GDPR a cookies na webu: Praktický průvodce pro podnikatele

Cookies jsou malé textové soubory, které webová stránka ukládá do vašeho prohlížeče. Představte si je jako poznámky, které si web dělá o vašem chování. Díky cookies si web pamatuje, že jste přihlášeni, co máte v košíku e-shopu, jaký jazyk preferujete nebo že jste už viděli určitou nabídku. Bez cookies by mnoho funkcí webu nefungovalo – po každém kliknutí byste se museli znovu přihlašovat a košík by se vyprázdnil. Problém nastává, když cookies sledují vaše chování napříč weby pro účely reklamy nebo analýzy – a právě to GDPR reguluje.

Ne všechny cookies jsou stejné. Nezbytné cookies (technické, funkční) jsou ty, bez kterých web nemůže fungovat – udržují vás přihlášené, ukládají obsah košíku, pamatují nastavení jazyka. Tyto cookies nepotřebují souhlas návštěvníka, protože jsou nezbytné pro poskytnutí služby. Volitelné cookies jsou analytické (Google Analytics, Hotjar), marketingové (Facebook Pixel, Google Ads) a preferenční. Tyto cookies vyžadují výslovný souhlas návštěvníka předtím, než je můžete použít. A právě o získání tohoto souhlasu je celá regulace.

V éře před GDPR weby bez vědomí uživatelů sbíraly obrovské množství dat. Reklamní sítě sledovaly vaše pohyby po internetu, vytvářely detailní profily vašich zájmů a prodávaly je inzerentům. Uživatelé často netušili, kolik informací o nich firmy mají. GDPR a související směrnice ePrivacy dávají uživatelům kontrolu nad jejich daty. Firmy musí být transparentní o tom, co sbírají, proč to sbírají a s kým data sdílí. A musí získat informovaný souhlas předtím, než začnou sledovat.

GDPR (General Data Protection Regulation) je evropské nařízení, které platí přímo ve všech členských státech EU od května 2018. Upravuje zpracování osobních údajů, což zahrnuje i data sbíraná prostřednictvím cookies. GDPR vyžaduje, aby zpracování osobních údajů mělo právní základ – nejčastěji souhlas nebo oprávněný zájem. Pro marketingové a analytické cookies je téměř vždy vyžadován výslovný souhlas. GDPR také stanovuje přísné požadavky na to, jak musí souhlas vypadat – musí být svobodný, konkrétní, informovaný a jednoznačný.

Směrnice ePrivacy (často nazývaná „cookie směrnice") konkrétně upravuje ukládání informací do zařízení uživatele – tedy cookies. V České republice je implementována v zákoně č. 127/2005 Sb. o elektronických komunikacích. Tato směrnice vyžaduje, aby uživatel dal souhlas předem, než web uloží nezbytné cookies do jeho zařízení. Výjimkou jsou pouze cookies nezbytně nutné pro poskytnutí služby, kterou si uživatel výslovně vyžádal. V praxi to znamená: analytické a marketingové cookies nesmíte spustit, dokud návštěvník aktivně nesouhlasí.

GDPR stanovuje dvě úrovně pokut. Za méně závažné porušení (např. nedostatečná dokumentace) hrozí pokuta až 10 milionů eur nebo 2 % ročního obratu. Za závažnější porušení (např. zpracování bez souhlasu) až 20 milionů eur nebo 4 % ročního obratu – podle toho, co je vyšší. V České republice Úřad pro ochranu osobních údajů (ÚOOÚ) již udělil pokuty v řádu statisíců korun i menším webům. Nejde jen o velké korporace. Riziko je reálné a investice do správného řešení je mnohonásobně levnější než potenciální pokuta.

Správná cookie lišta musí obsahovat: Jasnou informaci, že web používá cookies a k čemu slouží. Odkaz na kompletní zásady cookies nebo ochrany osobních údajů. Možnost přijmout všechny cookies jedním kliknutím. Možnost odmítnout všechny nezbytné cookies stejně snadno jako je přijmout (ne schovat tlačítko „Odmítnout" někde v nastavení). Možnost vybrat konkrétní kategorie cookies (analytické, marketingové, preferenční). Banner by měl být jasný, stručný a srozumitelný – ne právnický text na dvě stránky.

Mnoho webů dělá tyto chyby: Předem zaškrtnutá políčka – souhlas musí být aktivní, ne pasivní. Cookie wall – nelze podmiňovat přístup k webu souhlasem s cookies. Skryté tlačítko „Odmítnout" – odmítnutí musí být stejně snadné jako přijetí. Spouštění cookies před souhlasem – Google Analytics, Facebook Pixel a další se nesmí načíst, dokud uživatel nesouhlasí. Obecné formulace jako „používáme cookies pro zlepšení zážitku" bez konkrétních informací. Každá z těchto chyb může být důvodem pro pokutu.

