovat HTTP cookies, položky localStorage, položky sessionStorage a jakékoli další mechanismy klientského úložiště používané pro sledování.

  2. Každá cookie správně zařazena do kategorie

    Každá cookie musí být přiřazena ke správné kategorii z hlediska souladu: nezbytně nutné, funkční, analytické/výkonnostní nebo marketingové/reklamní. Zařazení do kategorie musí být poctivé — cookie, která sleduje uživatele pro reklamní účely, nemůže být zařazena jako „funkční“ jen proto, že poskytuje i určitý funkční přínos. V případě pochybností použijte přísnější kategorii. Úřady pro ochranu osobních údajů (DPA) zařazení do kategorií pečlivě zkoumají a nesprávná kategorizace je jedním z nejčastějších zjištění při vymáhání předpisů.

  3. Cookies třetích stran identifikovány s uvedením poskytovatelů

    U každé cookie třetí strany na vašem webu zdokumentujte, která služba ji nastavuje, proč je na vašem webu a jaká data shromažďuje nebo sdílí. Mezi běžné zdroje cookies třetích stran patří analytické platformy (Google Analytics, Adobe Analytics), reklamní sítě (Google Ads, Meta Pixel, LinkedIn Insight Tag), widgety sociálních médií, vložená videa (YouTube, Vimeo), chatovací nástroje (Intercom, Drift) a platformy pro A/B testování (Optimizely, VWO). Každý poskytovatel třetí strany by měl mít uzavřenou smlouvu o zpracování osobních údajů.

  4. Doba trvání cookies zdokumentována

    Zaznamenejte dobu platnosti každé cookie. Relační cookies vyprší při zavření prohlížeče. Trvalé cookies mají definovanou životnost, která musí být zdokumentována (např. 30 dní, 1 rok, 2 roky). Podle zásad minimalizace údajů a omezení uložení dle GDPR by doba trvání cookies měla být přiměřená jejich účelu. Analytickou cookie, která přetrvává 10 let, by bylo obtížné odůvodnit. CNIL doporučuje maximálně 13 měsíců pro analytické cookies.

  5. Účely cookies zdokumentovány srozumitelným jazykem

    Účel každé cookie musí být popsán jazykem, kterému běžný návštěvník webu rozumí. „Tato cookie ukládá jedinečný identifikátor ke sledování vaší aktivity při procházení našeho webu pro účely analýzy webu“ je srozumitelné. „_ga: Používá Google Analytics k rozlišení uživatelů“ pro většinu uživatelů nestačí. Popis účelu by měl odpovědět na otázku: „Co tato cookie dělá a proč bych ji měl povolit?“

Mechanismus souhlasu

Mechanismus souhlasu je místo, kde se setkávají právní požadavky s technickou implementací. Správné nastavení tohoto mechanismu je nejzásadnějším — a nejčastěji selhávajícím — aspektem souladu s pravidly cookies.

  1. Souhlas získán PŘED nastavením nepodstatných cookies

    Toto je jediný nejdůležitější technický požadavek. Žádné analytické, reklamní ani jiné nepodstatné cookies nesmějí být nastaveny, dokud uživatel neudělí výslovný souhlas. To znamená, že skriptům třetích stran musí být zabráněno v načtení, dokud není souhlas přijat. Pouhé smazání cookies dodatečně není v souladu s předpisy — směrnice ePrivacy vyžaduje souhlas před uložením, nikoli zpětné odstranění. Otestujte to návštěvou svého webu v anonymním okně a zkontrolujte, které cookies se nastaví před interakcí s bannerem.

  2. Skripty blokovány, dokud není udělen souhlas

    Blokování cookies nestačí — skriptům, které je nastavují, musí být zabráněno v provedení. Skript, který se načte a spustí, ale je mu zabráněno zapsat cookie, může přesto shromažďovat a přenášet data (prostřednictvím pixelů, beaconů nebo volání API). Váš systém správy souhlasu musí zabránit samotnému skriptu v načtení, dokud není přijata příslušná kategorie souhlasu. Mezi běžné přístupy k implementaci patří změna atributu type značek skriptu (např. z text/javascript na text/plain) a dynamické vkládání skriptů po udělení souhlasu.

  3. Tlačítka Přijmout a Odmítnout stejně výrazná

    Možnost odmítnout nepodstatné cookies musí být prezentována se stejnou výrazností jako možnost je přijmout. To znamená stejné vizuální zpracování: stejnou velikost, stejnou barevnou výraznost, stejnou vrstvu rozhraní. Velké zelené tlačítko „Přijmout vše“ vedle malého šedého odkazu „Spravovat nastavení“ nepředstavuje stejnou výraznost. CNIL, Garante a řada dalších úřadů pro ochranu osobních údajů uložily pokuty právě za tento problém. Obě možnosti by měly být na první vrstvě cookie banneru bez nutnosti dalších kliknutí.

  4. K dispozici podrobný souhlas na úrovni kategorií

    Uživatelé musí mít možnost souhlasit s konkrétními kategoriemi cookies nezávisle. Přijetí analytických cookies by nemělo vyžadovat také přijetí reklamních cookies. Poskytněte alespoň samostatné přepínače pro: nezbytně nutné (vždy zapnuté, nepřepínatelné), funkční, analytické/výkonnostní a marketingové/reklamní. Pokud používáte cookies pro více odlišných účelů v rámci kategorie, zvažte poskytnutí ještě podrobnějších možností.

  5. Žádná předem zaškrtnutá zaškrtávací políčka

    Když uživatel otevře podrobné předvolby cookies, všechny volitelné kategorie musí být ve výchozím nastavení nezaškrtnuté. Předem povoleny mohou být pouze nezbytně nutné cookies (které nevyžadují souhlas). Soudní dvůr EU v rozsudku ve věci Planet49 (věc C-673/17) potvrdil, že předem zaškrtnutá políčka nepředstavují platný souhlas. To platí bez ohledu na to, zda je uživatel může odškrtnout — výchozí stav musí být opt-out, vyžadující aktivní úkon pro přihlášení.

  6. Odvolání souhlasu stejně snadné jako jeho udělení

    Článek 7 odst. 3 GDPR vyžaduje, aby odvolání souhlasu bylo stejně snadné jako jeho udělení. Pokud uživatel může přijmout cookies jediným kliknutím na banner, musí být schopen odvolat souhlas se srovnatelnou snadností. Osvědčeným postupem je trvalý, vždy viditelný odkaz nebo ikona (např. v patičce nebo jako plovoucí tlačítko), která otevírá centrum předvoleb cookies, kde uživatel může upravit nebo zrušit své volby. Vyžadování, aby uživatel vymazal cookies prohlížeče, přešel na skrytou stránku nastavení nebo kontaktoval podporu, tento standard nesplňuje.

  7. Záznamy o souhlasu uloženy s časovými razítky

    Musíte být schopni prokázat, že souhlas byl udělen. Uložte záznam o každém úkonu souhlasu, včetně: časového razítka, provedených voleb souhlasu (které kategorie byly přijaty/odmítnuty), verze cookie banneru a zásad platných v daném okamžiku a jedinečného identifikátoru souhlasu (u anonymních návštěvníků nemusí být nutně spojen s uživatelským účtem). Podle zásady odpovědnosti GDPR nese důkazní břemeno souhlasu správce. Pokud nemůžete předložit důkaz, že konkrétní uživatel souhlasil, jeho souhlas je fakticky neprokázaný.

Zásady používání cookies

Vaše zásady používání cookies jsou zároveň právním dokumentem i nástrojem transparentnosti. Musí být přesné, úplné a srozumitelné.

  1. Zásady používání cookies existují a jsou přístupné

    Musí existovat vyhrazené zásady používání cookies (nebo jasná sekce o cookies v rámci vašich zásad ochrany osobních údajů) a musí být snadno dohledatelné. Osvědčeným postupem je vyhrazená stránka odkazovaná z patičky webu, z cookie banneru a z hlavních zásad ochrany osobních údajů. Zásady musí být přístupné bez přijetí cookies — uživatelé by měli mít možnost si je přečíst před rozhodnutím o souhlasu.

  2. Všechny cookies uvedeny s názvy, účely, typy a dobami trvání

    Vaše zásady používání cookies musí obsahovat tabulku nebo strukturovaný seznam každé cookie, kterou váš web nastavuje, včetně: názvu cookie, kdo ji nastavuje (první strana nebo poskytovatel třetí strany), co dělá (srozumitelným jazykem), zda jde o relační nebo trvalou cookie a jak dlouho trvá. Toto není volitelné — jde o výslovný požadavek podle ustanovení o transparentnosti dle GDPR (články 12–14) a požadavku na informovaný souhlas dle směrnice ePrivacy.

  3. Poskytovatelé třetích stran identifikováni

    Vaše zásady musí jmenovat služby třetích stran, které na vašem webu nastavují cookies. „Používáme analytické cookies třetích stran“ nestačí. „Používáme Google Analytics (od Google LLC), který nastavuje následující cookies: _ga, _gid, _gat“ stačí. Uživatelé mají právo vědět, kdo o nich shromažďuje data, a činit informovaná rozhodnutí o každém poskytovateli.

