Sám jsem se trochu ztrácel v tom, co vlastně máme od roku 2022 splňovat a jak nepřijít o všechna analytická data. Zabralo mi docela dost času a úsilí vše nastudovat a hlavně se v tom vyznat, tak třeba vám moje poznatky budou k užitku.
Jedna věc je teorie, druhá (daleko složitější), jak to na webu provést v praxi. Technické řešení má dvě části. Jedna věc je, jak sbírat a evidovat souhlasy od uživatelů. Druhá věc je zajistit, aby se kódy správně načítaly s ohledem na udělený souhlas.
S technickým provedením vám úplně nepomohu, protože a) nejsem programátor a b) každá cookie lišta to řeší trochu jinak c) každý web to bude mít trochu jinak. Takže s konkrétním nasazením se obraťte na svého správce webu.
Obligátní zřeknutí se odpovědnosti: nejsem právník. Tento článek je pouze informační návod, může obsahovat nepřesnosti nebo zastarat. Konkrétní znění textů a řešení cookies na vašem webu byste měli řešit se svým právníkem.
Které cookies nás nemusí trápit
K některým cookies souhlas nepotřebujeme – nezbytné, technické či funkční cookies. Každý jim říká trochu jinak, v podstatě se jedná o cookies, které jsou potřeba pro správné fungování webu a všech jeho funkcí.
Pokud uživatel na webu zvolí jazyk, vyfiltruje si určité produkty nebo vloží zboží do košíku, web si musí tuto informaci v cookies uložit do jeho prohlížeče. Takové cookies jsou neškodné a zcela nezbytné pro správné fungování webu.
Bez těchto cookies by web nefungoval správně a není potřeba u nich souhlas vyžadovat. I tady je ale informační povinnost, tedy uvést, že se na webu nacházejí.
V dalším textu budu řešit jen ty cookies, ke kterým souhlas potřebujeme.
Cookies pouze se souhlasem uživatele
Je to tak, v roce 2022 bychom nikdy neměli do prohlížeče návštěvníka webu ukládat cookies, pokud nám k tomu nedá výslovný souhlas.
Netýká se již zmíněných nezbytných cookies. Všechny ostatní cookies můžeme spustit jen se souhlasem. A je úplně jedno, jestli předávají nějaké osobní informace nebo ne.
Takže remarketingové a retargetingové kódy od Google nebo Skliku, Facebook pixel, Hotjar a do značné míry i Google Analytics (detaily dále) pouze se souhlasem.
Jak získat souhlas k ukládání cookies
Pomocí nějaké cookie lišty. Tady záleží, jaký web používáte.
Hotové řešení jako třeba Shoptet vše potřebné zpravidla vyřeší za vás. Bezplatná řešení jako WordPress zpravidla budou mít nějaký plug-in, který si musíte sami nasadit a správně nakonfigurovat.
Pokud máte web na míru, můžete poprosit programátora nebo nasadit některé z dostupných komerčních řešení, kde zpravidla budete platit měsíční poplatek (z vlastní zkušenosti mohu doporučit Cookiebot).
Podstatné je, že pokud uživatel výslovně neklikne na tlačítko povolující cookies, neměli byste žádnou cookie do jeho prohlížeče ukládat. A pokud to bude někdo kontrolovat, bylo by fajn souhlasy doložit (většina řešení má nějaký log).
Setkal jsem se i s (právním) názorem, že by mohlo při kontrole stačit, pokud technické řešení souhlasu bude prokazatelně natolik precizní, že se cookies bez souhlasu nikdy nespustí. Každopádně v případě sporu to budete muset prokazovat vy, takže lepší mít nějaký log se souhlasem v ruce.
Nevymýšlejte tady žádné švejkoviny. Pokud uděláte cookie banner tak, že bude velmi obtížné souhlas neudělit nebo budou uživatelé souhlas udělovat omylem, máte stejný problém, jako kdybyste souhlas vůbec nezískali.
Texty na cookie liště a informační povinnost
Zkonzultujte s právníkem. Obecně by cookie lišta měla informovat o tom, že na webu cookies jsou a k čemu slouží, např. že používáte analytické cookies, remarketingové cookies atp. Aby se uživatel mohl už z textu na liště rozhodnout, jestli cookies chce přijmout nebo ne.
Logicky vám jde o to souhlas získat, takže přidáte tlačítko pro souhlas s ukládáním cookies. A není od věci přidat i odkaz na nastavení, pokud někdo chce přijmout jen některé kategorie cookies. Třeba analytické cookies budou lidem vadit méně často, než reklamní.
