Cookies v kostce: co to je a jak navrhnout cookie lištu

Používání cookies je dnes již nedílnou součástí provozu většiny webových stránek a aplikací. Pokud i vy patříte mezi majitele webu či e-shopu nebo vás tvorba vlastních webových stránek v nejbližší době čeká, tak jste tu správně. Připravili jsme pro vás komplexní přehled, ve kterém se dozvíte, co jsou cookies, jakým způsobem můžete vymáhat souhlas s jejich používáním i jak by měla vypadat cookie lišta v roce 2022.

Co jsou cookies a jak fungují?

Cookies jsou soubory o velikosti několika kilobytů, které slouží k personalizaci obsahu webu a k analýze uživatelova chování na stránce. Používání cookies tedy přináší výhody pro obě strany.

Návštěvník při opětovné návštěvě webových stránek například nemusí znovu zadávat přihlašovací údaje či může pohodlně dokončit nákup zboží, které během předchozí návštěvy vložil do košíku. Provozovateli cookie soubory zase dávají do rukou data, která může využít k zefektivnění svých kampaní nebo nabídky.

Cookies si tak můžete představit jako soubory s unikátními informacemi o každém návštěvníkovi stránky. Původním cílem těchto souborů bylo zpříjemnit návštěvníkův pobyt na stránce – cookies jako sušenky/pohoštění pro návštěvu.

Postupem času se však cookies začaly dále zpracovávat kvůli remarketingu nebo personalizované reklamě, což zapříčinilo pozdější legislativní úpravy a nutnost aktivního souhlasu návštěvníka s jejich používáním, viz níže.

Jak fungují cookies

Cookies vznikly v reakci na snahu o uchování informací o uživateli bez jejich odesílání na server. Cookie soubory totiž namísto serveru k ukládání dat používají přímo uživatelovo zařízení:

• Uživatel navštíví webovou stránku.
• Server, na kterém je web uložený, přes HTTPS a webový prohlížeč uloží cookies do počítače/mobilního telefonu.
• Uživatel znovu navštíví webovou stránku.
• Prohlížeč pošle cookies zpět na server.

Díky tomu dokáže web například zobrazovat návrhy relevantního zboží, předvyplnit formulář a podobně.

K čemu slouží cookie soubory?

Charakteristika, co jsou cookies, již zmínila některé příklady jejich využití. Tím nejzákladnějším je pochopitelně zajištění správné funkčnosti webu. Mezi to patří:

• permanentní přihlášení do webové aplikace,
• zapamatování předvolené jazykové mutace,
• údaje vyplněné ve formuláři,
• zapamatování si zboží v košíku.

Druhým způsobem využití cookies je analytika, která vám pomůže identifikovat uživatele a s tím i lépe poznat vaši cílovou skupinu. O návštěvníkovi se můžete například dozvědět:

• které stránky na webu navštívil,
• co vyhledává,
• jak často a které webové stránky navštěvuje.

Cookie soubory tak používá například Google Analytics a další analytické nástroje.

Posledním, pro mnohé webové stránky neméně důležitým, způsobem využití cookies je reklama a remarketing. Právě na jejich použití je totiž postavena například platforma Facebook Pixel.

Hrozba spojená se soubory cookie

Jako vše mají samozřejmě i cookies dvě strany. Problémem, který zapříčinil zmíněné změny v legislativě nebo nové požadavky na cookie lištu, je způsob, jakým jsou cookies zpracovávány nejen majitelem daného webu, ale i případnými třetími stranami.

Soubory cookies a v nich umístěné informace totiž mohou být ve výsledku použity i k jiným účelům, než ke kterým daný uživatel udělil souhlas.

Ukládání cookies může představovat hrozbu také ve chvíli, kdy útočník získá přístup do vašeho počítače. Soubory cookie totiž nejsou nikterak chráněny. Ve chvíli, kdy se někdo cizí dostane do vašeho zařízení může zneužít uložené údaje a co hůř, ukrást vaši identitu.

Co jsou cookies první a třetí strany

S uvedenými hrozbami, ale i remarketingem a běžným používáním cookies na webových stránkách, aplikacích a v e-shopech souvisí dva základní typy cookie souborů – cookies první a třetí strany.

Cookies první strany neboli first party cookie jsou soubory, které se ukládají na server navštíveného webu. Používají se kupříkladu ke zmíněnému uložení zboží v nákupním košíku a jsou tedy prostředkem k personalizaci webu i ke zlepšení uživatelského dojmu ze stránky.

Cookies třetí strany neboli third party cookies jsou oproti tomu externí. Ukládá je tedy jiná doména než doména navštíveného webu. Tyto soubory cookie se používají k marketingovým účelům, remarketingu a personalizované reklamě. Právě tohoto typu cookies se týkají změny, kterým by měla podlehnout cookie lišta v roce 2022.

Typy cookies podle využití

Mimo zmíněné typy se cookies dále člení podle toho, s jakým typem dat pracují. S příchodem roku 2022 je důležité tímto způsobem rozlišovat soubory cookie na všech webech a o tomto rozdělení informovat návštěvníka.

První skupinou jsou nezbytné (technické) cookies, které zajišťují správný chod webu a nepotřebujete souhlas s jejich používáním. Postačí tedy, když návštěvníka svých webových stránek informujete, že soubory cookie využíváte.

Druhým typem jsou takzvané preferenční cookies. Preferenční cookies mají za úkol udržet hodnoty, které si během předchozí návštěvy uživatel zvolil. Může se tedy jednat například o zapamatování předvolby jazykové mutace webu.

Nepostradatelným pomocníkem mnoha provozovatelů webových stránek a aplikací jsou analytické cookies, jež pomáhají pochopit chování uživatelů a zlepšovat poskytované služby. Souhlas s použitím tohoto typu cookie souborů od roku 2022 musíte vymáhat prostřednictvím zobrazované lišty.

Poslední typ cookies souvisí s marketingem. Umožňuje tedy například zobrazovat personalizovanou reklamu a používat remarketingové nástroje. Také tento typ cookie souborů je nutné uživatelem povolit v liště.

Správa a nastavení cookies

Předchozí odstavce několikrát zmínily souhlas s cookies a jejich další správu. Základní správa a nastavení cookies souvisí s nastavením webového prohlížeče daného návštěvníka.

Každý uživatel tak může v nastavení prohlížeče povolit/zakázat, odstranit uložené soubory nebo zablokovat použití cookies třetích stran.

Stejně tak lze ukládání cookie souborů předcházet, a sice použitím anonymního okna, které neukládá ani historii ani cookies. Respektive se tyto informace po zavření anonymního okna smažou.

Vzhledem k využitelnosti cookies ovšem přednastavení v prohlížeči nestačí a chtě nechtě budete muset řešit i druhý způsob, jak získat souhlas s cookies – cookie lištu.

S cookie lištou jste se již v minulosti bezpochyby setkali. Již řadu let by měla být povinnou součástí každého webu, který cookies využívá. V minulosti většina cookie lišt běžela v režimu opt-out, jenž nevyžaduje výslovný souhlas se zpracováním cookie souborů. Lišty se proto typicky navrhovaly co nejmenší, aby příliš nerušily v používání stránek a aby uživatele nenapadlo zaškrtnout nesouhlas.

To se (alespoň v České republice) změnilo s příchodem roku 2022, kdy vešla v platnost novela Zákona o elektronických komunikacích, jež vyžaduje aktivní souhlas uživatele s použitím cookies. 

Co znamená opt-out souhlas s cookies?

Cookie lišta v režimu opt-out návštěvníka informuje o tom, že webová stránka cookies používá a ukládá, do doby, kdy návštěvník neřekne jinak. Pokud tedy návštěvník lištu ignoruje, nebo zavře, automaticky se zpracováním cookies souhlasí. Toto nastavení cookies převládalo až do konce roku 2021. Spíše než na uživatele však myslelo na provozovatele webových stránek a aplikací.

Co znamená opt-in souhlas s cookies?

Opt-in cookie lišta, která je v ČR od roku 2022 povinná, oproti tomu klade do popředí právě uživatele. Reklamní nebo analytické cookie soubory se v tomto případě neukládají do okamžiku, kdy návštěvník odklikne souhlas.

Souhlas přitom může vyslovit pouze některým kategoriím cookies a pokud všechny zamítne, je web oprávněn pracovat pouze s cookie soubory nezbytnými pro provoz webových stránek.

Jinými slovy, pokud bude návštěvník stránek cookie lištu ignorovat, nebo ji zavře, tak nemůžete monitorovat jeho chování na webu ani používat remarketingovou strategii.

Cookie lišta v roce 2022

Opt-in souhlas s používáním cookies úzce souvisí s nově nařízenými pravidly kolem používání cookie lišty. Kolem konkrétních podmínek a podoby se s koncem roku 2021 strhla obrovská debata, a to nejen mezi provozovateli webových stránek, ale i odborníky na nejrůznější související odvětví.