  4. Zahrnuty pokyny pro správu cookies

    Vaše zásady by měly vysvětlit, jak mohou uživatelé spravovat své předvolby cookies, včetně: jak získat přístup k vašemu centru předvoleb cookies pro změnu voleb souhlasu, jak smazat stávající cookies prostřednictvím nastavení prohlížeče a odkazů na zásady ochrany osobních údajů hlavních poskytovatelů cookies třetích stran. Ačkoli je správa cookies na úrovni prohlížeče odpovědností uživatele, poskytnutí jasných pokynů prokazuje dobrou vůli a podporuje zásadu posílení postavení uživatele.

  5. Zásady datovány a pravidelně aktualizovány

    Vaše zásady používání cookies musí obsahovat datum poslední aktualizace. Kdykoli přidáte nové cookies, odstraníte cookies, změníte poskytovatele třetích stran nebo upravíte účely cookies, musí být zásady aktualizovány, aby změnu odrážely. Nedatované zásady nebo zásady, které nebyly aktualizovány déle než rok, jsou pro úřady pro ochranu osobních údajů varovným signálem. Osvědčený postup: integrujte výsledky skenování cookies se svými zásadami, aby se zásady automaticky aktualizovaly, když jsou zjištěny nové cookies.

Cookie banner

Cookie banner je viditelné rozhraní vaší správy souhlasu. Musí vyvažovat právní soulad s použitelností.

  1. Banner se zobrazí při první návštěvě před nastavením cookies

    Cookie banner se musí objevit při první návštěvě uživatele na vašem webu, dříve než jsou nastaveny jakékoli nepodstatné cookies. Banner by měl být okamžitě viditelný bez nutnosti posouvání, neměl by být snadno zavřen náhodným kliknutím a měl by přetrvávat, dokud uživatel neučiní aktivní volbu. Banner nesmí narušovat schopnost uživatele odejít ze stránky nebo získat přístup k nezbytnému obsahu (ačkoli omezení přístupu k obsahu za požadavkem souhlasu může být v některých jurisdikcích přípustné, bezpečnějším přístupem je umožnit navigaci, dokud je banner zobrazen).

  2. Banner je přístupný (ovladatelný klávesnicí, kompatibilní se čtečkami obrazovky)

    Váš cookie banner musí být sám přístupný. To znamená: všechny interaktivní prvky (tlačítka, přepínače, odkazy) musí být dosažitelné a ovladatelné klávesnicí; banner musí být řádně oznámen čtečkám obrazovky s příslušnými atributy ARIA; fokus musí být správně řízen (fokus by se měl přesunout na banner, když se objeví, a vrátit se na stránku, když je zavřen); barevný kontrast musí splňovat standardy WCAG 2.1 AA (4,5:1 pro běžný text, 3:1 pro velký text); a banner musí být použitelný při různých úrovních přiblížení a velikostech obrazovky. Nepřístupný cookie banner je jak právním rizikem (nesplnění souladu s WCAG), tak reputačním rizikem pro jakoukoli organizaci, která tvrdí, že jí záleží na soukromí a inkluzi.

  3. Banner odkazuje na úplné zásady používání cookies

    Cookie banner musí obsahovat odkaz na vaše úplné zásady používání cookies, což uživatelům umožňuje přečíst si podrobné informace o každé cookie před rozhodnutím o souhlasu. Odkaz by měl být jasně viditelný a označený (např. „Přečtěte si naše zásady používání cookies“ nebo „Zjistit více“). GDPR vyžaduje, aby souhlas byl „informovaný“, což znamená, že informace potřebné k informovanému rozhodnutí musí být dostupné v okamžiku souhlasu.

  4. Banner nepoužívá tzv. dark patterns (klamavé vzory)

    Klamavé vzory v cookie bannerech podkopávají platnost souhlasu. Vyhněte se: vizuálnímu zvýraznění tlačítka přijmout (větší, jasnější, výraznější) při zjemnění nebo skrytí možnosti odmítnout; používání matoucího jazyka („Přijmout doporučená nastavení“ místo jasných možností); vyžadování více kliknutí pro odmítnutí než pro přijetí; používání barevného kódování naznačujícího, že odmítnutí je špatné (červená pro odmítnout, zelená pro přijmout); používání jazyka vzbuzujícího pocit viny („Ne, na mém zážitku mi nezáleží“); a jakémukoli jinému designu, který uživatele postrkuje, manipuluje nebo lstivě navádí k přijetí. Pokyny EDPB o klamavých vzorech (přijaté v únoru 2023) poskytují podrobné příklady zakázaných praktik.

