Nemůžete informovat uživatele o cookies, když nevíte, jaké cookies váš web používá. Cookies audit je naprosto zásadní první krok k GDPR compliance – a přesto ho spousta firem přeskočí nebo udělá jen povrchně. V tomto podrobném návodu vám ukážeme, jak provést kompletní audit cookies krok za krokem, jaké nástroje použít a jak s výsledky naložit.

Proč potřebujete cookies audit?

GDPR a směrnice ePrivacy vyžadují, abyste uživatelům poskytli přesné a úplné informace o cookies. Konkrétně musíte sdělit:

  • Jaké cookies váš web ukládá na zařízení uživatele
  • K jakému účelu každá cookie slouží
  • Jak dlouho se jednotlivé cookies uchovávají
  • Kdo k datům v cookies má přístup (vy, třetí strany)
  • Zda jde o first-party nebo third-party cookies

Bez důkladného auditu tyto informace jednoduše nemáte a váš cookie banner i cookie policy obsahují nepřesné nebo neúplné údaje. To představuje porušení GDPR – konkrétně článku 13 (informační povinnost) a článku 5 odst. 1 písm. a) (zásada transparentnosti).

Navíc se cookies na webu mění. Každá aktualizace pluginu, přidání nového analytického nástroje nebo implementace reklamního pixelu může přinést nové cookies. Proto by audit neměl být jednorázovou záležitostí, ale pravidelným procesem.

Co přesně je cookies audit?

Cookies audit je systematický proces identifikace, klasifikace a dokumentace všech cookies a podobných technologií (localStorage, sessionStorage, fingerprinting), které váš web používá. Výstupem auditu je kompletní seznam cookies s následujícími informacemi pro každou z nich:

  • Název cookie – technický identifikátor (např. _ga, _fbp, PHPSESSID)
  • Doména – která doména cookie nastavuje
  • Typ – first-party (vaše doména) nebo third-party (cizí doména)
  • Účel – k čemu cookie slouží
  • Kategorie – nezbytná, analytická, marketingová, funkční
  • Doba expirace – jak dlouho cookie přetrvává
  • Poskytovatel – kdo cookie nastavuje (Google, Facebook, váš CMS...)

Jak provést cookies audit: Podrobný návod

Krok 1: Připravte si prostředí

Před začátkem auditu je důležité zajistit čisté výchozí podmínky:

  1. Otevřete prohlížeč v anonymním/inkognito režimu
  2. Zakažte všechna rozšíření prohlížeče (ad blockery, VPN, správce hesel) – mohou přidávat vlastní cookies nebo blokovat cookies třetích stran
  3. Smažte všechny existující cookies a cache
  4. Připravte si tabulku pro záznam nalezených cookies (Google Sheets, Excel nebo Notion)

Doporučujeme audit provést v Chrome, protože nabízí nejlepší DevTools pro práci s cookies. Ideálně proveďte audit i v dalších prohlížečích (Firefox, Safari), protože některé cookies se mohou chovat odlišně.

Krok 2: Použijte DevTools prohlížeče

Otevřete Chrome DevTools (klávesa F12 nebo Ctrl+Shift+I) a přejděte na záložku Application → Storage → Cookies. Uvidíte seznam všech cookies rozdělených podle domén. Pro každou stránku vašeho webu:

  1. Načtěte stránku a počkejte na úplné načtení
  2. Zkontrolujte záložku Cookies v DevTools – zapište si všechny nalezené cookies
  3. Zkontrolujte také záložku Local Storage a Session Storage – GDPR se vztahuje i na tyto technologie
  4. V záložce Network filtrujte requesty podle hlavičky Set-Cookie

Tip: V záložce Network můžete filtrovat requesty třetích stran a vidět přesně, které domény nastavují cookies na vašem webu. To je užitečné pro identifikaci third-party cookies.

Krok 3: Projděte web jako nový uživatel

Nestačí zkontrolovat jen homepage. Projděte systematicky všechny typy stránek na webu:

  • Hlavní stránka (homepage)
  • Produktové stránky a stránky služeb
  • Blogové články (zejména pokud obsahují vložené obsahy)
  • Kontaktní formuláře a interaktivní prvky
  • Přihlašovací stránka a registrace
  • Nákupní košík a checkout (u e-shopů)
  • Stránky s vloženými videi (YouTube, Vimeo)
  • Stránky se sociálními widgety (Facebook like, Twitter embed)
  • Stránky s chatovacím widgetem nebo helpdeskem
  • Stránky s mapou (Google Maps)

Každý typ stránky může nastavovat jiné cookies. Stránka s YouTube videem přidá cookies od Google/YouTube. Stránka s Facebook komentáři přidá cookies od Facebooku. Proto je důležité projít skutečně celý web, nejen hlavní stránku.

U větších webů (100+ stránek) nemusíte procházet každou jednotlivou stránku, ale měli byste pokrýt každý typ stránky a každou šablonu, kterou web používá.

Krok 4: Identifikujte zdroj a účel každé cookie

Pro každou nalezenou cookie zjistěte její původ a účel. Podívejte se na doménu cookie – pokud je to vaše doména, jde o first-party cookie. Pokud je to jiná doména (google.com, facebook.com, doubleclick.net), jde o third-party cookie.

Pro identifikaci účelu cookie využijte tyto zdroje:

  • Dokumentace poskytovatele – Google, Facebook a další velké služby dokumentují své cookies
  • Cookiedatabase.org – rozsáhlá databáze běžných cookies
  • Cookiepedia – další online databáze cookies
  • Vývojáři vašeho webu – mohou identifikovat cookies nastavené vaším CMS nebo vlastním kódem

Některé běžné cookies a jejich účel:

  • _ga, _ga_* – Google Analytics 4, identifikace uživatele (analytická, expirace 2 roky)
  • _gid – Google Analytics, identifikace uživatele na 24 hodin (analytická)
  • _fbp – Facebook Pixel, sledování konverzí (marketingová, expirace 3 měsíce)
  • _gcl_au – Google Ads konverzní linker (marketingová, expirace 3 měsíce)
  • PHPSESSID – PHP session identifikátor (nezbytná, session)
  • __cf_bm – Cloudflare bot management (nezbytná, expirace 30 minut)
  • _hjSessionUser_* – Hotjar, identifikace uživatele (analytická, expirace 1 rok)
  • NID – Google, preference a reklamy (marketingová, expirace 6 měsíců)

Krok 5: Kategorizujte cookies

Rozdělte nalezené cookies do standardních kategorií podle směrnic EDPB (Evropského sboru pro ochranu osobních údajů):

  • Nezbytné (strictly necessary) – cookies, bez kterých web nefunguje: session identifikátor, CSRF token, bezpečnostní cookies, load balancing, cookie consent preference. Tyto cookies nevyžadují souhlas uživatele.
  • Funkční (functional/preferences) – zapamatování jazyka, měny, přihlášení, preferencí zobrazení, výsledků A/B testů. Vyžadují souhlas.
  • Analytické (analytics/statistics) – Google Analytics, Hotjar, Matomo, heatmapy, statistiky návštěvnosti. Vyžadují souhlas.
  • Marketingové (marketing/advertising) – Facebook Pixel, Google Ads remarketing, reklamní sítě, retargeting, konverzní měření. Vyžadují souhlas.

Správná kategorizace je klíčová. Častou chybou je označení analytických cookies jako „nezbytných". Google Analytics cookie _ga není nezbytná pro fungování webu – web funguje i bez ní. Proto patří do kategorie analytických cookies a vyžaduje souhlas.

Průměrný web používá 20–50 různých cookies. E-shopy s napojením na reklamní systémy (Google Ads, Facebook Ads, Sklik, Heureka) často i přes 100. Každou z nich musíte znát a dokumentovat.

Krok 6: Zdokumentujte výsledky

Vytvořte přehlednou tabulku se všemi nalezenými cookies. Pro každou cookie uveďte: název, doménu, kategorii, účel, poskytovatele, dobu expirace a právní základ (souhlas nebo oprávněný zájem nebo nezbytnost pro poskytnutí služby). Tato tabulka bude podkladem pro váš cookie banner a cookie policy.

Ukázková struktura dokumentace:

  1. Název: _ga
  2. Doména: .example.cz (first-party)
  3. Kategorie: Analytická
  4. Účel: Identifikace unikátních návštěvníků v Google Analytics
  5. Poskytovatel: Google LLC
  6. Expirace: 2 roky
  7. Právní základ: Souhlas

Automatické nástroje pro cookies audit

Manuální audit je důkladný, ale časově náročný. Automatické nástroje dokáží proces výrazně urychlit a pokrýt celý web systematicky.