Nová pravidla používání cookies a specifikace cookie lišty od roku 2022 zastřešuje novela Zákona o elektronických komunikacích, která byla schválena ve druhé polovině roku 2021 a vešla v platnost 1. 1. 2022.

Nejzásadnějším bodem novely je část, která zmiňuje, že web může cookies používat pouze s aktivním, informovaným a svobodným souhlasem uživatele. Nestačí jej tedy pouze informovat o jejich používáni tak, jak to dělaly opt-out cookie lišty.

Novela sice přímo nedefinuje, jak by měla cookie lišta od začátku roku vypadat, ale jasně vymezuje mantinely, ve kterých se všichni musí držet. Tyto mantinely se týkají všech webů, které používají kód třetích stran – ať už k jakýmkoli účelům.

Jak na cookie lištu v roce 2022

Nejjednodušší to mají weby, které používají pouze nezbytné (technické) cookie soubory – soubory, které je nutné používat, aby www stránky fungovaly správně.

V takovém případě cookie lištu nemusíte vůbec řešit. Stačí, když své využití cookies popíšete v obecných zásadách zpracování údajů – informacích, které by měly tak či tak být součástí každého webu.

Problém spočívá v tom, že mezi technické cookies určitě nepatří cookie soubory analytických nástrojů, a už vůbec ne cookies související s reklamou a remarketingem.

Výhodou naopak zůstává, že uživatel může souhlasit se specifickými typy cookies. Pokud mu tedy situaci vysvětlíte, tak stále zůstává naděje, že vám například analytické cookies povolí.

Při rozřazování cookies do skupin dávejte pozor i jejich členění je totiž předmětem kontrol (viz níže).

Čeho se tedy při tvorbě cookie lišty v roce 2022 držet?

• Vstup na web nesmí být podmíněn odsouhlasením cookie lišty. Uživateli by tak mělo zůstat právo webem procházet, aniž by se „musel nechat sledovat“.
• Cookie lišta by neměla snižovat uživatelský zážitek z používání webu. Platí zde tedy podobná pravidla jako pro pop-up okna – nezobrazujte lištu příliš agresivně a snažte se jejích příchod správně načasovat.
• Musíte dát uživateli na výběr. Pokud cookie lišta bude obsahovat tlačítko „Přijmout vše“, musí současně obsahovat tlačítko „Odmítnout vše“. Neměl by chybět ani křížek pro zavření lišty a možnost chválit konkrétní typy cookies souborů.
• Souhlas s cookies musí být co nejvíc svobodný. Proto obě tlačítka navrhněte stejně výrazně (ačkoli se v praxi často setkáte s porušením tohoto pravidla). Checkboxy s výčtem konkrétních skupin cookies pak nesmí být předškrtnuté.

Mějte přitom na paměti, že nesouhlas s cookies uživatel vyjádří i tak, že nezaškrtne nic nebo, že cookies lištu vypne křížkem.

Cookie liště musí dále sekundovat stránka, kde budete návštěvníky informovat o použití a zpracování všech cookies, které na webu používáte. Na stránku umístěte:

• informace o provozovateli webu,
• uživatelská práva související s používáním webu,
• popis jednotlivých skupin použitých cookie souborů,
• možnost odvolat souhlas s použitím cookies.

Sankce za nesprávné nasazení cookie lišty

Na dodržování pravidel dohlíží Úřad pro ochranu osobních údajů, který vám v případě postihu může udělit pokutu až do 4% výše ročního obratu. V první fázi by vám však mělo přijít upozornění na porušení novely zákona a měli byste tak získat nějaký čas na napravení situace.

Největší riziko odhalení porušení pravidel novely aktuálně představuje projekt None of Your Business, který spustil Max Schrems – dlouhodobý zastánce ochrany uživatelského soukromí.

Automatizovaný nástroj, který tento projekt spustil prochází nejrůznější weby a hledá chyby v nastavení cookie lišty a zpracování osobních údajů obecně. Při procházení kontroluje nejen funkčnost lišty, ale i její vzhled a zařazení cookie souborů do jednotlivých skupin.

V případě, že nástroj najde nějaké nesrovnalosti, vás v první řadě informuje a pokud nedojde k nápravě chyb, tak na vás pošle udání, které již řeší výše zmíněný úřad.

