23. 4. 2025 Michal Orviský

Jak nastavit cookie lištu v roce 2025

Evropské dozorové úřady pro ochranu osobních údajů, např. britský ICO, francouzský CNIL nebo belgický úřad DPA, výrazně zpřísnily pravidla pro používání cookie lišt a boj proti klamavým návrhovým vzorcům („dark patterns“).

5 nejčastějších chyb při používání cookies

Co konkrétně tyto úřady podnikly proti špatné praxi při využívání cookies?

Belgický DPA zahájil kroky proti nelegálním cookie lištám a aktivně se zaměřuje na weby, které manipulují uživatele k udělení souhlasu s cookies. Belgický DPA řešil tyhle problémy:

  • Žádné tlačítko „Odmítnout vše“ v první vrstvě: Webové stránky neposkytly stejně snadno přístupnou možnost odmítnout všechny cookies již v první vrstvě banneru, čímž porušily zásadu svobodného a informovaného souhlasu.

  • Zavádějící barvy tlačítek: Tlačítko „Přijmout vše“ bylo zvýrazněno nápadnou barvou, zatímco možnosti odmítnutí byly méně viditelné, čímž byli uživatelé manipulativně naváděni k přijetí.

  • Obtížnost odvolání souhlasu: Proces odvolání souhlasu vyžadoval několik kroků, což bylo výrazně složitější než jeho udělení. To je v rozporu se zásadami Obecného nařízení o ochraně osobních údajů (GDPR).

  • Ukládání nepotřebných cookies bez předchozího souhlasu: Cookies, které nebyly technicky nutné k poskytnutí služby, byly ukládány do zařízení uživatelů ještě před získáním výslovného souhlasu.

Francouzský CNIL vydal formální upozornění, ve kterém zdůrazňuje, že všechny cookie lišty musí už v první vrstvě obsahovat jasnou a snadno dostupnou možnost odmítnutí volitelných cookies, jinak hrozí sankce.

Britský ICO provedl audit 100 nejnavštěvovanějších webových stránek ve Velké Británii, přičemž 53 z nich obdrželo varování za nesprávně implementované cookie lišty. V roce 2025 ICO rozšíří audit na 1 000 webů v rámci strategie „Taking control: our online tracking strategy“, čímž posílí boj proti neetickým praktikám některých provozovatelů webu.

5 nejčastějších chyb při používání cookies
Související článek:
5 nejčastějších chyb při používání cookies
11. 10. 2023 Jakub Klodwig

ICO také zveřejnil aktualizovaná doporučení pro návrh cookie lišt:

  • Uživatelé musí mít stejně jednoduchou možnost odmítnout cookies jako je přijmout.

  • Před uložením cookies je nezbytný aktivní souhlas.

  • Všechny cookies kromě nezbytných musí být ve výchozím stavu vypnuté.

  • Musí existovat granularita volby mezi různými typy cookies.

  • Uživatelé musí mít možnost kdykoliv odvolat nebo upravit svůj souhlas.

Jaká porušení zjistil CNIL?

  • Nerovnoměrné zobrazení tlačítek: Tlačítka „Přijmout“ jsou dobře viditelná, zatímco možnost „Odmítnout“ je skryta, často jako obyčejný text.

  • Nejasné formulace: Např. „Odmítám nikoliv nezbytné účely“ může vytvářet zmatek ohledně toho, co vlastně toto tlačítko znamená.

  • Více tlačítek „Přijmout“: Bannery nabízejí více variant pro „Přijmout“, ale „Odmítnout“ je pouze jedna.

  • Vícevrstvé odmítnutí: Uživatel musí pro odmítnutí cookies procházet několika vrstvami nebo sub-menu, což je složitější než akceptace všech cookies.

Právní rámec: ePrivacy směrnice a GDPR

Směrnice o soukromí a elektronických komunikacích (ePrivacy směrnice) a obecné nařízení o ochraně osobních údajů (GDPR) nestanovují přesné požadavky na design cookie lišt. Vymezují ale základní principy, ze kterých vyplývá, že:

  • Uživatelé musí mít možnost odmítnout cookies stejně snadno, jako je přijmout (ePrivacy směrnice, článek 5(3)).

  • Informace a žádosti o souhlas musí být uživatelsky přívětivé (ePrivacy směrnice, recitál 25).

  • Uživatelé mají právo kdykoli odvolat svůj souhlas (GDPR, článek 7(3)).

  • Odvolání souhlasu musí být stejně snadné jako jeho udělení (GDPR, článek 7(3)).

Vzhledem k různým výkladům této regulace se Evropský sbor pro ochranu osobních údajů (EDPB) snaží zajistit jednotné uplatňování pravidel v celé EU.

