Blog

Cookies a souhlas na webu školy: co opravdu potřebujete

Spousta školních webů má cookie lištu, i když ji mít nemusí. Jiné ji nemají, přestože ji mít mají. Tenhle průvodce vysvětluje rozdíl — bez právnického žargonu, pro ředitelku, která to chce mít vyřešené.

Zákon platí od roku 2022 a mnohé weby to pořád neví

Právním základem pro cookies v Česku je § 89 odst. 3 zákona č. 127/2005 Sb. o elektronických komunikacích, ve znění novely č. 374/2021 Sb. Ta vstoupila v platnost 1. 1. 2022 a přinesla zásadní změnu: přechod z opt-out na opt-in.

Před rokem 2022 stačilo uživatele informovat o cookies a dát mu možnost odmítnout. Od roku 2022 musí souhlas přijít předem a musí být aktivní — cookies nesmí běžet dříve, než uživatel klikne na souhlas. Přitom „pokračování v prohlížení" nebo zavření banneru za souhlas nestačí.

Pozor: cookies se primárně neřídí GDPR, ale zákonem č. 127/2005 Sb. o elektronických komunikacích (ten má u cookies přednost před GDPR). GDPR se přidává tehdy, kdy cookies zpracovávají osobní údaje — což u analytiky a marketingu zpravidla jsou.

Tři typy cookies — a co pro ně platí

Typ	Příklady	Souhlas
Technické (nezbytné)	Session, CSRF token, jazykové preference, přihlášení	Nepotřebují
Analytické / statistické	Google Analytics, Matomo (s plným sledováním)	Potřebují opt-in
Marketingové	Facebook Pixel, Google Ads remarketing	Potřebují opt-in

Zákon výslovně vyjímá „technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy" nebo přístupy „nezbytné pro poskytování služby, která je výslovně vyžádána účastníkem" (§ 89 odst. 3 zák. č. 127/2005 Sb.). Technická cookie pro formulář do té výjimky spadá. Google Analytics ne.

Kdy cookie lišta není nutná

Pokud web používá výhradně technické cookies, cookie lišta se nasazovat nemusí. Informace o cookies ale přesto musí být přístupná — typicky jako odkaz na zásady cookies v patičce.

Praktický příklad: web ZŠ Lipová s kontaktním formulářem chráněným CSRF tokenem. Token je technická cookie. Web nemá analytiku ani reklamu. Cookie lišta povinná není, odkaz na zásady cookies v patičce postačí.

Jakmile ale web přidá Google Analytics — a to i do jediné stránky — platí opt-in povinnost pro celý web.

Jak musí cookie lišta vypadat

ÚOOÚ v doporučení ze 6. 3. 2023 upřesnil požadavky. Klíčová pravidla:

• Tlačítka „přijmout" a „odmítnout" musí mít stejnou vizuální váhu v první vrstvě banneru. Výrazné zelené „Přijmout vše" vedle šedého mikroskopického odkazu „Nastavit" je zakázaný dark pattern.
• Cookie wall je zakázaný. Podmínění přístupu k obsahu webu udělením souhlasu narušuje svobodnost souhlasu — ÚOOÚ to výslovně zakazuje.
• Odvolání souhlasu musí být stejně snadné jako jeho udělení. Tlačítko nebo odkaz v patičce je standard. Odvolání telefonem nebo e-mailem nestačí.
• Souhlas musí být aktivní — kliknutí na konkrétní tlačítko. Zavření banneru, posunutí stránky ani pokračování v prohlížení za souhlas nestačí.

Analytické cookies a výjimka bez souhlasu

EDPB (Evropský sbor pro ochranu osobních údajů) v říjnu 2024 a ÚOOÚ připouštějí výjimku z opt-in pro analytiku, která splňuje zároveň všechny tyto podmínky:

• Měří výhradně návštěvnost konkrétního webu
• Neumožňuje plné sledování navigace uživatele
• Produkuje jen anonymní statistická data
• Nekombinuje data s jinými zdroji
• Nesdílí data se třetími stranami

Podmínky jsou přísné. Pro školní web je nejbezpečnější opt-in pro jakoukoliv analytiku. ÚOOÚ dosud nevydal jasné stanovisko v češtině, co přesně výjimku splňuje. Google Analytics ve standardním nastavení tuto výjimku nesplňuje.

Nové technologie: fingerprinting a pixely

Tato sekce se týká webů s aktivní reklamou nebo marketingem — většina školních webů se jí nemusí zabývat. EDPB ve svých pokynech (2023–2024) vyložil, že pravidlo souhlasu dopadá i na „podobné technologie" — fingerprinting, IP tracking, pixel tracking, unikátní hashe bez cookies v klasickém slova smyslu. Tento výklad se promítá i do aplikace § 89 odst. 3 ZEK. Školní web s Facebook Pixelem bez cookie lišty je protiprávní, i kdyby technicky neukládal žádný cookie soubor do prohlížeče.

