Cookie lišta je první věc, kterou návštěvník na vašem webu vidí. Je to vaše digitální vizitka v oblasti ochrany soukromí – a zároveň právní povinnost. Musí být legální, přístupná a srozumitelná, ale zároveň nesmí odradit uživatele od návštěvy webu. V tomto podrobném návodu vám ukážeme, jak vytvořit cookie banner, který splňuje všechny požadavky GDPR, doporučení ÚOOÚ i evropských dozorových úřadů – a přitom dosahuje vysokého consent rate.

Proč je cookie lišta povinná?

Povinnost zobrazit cookie banner vychází ze dvou právních předpisů:

  • ePrivacy směrnice (2002/58/ES) – požaduje informovaný souhlas před uložením cookies do zařízení uživatele (s výjimkou nezbytných cookies). V ČR implementována zákonem č. 127/2005 Sb., o elektronických komunikacích.
  • GDPR (Nařízení 2016/679) – pokud cookies obsahují osobní údaje (identifikátory, IP adresy), vztahují se na ně pravidla pro zpracování osobních údajů.

V praxi to znamená, že každý web, který používá analytické, marketingové nebo funkční cookies, musí mít cookie banner. A to platí i pro malé weby s několika stovkami návštěvníků měsíčně – GDPR nerozlišuje podle velikosti.

Jediný případ, kdy cookie banner nepotřebujete, je situace, kdy váš web nepoužívá vůbec žádné nepovinné cookies – tedy žádnou analytiku, žádný remarketing, žádné vložené YouTube video nebo sociální pluginy. V praxi je to dnes téměř nemožné.

Co musí cookie lišta obsahovat?

Podle GDPR, doporučení EDPB (European Data Protection Board) a stanovisek ÚOOÚ musí váš cookie banner obsahovat tyto prvky:

Povinné prvky

  • Jasné informace o cookies – stručný popis toho, jaké cookies používáte a k čemu slouží. Nemusíte uvádět kompletní seznam přímo v banneru, ale musíte poskytnout odkaz na podrobné informace.
  • Tlačítko „Přijmout vše" – umožňuje uživateli jedním klikem souhlasit se všemi kategoriemi cookies.
  • Tlačítko „Odmítnout vše" – musí být stejně výrazné a přístupné jako tlačítko pro přijetí. Toto je bod, který mnoho webů porušuje.
  • Možnost granulárního výběru – uživatel musí mít možnost vybrat jednotlivé kategorie cookies (analytické, marketingové, funkční). Nestačí jen „přijmout vše" nebo „odmítnout vše".
  • Odkaz na cookie policy – podrobné informace o každé cookie (název, účel, doba platnosti, poskytovatel).
  • Možnost změnit souhlas – uživatel musí mít kdykoli možnost svůj souhlas odvolat nebo upravit. Typicky řešeno ikonou nebo odkazem v patičce webu.

Doporučené prvky

  • Identita správce – kdo je provozovatel webu a správce osobních údajů
  • Odkaz na privacy policy – kompletní zásady ochrany osobních údajů
  • Informace o době platnosti souhlasu – jak dlouho souhlas platí
  • Kontakt na DPO – pokud máte pověřence pro ochranu osobních údajů

Čemu se vyhnout – dark patterns a časté chyby

Dark patterns (tmavé vzory) jsou manipulativní designové praktiky, které mají uživatele přimět k souhlasu, aniž by to skutečně chtěl. EDPB i ÚOOÚ je výslovně označují za nelegální. Pojďme si projít nejčastější chyby:

Cookie wall

Blokování přístupu k webu bez souhlasu s cookies je nelegální. Uživatel musí mít možnost web používat i bez udělení souhlasu. EDPB to potvrdil v pokynech 05/2020: souhlas není svobodný, pokud je podmínkou přístupu ke službě.

Předvyplněné souhlasy

Checkboxy pro jednotlivé kategorie cookies musí být ve výchozím stavu vypnuté. Soudní dvůr EU to potvrdil v rozhodnutí Planet49 (C-673/17, 2019) – předvyplněný checkbox nepředstavuje platný souhlas.

Skryté odmítnutí

Tlačítko „Odmítnout" musí být stejně viditelné, dostupné a výrazné jako „Přijmout". Nesmí být schované v druhé vrstvě banneru, nesmí mít méně výraznou barvu ani menší velikost.

Francouzský CNIL udělil Googlu pokutu 150 milionů EUR a Facebooku 60 milionů EUR za to, že tlačítko pro odmítnutí cookies nebylo dostatečně viditelné a vyžadovalo více kliknutí než přijetí.