Jak legálně na telemarketing?
Související článek:
Jak legálně na telemarketing?
16. 10. 2023 Lucie Balýová

Nejvyšší správní soud potvrdil pravidla pro design cookie lišt

Případ se týkal návštěvy webové stránky provozované mediální společností. Při otevření stránky se zobrazila cookie lišta, která byla navržena tak, že tlačítko pro odmítnutí cookies bylo „skryto“ ve druhé vrstvě. První vrstva obsahovala pouze možnost přijmout cookies nebo spravovat nastavení, přičemž správa cookies byla uvedena jako odkaz. Kliknutím na tlačítko „přijmout“ uživatel zároveň souhlasil s výchozím nastavením, které bylo viditelné jen prostřednictvím odkazu na správu cookies.

Rakouský úřad nakonec vydal rozhodnutí, kterým nařídil správci upravit cookie banner tak, aby jeho první vrstva nabízela možnost banner zavřít bez udělení souhlasu. Tato možnost musela být vizuálně rovnocenná tlačítku pro přijetí cookies. Úřad zamítl žádosti subjektu údajů týkající se výmazu jeho údajů, zákazu nezákonného zpracování a konstatování porušení práva na důvěrnost údajů („Recht auf Geheimhaltung“) podle § 1 rakouského zákona o ochraně osobních údajů.

Správce podal proti rozhodnutí dozorového úřadu odvolání k Federálnímu správnímu soudu. Soud odvolání zamítl a konstatoval, že činnosti zpracování správce nespadají do oblasti žurnalistiky. Zdůraznil, že správce umísťoval cookies a zpracovával získaná data pro analytické a reklamní účely. Pokud jde o požadavek na rovnocennou možnost odmítnutí cookies v bannerech, soud potvrdil výklad dozorového úřadu, že první vrstva cookie banneru musí obsahovat vizuálně rovnocennou možnost pro odmítnutí.

Využití veřejně dostupných údajů pro přímý marketing
Související článek:
Využití veřejně dostupných údajů pro přímý marketing
30. 5. 2024 Kristýna Gembalová

Správce nakonec ještě podal kasační stížnost k Nejvyššímu správnímu soudu. Ve stížnosti uvedl, že v oblasti mediální výjimky a designu cookie bannerů chybí ustálená judikatura. Argumentoval, že soud první instance se touto problematikou zatím věcně nezabýval, a proto je potřeba, aby ji posoudil a poskytl právní výklad.

Nejvyšší správní soud ve Vídni rozhodl, že podle článku 7 odst. 3 GDPR je třeba individuálně posoudit každý případ s cílem určit, zda je odmítnutí souhlasu stejně jednoduché jako jeho udělení. Nejvyšší správní soud potvrdil rozhodnutí úřadu pro ochranu dat, že první vrstva cookie lišty na webové stránce musí návštěvníkovi webu umožnit její zavření bez udělení souhlasu. Tato možnost musí být vizuálně rovnocenná s možností udělení souhlasu.

Jak nastavit cookie lištu v roce 2025?

Na základě současné legislativy, judikatury a aplikační praxe dozorových orgánů by provozovatelé webů měli zajistit následující:

  1. Rovnocenná viditelnost možností souhlasu. Pokud existuje tlačítko „Přijmout vše“, musí být stejně viditelné tlačítko „Odmítnout vše“ se stejnou velikostí, kontrastem a umístěním.

  2. Jasné a jednoznačné formulace. Používejte přímé popisky jako „Přijmout vše“ a „Odmítnout vše“, vyhněte se vágním výrazům typu „Více možností“.

  3. Granulární nastavení souhlasu. Umožněte uživatelům volbu mezi různými kategoriemi cookies (analytické, marketingové, funkční) bez nutnosti přijmout všechny najednou.

  4. Aktivní potvrzení souhlasu. Pokračování v prohlížení webových stránek nesmí být považováno za souhlas, uživatel musí učinit pozitivní akci.

  5. Jednoduché odvolání souhlasu. Uživatel musí mít možnost kdykoli upravit svoji volbu prostřednictvím snadno dostupného widgetu nebo odkazu.

  6. Zákaz klamavých praktik. Zákaz „dark patterns“, jako jsou předem zaškrtnutá políčka, skrytá tlačítka pro odmítnutí nebo výrazně zvýrazněné možnosti pro přijetí cookies.

Pokuta 20 milionů EUR za nevyžádaný e-mail či SMS?
Související článek:
Pokuta 20 milionů EUR za nevyžádaný e-mail či SMS?
5. 9. 2024 Patrik Walas
23. 4. 2025 Michal Orviský

Mohlo by vás dále zajímat: