Souhlas s cookies podle GDPR: praktický průvodce

Co GDPR a ePrivacy u cookies vyžadují

Souhlas s cookies v EU plyne ze dvou pravidel. Směrnice ePrivacy (článek 5(3)) vyžaduje předchozí souhlas, než se na zařízení návštěvníka uloží nebo přečte jakákoli nepovinná cookie. GDPR (články 4(11) a 7) definuje platný souhlas: svobodné, konkrétní, informované a jednoznačné aktivní jednání, které lze odvolat stejně snadno, jako byl udělen.

České weby mají tutéž povinnost přímo v zákoně: § 89 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění zákona č. 374/2021 Sb., zavedl od 1. ledna 2022 režim opt-in a „prokazatelný souhlas“. Dozor vykonává Úřad pro ochranu osobních údajů (ÚOOÚ).

Pokyny EDPB 05/2020 rozepisují detaily: žádná předzaškrtnutá políčka, odmítnutí stejně snadné jako přijetí a pouhé prohlížení není souhlas. Soudní dvůr EU v rozsudku Planet49 (C-673/17) potvrdil, že předzaškrtnuté souhlasy neplatí.

Toto jsou obecné informace, ne právní poradenství. Správné nastavení závisí na vašem webu a publiku; konkrétní situaci konzultujte s kvalifikovaným právníkem.

Čtyři kategorie cookies

Většina nastavení souhlasu třídí cookies do čtyř kategorií. Bez souhlasu smí běžet jen ta první:

Nezbytné - nutné pro chod webu (přihlášení, košík, zabezpečení). Souhlas není potřeba.
Preference - pamatují si volby jako jazyk nebo region.
Statistika - analytika měřící používání webu.
Marketing - reklama a sledování napříč weby.

Jak dostat cookies do souladu

Proskenujte web a najděte každou cookie, pixel i tracker.
Roztřiďte je do čtyř kategorií výše.
Zablokujte nepovinné cookies a skripty, dokud návštěvník nesouhlasí.
Zobrazte lištu s rovnocennými tlačítky Přijmout a Odmítnout a volbami bez předzaškrtnutí.
Každou volbu zaznamenejte (co, kdy a jak) jako důkaz souhlasu.
Nechte návštěvníky souhlas kdykoli změnit nebo odvolat.
Zveřejněte zásady cookies se seznamem cookies a jejich účely.

Consent management platform tohle všechno udělá za vás, takže nic nemusíte stavět ani udržovat ručně.

Časté chyby, kterým se vyhnout

Předzaškrtnutá políčka nebo „souhlas“ vyvozený z prohlížení - obojí je neplatné.
Tlačítko „Odmítnout“ hůř dostupné než „Přijmout“.
Načítání analytiky nebo reklamních skriptů před souhlasem.
Cookie wall, která podmiňuje vstup na web souhlasem.
Žádné záznamy o tom, kdo s čím a kdy souhlasil.

Přesně na tyto vzorce EDPB i národní dozorové úřady zasahují nejčastěji.

Jak vypadá vyhovující cookie lišta

Vyhovující lišta dělá přijetí i odmítnutí stejně snadné: tlačítka „Přijmout vše“ a „Odmítnout vše“ stojí vedle sebe, stejně velká, výrazná a se stejnou vizuální váhou. Nepostrkuje k souhlasu zářivým „Přijmout“ vedle šedého nebo schovaného „Odmítnout“ a nezahrabává odmítnutí dvě kliknutí hluboko za odkaz „Spravovat předvolby“.

V první vrstvě lišta jmenuje, kdo a proč data sbírá, odkazuje na úplné zásady cookies a nechá návštěvníka přijmout, odmítnout, nebo otevřít volby po kategoriích. Nepovinné kategorie jsou v základu nezaškrtnuté a zavření lišty, posouvání stránky ani další prohlížení se nikdy nepočítá jako souhlas.

Rychlý test: pokud odmítnutí stojí víc kliknutí nebo úsilí než přijetí, lišta nejspíš vyhovující není. Dozorové úřady takovou asymetrii považují za dark pattern.

Pokuty a praxe dozorových úřadů

Tahle pravidla se opravdu vymáhají. V prosinci 2021 udělil francouzský CNIL Googlu pokuty v souhrnu 150 milionů eur a Facebooku 60 milionů právě proto, že odmítnutí cookies stálo víc kliknutí než přijetí. To je nejčastěji citovaná výtka. CNIL (Francie), DSK (Německo) i ICO (Spojené království) zveřejnily vodítka, že odmítnout musí být stejně snadné jako přijmout; stejný požadavek opakuje i český ÚOOÚ.

Většina zásahů míří na stále stejné chyby: trackery spuštěné před souhlasem, chybějící skutečné „Odmítnout vše“, předzaškrtnutá políčka a souhlas vyvozený ze scrollování. Správně nastavená lišta - blokování předem, rovnocenné odmítnutí, volby bez předzaškrtnutí a záznam každé volby - vás drží v mezích ePrivacy i GDPR.

Zařiďte to zdarma s KookiOk

KookiOk je postavený přesně kolem těchto požadavků: proskenuje web, blokuje nepovinné cookies až do souhlasu, nabízí lištu se stejně snadným „Odmítnout vše“ a kategoriemi v základu a vede záznamy o souhlasech na 5 let chráněné proti manipulaci. Je zdarma, s weby i zobrazeními bez limitů.

Lišta zdarma za pár minutBez platební karty · Weby i zobrazení bez limitů

Začít zdarma

Zdroje

Časté dotazy

Jak dostanu cookies na webu do souladu s GDPR?

Proskenujte a roztřiďte cookies, nepovinné zablokujte, dokud návštěvník nesouhlasí, zobrazte lištu se stejně snadným odmítnutím a volbami bez předzaškrtnutí, každou volbu zaznamenejte a nechte lidi souhlas odvolat. Consent management platform jako KookiOk to udělá za vás.

Vyžaduje GDPR předchozí souhlas s cookies?

Ano. Směrnice ePrivacy (článek 5(3)) vyžaduje souhlas před uložením nebo čtením nepovinných cookies a GDPR definuje, jak má platný souhlas vypadat. V Česku platí od roku 2022 režim opt-in podle § 89 odst. 3 zákona o elektronických komunikacích. Výjimkou jsou nezbytně nutné cookies.

Jsou předzaškrtnutá políčka souhlasu povolená?

Ne. Pokyny EDPB 05/2020 i rozsudek Soudního dvora EU ve věci Planet49 jasně říkají, že předzaškrtnutá políčka platným souhlasem nejsou. Kategorie musí zůstat prázdné, dokud je návštěvník sám nezaškrtne.

Musím uchovávat důkaz o souhlasu s cookies?

Ano. Podle článku 7 GDPR musíte umět doložit, že souhlas byl udělen; český ZEK mluví přímo o „prokazatelném souhlasu“. KookiOk každou volbu zapisuje do záznamu chráněného proti manipulaci, uchovává ho 5 let a exportuje do PDF nebo JSON.