Cookies 2026: Máte lištu, která projde kontrolou?

Éra, kdy stačilo do patičky webu umístit větu "Používáním tohoto webu souhlasíte s ukládáním cookies", je už dávno minulostí. Přesto na českém internetu stále narážíme na cookie lišty, které zdaleka neodpovídají požadavkům zákona ani Úřadu pro ochranu osobních údajů (ÚOOÚ). Provozovatelé webů se tím vystavují nejen riziku pokut od ÚOOÚ, ale největším postihem může být ztráta dat o uživatelích webu. Špatně nastavené cookie lišty také bývají často uživatelsky nepřívětivé a mohou znamenat i ztrátu důvěry zákazníků, kteří jsou na své soukromí stále citlivější.

Právní základ: Technicky nezbytné x Ostatní cookies

Pro to, aby vaše lišta byla v souladu se zákonem, musíte rozlišovat účel jednotlivých cookies.

• Technicky nezbytné cookies: Jsou nutné pro provozování webu (např. aby vám nezmizelo zboží z košíku). Pro tyto cookies nepotřebujete souhlas uživatele.
• Analytické a marketingové cookies: Slouží ke sledování návštěvnosti nebo k cílení reklamy. Zde platí přísný princip "opt-in". Nesmíte je spustit dříve, než vám k tomu uživatel dá aktivní, svobodný a informovaný souhlas.

Pozor na neklasifikované cookie, žádné by na cookie liště neměly správně být. Čas od času navštivte váš doplněk a manuálně roztřiďte zbytkové cookies, které doplněk nezařadil.

Nastavení správné cookie lišty

Aby vaše cookie lišta prošla kontrolou ÚOOÚ bez zbytečných starostí, musí splňovat několik základních technických a vizuálních parametrů.

• Tři tlačítka: Správná cookie lišta by měla obsahovat tři tlačítka "Přijmout vše", "Odmítnout vše" (nebo "Jen nezbytné") a "Nastavení cookies". Názvy mohou být originálnější, pokud budou vystihovat podstatu sdělení.
• Rovnocenná volba: Tlačítka "Přijmout vše" a "Odmítnout vše" musí být na stejné úrovni. Nesmíte jedno z nich schovávat do šedé barvy nebo ho činit méně viditelným.
• Žádná předzaškrtnutá políčka: V detailním nastavení nesmí být políčka pro analytické nebo marketingové cookies předzaškrtnutá. Uživatel musí mít možnost je zaškrtnout sám.

Příklad správné cookie lišty: Tato cookie lišta obsahuje rovnocenná tlačítka "Povolit vše", "Odmítnout" a "Povolit výběr". Zároveň v první úrovni přímo obsahuje nastavení preferenčních cookies, která nejsou předzaškrtnutá, ale uživatel má možnost si svobodně vybrat.

"Dark Patterns": Nejčastější chyby e-shopařů

Z naší zkušenosti víme, že firmy často chápou cookies jako čistě IT záležitost. E-shopaři často podceňují vizuální hierarchii tlačítek a uchylují se k praktikám, které uživatelům de facto nedávají na výběr.

Často se setkáváme s tím, že cookie lišta je jen hezké okénko, ale už neplní svou hlavní funkci. Neeviduje pro web logy uživatelů (kdy dali svůj souhlas, jaký anebo kdy jej odmítli ať už aktivně nebo pasivně, že nezvolili žádnou možnost).

Typickým prohřeškem je zvýraznění tlačítka "Přijmout vše", zatímco volba pro odmítnutí buď úplně chybí, nebo je schovaná hluboko v "Nastavení". Pokud uživatel musí složitě rozklikávat preference a ručně "odškrtávat" předzaškrtnutá políčka, je to z pohledu ÚOOÚ nepřípustné. Souhlas musí být aktivní a svobodný, nikoliv vynucený složitým klikáním. Aby to nakonec uživatel vzdal.

Dalším častým prohřeškem, se kterým se setkáváme, je tzv. cookie wall. Jde o situaci, kdy je uživateli webu zablokován přístup, dokud neudělí souhlas s cookies, nastaví nebo je neodmítne. Takový souhlas není považován za svobodný, a je tedy v rozporu s ochranou osobních údajů. ÚOOÚ zastává názor, že uživatel musí mít možnost si nezvolit nic (např. zaškrtnutím křížku, cookie lišta je v jen v zápatí webu).

Příklad špatné cookie lišty: Tato cookie lišta neobsahuje tři nutná tlačítka, především tlačítko "Jen nezbytné", které na cookie liště být musí. Uživatel musí mít stejnou možnost pro přijetí všech cookies stejně tak jako pro přijetí jen nezbytných cookies.

Alkoholové e-shopy a věková hranice

Na e-shopech, kde je prodáván alkohol se lze často setkat se situací, kdy si e-shop s alkoholem vyžádá potvrzení věku 18+ a zároveň tím "v balíčku" odklikne souhlas s cookies. Je to v pořádku? Není.

Spojení potvrzení věku (které je nutné pro vstup) se souhlasem s marketingovými cookies je ukázkovým příkladem nelegálního vázání souhlasu. Návštěvník musí mít možnost potvrdit věk. Současně musí mít možnost nastavit marketingové nebo jiné cookies nezávisle na potvrzení věku.

Polemika nad cookies často končí u argumentu "přijdeme o data". My v Legitas jsme ale přesvědčeni, že data získaná nelegálně jsou rizikem. ÚOOÚ letos velmi rád cookie lišty kontroluje, také na podněty uživatelů webu. Férová cookie lišta buduje u uživatele pocit bezpečí. Zákazník, který ví, že mu nic nenutíte, se na váš web vrací raději.

Praktické kroky: 3 body pro váš klidný spánek

Správně nastavená cookie lišta není IT problém, ale právní nutností. Pokud chcete konkrétní radu k vaší cookie liště, neváhejte se nám ozvat. Provedeme audit a konkrétní doporučení k nastavení a textaci vaší cookie lišty, která můžete ihned nasadit na váš web.

Kontrola cookie wall: Zkontrolujte, zda vaše cookie lišta nebrání v prohlížení webu. Pokud ano, dost pravděpodobně by vám ji úřad vytkl.

Předžaškrtnuté souhlasy: Zkontrolujte, zda nastavení cookies neobsahuje předžaškrtnuté souhlasy. Uživatel má mít možnost si svobodně zvolit, jaké cookies zaškrtne sám aktivně.

Audit tlačítek: Zkontrolujte, zda vaše cookie lišta obsahuje tři tlačítka "Přijmout vše", "Jen nezbytné" a "Nastavit". Zkontrolujte, zda je tlačítko "Jen nezbytné" stejně viditelné jako "Přijmout vše".

Správně nastavená cookie lišta není IT problém, ale právní nutností. Pokud chcete konkrétní radu k vaší cookie liště, neváhejte se nám ozvat. Provedeme audit a konkrétní doporučení k nastavení a textaci vaší cookie lišty, která můžete ihned nasadit na váš web.

Autorky

Pavla Vybíralová, spoluzakladatelka advokátní kanceláře Legitas

Liliana Kuželková, právnička advokátní kanceláře Legitas