Proč vaše cookie lišta pravděpodobně nefunguje (a co s tím)
Řešíte objednávky, faktury, zákazníky, dodavatele. Cookies jsou někde na konci seznamu. Je to technická věc, která vám nepřinese ani korunu navíc, a když to zkusíte vygooglovat, dozvíte se, že jsou to "kousky kódu v prohlížeči uživatele". Super, teď tomu rozumíte stejně jako předtím.
Přitom špatně nastavená cookie lišta vás stojí peníze. Ne kvůli případným pokutám za GDPR, ale proto, že vám nefunguje remarketing. Lidé, kteří byli na vašem webu a neobjednali, zmizí. Neuvidíte je na Facebooku, v Google Ads, nikde. Prostě pryč, bez možnosti je oslovit znovu.
A většina firem to ani neví, protože lišta tam "nějak je". Instaloval ji webař při tvorbě webu a vy jste ji od té doby neřešili.
Pojďme si ukázat, jak správa souhlasu s cookies funguje a jak poznat, jestli je vaše řešení v pořádku.
Co jsou cookies a proč vás to má zajímat
Představte si cookies jako kartičku stálého zákazníka v kavárně. Když poprvé přijdete, dostanete kartičku. Příště vás kavárna pozná a ví, co obvykle pijete, jestli máte slevu, kolikrát jste tam byli.
Web funguje stejně. Při první návštěvě vám do prohlížeče uloží soubor (cookie), který obsahuje informace: jste přihlášení, co máte v košíku, jaké stránky jste navštívili. Příště když přijdete, web si vás "pamatuje".
Existují dva typy cookies:
Vlastní cookies (first-party) používá přímo web, který navštěvujete. Ty potřebujete pro základní funkce typu přihlášení nebo nákupní košík.
Cookies třetích stran (third-party) ukládají nástroje jako Google Analytics, Facebook Pixel nebo Google Ads. Ty sledují, kde se pohybujete po internetu. Díky nim vidíte reklamy na produkt, který jste si prohlíželi na jiném webu.
A právě tyhle třetí strany potřebují souhlas uživatele. Bez něj je nesmíte spustit.
Kdy cookie lištu opravdu nepotřebujete
Setkal jsem se s klientem, který na své webu zrušil cookie lištu, protože mu ChatGPT poradil, že ji nepotřebuje.
ChatGPT měl pravdu. Ale jen částečně.
Cookie lištu opravdu nepotřebujete, pokud používáte výhradně technické cookies – ty, které jsou nezbytné pro fungování webu (přihlášení, košík, jazyk stránky). Ty nepotřebují souhlas.
Ale pozor:
Máte Google Analytics? Potřebujete lištu.
Spouštíte Google Ads nebo Facebook kampaně? Potřebujete lištu.
Používáte Hotjar, Smartlook nebo jakýkoliv jiný analytický nástroj? Potřebujete lištu.
Máte remarketing? Potřebujete lištu.
I když nepotřebujete lištu (jen technické cookies), pořád musíte splnit informační povinnost. Musíte návštěvníky informovat, jaké cookies používáte a proč. Většinou formou odkazu na zásady cookies někde v patičce webu.
Proč to firmy neřeší (a proč by měly)
GDPR říká jasně: marketingové cookies potřebují souhlas před tím, než se spustí. Ne po tom, ne současně. Před tím.
Hodně malých firem má lištu, která se zobrazí, ale nic se fakticky neblokuje. Google Analytics běží od prvního okamžiku, Facebook Pixel taky. Lišta je jen pro oko.
Co to znamená prakticky:
Přijde na váš web 100 lidí. 70 z nich cookies odmítne (průměr v ČR). Pokud vaše lišta nefunguje správně, všech 100 lidí vám naběhne do remarketingového publika. Jenže z pohledu GDPR jste právě porušili zákon u 70 z nich.
Google a Meta na to mají řešení. Od března 2024 platí Consent Mode v2, který vyžaduje, aby platformy věděly, jestli uživatel dal souhlas nebo ne. Pokud nemáte správně nastavenou lištu, vaše remarketingové audience se zmenší o 60-80 %.
Úřad pro ochranu osobních údajů to myslí vážně. V roce 2023 udělil za špatné cookies pokuty v celkové výši 4,5 milionu korun. Nejvyšší pokuta? 898 tisíc korun pro firmu, která nahrávala marketingové cookies bez souhlasu uživatelů.
ÚOOÚ nejdřív rozeslal přes 120 vytýkacích dopisů. Firmy tak dostaly šanci problémy napravit. Ty, ktré to ignorovaly, dostaly pokutu.
Jak zjistit, jestli vaše lišta funguje
Nejste si jistí, jestli je vaše lišta v pořádku? Vyzkoušejte rychlý audit na cookieaudit.cz Nástroj projde váš web a ukáže vám, co je potřeba opravit.
Nejčastější chyby (podle ÚOOÚ i podle toho, co vidím u klientů)
1. Lišta je jen "pro parádu"
Zobrazí se, ale nic fakticky neblokuje. Google Analytics běží od prvního okamžiku. Tohle je nejčastější porušení, které ÚOOÚ řeší.
2. Lišta blokuje jen při prvním načtení
Po zavření bez akceptování se už znovu nezobrazí a všechno běží dál.
3. Consent Mode není nastavený
I když lišta funguje, Google a Meta neví, že uživatel odmítl. Registrují všechny návštěvníky stejně.
4. Špatně nastavený Google Tag Manager
Triggery spouští tagy okamžitě, místo aby čekaly na souhlas.
5. Remarketing běží bez ohledu na souhlas
Facebook Pixel načítá data i u lidí, kteří cookies odmítli.
6. Klamavý design (Deceptive Design Pattern)
Tlačítko "Přijmout vše" je výrazné, velké, zelené. Tlačítko "Odmítnout" je schované v nastavení, šedé, malé. ÚOOÚ tohle aktivně postihuje. Souhlas musí být stejně snadný udělit jako odmítnout.
7. Špatné nebo žádné informace o cookies
Informace jsou jen v angličtině, nebo je tam jen obecný text "používáme cookies". ÚOOÚ vyžaduje konkrétní seznam cookies, jejich účel a dobu uložení.
8. Není možné souhlas snadno odvolat
Udělili jste souhlas? Musí být stejně jednoduché ho zase zrušit. Pokud to jde jen přes email nebo telefon, je to problém.
Co s tím
Asi nejrozšířenějším řešením je plugin typu Cookiebot nebo Complianz. Ten lištu zobrazí a správně integruje s Google Tag Managerem.
Pokud máte vlastní řešení nebo jiný systém, potřebujete:
Nástroj na správu souhlasu (CMP = Consent Management Platform)
Propojení s Google Tag Managerem přes Consent Mode v2
Správné nastavení triggerů v GTM
Není to raketová věda, ale je potřeba to správně nastavit.
Pokud potřebujete pomoct s nastavením cookie lišty nebo kontrolou, jestli vám remarketing funguje správně, neváhejte mě kontaktovat.