Většina průvodců GDPR compliance zní, jako by je psal právník placený od odstavce. Tenhle je jiný. Poslední dva roky sledujeme, jak reálné weby propadají u auditů, dostávají výtky od dozorových úřadů a přicházejí o reklamní data kvůli špatně nastaveným souhlasům. Tohle je checklist, který sami používáme při onboardingu nového webu na Consentio. Sedm kroků, ve správném pořadí, bez zbytečných řečí.

Než začnete: proč záleží na pořadí

Spousta lidí začne tím, že na web plácne cookie banner, a považuje to za hotové. To je pozpátku. Banner bez pořádného auditu cookies je divadlo. Říkáte návštěvníkům „respektujeme vaše volby", zatímco netušíte, jaké skripty na webu vlastně běží. Proto začínáme auditem.

Krok 1: Proveďte kompletní audit cookies

Nemůžete napsat přesné zásady cookies ani správně nastavit kategorie banneru, pokud nevíte, jaké cookies váš web ukládá. Každé cookie, každý tracker, každý pixel. First-party i third-party.

Co hledáte:

  • Všechna cookies nastavená vaším vlastním kódem (session tokeny, jazykové preference, nákupní košík)
  • Cookies od skriptů třetích stran (Google Analytics, Meta Pixel, Hotjar, chat widgety, vložená videa)
  • Záznamy v local storage a session storage, které fungují jako trackery
  • Serverové cookies nastavené přes HTTP hlavičky, které návštěvník v konzoli prohlížeče nevidí

Ručně to znamená otevřít DevTools, proklikat každou stránku, mazat cookies mezi načteními a doufat, že vám nic neuniklo. Nebo můžete použít automatický scanner cookies, který váš web prochází a zmapuje vše za pár minut. Pokud chcete detailní postup, napsali jsme samostatný článek o tom, jak provést důkladný audit cookies.

Výstupem by měl být strukturovaný seznam (ideálně přímo ve vaší consent platformě) s názvem každého cookie, doménou, účelem, kategorií a dobou expirace. Z toho pak vychází vše ostatní.

Krok 2: Zatřiďte cookies do správných kategorií

GDPR samotné o „kategoriích cookies" nikde nemluví. Ale pokyny Evropského sboru pro ochranu osobních údajů (EDPB) a směrnice ePrivacy ustálily klasifikaci, kterou dozorové úřady očekávají:

  • Nezbytné — cookies, bez kterých web doslova nefunguje. Přihlašovací session, CSRF ochrana, load balancer, stav košíku. Tyto souhlas nevyžadují.
  • Funkční / Preferenční — nastavení jazyka, výběr regionu, přizpůsobení rozhraní. Web funguje i bez nich, ale s nimi funguje lépe.
  • Analytické / Statistické — Google Analytics, Matomo, Hotjar, A/B testovací nástroje. Sledují chování, ale neservírují reklamy.
  • Marketingové / Reklamní — Meta Pixel, Google Ads remarketing, LinkedIn Insight Tag, affiliate tracking, jakékoliv cookie sloužící k budování reklamního profilu nebo cílení reklam.

Nejčastější chyba: řadit analytická cookies do kategorie „nezbytné". Google Analytics není pro fungování webu nezbytný. Hotjar také ne. Dozorové úřady to říkají jasně minimálně od roku 2019 a přesto to na webech pořád vidíme. Pokud si potřebujete ujasnit, co kam patří, náš průvodce GDPR to rozebírá do detailu.

Krok 3: Nastavte správný cookie consent banner

Tady většina lidí začíná — a tady se dělá nejvíc chyb. Banner vyhovující GDPR musí splňovat několik požadavků, které se snadno pokazí:

  • Souhlas musí být opt-in. Žádná předem zaškrtnutá políčka, žádné „pokračováním v prohlížení souhlasíte." Návštěvník musí aktivně kliknout.
  • Odmítnutí musí být stejně snadné jako přijetí. CNIL (Francie), AEPD (Španělsko) a rakouský DPA udělily pokuty za schovávání odmítnutí za více kliknutí. Pokud přijetí vyžaduje jedno kliknutí a odmítnutí tři, je to dark pattern a dozorový úřad to tak posoudí.
  • Žádné skripty v kategoriích analytika nebo marketing nesmí běžet před udělením souhlasu. Zní to samozřejmě, ale je to nejčastější technická chyba. Tagy se načtou při page load, spustí se dříve než consent check, a cookies jsou v prohlížeči dříve, než se banner vůbec zobrazí.
  • Návštěvník musí mít možnost souhlas stejně snadno odvolat, jako ho udělil. Standardní řešení je odkaz „Nastavení cookies" v patičce webu, který znovu otevře panel preferencí.
  • Pokud váš web obsluhuje návštěvníky ve více jazycích, banner se musí zobrazit v jejich jazyce. Anglický návštěvník čtoucí anglickou verzi nesmí dostat českou cookie lištu. Jak to funguje v praxi, popisujeme na stránce vícejazyčná cookie lišta.