Samotný banner nestačí. Musíte zajistit, že analytické a marketingové skripty se nespustí, dokud uživatel nedá souhlas. To vyžaduje technickou implementaci. Existují dvě hlavní metody: Ruční implementace – skripty jako Google Analytics zabalíte do podmínky, která kontroluje stav souhlasu. Consent Management Platform (CMP) – specializované nástroje (Cookiebot, OneTrust, CookieYes), které řeší vše automaticky. CMP nástroje jsou doporučenou volbou, protože zajišťují správné chování a automaticky aktualizují seznam cookies.

Od března 2024 Google vyžaduje Google Consent Mode v2 pro weby, které používají Google Ads nebo cílí na uživatele v EU. Consent Mode komunikuje s Google službami o tom, zda uživatel dal souhlas. Pokud ne, Google Analytics a Ads pracují v omezeném režimu bez identifikace uživatele. Toto zajišťuje, že dodržujete GDPR a zároveň neztrácíte kompletně marketingová data. Implementace vyžaduje správné propojení vašeho CMP nástroje s Google Tag Manager nebo přímou integraci do kódu.

Tento dokument je povinný pro každý web, který sbírá jakékoli osobní údaje – a to zahrnuje i kontaktní formuláře. Musí obsahovat: Kdo je správce údajů (vaše firma, IČO, kontakt). Jaké údaje sbíráte a k jakému účelu. Na jakém právním základě údaje zpracováváte (souhlas, smlouva, oprávněný zájem). Komu údaje předáváte (zpracovatelé, třetí strany). Jak dlouho údaje uchováváte. Práva uživatelů (přístup, výmaz, námitka, přenositelnost). Dokument musí být srozumitelný, ne napsaný právničtinou.

Cookie Policy je detailní dokument o všech cookies, které váš web používá. Měl by obsahovat: Seznam všech cookies podle kategorií (nezbytné, analytické, marketingové). Název každé cookie, kdo ji ukládá, k čemu slouží a jak dlouho platí. Informace o třetích stranách, které cookies ukládají (Google, Facebook, atd.). Návod, jak cookies odmítnout nebo smazat v prohlížeči. Tento dokument by měl být dostupný z cookie banneru a ze zápatí webu.

Pokud máte na webu kontaktní formulář, musíte zajistit informovaný souhlas se zpracováním údajů. Pod formulářem by měl být text typu: „Odesláním formuláře souhlasíte se zpracováním osobních údajů za účelem odpovědi na váš dotaz. Více informací najdete v Zásadách ochrany osobních údajů." Checkbox se souhlasem není podle většiny výkladů nutný (zpracování je nezbytné pro odpověď na dotaz), ale odkaz na Privacy Policy musí být.

GDPR vyžaduje, abyste byli schopni prokázat, že jste souhlas získali. To znamená ukládat: Kdy byl souhlas udělen (datum a čas). S čím uživatel souhlasil (které kategorie cookies). Verzi textu souhlasu, který uživatel viděl. Kvalitní CMP nástroje tuto evidenci zajišťují automaticky. Pokud implementujete vlastní řešení, musíte na toto myslet.

1. Zmapujte všechny cookies, které váš web používá (Google Analytics, Facebook Pixel, live chat, atd.). 2. Rozdělte je do kategorií: nezbytné, analytické, marketingové, preferenční. 3. Připravte texty pro cookie banner a cookie policy. 4. Vytvořte nebo aktualizujte Zásady ochrany osobních údajů. 5. Vyberte a implementujte CMP nástroj nebo vlastní řešení. 6. Zajistěte, že se volitelné cookies nespouští před souhlasem. 7. Implementujte Google Consent Mode v2 (pokud používáte Google služby).

1. Otevřete web v anonymním okně prohlížeče. 2. Zkontrolujte, že se zobrazí cookie banner. 3. V Developer Tools (F12) zkontrolujte, že před souhlasem nejsou uloženy žádné volitelné cookies. 4. Klikněte na „Odmítnout" a ověřte, že analytické skripty se nespustily. 5. Obnovte stránku a dejte souhlas – nyní by se měly cookies uložit. 6. Ověřte, že lze souhlas kdykoliv odvolat (obvykle přes odkaz „Nastavení cookies" v zápatí).

Minimálně jednou ročně proveďte audit: Přidali jste nové služby, které používají cookies? Jsou všechny cookies v cookie policy aktuální? Odpovídají texty aktuální legislativě? Používáte nejnovější verzi CMP nástroje? Regulace se vyvíjí a co platilo loni, nemusí stačit letos. Sledujte zprávy z ÚOOÚ a aktualizujte řešení podle potřeby.

Jeden z nejpopulárnějších CMP nástrojů v Evropě. Automaticky skenuje váš web a detekuje všechny cookies. Generuje cookie policy a zajišťuje blokování skriptů před souhlasem. Podporuje Google Consent Mode v2. Bezplatná verze pro weby do 100 stránek, placené plány od cca 10 eur měsíčně. Výhoda: velmi důkladný a spolehlivý. Nevýhoda: může být složitější na nastavení pro začátečníky.

Uživatelsky přívětivý nástroj s jednoduchou implementací. Stačí vložit jeden skript do hlavičky webu. Automaticky detekuje cookies, generuje banner a policy. Bezplatná verze pro základní použití, placené plány s pokročilými funkcemi. Podporuje češtinu a Google Consent Mode. Vhodný pro menší weby a e-shopy, které chtějí rychlé řešení bez složité konfigurace.

Pro weby s specifickými požadavky lze vytvořit vlastní řešení. Vyžaduje to znalost JavaScriptu a pochopení legislativy. Výhoda: plná kontrola nad vzhledem a chováním. Nevýhoda: musíte sami zajistit detekci cookies, blokování skriptů, ukládání souhlasů a aktualizace při změnách zákona. Pro většinu webů je CMP nástroj lepší volba – je to rychlejší, spolehlivější a dlouhodobě levnější.

Špatně. Pouhá informace nestačí. Musíte získat aktivní souhlas předtím, než spustíte analytické nebo marketingové cookies. Lišta, která pouze informuje a má jediné tlačítko „Rozumím", nesplňuje požadavky zákona. Návštěvník musí mít možnost odmítnout a vy musíte toto odmítnutí respektovat.

Špatně. GDPR se vztahuje na každého, kdo zpracovává osobní údaje občanů EU, bez ohledu na velikost firmy. Malý e-shop s Google Analytics podléhá stejným pravidlům jako nadnárodní korporace. Výše pokuty se samozřejmě liší podle závažnosti a velikosti firmy, ale pokuta může přijít i na malý web.

Špatně. Analytické cookies jako Google Analytics nejsou nezbytné pro fungování webu. Návštěvník si může prohlédnout váš web i bez nich. Proto spadají do kategorie, která vyžaduje souhlas. Nezbytné jsou pouze cookies, bez kterých web nemůže poskytovat službu – např. přihlášení, košík e-shopu, jazykové nastavení.

Částečně špatně. Samotná lišta nestačí. Musíte zajistit, že skripty se skutečně nespouští před souhlasem. Mnoho šablon pouze zobrazuje vizuální prvek, ale nic neblokuje. Potřebujete buď CMP nástroj, který blokování zajistí, nebo vlastní technickou implementaci. Bez toho je lišta pouze dekorativní a nefunkční.

Nejprve zjistěte, jaké cookies váš web používá. Otevřete web v prohlížeči, otevřete Developer Tools (F12), záložku Application → Cookies. Uvidíte seznam všech uložených cookies. Použijte také nástroj jako Cookiebot Scanner (bezplatný), který automaticky detekuje všechny cookies včetně těch od třetích stran. Zapište si, které služby máte na webu – Google Analytics, Facebook Pixel, live chat, reklamní sítě.

Vyberte si CMP nástroj (Cookiebot, CookieYes, nebo jiný) a implementujte ho na web. Většina nástrojů vyžaduje pouze vložení jednoho skriptu do hlavičky webu. Nástroj se postará o zobrazení banneru, kategorizaci cookies a blokování skriptů před souhlasem. Nakonfigurujte kategorie podle vašich cookies a přizpůsobte texty vašemu webu.

Pokud nemáte Zásady ochrany osobních údajů a Cookie Policy, vytvořte je. Můžete použít generátory (např. od CMP nástrojů), ale doporučuji text přizpůsobit vaší konkrétní situaci a ideálně nechat zkontrolovat právníkem. Dokumenty umístěte na samostatné stránky a odkažte na ně z cookie banneru a zápatí webu.

Před spuštěním důkladně otestujte celé řešení. Ověřte, že banner se zobrazuje, že odmítnutí funguje, že cookies se neukládají před souhlasem. Použijte anonymní okno prohlížeče pro čisté testování. Až budete spokojeni, spusťte řešení na produkci. Informujte případně váš tým o změnách v analytických datech (část návštěvníků odmítne a data budou neúplná – to je normální a v souladu se zákonem).