Co hrozí veřejné škole

Orgánům veřejné moci a veřejným subjektům se podle § 62 odst. 5 zák. č. 110/2019 Sb. pokuty za zpracování osobních údajů neukládají; obdobně se veřejná škola za špatné cookies zpravidla peněžní sankce obávat nemusí.

ÚOOÚ ale může nařídit nápravné opatření — povinnost věc napravit ve stanovené lhůtě. V roce 2023 ÚOOÚ auditoval i veřejný sektor a vydával nápravné příkazy ministerstvům i krajům. Pro soukromé školy riziko pokut platí — v roce 2023 ÚOOÚ uložil za cookies pokuty v celkové výši 4,443 mil. Kč soukromým subjektům, nejvyšší pravomocná pokuta dosáhla 898 000 Kč (marketingové cookies bez souhlasu).

Jak zjistit, co váš web používá

Než řešíte cookie lištu, zjistěte, co web skutečně ukládá. Nejjednodušší způsoby:

• Otevřete web v prohlížeči, stiskněte F12, přejděte na kartu Application → Cookies. Uvidíte všechny uložené cookies.
• Bezplatné online nástroje (např. CookieBot scanner) web projdou automaticky a rozdělí cookies do kategorií.
• Nezapomeňte projít i formuláře a případná vložená videa — YouTube vkládá cookies při přehrávání.

Pokud si tím nejste jistí, pomáháme to zjistit jako součást bezplatného auditu webu. Výstupem je přehled, co web skutečně používá a co z toho vyžaduje souhlas.

Praktické řešení pro web školy

Scénář A: Web jen s kontaktním formulářem, bez analytiky

Technická CSRF cookie pro ochranu formuláře je nezbytná — souhlas nevyžaduje. Cookie lištu implementovat nemusíte. Do patičky přidejte odkaz na stránku Zásady cookies, kde popíšete, co technická cookie dělá a proč.

Scénář B: Web s Google Analytics

Implementujte cookie lištu s opt-in souhlasem. Google Analytics (nebo jiný trackovací nástroj) musí být nastaven tak, aby se spustil až po udělení souhlasu. V patičce musí být odkaz na odvolání souhlasu (typicky „Nastavení cookies"). Analytické a marketingové kategorie musejí mít oddělené přepínače — nelze je sloučit do jednoho checkboxu.

Scénář C: Web s vloženým YouTube videem

YouTube při přehrávání ukládá cookies pro účely sledování. Řešení: použijte „privacy-enhanced mode" (youtube-nocookie.com) nebo video načtěte až po kliknutí uživatele. V obou případech je bezpečnější uživatele informovat předem a souhlas si zajistit.

Časté otázky

Jak zjistíme, jaké cookies náš web používá?

Přes nástroje prohlížeče (F12 → Application → Cookies) nebo bezplatné online skenery. Projděte web celý včetně formulářů a případných vložených videí — ne jen titulní stránku.

Naše škola je veřejná — musíme cookie lištu přesto řešit?

Ano. Pokud web používá analytiku nebo marketing, povinnost opt-in platí pro veřejné školy stejně jako pro soukromé. Rozdíl je jen v sankcích: veřejná škola nedostane pokutu, ale ÚOOÚ může nařídit nápravu s termínem.

Web s formulářem kontaktu — potřebuje cookie lištu?

Záleží. Formulář sám o sobě cookies nevyžaduje — pokud je chráněn CSRF tokenem (technická cookie), lišta povinná není. Pokud web jinak nepoužívá analytiku ani reklamu, lištu nemusíte implementovat.

Smíme mít přednastavenou výchozí volbu „přijmout vše"?

Ne. Souhlas musí být aktivní — předvyplněný checkbox nebo přednastaveně aktivní přepínač pro analytiku zákon nepřipouští.

Cookies a ochrana osobních údajů na webu školy

Cookies jsou jen jedna vrstva. Vedle zásad cookies musí mít web školy taky dokument Informace o zpracování osobních údajů (splnění informační povinnosti dle čl. 13 GDPR). Obojí dohromady tvoří základ toho, co každý školní web na webu povinně zveřejňuje.

Podrobněji o GDPR ve školách — DPO, záznamy o zpracování, informační povinnosti — píšeme v článku GDPR na webu školy a školky. O fotografiích dětí a souhlasech rodičů pak v Fotografie dětí na webu školy.