Tlačítko, které umožní cookies zakázat, je povinné. Samozřejmě to trochu svádí k tomu udělat toto tlačítko co nejméně výrazné. Z marketingového hlediska rozhodně, otázka co na to právníci.
Existují názory, že svobodný projev souhlasu vyžaduje, aby tlačítko odmítnutí cookies bylo přibližně stejně výrazné, jako tlačítko pro souhlas, popř. nebylo řešeno méně viditelným odkazem. V praxi to asi zjistíme až z judikatury.
Některé weby to řeší tak, že nabízí jen tlačítko pro přijetí cookies a tlačítko pro nastavení, které cookies chce uživatel povolit. Tady pozor, s výjimkou nezbytných cookies nesmíte mít žádnou kategorii předvyplněnu jako aktivní.

Někde na webu by potom měl být seznam použitých cookies a stručný popis, co přesně dělají, jaké informace shromažďují a s kým je případně sdílíte.
Jak mít stále smysluplná data
To je asi největší starost všech lidí, kteří měří konverze. Pokud budeme cookies řešit tak, jak máme, přijdeme nenávratně o část statistik – od lidí, kteří cookies nepovolí.
Řešení existuje, i bez souhlasu uživatele totiž některé analytické kódy aktivovat můžeme. Např. existují analytické nástroje jako Fathom nebo Plausible, které cookies nepotřebují a tudíž je můžete s klidem v duši aktivovat i bez žádosti o souhlas.
Nečekejte od nich zázraky, bez cookies se pokročilá webová analytika dělat nedá. Dozvíte se, kterou stránku kolik lidí navštívilo, z jakého zdroje přišli, zařízení a zemi a to je tak všechno.
Google Analytics bez cookies
Při troše konfigurace umí i Google Analytics pracovat v režimu, kdy sbírají omezená data, ke kterým cookies nepotřebují. Zjistí, které stránky si uživatel prohlížel, odkud přišel nebo jestli dokončil nákup. A hlavně budou vědět, jaké procento uživatelů poskytlo souhlas.
Díky tomuto zejména Google Analytics 4 budou umět chybějící data do určité míry dopočítat. Proto řešení „nemám souhlas = nespustím Google Analytics kód“ není dobrý nápad, daleko lepší je Google Analytics nastavit tak, aby poznaly, která návštěva je se souhlasem a která ne.
V praxi to potom funguje tak, že můžete spustit Google Analytics pomocí gtag kódu nebo z GTM i bez souhlasu, ale musíte mu přidat parametry, které zakáží spuštění cookies.
gtag('consent', 'default', {
'ad_storage': 'denied',
'analytics_storage': 'denied'
});
Jakmile získáte souhlas od uživatele, můžete do Analytics poslat parametr, který analytickou nebo reklamní cookie povolí:
gtag('consent', 'update', {
'ad_storage': 'granted'
});
K tomuto více v dokumentaci ke Google Analytics popř. v dokumentaci pro webmastery, pokud by posílání událostí potřebovali nastavit.
Odpovědi na nejčastější otázky
Pokud na webu používáte jen nezbytné cookies a obejdete se bez Google Analytics a dalších kódů, nemusíte souhlas řešit a žádnou cookie lištu nepotřebujete.
Dokud uživatel nedá výslovný souhlas (který můžete doložit) kliknutím na tlačítko souhlasu, neměli byste do jeho prohlížeče žádnou cookie ukládat.
Schování cookie lišty např. kliknutím na ikonku křížku není souhlas. Procházení vašeho webu s otevřenou cookie lištou není souhlas. Nepoužití cookie lišty není souhlas.
Předpokládat, že pokud uživatel na webu zůstane více než X vteřin nebo sjede na stránce o Y procent není souhlas.
Věta „Používáním tohoto webu souhlasíte s cookies“ není souhlas.
Nesmíte podmínit používání webu poskytnutím souhlasu. Váš web musí být přístupný a použitelný i v případě, že uživatel s cookies souhlasit nebude.
Na závěr
Hlavně v klidu. Je velmi nepravděpodobné, že prvního ledna začne ÚOOÚ kontrolovat každý malý web a rozdávat pokuty. Takže pokud jste něco nestihli nasadit nebo nastudovat, nemusíte si kvůli tomu kazit svátky.