Cookies v roce 2025: jak je správně nastavit?

Cookies jsou krátké textové soubory, které umožňují rozeznat koncové zařízení uživatele. Cookies a obdobné technologie považujeme za osobní údaje, a proto je třeba při jejich používání respektovat pravidla GDPR. 

U cookies rozlišujeme několik základních druhů:

• nezbytně nutné (obsah košíku, zobrazení stránky, jazyková verze podle polohy, uskutečnění nákupu)

• statistické (návštěvnost a agregovaná data)

• analytické (Google Analytics, Matomo, trackování chování – Hotjar, Smartlook, Clarify)

• reklamní (Google Ads, Facebook Pixel, Sklik)

Zatímco pro použití nezbytných cookies nepotřebujete výslovný souhlas uživatele webu, u dalších se bez souhlasu neobejdete. Ještě do nedávna jsme pro cookies měli tzv. opt‑out režim, který znamená, že uživatel musel s použitím cookies výslovně nesouhlasit, aby o něm nebyla sbírána data. 

Ve zbytku EU ovšem platí tzv. opt‑in režim, tedy režim výslovného souhlasu. Touto novelou s opožděním doháníme evropský standard, v rámci kterého byl opt‑in režim samozřejmostí. Znamená to především, že často používaná lišta “Rozumím” už nebude použitelná. Nyní je proto potřeba se připravit na to, jak nastavit textaci cookie lišty tak, aby dala možnost volby. 

Nabízí se proto varianta “Přijmout pouze nezbytné”, “Nastavení preferencí” a “Přijmout všechny cookies”. Udělejte si jasno v krátkém videu od advokátní kanceláře Legitas.

Nastavením cookie lišty ale splnění všech povinností nekončí – nezapomeňte si zkontrolovat, jestli máte aktualizované Zásady zpracování osobních údajů a Cookie policy – ideálně po konzultaci s odborníkem na GDPR.

I když budete mít nastavení cookies vyladěné, existují i další nástroje, které umožňují sledování uživatele – například Local Storage nebo reCAPTCHA. I zde bude třeba nastavit bezpečný mechanismus, který bude zpracovávat jen nezbytné údaje informovaných uživatelů.

Tady najdete seznam doporučení ke konkrétním cookie lištám.

Některá data z webu můžete později využít i pro e‑mailing – například to, kdy kontakt navštívil web nebo jaké produkty naposledy prohlížel. Tato data jsou zásadní pro použití automatizovaných kampaní, které s těmito informacemi pracují. Jde například o e‑maily připomínající opuštěný košík, tedy zboží zanechané v košíku bez dokončení nákupu, nebo o personalizované e‑maily, které nabízí prohlížené produkty třeba se slevou. 

Pokud návštěvník webu nepovolí sbírání potřebných cookies, nebudete moci takové automatizované kampaně posílat. Je proto klíčové maximalizovat míru udělení souhlasu, čemuž může pomoci i vhodně zvolený copywriting. 

1. Zmapujeme si, jaké cookies používáme a do jakých kategorií je můžeme zařadit.

Praktický tip: Usnadněte si zmapování cookies pomocí online nástroje, který vám pomůže analyzovat vaše cookies.

2. Zvážíme, zda všechny cookies které sbíráme, opravdu potřebujeme. Těch nepotřebných (a typicky duplicitních) se zbavíme.

3. Vytvoříme dokument Zásady zpracování cookies (Cookie policy), který bude přístupná na webu. Můžete také doplnit své Zásady zpracování osobních údajů, doporučujeme ovšem v takovém případě do názvu doplnit i cookies. Součástí dokumentu je zapotřebí vysvětlit co jsou cookies, jaké konkrétní cookies zpracováváte, za jakým účelem (vždy konkrétné u každé cookie), její platnost a zařazení do kategorie.

4. Zvolíme řešení cookie lišty a změníme textaci tak, aby umožňovala povolit jen nezbytné cookies, všechny cookies, nebo zvolit pouze vybrané cookies. Práci si můžete usnadnit například použitím cookie bota.

5. Zkontrolujeme si, že v cookie liště máme aspoň základní splnění informační povinnosti – sdělíme tak návštěvníkům webu, že mají možnost volby nastavení cookies, odkážeme je na Cookie policy, kde se mohou dozvědět více o použití cookies, a dáme jim vědět, kde mohou spravovat svůj souhlas.

6. Zkontrolujeme nastavení nové verze Google Analytics 4, která bude měřit data i bez souhlasu s cookies v anonymizovaném režimu.

7. Ověříme si, že cookies, ke kterým je potřeba souhlas, nezačnou s měřením, dokud nebude udělen výslovně souhlas. Zavření cookie lišty souhlasem není. Do udělení souhlasu lze měřit pouze nezbytné cookies.

8. Pokud musíme předávat data o cookies třetím stranám, zvážíme, zda je možné je anonymizovat.

9. Zkontrolujeme, že blokování cookies (aktuálně lze pomocí blokace konkrétních JS) nenarušuje základní funkce webu. 

10. Nastavíme platnost souhlasu na maximálně 13 měsíců (aktuální návrh Úřadu pro ochranu osobních údajů, které se může měnit). Po této době je třeba požádat návštěvníky webu, aby souhlas udělli znovu. 

11. Nastavíme opakované zobrazení lišty těm, kteří neudělili souhlas na několik měsíců (přibližně 3‑6, záleží na tom, nakolik je služba dynamická), nikoli dní. Bohužel, přesné číslo zákon neříká. Platí ovšem, že u dynamičtějších služeb se můžeme ptát častěji. Pokud se ovšem uživatel vůbec nevyjádřil (pouze zavřel cookie lištu), lze ji znovu zobrazit při další návštěvě.

12. Pokud máme více domén, můžeme nastavit souhlas i pro tyto domény, pokud je spravuje ten samý subjekt (správce), jedná se o podobnou službu a zároveň je uživatel zřetelně informován.

13. Zjistíme, zda máme možnost vyexportovat logy souhlasů ze správce cookies spolu s časovými razítky, aby bylo jasné, kdy a kým byl souhlas udělen.

14. Aktualizujeme Zásady zpracování osobních údajů o informaci, že dochází ke zpracování cookies a odkážeme na Cookie Policy.

15. Cookie Policy vložíme do zápatí webu a zkontrolujeme, že odkaz pro možnost změny souhlasu s cookies je na stránce dobře viditelný. 

Řada provozovatelů webu věří, že pokud tlačítko “Povolit pouze nezbytné” dají malým písmem, nevýraznou barvou, nebo dokonce úplně jinam, než je tlačítko se souhlasem, zvýší opt‑in rate a vyhnou se pokutě. Dali přece uživateli možnost cookies odmítnout. Bohužel, tento postup není v souladu se zákonem. Pokud by možnost odmítnout souhlas nebyla stejně jednoduchá jako jej udělit, došlo by k porušení požadavků GDPR na transparentnost, a hrozila by tak vysoká pokuta. 

Stejně tak nelze podmínit, že bez souhlasu s cookies nelze vaši službu poskytnout. Co ovšem můžete udělat, je pozitivně motivovat k udělení souhlasu, například slevou na další nákup. Počítejte ovšem s tím, že souhlas s cookies může uživatel vždy kdykoliv odvolat.

Pokud na svůj web umístíte embedované Youtube video, Youtube automaticky monitoruje aktivitu návštěvníků vašeho webu prostřednictvím personalizačních cookies a tyto informace pak využívá k personalizaci svého rozhraní a reklam. 

Youtube navíc umožňuje umístit embedovaná videa na vašem webu, aniž by přitom monitoroval cokoli za využití tzv. privacy‑enhanced režimu. Tento způsob umístění se pak promítne zejména v tom, že aktivita uživatele na vašem webu nebude mít vliv jak na personalizaci rozhraní Youtube, tak na personalizaci reklam poskytovaných Youtube. 

A proč by vás vůbec mělo zajímat, zda Youtube monitoruje aktivitu uživatele vašeho webu? 