„Pokračováním souhlasíte"

Scrollování stránkou, pokračování v prohlížení nebo zavření banneru křížkem nejsou platný souhlas. GDPR vyžaduje aktivní, jednoznačnou akci – tedy kliknutí na konkrétní tlačítko. Přesto tuto praktiku stále používá řada českých webů.

Opakované obtěžování

Pokud uživatel cookies odmítne, nesmíte mu banner zobrazovat znovu při každé návštěvě v naději, že si to rozmyslí. Respektujte jeho volbu a zobrazte banner znovu až po vypršení platnosti souhlasu (typicky 6–12 měsíců).

Manipulativní jazyk

Formulace jako „Pro nejlepší zážitek přijměte všechny cookies" nebo „Odmítnutím přijdete o funkce" jsou na hraně manipulace. Informujte objektivně, co cookies dělají, bez vyvolávání strachu z odmítnutí.

Zavádějící design

Další nelegální praktiky zahrnují:

  • Tlačítko „Přijmout" v zelené barvě a „Odmítnout" v šedé (vizuální manipulace)
  • Malý text „Odmítnout" jako odkaz vedle velkého tlačítka „Přijmout"
  • Matoucí pojmenování – „Nastavit" místo „Odmítnout nepotřebné"
  • Příliš mnoho kliknutí pro odmítnutí (více než pro přijetí)

Typy cookie bannerů a jejich vhodnost

Cookie banner může mít různé podoby. Každá má své výhody a nevýhody:

Spodní lišta (bottom bar)

Nejčastější formát. Banner se zobrazí ve spodní části obrazovky a neblokuje obsah webu.

  • Výhody: neinvazivní, uživatel může stránku prohlížet
  • Nevýhody: nižší consent rate (uživatel může banner ignorovat)
  • Consent rate: typicky 55–70 %

Modální okno (popup)

Banner se zobrazí uprostřed obrazovky a překryje obsah. Uživatel musí interagovat.

  • Výhody: vyšší consent rate, nelze ignorovat
  • Nevýhody: invazivní, může obtěžovat
  • Consent rate: typicky 70–85 %

Horní lišta (top bar)

Podobný jako spodní lišta, ale umístěný nahoře. Méně častý.

  • Výhody: viditelný, nepřekrývá navigaci
  • Nevýhody: může posunout obsah
  • Consent rate: typicky 60–75 %

Consentio nabízí všechny tři varianty a v designeru si můžete banner plně přizpůsobit – barvy, texty, rozvržení i animace.

Jak dosáhnout vysokého consent rate legálně?

Consent rate (míra souhlasu) je procento návštěvníků, kteří udělí souhlas s cookies. Pro většinu webů je to klíčová metrika – vyšší consent rate znamená více dat v analytice a lepší výkon reklam. Dobrou zprávou je, že i při plném dodržení GDPR lze dosáhnout consent rate 75 % a více.

Strategie pro vyšší consent rate

  1. Jasný a srozumitelný jazyk – místo právnických formulací použijte běžnou češtinu. „Používáme cookies pro analýzu návštěvnosti a zobrazení relevantních reklam" je lepší než „Zpracováváme osobní údaje prostřednictvím technologií pro ukládání informací v koncovém zařízení".
  2. Vysvětlete přínos pro uživatele – lidé jsou ochotnější souhlasit, pokud chápou, proč cookies potřebujete. „Díky analytice zlepšujeme web pro vás" je přesvědčivější než holý právní text.
  3. Volte vhodný formát – modální okno má vyšší consent rate, ale spodní lišta je méně invazivní. Testujte, co funguje pro vaše publikum.
  4. Nabídněte „Přijmout nezbytné" – jako třetí tlačítko vedle „Přijmout vše" a „Nastavení". Uživatel, který nechce přemýšlet, ale nechce dát souhlas se vším, ocení rychlou volbu.
  5. Design odpovídající webu – banner by měl vizuálně ladit s vaším webem. Cizí element působí podezřele a snižuje důvěru.
  6. Rychlost načtení – banner se musí zobrazit okamžitě. Pokud se načte se zpožděním, uživatel už je zanořený do obsahu a bude ho vnímat jako rušivý element.
  7. A/B testování – testujte různé varianty textu, barvy tlačítek a rozmístění. I malé změny mohou zvýšit consent rate o 5–10 procentních bodů.