Bezplatné nástroje

  • Chrome DevTools – vestavěný v prohlížeči, nejpodrobnější pohled na cookies. Nevýhodou je nutnost manuálně procházet každou stránku.
  • Cookiebot Scanner – online skener, bezplatný pro malé weby (do 5 podstránek v bezplatné verzi).
  • EditThisCookie – rozšíření pro Chrome pro rychlý přehled cookies na stránce.
  • Ghostery – rozšíření prohlížeče, které identifikuje trackery a cookies třetích stran.

Placené profesionální nástroje

  • Consentio Scanner – součást platformy Consentio, automaticky skenuje celý web, kategorizuje nalezené cookies a udržuje seznam aktuální.
  • OneTrust CookiePro – enterprise řešení s rozsáhlou databází cookies a automatickým skenováním.
  • Cookiebot – automatický sken s měsíční aktualizací, široce používaný v EU.

Jak často audit opakovat?

Cookies na webu se mění častěji, než si většina firem uvědomuje. Audit by měl probíhat pravidelně:

  • Minimálně jednou za 3 měsíce – jako rutinní kontrola, zda se neobjevily nové cookies
  • Po každé větší změně webu – redesign, nový CMS, migrace na novou platformu
  • Po přidání nového nástroje – nová analytika, nový reklamní pixel, chatovací widget, live chat
  • Po aktualizaci pluginů a rozšíření – pluginy CMS mohou přidávat nové cookies bez vašeho vědomí
  • Po změně poskytovatele služeb – nový hosting, nový CDN, nový e-mailový nástroj

Ideální řešení je automatické skenování, které běží pravidelně a upozorní vás na nové nebo změněné cookies. Consentio toto nabízí jako standardní součást své služby.

Nejčastější chyby při cookies auditu

  1. Kontrola jen homepage – každá stránka může mít jiné cookies. Vždy projděte celý web nebo alespoň všechny typy stránek.
  2. Ignorování localStorage a sessionStorage – GDPR se vztahuje i na tyto úložiště, nejen na HTTP cookies.
  3. Jednorázový audit bez aktualizace – web se mění, cookies se mění. Jednorázový audit rychle zastará.
  4. Špatná kategorizace – analytické cookies nejsou „nezbytné". Přísně nezbytné jsou pouze cookies nutné pro základní fungování webu.
  5. Zapomenutí na třetí strany – embedované videa, sociální widgety, chatboty a další prvky třetích stran přidávají cookies, o kterých často nevíte.
  6. Audit jen s ad blockerem – ad blockery blokují mnoho trackerů a cookies. Audit provádějte bez rozšíření.
  7. Ignorování cookies nastavených po interakci – některé cookies se nastaví až po kliknutí na tlačítko, odeslání formuláře nebo přehrání videa.

Co dělat s výsledky auditu?

Jakmile máte kompletní seznam cookies, je potřeba podniknout několik kroků:

  1. Aktualizujte cookie banner – zajistěte, aby banner zobrazoval všechny kategorie cookies s přesnými popisy.
  2. Aktualizujte cookie policy – přidejte kompletní tabulku cookies do zásad používání cookies na vašem webu.
  3. Odstraňte zbytečné cookies – pokud najdete cookies, které již nepotřebujete (starý analytický nástroj, nepoužívaný widget), odstraňte jejich zdrojový kód.
  4. Nastavte správné blokování – zajistěte, aby se cookies volitelných kategorií nenastavovaly před získáním souhlasu.
  5. Informujte tým – sdílejte výsledky s vývojáři, marketéry a právním oddělením.

Audit s Consentio

Consentio automaticky skenuje váš web a identifikuje všechny cookies včetně cookies třetích stran. Pro každou nalezenou cookie poskytne název, doménu, kategorii, účel a dobu expirace. Výsledky se automaticky promítnou do vašeho cookie banneru a cookie policy.

Skenování probíhá pravidelně, takže máte vždy aktuální přehled. Pokud se na webu objeví nová cookie, Consentio vás upozorní a navrhne kategorizaci. Díky tomu nemusíte audit provádět manuálně a máte jistotu, že váš cookie banner vždy odpovídá skutečnosti.