Jednou z hlavních zásad GDPR je zásada minimalizace osobních údajů, která prakticky znamená, že byste vždy měli zpracovávat co nejméně osobních údajů v co nejmenším rozsahu je to možné. Tedy netahat z návštěvníků vašeho webu více dat, než je nezbytně nutné, ale zároveň je ani bezdůvodně nepředávat třetím stranám, pokud tu taková možnost je.

Pokud tedy Youtube poskytuje možnost embedování videí bez získávání dat návštěvníků webu, měli byste takové možnosti v souladu s GDPR využít. 

Jak ale na to? Jednoduše stačí změnit doménu vloženého URL v kódu HTML z youtube.com na youtube‑nocookie (tečka) com. To je vše. Pokud byste se chtěli o tzv. privacy‑enhanced režimu embedování videí dozvědět více, můžete si nastudovat návod přímo od Youtube na tomto odkazu.

V roce 2024 došlo k dalším změnám v oblasti správy cookies a ochrany soukromí uživatelů. V reakci na legislativu Evropské unie bylo od března zavedeno nové nastavení souhlasů s cookies, zatímco Google opět odložil dlouho očekávané ukončení podpory cookies třetích stran v prohlížeči Chrome. Jak tyto změny ovlivní uživatele, marketéry a provozovatele webů?

Od března 2024 musí webové stránky zavést nové typy souhlasů s cookies, které reflektují přísnější regulaci práce s uživatelskými daty. Konkrétně se jedná o dva nové typy cookies:

• ad_user_data – Ukládá souhlas uživatele s použitím jeho dat pro reklamní systémy, zejména v rámci personalizovaných reklam.

• ad_personalization – Ukládá souhlas uživatele s použitím jeho dat pro personalizaci obsahu obecně, tedy nejen reklamního, ale i neplaceného obsahu.

Tato nová pravidla vycházejí z legislativy Evropské unie, která omezila, jak mohou velcí poskytovatelé služeb – tzv. strážci přístupu (například Google) – pracovat s uživatelskými daty napříč platformami. Cílem je zajistit větší kontrolu uživatelů nad tím, jak se jejich osobní údaje využívají.

Další významnou změnou v roce 2024 je další odklad ukončení podpory cookies třetích stran v prohlížeči Chrome. Google původně oznámil konec těchto cookies už v roce 2022, poté termín posunul na konec roku 2024, ale nyní oznámil, že konečné ukončení je očekáváno až v roce 2025.

Cookies třetích stran se používají k cílení reklam a sledování chování uživatelů napříč různými weby. Jejich odstranění by zásadně ovlivnilo reklamní ekosystém, proto se hledají alternativní řešení, například Google Privacy Sandbox, který má nabídnout méně invazivní metody sledování uživatelů.

Odklad přináší smíšené reakce:

• Pro uživatele znamená delší období, kdy jejich aktivita může být sledována současnými metodami.

• Pro inzerenty a marketéry to znamená více času na přechod na nové technologie měření a cílení reklam.

• Pro regulátory je to důkaz, že přechod na bezpečnější digitální prostředí je složitý a pomalý proces.

Rok 2024 potvrzuje, že ochrana soukromí a práce s cookies zůstávají klíčovými tématy digitálního světa. Firmy se budou muset připravit na nová pravidla souhlasů a sledovat další vývoj kolem cookies třetích stran.

Jisté je, že dny cookies třetích stran jsou sečteny, i když jejich definitivní konec se stále posouvá. Inzerenti i majitelé webových stránek budou muset postupně přejít na nové technologie cílení a analytiky, které budou více respektovat soukromí uživatelů.

Správné nastavení cookies bude nelehký úkol pro každého provozovatele webu. Nejlepšího výsledku dosáhnete, pokud zapojíte svého UX designéra, IT odborníka na Java Script a právníka se specializací na GDPR.

Ve spolupráci s advokátní kanceláří Legitas jsme pro vás také připravili praktický přehled nejčastějších otázek a odpovědí o novém cookie zákonu. Stáhněte si jej zdarma ZDE >> .