Cookies potkáváte na internetu denně – každý web, který navštívíte, vás o nich informuje. Ale víte, co to vlastně je, jak technicky fungují a proč po vás každý web chce souhlas? V tomto podrobném průvodci vám vysvětlíme vše od technických základů přes právní požadavky až po praktické tipy, jak s cookies správně nakládat na vašem webu.

Co jsou cookies?

Cookies (česky „sušenky") jsou malé textové soubory, které si webové stránky ukládají do vašeho prohlížeče. Když navštívíte web, server pošle prohlížeči cookie s určitými informacemi. Při další návštěvě prohlížeč cookie odešle zpět serveru, který tak „pozná" vracejícího se návštěvníka.

Technicky cookie obsahuje několik klíčových atributů:

  • Název a hodnota – identifikátor a uložená data (např. session_id=abc123)
  • Doména – web, který cookie vytvořil a může ho číst
  • Cesta – část webu, kde cookie platí
  • Datum expirace – jak dlouho cookie přetrvá
  • Secure flag – zda se cookie přenáší pouze přes HTTPS
  • HttpOnly flag – zda je cookie přístupné pouze serveru (ne JavaScriptu)
  • SameSite atribut – ochrana proti CSRF útokům

Například díky cookies:

  • Zůstanete přihlášení na webu i po zavření prohlížeče
  • E-shop si pamatuje, co máte v košíku
  • Web ví, jaký jazyk preferujete
  • Formuláře si pamatují vaše dříve vyplněné údaje
  • Reklamy se vám zobrazují podle vašich zájmů

Krátká historie cookies

Cookies vynalezl v roce 1994 Lou Montulli, programátor v Netscape Communications. Původně vznikly jako řešení problému „nákupního košíku" – web potřeboval způsob, jak si zapamatovat, co si zákazník vybral, protože HTTP protokol je bezstavový (každý požadavek je nezávislý). Od té doby se cookies staly základním stavebním kamenem webu, ale jejich využití se rozšířilo daleko za původní záměr – zejména do oblasti sledování uživatelů a cílené reklamy.

Typy cookies podle účelu

Cookies se dělí do několika kategorií podle toho, k čemu slouží. Toto rozdělení je důležité nejen technicky, ale zejména právně – určuje, zda potřebujete souhlas uživatele.

Nezbytné cookies (strictly necessary)

Bez nich web nefunguje správně. Patří sem:

  • Session cookies pro přihlášení uživatele
  • Cookies nákupního košíku v e-shopech
  • CSRF tokeny (ochrana proti podvrženým požadavkům)
  • Cookies pro vyvažování zátěže serverů (load balancing)
  • Cookie pro zapamatování volby v cookie banneru

Tyto cookies nevyžadují souhlas uživatele, ale musíte o nich informovat. Je důležité nepřidávat do této kategorie cookies, které nezbytné nejsou – dozorové úřady to kontrolují a pokutují.

Analytické cookies

Měří návštěvnost a chování uživatelů na webu. Pomáhají provozovateli pochopit, jak návštěvníci web používají:

  • Google Analytics – nejrozšířenější analytický nástroj (cookies _ga, _gid, _gat)
  • Hotjar – heatmapy a nahrávání sessions
  • Microsoft Clarity – bezplatná alternativa k Hotjaru
  • Matomo – open-source analytika s možností self-hostingu

Analytické cookies vyžadují souhlas. Výjimkou může být situace, kdy analytiku provozujete na vlastním serveru (self-hosted) a data neopouští vaši doménu – v tom případě lze argumentovat oprávněným zájmem, ale je to právně šedá zóna.

Marketingové cookies

Sledují uživatele napříč weby a umožňují cílenou reklamu a remarketing:

  • Facebook Pixel – sledování konverzí a remarketing na Facebooku a Instagramu
  • Google Ads (gclid) – měření konverzí z Google reklam
  • LinkedIn Insight Tag – B2B remarketing
  • TikTok Pixel – sledování pro TikTok reklamy
  • Sklik – český reklamní systém od Seznamu

Marketingové cookies vždy vyžadují explicitní souhlas. Jejich aktivace bez souhlasu je jedním z nejčastějších porušení GDPR, za které dozorové úřady udělují pokuty.