Stavět banner od nuly znamená týdny práce na okrajových případech. Většina týmů je na tom lépe s consent management platformou (CMP), která tohle řeší automaticky. Náš vizuální editor banneru umožňuje nastavit rozložení, barvy a texty bez kódu a blokování skriptů řeší sám.

Pokud chcete jít do hloubky ohledně designu a textů, které zvyšují consent rate a přitom nepřekračují zákon, přečtěte si náš článek o best practices pro cookie bannery.

Krok 4: Vytvořte a publikujte zásady cookies

Banner říká návštěvníkovi, jaké kategorie existují, a nechá ho vybrat. Zásady cookies jsou podrobný dokument, který uvádí každé cookie jménem, vysvětluje účel, kdo ho nastavuje a jak dlouho trvá. Článek 13 GDPR tuto úroveň transparentnosti vyžaduje.

Dobré zásady cookies obsahují:

  • Tabulku nebo seznam každého cookie s názvem, poskytovatelem, účelem, kategorií, typem (HTTP, local storage, session) a dobou expirace
  • Vysvětlení, co jednotlivé kategorie znamenají
  • Jak může návštěvník změnit nebo odvolat souhlas
  • Kontaktní údaje správce dat a případně pověřence (DPO)
  • Datum poslední aktualizace

Zásady musí zůstat aktuální. Pokaždé, když přidáte nový analytický nástroj nebo marketingový pixel, je potřeba je aktualizovat. Ručně je to otrava, proto jsme vytvořili generátor zásad cookies, který stránku vytvoří automaticky z výsledků skenu a synchronizuje ji při změnách.

Krok 5: Implementujte Google Consent Mode v2

Pokud váš web používá jakoukoli službu Google (Analytics, Ads, Tag Manager, nebo i YouTube embedy), potřebujete Google Consent Mode v2. Od března 2024 Google vyžaduje, aby weby v EHP odesílaly signály souhlasu přes Consent Mode. Bez toho přestane fungovat remarketing v Google Ads a v datech Analytics se objeví mezery.

Consent Mode funguje tak, že odesílá dva stavy souhlasu do Google tagů:

  • analytics_storage — řídí, zda může Google Analytics nastavovat cookies
  • ad_storage — řídí, zda může Google Ads nastavovat cookies pro remarketing
  • ad_user_data — řídí, zda mohou být uživatelská data odesílána Googlu pro reklamu
  • ad_personalization — řídí, zda mohou být zobrazovány personalizované reklamy

Když návštěvník cookies odmítne, Consent Mode řekne Google tagům, aby běžely v „cookieless" režimu. Google pak modelováním doplní část chybějících dat. Přijdete o přesnost, ale zachováte signál, což je lepší než nic.

Ruční nastavení znamená editovat GTM kontejner, přidávat consent-default a consent-update příkazy a testovat napříč scénáři. Nebo si vyberete CMP, která to řeší automaticky. Consentio odesílá správné signály Google Consent Mode v2 rovnou po instalaci, bez konfigurace GTM. Technické detaily jsme zpracovali v kompletním návodu k implementaci.

Krok 6: Zaznamenávejte a uchovávejte důkazy o souhlasu

Článek 7 odst. 1 GDPR říká: „Pokud je zpracování založeno na souhlasu, správce musí být schopen doložit, že subjekt údajů souhlas udělil." V praxi to znamená, že potřebujete logy.

Každá událost souhlasu by měla zaznamenat:

  • Časové razítko udělení nebo odvolání souhlasu
  • Verzi zásad cookies, která byla v té době aktivní
  • Které kategorie návštěvník přijal a které odmítl
  • Unikátní ID souhlasu, které lze později dohledat

Pokud vás dozorový úřad audituje, bude tyto záznamy chtít vidět. Říct „měli jsme banner" nestačí. Potřebujete doklady. Seriózní CMP platformy ukládají záznamy o souhlasech na serveru s dobou uchování odpovídající požadavkům GDPR.

