Co GDPR vyžaduje od banneru s cookies

GDPR a směrnice ePrivacy stanovují pět nevyvratitelných pravidel pro souhlas s cookies:

• Svobodně udělený: Odmítnutí cookies musí být stejně snadné jako jejich přijetí.
• Konkrétní: Souhlas musí být vyžádán zvlášť pro každý účel.
• Informovaný: Uživatelé musí vědět, s čím souhlasí, než souhlas udělí.
• Jednoznačný: Předem zaškrtnutá políčka a pokračování v prohlížení se nepočítají.
• Odvolatelný: Uživatelé musí mít možnost souhlas kdykoli odvolat.

Příklad 1: Banner "Pouze přijmout" (Nesouladný)

Jak vypadá

Malá lišta s textem "Používáme cookies ke zlepšení vašeho zážitku" a jedním tlačítkem "OK". Žádná možnost odmítnutí, žádné nastavení.

Proč nesplňuje požadavky

Žádná skutečná volba, žádné informace o cookies, žádný způsob odmítnutí. CNIL pokutoval Google částkou 150 milionů EUR a Facebook částkou 60 milionů EUR v roce 2022 přesně za tento vzor.

Verdikt: Nezákonný podle GDPR.

Příklad 2: Přijmout vše + malý odkaz "Spravovat předvolby" (Nesouladný)

Jak vypadá

Výrazné tlačítko "Přijmout vše" s malým šedým odkazem "Spravovat předvolby". Žádné tlačítko "Odmítnout vše".

Proč nesplňuje požadavky

Vizuální hierarchie tlačí uživatele k přijetí. Odmítnutí vyžaduje dva kliky, zatímco přijetí jeden. Více DPA rozhodlo, že toto není svobodně udělený souhlas.

Verdikt: Nesouladný. Odmítnutí musí být stejně přístupné jako Přijetí.

Příklad 3: Rovnocenná tlačítka Přijmout a Odmítnout (Souladný)

Jak vypadá

Dvě stejně velká tlačítka: "Přijmout vše" a "Odmítnout vše". Pod nimi odkaz "Spravovat předvolby". Stručné vysvětlení účelů cookies.

Proč funguje

Skutečná svobodná volba, obě možnosti stejně výrazné, jeden klik na každou. Toto je vzor, který CNIL výslovně doporučil.

Verdikt: Souladný. Základ, který by měl splňovat každý web.

Příklad 4: Cookie zeď (Nesouladný)

Jak vypadá

Překrytí na celou obrazovku blokující veškerý obsah. Jediná možnost je "Přijmout cookies".

Proč nesplňuje požadavky

Článek 7(4) GDPR — souhlas není svobodně udělený, pokud je přístup ke službě podmíněný. Nizozemský DPA dospěl k závěru, že cookie zdi obecně nejsou povoleny.

Verdikt: Nesouladný ve většině jurisdikcí EU.

Příklad 5: Předem zaškrtnutá políčka (Nesouladný)

Jak vypadá

Podrobný banner zobrazující kategorie cookies se zaškrtávacími políčky — ale všechna jsou předem zaškrtnuta.

Proč nesplňuje požadavky

Rozhodnutí SDEU Planet49 (2019) toto definitivně vyřešilo: předem zaškrtnutá políčka nepředstavují platný souhlas. Souhlas vyžaduje jasný aktivní úkon.

Verdikt: Výslovně nezákonný podle judikatury SDEU.

Příklad 6: Vrstvený přístup (Souladný — Nejlepší praxe)

Jak vypadá

První vrstva: kompaktní banner s tlačítky Přijmout vše, Odmítnout vše a Přizpůsobit. Druhá vrstva: podrobné centrum předvoleb s přepínači jednotlivých kategorií a seznamem dodavatelů. Třetí vrstva: úplná politika cookies.

Proč funguje

Vyvažuje informace s použitelností. První vrstva nabízí volbu, druhá detail, třetí úplnou transparentnost. Výslovně doporučeno EDPB.

Verdikt: Nejlepší praxe. Zlatý standard pro soulad.

Příklad 7: Zavádějící popisky tlačítek (Nesouladný)

Jak vypadá

"Souhlasím" versus "Nesouhlasím s odmítnutím nepodstatných cookies". Nebo: "Přijmout doporučená nastavení" versus "Použít omezenou verzi".

Proč nesplňuje požadavky

Recitál 42 GDPR vyžaduje jasný, srozumitelný jazyk. Dvojité zápory, naznačené důsledky a manipulativní popisky nejsou souladné.

Verdikt: Nesouladný. Používejte jasné, neutrální popisky.

Příklad 8: Správně provedený souladný banner

Jak vypadá

Čistá spodní lišta s: jasným nadpisem, stručným vysvětlením, třemi stejně stylizovanými tlačítky (Přijmout vše, Odmítnout vše, Spravovat předvolby) a odkazem na politiku cookies. Spravovat předvolby otevře centrum předvoleb s jednotlivými přepínači, seznamem dodavatelů a tlačítkem Uložit.

Proč funguje

Splňuje vše: svobodná volba, symetrická tlačítka, vrstvené informace, srozumitelný jazyk, žádná předem zaškrtnutá políčka, snadné odvolání přes ikonu nastavení cookies.

Verdikt: Plně souladný.

Skutečné pokuty za špatné bannery

• Google (Francie, 2022): 150 milionů EUR — možnost odmítnutí byla hůře dostupná než přijetí.
• Facebook (Francie, 2022): 60 milionů EUR — stejný problém asymetrie.
• Microsoft (Francie, 2022): 60 milionů EUR — reklamní cookies nastaveny bez platného souhlasu.
• TikTok (Francie, 2023): 5 milionů EUR — odmítnutí cookies vyžadovalo více kroků než přijetí.

Kontrolní seznam souladu

• Je na první vrstvě viditelné tlačítko "Odmítnout vše"?
• Jsou Přijmout a Odmítnout stejně výrazné?
• Jsou všechna zaškrtávací políčka ve výchozím stavu nezaškrtnutá?
• Zobrazuje se banner před nastavením nepodstatných cookies?
• Mohou uživatelé přistupovat k podrobným ovládacím prvkům kategorií?
• Je souhlas zaznamenán s časovým razítkem?
• Mohou uživatelé kdykoli změnit souhlas?
• Je banner v jazyce uživatele?
• Zabrání kliknutí na Odmítnout skutečně nepodstatným cookies?

Jak to FlexyConsent řeší rovnou z krabice

FlexyConsent je CMP certifikovaný Googlem s podporou IAB TCF 2.3. Řeší všechny požadavky na soulad:

• Rovnocenná tlačítka Přijmout a Odmítnout na první vrstvě
• Vestavěný vrstvený přístup (první vrstva pro volbu, druhá pro podrobné ovládání)
• Žádná předem zaškrtnutá políčka — všechny volitelné kategorie ve výchozím stavu nezaškrtnuté
• Google Consent Mode V2 integrovaný rovnou z krabice
• 43 jazyků s automatickou detekcí
• Geografické cílení pro bannery specifické podle regionu
• Zaznamenávání souhlasu a důkazy pro audity
• Plány od 0 EUR/měsíc

Nastavte souladný banner za méně než pět minut na panel.flexyconsent.com.