Funkční cookies

Pamatují si uživatelské preference a vylepšují uživatelský zážitek:

  • Jazyková preference
  • Regionální nastavení (měna, země)
  • Nastavení velikosti písma nebo kontrastního režimu
  • Zapamatování, zda uživatel zavřel informační banner

Funkční cookies obvykle vyžadují souhlas, pokud nejsou nezbytné pro základní fungování webu.

Typy cookies podle doby platnosti

Další důležité dělení je podle toho, jak dlouho cookies v prohlížeči zůstávají:

Session cookies (relační) – existují pouze po dobu návštěvy webu. Jakmile zavřete prohlížeč, automaticky se smažou. Typicky se používají pro přihlášení nebo nákupní košík.

Persistent cookies (trvalé) – zůstávají v prohlížeči po stanovenou dobu (dny, měsíce, roky). Například cookie Google Analytics _ga má výchozí platnost 2 roky. GDPR říká, že doba platnosti musí být přiměřená účelu.

First-party vs. third-party cookies

First-party cookies vytváří přímo web (doména), který navštěvujete. Když jste na webu example.cz a ten si uloží cookie, je to first-party cookie. Jsou obecně méně invazivní a uživatelé jim více důvěřují.

Third-party cookies (cookies třetích stran) vytváří jiné domény než ta, kterou navštěvujete. Když jste na webu example.cz, ale cookie ukládá doména facebook.com nebo google.com (prostřednictvím vloženého skriptu), jedná se o third-party cookie. Tyto cookies umožňují sledování uživatelů napříč weby a jsou základem cílené reklamy.

Google Chrome v roce 2024 změnil plány ohledně third-party cookies. Místo úplného zrušení nabídne uživatelům větší kontrolu prostřednictvím nového systému Privacy Sandbox. Safari a Firefox third-party cookies blokují již od roku 2020.

Co znamená konec third-party cookies pro váš web?

Postupné omezování third-party cookies zásadně mění digitální marketing:

  • Remarketing přes cookies třetích stran je stále méně efektivní
  • Roste význam first-party dat – údajů, které sbíráte přímo od svých zákazníků
  • Server-side tracking se stává standardem pro přesné měření
  • Google Consent Mode v2 umožňuje modelování dat i bez cookies
  • Kontextová reklama zažívá renesanci jako alternativa k behaviorálnímu cílení

Alternativy ke cookies

Cookies nejsou jediným způsobem, jak weby sledují uživatele. Existují i další technologie, na které se GDPR rovněž vztahuje:

  • Local Storage a Session Storage – webová úložiště v prohlížeči s větší kapacitou než cookies. Na rozdíl od cookies se automaticky neposílají na server s každým požadavkem.
  • Device fingerprinting – identifikace zařízení na základě kombinace parametrů (rozlišení obrazovky, nainstalované fonty, verze prohlížeče). GDPR tuto techniku považuje za zpracování osobních údajů.
  • ETags a cache tracking – využití HTTP cache pro sledování uživatelů. Technicky sofistikované a těžko detekovatelné.
  • Pixel tracking – neviditelné obrázky o rozměrech 1x1 pixel, které při načtení odesílají informace na server.

Důležité je, že GDPR se nevztahuje jen na cookies jako takové, ale na jakékoliv sledování uživatelů a zpracování osobních údajů. Nahrazení cookies jinou sledovací technologií tedy problém neřeší.

Proč potřebujete souhlas?

Povinnost získat souhlas s cookies vychází ze dvou právních předpisů:

  1. ePrivacy směrnice (2002/58/ES) – stanoví, že ukládání informací do zařízení uživatele (tedy i cookies) vyžaduje souhlas, s výjimkou nezbytných cookies. V ČR implementována zákonem č. 127/2005 Sb., o elektronických komunikacích.
  2. GDPR – pokud cookies obsahují osobní údaje (a většina analytických a marketingových cookies ano), vztahují se na ně pravidla pro zpracování osobních údajů.