Krok 7: Monitorujte, měřte, vylepšujte

Compliance není jednorázový projekt. Web se mění, marketingový tým přidává nové skripty, nástroje třetích stran aktualizují svá cookies a regulace se vyvíjejí. Průběžná údržba vypadá takhle:

  • Skenujte pravidelně. Spouštějte scanner cookies minimálně jednou měsíčně, nebo po každém nasazení, které přidává skripty třetích stran. Nová cookies z aktualizovaných SDK nebo čerstvě vložených widgetů vám proklouznou, pokud nekontrolujete.
  • Sledujte consent rate. Pokud méně než 40-50 % návštěvníků přijímá analytická cookies, něco na vašem banneru — text, načasování nebo design — lidi odrazuje. Analytika souhlasů vám dá čísla k diagnostice: opt-in rate podle kategorie, stránky, zařízení, země.
  • Udržujte zásady cookies aktuální. Každý sken, který najde nová cookies, by měl vyvolat aktualizaci zásad. Zastaralé zásady jsou compliance mezera, které si regulátoři všimnou.
  • Sledujte regulatorní změny. Nařízení ePrivacy, až konečně přijde, zpřísní pravidla pro cookies. Vymáhání ze strany dozorových úřadů je rok od roku agresivnější. Sledujte rozhodnutí relevantní pro váš trh.

Časté chyby, které vidíme každý týden

Po onboardingu stovek webů se určité vzorce opakují:

  1. Cookie wall bez možnosti odmítnutí. „Přijměte cookies pro pokračování" porušuje GDPR, pokud nenabídnete rovnocennou verzi webu bez cookies. Málokterý web to dokáže obhájit.
  2. Banner se zobrazí, ale skripty už běží. Nejčastější technická chyba. Tagy se načtou synchronně dříve, než se CMP inicializuje. Zkontrolujte záložku Network po tvrdém refreshi s vymazanými cookies — pokud vidíte requesty na GA nebo Meta ještě před zobrazením banneru, máte problém.
  3. Souhlas se přenáší na jinou doménu. Pokud provozujete více domén, souhlas na doméně A nepokrývá doménu B. Každá doména potřebuje vlastní consent flow.
  4. „Oprávněný zájem" pro marketingová cookies. Některé weby se snaží zpracovávat reklamní data pod oprávněným zájmem místo souhlasu. EDPB jasně říká, že tracking pro reklamu téměř vždy vyžaduje explicitní souhlas. Nezkoušejte to.
  5. Žádná možnost odvolat souhlas. Banner se zobrazil jednou, návštěvník přijal, a teď nikde na webu není odkaz ani tlačítko pro změnu rozhodnutí. To nesplňuje článek 7 odst. 3 GDPR.

Specifika podle platformy

Výše uvedený checklist platí všude, ale některé platformy mají svá specifika:

  • WordPress — pluginy jako WooCommerce, Elementor a různé formulářové buildery přidávají vlastní cookies. WordPress cookie plugin integrovaný na úrovni šablony je dokáže zachytit automaticky.
  • E-commerce (Shopify, WooCommerce, Shoptet) — platební brány, recenzní widgety a remarketingové pixely se rychle hromadí. Cookies compliance pro e-shopy má vlastní sadu úvah ohledně transakčně nezbytných vs. marketingových cookies.
  • Single-page aplikace — SPA s client-side routingem mohou rozbít consent check, pokud se CMP spouští jen při prvním načtení. Ujistěte se, že se stav souhlasu kontroluje při každé změně route, ne jen na DOMContentLoaded.

Shrnutí v sedmi řádcích

Pokud si z článku odnesete jen jedno, tady je celý checklist:

  1. Auditujte každé cookie na vašem webu
  2. Zatřiďte je do čtyř standardních kategorií
  3. Nastavte consent banner, který blokuje skripty do opt-inu
  4. Publikujte podrobné a aktuální zásady cookies
  5. Implementujte Google Consent Mode v2, pokud používáte jakékoli Google nástroje
  6. Logujte události souhlasu s časovými razítky a volbami kategorií
  7. Skenujte měsíčně, sledujte consent rate, aktualizujte když se něco změní

To je vše. Žádná záhada, jen práce, kterou je potřeba udělat.

Pokud chcete tímhle seznamem projít rychle, bezplatný plán Consentio pokrývá scanner, banner, logování souhlasů i Consent Mode v2 rovnou po instalaci. Nastavení zabere asi pět minut. Generátor cookie banneru vás celým procesem provede.