Technické a průběžné

Soulad s pravidly cookies není projekt s datem dokončení. Je to nepřetržitý provozní proces.

  1. Implementován Google Consent Mode v2 (pokud používáte služby Google)

    Pokud používáte jakékoli služby Google (Analytics, Ads, Tag Manager), Google Consent Mode v2 je od března 2024 vyžadován pro zobrazování reklam v EHP. Consent Mode sděluje volby souhlasu s cookies vašich uživatelů značkám Google a upravuje jejich chování na základě stavu souhlasu. Bez Consent Mode nemusí značky Google správně fungovat s vaší platformou pro správu souhlasu, což vede buď ke ztrátě dat (značky jsou zcela blokovány), nebo k porušení souladu (značky se spouštějí bez souhlasu). Implementujte oba parametry souhlasu ad_storage i analytics_storage a zajistěte, aby byly ve výchozím nastavení „zamítnuty“, dokud není udělen souhlas.

  2. Naplánováno pravidelné skenování cookies

    Nastavte automatizované skenování cookies v pravidelném rozvrhu. Skenujte alespoň měsíčně. Ideálně integrujte skenování do svého nasazovacího pipeline, aby bylo každé vydání automaticky naskenováno. Nakonfigurujte upozornění na nové nebo změněné cookies, aby je váš tým mohl neprodleně vyhodnotit a zařadit do kategorií. Skenování, které probíhá, ale nikdy není přezkoumáno, neposkytuje žádný přínos pro soulad.

  3. Proces pro kontrolu nových skriptů třetích stran

    Zaveďte formální proces, který musí být dodržen před přidáním jakéhokoli nového skriptu, pluginu nebo služby třetí strany na váš web. Proces by měl zahrnovat: identifikaci toho, jaké cookies skript nastavuje, zařazení těchto cookies do kategorií, aktualizaci konfigurace správy souhlasu tak, aby je zahrnovala, aktualizaci zásad používání cookies a ověření, že skript je správně blokován, dokud není udělen příslušný souhlas. Tento proces by měl zahrnovat jak technickou (vývojovou) kontrolu, tak kontrolu souladu (právní/ochrana soukromí). Nejčastější příčinou selhání souladu s pravidly cookies je přidávání nových skriptů na web bez provedení kontroly ochrany soukromí.

  4. Personál proškolen v oblasti souladu s pravidly cookies

    Každý, kdo se podílí na vašem webu — vývojáři, marketéři, tvůrci obsahu a manažeři — by měl rozumět základům souladu s pravidly cookies a své roli při jeho udržování. Vývojáři musí vědět, jak přidávat skripty způsobem zohledňujícím souhlas. Marketéři musí rozumět tomu, že přidání nového sledovacího pixelu vyžaduje kontrolu souladu. Tvůrci obsahu musí vědět, že vložení videa z YouTube zavádí cookies třetích stran. Školení nemusí být rozsáhlé, ale musí pokrýt klíčovou zásadu: žádné nové sledování bez kontroly. Jediný neproškolený člen týmu, který přidá marketingový skript bez provedení kontroly, může zmařit měsíce práce na souladu.

Používání tohoto kontrolního seznamu

Tento kontrolní seznam je navržen k použití třemi způsoby:

  • Počáteční implementace: Při prvním nastavování souladu s pravidly cookies projděte všech 25 bodů postupně. Neponechávejte body ani je neodkládejte na později — částečný soulad je stále nesouladem.
  • Pravidelný audit: Kontrolní seznam přezkoumejte čtvrtletně a ověřte, že všechny body zůstávají splněny. Věnujte zvláštní pozornost průběžným položkám (body 22–25), protože právě u nich je nejpravděpodobnější, že se časem odchýlí.
  • Po změnách: Kdykoli váš web projde významnou změnou (nové funkce, nové služby třetích stran, redesign, migrace CMS), projděte příslušné sekce kontrolního seznamu a ověřte, že soulad je zachován.

Soulad s pravidly cookies je dosažitelný. Vyžaduje pozornost a proces, ale žádný z jednotlivých požadavků není nepřiměřeně obtížný. Organizace, které mají potíže, jsou obvykle ty, které přistupují k souladu jako k jednorázovému projektu, nikoli jako k průběžné provozní záležitosti. Zabudujte jej do svého pracovního postupu, přidělte jasnou odpovědnost a používejte tento kontrolní seznam jako svůj opakovaný ověřovací nástroj.

Splňuje váš web pravidla pro cookies?

Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.

Skenovat cookies zdarma