Proč jsou cookies na webu tak citlivé téma
Cookies samy o sobě nejsou problém. Problém vzniká ve chvíli, kdy web ukládá nebo čte údaje bez správného právního základu, nebo když uživatel nemá skutečnou možnost volby. V českém prostředí se řeší hlavně soulad s GDPR a pravidly pro elektronické komunikace, tedy zejména informovaný souhlas, transparentní informace a možnost odmítnout marketingové cookies stejně snadno jako je přijmout.
V praxi kontrolní orgány neřeší jen to, jestli tam cookie lišta je, ale hlavně jak funguje. Pokud se analytické nebo marketingové skripty načítají ještě před udělením souhlasu, je to problém. Stejně tak, když je tlačítko „Odmítnout“ schované, méně výrazné nebo chybí úplně. To už není drobná UX chyba, ale potenciální porušení pravidel.
Pro firmy je to citlivé i obchodně: špatně nastavené cookies zkreslují data v GA4, rozbíjejí atribuci kampaní, komplikují remarketing a mohou ovlivnit i výkonnost SEO a PPC, protože rozhodujete na základě neúplných dat.
Jaké pokuty a rizika firmě reálně hrozí
Největší strašák je samozřejmě pokuta. V rámci GDPR může sankce dosáhnout až 20 milionů eur nebo 4 % celosvětového ročního obratu, podle toho, co je vyšší. V praxi se u menších a středních firem obvykle řeší nižší částky, ale i tak mohou jít do statisíců až milionů korun, pokud je problém systémový nebo dlouhodobý.
Je důležité chápat, že pokuta není jediný náklad. Často přichází i:
- ztráta části dat v analytice kvůli blokaci skriptů nebo špatné implementaci Consent Mode,
- nižší výkon reklamních kampaní, protože remarketing a měření konverzí nefungují správně,
- reputační škoda, pokud firma působí jako někdo, kdo nerespektuje soukromí uživatelů,
- náklady na předělání webu, právní audit, technické zásahy a opětovné testování.
Typický problém bývá u e-shopů a lead-gen webů. Často se nasadí Google Analytics, Meta Pixel, Hotjar, Sklik, TikTok Pixel nebo další nástroje, ale bez správného řízení souhlasu. Výsledkem je, že se cookies ukládají hned po načtení stránky, i když uživatel nic neodsouhlasil. To je přesně scénář, který může při kontrole znamenat potíže.
Nejčastější chyby v cookie liště a měření
Většina průšvihů nevzniká z úmyslu, ale z neznalosti nebo z „rychlého nasazení“. Tady jsou nejčastější chyby, které vídám v praxi:
- Předem zaškrtnuté souhlasy – uživatel musí aktivně souhlas udělit, ne ho jen odškrtnout.
- Chybějící tlačítko odmítnutí – pokud jde souhlas udělit jedním klikem, musí jít stejně snadno i odmítnout.
- Nejasné kategorie cookies – uživatel neví, co je analytika, marketing a co je technicky nezbytné.
- Načítání marketingových skriptů před souhlasem – typicky pixel, remarketing nebo heatmapy.
- Chybějící logika pro změnu souhlasu – uživatel musí souhlas kdykoli upravit nebo odvolat.
- Neúplná cookie politika – seznam třetích stran, doba uložení, účel, popis kategorií a kontakt na správce chybí nebo je zastaralý.
Velký technický problém bývá také u webů na WordPressu nebo custom řešení, kde je cookie lišta sice vizuálně správně, ale skripty jsou natvrdo vložené do hlavičky webu. To znamená, že se cookies spustí bez ohledu na stav souhlasu. Podobně problematické je použití pluginů, které sice zobrazí banner, ale neumí skutečně blokovat skripty před souhlasem.
Jak nastavit cookies správně: praktický postup
Správné nastavení cookies stojí na třech vrstvách: právní, technické a analytické. Nestačí jen koupit cookie banner. Potřebujete systém, který skutečně řídí, co se na webu spustí podle volby návštěvníka.
Začněte auditem. Zmapujte všechny skripty, které web používá:
- Google Analytics 4, Google Tag Manager, Google Ads, Consent Mode v2,
- Meta Pixel, LinkedIn Insight Tag, Sklik retargeting,
- chatovací nástroje, heatmapy, A/B testovací nástroje,
- embedy z YouTube, Vimeo, Mapy.cz, Google Maps,
- externí fonty, CDN a tracking z pluginů.