Souhlas musí být:

  • Svobodný – uživatel nesmí být nucen souhlas udělit. Nesmíte blokovat přístup k webu bez souhlasu (tzv. cookie wall je nelegální).
  • Konkrétní – pro každou kategorii cookies zvlášť. Uživatel musí mít možnost souhlasit s analytikou, ale odmítnout marketing.
  • Informovaný – musíte srozumitelně vysvětlit, k čemu cookies slouží, kdo je provozuje a jak dlouho platí.
  • Jednoznačný – aktivní akce uživatele (klik na tlačítko). Předvyplněné checkboxy, scrollování stránkou ani pokračování v prohlížení nejsou platný souhlas.
  • Odvolatelný – uživatel musí mít možnost souhlas kdykoliv snadno odvolat.

Jak dlouho souhlas platí?

GDPR nespecifikuje přesnou dobu platnosti souhlasu s cookies. ÚOOÚ a evropské dozorové úřady obecně doporučují obnovovat souhlas minimálně jednou za 12 měsíců. Některé úřady (například španělský AEPD) doporučují i kratší interval – 6 měsíců. V Consentio můžete dobu platnosti souhlasu nastavit v konfiguraci cookie banneru.

Jak cookies na webu identifikovat?

Než začnete řešit cookie banner, potřebujete vědět, jaké cookies váš web skutečně používá. Existuje několik způsobů:

  • Automatický skener – nástroje jako Consentio automaticky proskenují váš web a identifikují všechny cookies. Toto je nejspolehlivější metoda.
  • DevTools v prohlížeči – v Chrome otevřete DevTools (F12), záložka Application, sekce Cookies. Uvidíte všechny cookies pro aktuální doménu.
  • Ruční audit – projděte kód webu a identifikujte všechny skripty třetích stran. Každý takový skript potenciálně ukládá cookies.

Důležité je skenování provádět pravidelně – nové cookies se mohou objevit po aktualizaci pluginů, přidání nového nástroje nebo změně reklamní kampaně.

Cookies a české právo

V České republice pravidla pro cookies upravuje zákon č. 127/2005 Sb., o elektronických komunikacích, konkrétně § 89 odst. 3. Dozor vykonává ÚOOÚ (Úřad pro ochranu osobních údajů) ve spolupráci s ČTÚ (Český telekomunikační úřad).

ÚOOÚ ve svých stanoviscích opakovaně zdůrazňuje:

  • Pouhý informační banner bez možnosti odmítnutí nestačí
  • Souhlas musí být aktivní – předvyplněné checkboxy jsou neplatné
  • Provozovatel musí vést záznamy o udělených souhlasech
  • Odmítnutí cookies nesmí zhoršit funkčnost webu (s výjimkou funkcí, které cookies skutečně vyžadují)

V praxi ÚOOÚ zatím uděloval pokuty za cookies spíše výjimečně, ale s rostoucím povědomím veřejnosti a zpřísňováním přístupu na evropské úrovni se situace mění. V roce 2023 začal ÚOOÚ aktivněji kontrolovat weby a posílat výzvy provozovatelům s nevyhovujícími cookie bannery.

Praktické tipy pro správu cookies

Na závěr několik praktických doporučení pro provozovatele webů:

  1. Pravidelně skenujte – provádějte audit cookies minimálně jednou měsíčně. Nové cookies se mohou objevit bez vašeho vědomí.
  2. Minimalizujte cookies – používejte pouze nástroje, které skutečně potřebujete. Každý zbytečný skript je další cookie, se kterým musíte získat souhlas.
  3. Blokujte do souhlasu – nepovinné cookies nesmí být aktivní před udělením souhlasu. Používejte nástroj, který automaticky blokuje skripty.
  4. Buďte transparentní – popište v cookie policy každou cookie, její účel, dobu platnosti a poskytovatele.
  5. Testujte – po každé změně na webu ověřte, že cookie banner funguje správně a žádné cookies se neaktivují bez souhlasu.
  6. Zvažte privacy-friendly alternativy – například Matomo místo Google Analytics, nebo Plausible pro jednoduchou analytiku bez cookies.

S Consentio máte správu cookies pod kontrolou. Automatický skener identifikuje všechny cookies na vašem webu, cookie banner blokuje nepovinné cookies do souhlasu a podpora Google Consent Mode v2 zajistí kompatibilitu s Google službami. Implementace zabere 5 minut – stačí přidat jeden řádek kódu.