Cookie lišta jako dočasné řešení

Příslovečným světlem na konci tunelu s problémy kolem použití cookie lišty zůstává právní norma ePrivacy, která má chránit data a soukromí uživatelů během veškeré komunikace na internetu. Netýká se tedy pouze cookies, ale i použití VoIP nebo Wi-Fi, čímž by měla zajistit jednoznačnou a snadno implementovatelnou ochranu uživatele v digitalizovaném světě.

Nastavení cookie souborů by se pak mělo řídit předvolbou v prohlížeči, čímž by se potřeba lišt zcela eliminovala a pro všechny by platily stejné podmínky. Kdy vejde ePrivacy v platnost je prozatím záhadou.

Jak připravit cookie lištu podle nových pravidel

Vzhledem k aktuální potřebě cookies je více než pravděpodobné, že cookie lištu budete muset řešit i vy. Jak tedy postupovat… V první řadě byste měli analyzovat svůj web a zjistit, jaké cookies vlastně používáte. S tím vám mohou pomoci nástroje jako Cookiebot nebo Cookieserve.

 Následuje rozhodnutí, zda skutečně potřebujete všechny cookies používat. Vymezte si klíčové funkce a snažte se oddělit vše, co skutečně potřebujete od toho, co je jen dobré mít. Zkrátka kategorizujte.

Jednotlivé kategorie zmiňte na webové stránce s informacemi o zpracování osobních údajů, stejně jako výčet toho, jaká data jednotlivé cookies sbírají a jaká je jejich expirace. V případě cookies třetí stran je nutné také identifikovat všechny významnější subjekty, které k souborům mají přístup.

Tato webová stránka vám poslouží jako druhá vrstva zpracování souborů cookies podle novely Zákona o elektronické komunikaci. První vrstvou je pak již několikrát zmíněná cookie lišta. Zde je třeba uvést jednak info o používání cookies a jednak obsáhnout všechny požadavky na novou podobu cookie lišty.

Vzhledem k tomu, že cookie lišta „stojí v první linii“, byste bezpochyby měli klást důraz na její vzhled i obsažený text. K tomu, abyste návštěvníka přesvědčili k udělení souhlasu vám nebude stačit žádné obecné prohlášení ani zbytečně složité zdůvodnění.

Při tvorbě textu cookie lišty proto použijte srozumitelný jazyk. Snažte se stručně vysvětlit význam používání cookies a vyzdvihnout jeho výhody.

Samotný design pochopitelně přizpůsobte webdesignu stránky. Pokud potřebujete citlivější cookies (například používáte Facebook Pixel), udělejte cookie lištu výraznější. Jestliže pro vás cookie soubory zas tak důležité nejsou, tak ji udělejte spíše střídmější, abyste zbytečně nenarušili uživatelský zážitek. Držte se pravidla „mobile-first“, protože zde je riziko narušení použitelnosti nejvyšší.

Stejně tak je však dobré myslet na Core Web Vitals a hodnocení stránek Googlem. Cookie lišta by se proto neměla skládat ze zbytečně velkých prvků, aby se nenačítala příliš dlouho nebo aby nedocházelo k posunu layoutu. Lištu také načtěte co možná nejdříve.

Finální verzi cookie lišty nejprve zkonzultujte s právníkem a ujistěte se, že nejde proti některé z částí novely zákona. Po nasazení lištu sledujte a analyzujte. Vždy se vyplatí prvek řádně otestovat, například pomocí A/B testu a až poté spustit finální verzi. Experimentovat můžete nejen se vzhledem, ale i se samotným textem.

Jak vyřešit nesouhlas se zpracováním cookies

Zbývá vyřešit poslední otázku, a sice, jak vyřešit nesouhlas se zpracováním cookies. Jednoznačná odpověď bohužel neexistuje. Z hlediska marketingu je novela zákona zlo, jehož rozsah bude jasný až po nějaké době jejího působení.

Z analytického hlediska můžete zkusit pracovat s nástroji, které nepoužívají cookies (například Simple Analytics, Plausible). Jejich výstupy nejsou tak přesné ani detailní, jako například v Google Analytics, ale lepší něco než nic.

Částečným řešením může být i takzvaný Consent mode Google Analytics a Google Ads. Jedná se o speciální režim, který vám i při nesouhlasu návštěvníka přinese alespoň nějaká data.

Pokud potřebujete s přípravou a nasazením nové cookie lišty pomoci, nás neváhejte kontaktovat. Nasadíme vašim webovým stránkám cookie lištu, která bude splňovat všechny nové podmínky.