Pak rozhodněte, které cookies jsou nezbytné a které vyžadují souhlas. Nezbytné cookies mohou běžet pro funkci košíku, přihlášení nebo bezpečnost. Marketingové a analytické nástroje ale obvykle musí čekat na souhlas, případně musí být implementované v režimu, který respektuje consent.
Na technické úrovni je dnes standardem použít Google Tag Manager + Consent Mode v2 nebo specializovanou CMP platformu. Mezi často používané nástroje patří například Cookiebot, CookieYes, iubenda nebo OneTrust. Důležité ale není jméno nástroje, nýbrž správná konfigurace: skripty se nesmí spustit dřív, než je udělen příslušný souhlas.
Praktický test je jednoduchý: otevřete web v anonymním okně, neudělujte souhlas a zkontrolujte v DevTools, Network a Application, zda se nenačítají trackingové domény. Pokud se načítá například google-analytics.com, doubleclick.net, facebook.com nebo hotjar.com ještě před kliknutím, je problém.
Jak si pohlídat právní a technický soulad bez chaosu
Firmy často řeší cookies až ve chvíli, kdy přijde stížnost nebo je upozorní právník. Mnohem lepší je nastavit proces, který se dá dlouhodobě udržet. To znamená propojit právní texty, technickou implementaci a marketingové nastavení do jednoho systému.
Na webu by měly být minimálně tyto prvky:
- přehledná cookie politika s vysvětlením kategorií a účelů,
- jasná informace o správci údajů a kontaktech,
- možnost kdykoli změnit souhlas, ideálně v patičce webu,
- evidence souhlasů, pokud to vaše CMP umožňuje,
- pravidelná revize po každé změně webu, pluginu nebo marketingového nástroje.
U větších webů doporučuji nastavit interní checklist pro každé nasazení nového skriptu. Například: je nástroj zařazen do správné kategorie? Blokuje se před souhlasem? Je uveden v cookie politice? Má IT nebo marketing potvrzený test v anonymním režimu? Tím se vyhnete tomu, že někdo z marketingu přidá nový pixel „na rychlo“ a web se tím dostane mimo soulad.
Pokud používáte GA4, sledujte i to, že Consent Mode ovlivňuje kvalitu dat. Bez správného consentu přijdete o část měření, ale při dobrém nastavení pořád získáte modelovaná data a lepší přehled než při úplné blokaci bez strategie. U e-shopů je to zásadní pro vyhodnocení ROAS, konverzních cest a remarketingu.
Jak cookies testovat a hlídat dlouhodobě
Správné nastavení cookies není jednorázový úkol. Jakmile přidáte nový plugin, CRM formulář, chat, A/B test nebo novou reklamní platformu, může být vše zase rozhozené. Proto je potřeba pravidelný monitoring.
V praxi se osvědčuje tento postup:
- 1× měsíčně projít web v anonymním okně a ověřit načítání skriptů,
- po každém releasu zkontrolovat tagy v GTM a chování cookie lišty,
- 1× za kvartál udělat audit cookie politiky a seznamu třetích stran,
- při změně legislativy nebo CMP otestovat celý consent flow znovu.
Pro testování se hodí hlavně Google Tag Assistant, Chrome DevTools, Google Tag Manager Preview, audit v GA4 DebugView a specializované skenery cookies. U větších projektů je rozumné mít i interní dokumentaci, kde je přesně uvedeno, které skripty se spouštějí při jakém typu souhlasu.
Firmám, které chtějí mít klid, se vyplatí kombinace: právní audit od specialisty na GDPR, technický audit od web developera a marketingový audit od člověka, který rozumí tag managementu a měření. Právě propojení těchto tří pohledů bývá rozdíl mezi „bannerem na webu“ a skutečně správně nastaveným consentem.
Pokud cookies nastavíte správně, získáte nejen nižší riziko pokut, ale i přesnější data, lepší důvěru uživatelů a stabilnější marketing. V době, kdy se vyhledávání i reklama přesouvají k větší regulaci a uživatelé jsou citlivější na soukromí, je to jedna z mála technických oblastí, kde se vyplatí dělat věci poctivě hned napoprvé.