Technické požadavky na cookie banner

Funkční cookie banner není jen vizuální prvek – musí splňovat řadu technických požadavků:

Blokování cookies před souhlasem

Nepovinné cookies se nesmí aktivovat před udělením souhlasu. To znamená, že skript Google Analytics, Facebook Pixel nebo jakýkoliv jiný sledovací skript musí být zablokovaný, dokud uživatel neklikne na „Přijmout". Existují dva přístupy:

  • Automatické blokování – cookie banner automaticky detekuje a blokuje skripty třetích stran. Consentio toto řeší automaticky.
  • Manuální blokování – skripty zabalíte do podmínky, která je spustí až po souhlasu. Náchylnější k chybám.

Podpora Google Consent Mode v2

Cookie banner musí správně komunikovat s Google Consent Mode v2 – nastavovat výchozí stav souhlasů a aktualizovat je po interakci uživatele. Bez toho přijdete o data v Google Analytics a Google Ads.

Ukládání důkazů o souhlasu

GDPR vyžaduje, abyste mohli prokázat, že uživatel souhlas skutečně udělil. Cookie banner by měl ukládat:

  • Datum a čas udělení souhlasu
  • Verzi cookie policy, se kterou uživatel souhlasil
  • Kategorie, se kterými souhlasil
  • Způsob udělení souhlasu (které tlačítko klikl)

Přístupnost (accessibility)

Cookie banner musí být přístupný i pro uživatele s handicapem:

  • Navigace klávesnicí (Tab, Enter, Escape)
  • Správné ARIA atributy pro čtečky obrazovky
  • Dostatečný kontrast textu a pozadí
  • Čitelná velikost písma

Responsivní design

Banner musí fungovat na všech zařízeních – desktopu, tabletu i mobilu. Na mobilních zařízeních je prostor omezený, takže je důležité, aby tlačítka byla dostatečně velká pro dotykové ovládání a text byl čitelný bez zoomování.

Reálné případy pokut za chybné cookie bannery

Podívejme se na konkrétní případy, kdy dozorové úřady pokutovaly firmy za nevyhovující cookie bannery:

  • Google (CNIL, 2022) – 150 mil. EUR – tlačítko „Odmítnout" vyžadovalo více kliknutí než „Přijmout"
  • Facebook (CNIL, 2022) – 60 mil. EUR – stejný problém jako u Google, odmítnutí bylo složitější než přijetí
  • Sephora (CNIL, 2022) – 800 000 EUR – cookies se aktivovaly bez souhlasu, banner neblokoval skripty
  • Voodoo (CNIL, 2022) – 3 mil. EUR – předvyplněné souhlasy v mobilní aplikaci
  • TikTok (CNIL, 2023) – 5 mil. EUR – odmítnutí cookies vyžadovalo více kroků než přijetí

I v České republice ÚOOÚ začíná aktivněji kontrolovat cookie bannery. V roce 2023 rozeslal desítky výzev provozovatelům českých webů s nevyhovujícími bannery. Trend je jasný – tolerance dozorových úřadů klesá.

Checklist pro GDPR-compliant cookie banner

Použijte tento kontrolní seznam pro ověření, že váš cookie banner splňuje všechny požadavky:

  1. Banner se zobrazí při první návštěvě, než se aktivují nepovinné cookies
  2. Nepovinné cookies jsou blokovány do udělení souhlasu
  3. Tlačítko „Odmítnout" je stejně výrazné jako „Přijmout"
  4. Uživatel může vybrat jednotlivé kategorie cookies
  5. Checkboxy jsou ve výchozím stavu vypnuté
  6. Banner obsahuje odkaz na cookie policy
  7. Uživatel může kdykoli změnit svůj souhlas
  8. Souhlasy se ukládají jako důkaz
  9. Banner podporuje Google Consent Mode v2
  10. Banner je přístupný (klávesnice, čtečky obrazovky)
  11. Banner funguje na všech zařízeních (responsive)
  12. Banner nepoužívá dark patterns

Implementace s Consentio

Consentio vám poskytne cookie lištu, která splňuje všechny výše uvedené požadavky a zároveň je optimalizovaná pro vysoký consent rate. Co získáte:

  • Plně přizpůsobitelný design v intuitivním designeru
  • Automatické blokování nepovinných cookies
  • Podpora Google Consent Mode v2 (Advanced mode)
  • Automatický skener cookies na vašem webu
  • Generování cookie policy
  • Ukládání důkazů o souhlasech
  • Podpora češtiny a angličtiny
  • Přístupnost dle WCAG standardů
  • Responsivní design pro všechna zařízení

Implementace zabere 5 minut – stačí přidat jeden řádek kódu do hlavičky webu. Začněte zdarma a mějte jistotu, že váš cookie banner je v souladu s GDPR.