Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 1-2 h
Cookies a trackery před souhlasem
Opravte analytické, marketingové a third-party skripty, které se aktivují ještě předtím, než návštěvník učiní volbu souhlasu.
Zahrnuje: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 30-90 min
Chybí banner souhlasu
Obnovte nebo nasaďte consent banner první vrstvy ještě předtím, než začne jakýkoli volitelný tracking nebo ukládání.
Zahrnuje: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 15-60 min
Chybí možnost odmítnutí nebo je potlačená
Udělejte odmítnutí stejně jednoduché a viditelné jako přijetí tím, že opravíte chybějící, skryté nebo oslabené akce Reject.
Zahrnuje: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-2 h
Cookie wall
Odstraňte vzory, které blokují přístup k obsahu, dokud návštěvník nepřijme volitelný tracking.
Zahrnuje: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Závažnost: StředníVlastník: MarketingČas na opravu: 30-120 min
Nezařazené cookies
Zařaďte neznámé cookies, zdokumentujte jejich účel a přestaňte posílat do produkce neoznačené úložiště.
Zahrnuje: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 1-2 h
Nesoulad Google Consent Mode
Opravte případy, kdy se Google tagy chovají, jako by byl souhlas udělen, i když runtime stav říká denied.
Zahrnuje: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-3 h
Third-party requesty před souhlasem
Zastavte volitelné poskytovatele, aby odesílali síťové requesty ještě předtím, než se návštěvník rozhodne, zda je povolí.
Zahrnuje: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Závažnost: StředníVlastník: VývojČas na opravu: 30-90 min
Google Fonts před souhlasem nebo externí načítání fontů
Hostujte fonty lokálně a odstraňte vzdálená volání fontů, která odesílají requesty před opt-in.
Zahrnuje: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Závažnost: StředníVlastník: VývojČas na opravu: 30-120 min
Nezabezpečené tracking cookies (problémy Secure nebo SameSite)
Zpevněte atributy cookies tak, aby se volitelné cookies nedoručovaly se slabými bezpečnostními výchozími hodnotami prohlížeče.
Zahrnuje: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-3 h
Fingerprinting před souhlasem
Odložte nebo nahraďte skripty, které zkoumají schopnosti prohlížeče ještě předtím, než návštěvník učiní volbu souhlasu.
Zahrnuje: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 1-2 h
Google Consent Mode nebyl detekován
Nasaďte defaulty a aktualizace Consent Mode tak, aby Google tagy dostaly explicitní stav souhlasu místo toho, aby běžely bez jakéhokoli signálu.
Zahrnuje: consent_mode_not_detected, consent_mode_missing
- Potvrďte, že jsou defaulty Consent Mode přítomné při prvním načtení ještě před volitelnými tagy.
- Potvrďte, že Reject drží Google storage stavy v denied.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 30-90 min
Analytics před souhlasem
Zabraňte tomu, aby se analytické nástroje načítaly nebo zapisovaly úložiště ještě před explicitním souhlasem návštěvníka.
Zahrnuje: pre_consent_analytics_cookie, analytics_before_consent
- Potvrďte, že před souhlasem neodchází žádný analytický request.
- Potvrďte, že se analytické cookies nenastavují, dokud uživatel nesouhlasí.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 30-90 min
Marketingové cookies před souhlasem
Blokujte reklamní a retargeting cookies i skripty, dokud uživatel explicitně neodsouhlasí marketing.
Zahrnuje: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Potvrďte, že před souhlasem neexistují žádné marketingové cookies.
- Potvrďte, že requesty do reklamních sítí neodcházejí, dokud uživatel nesouhlasí.
Závažnost: VysokáVlastník: MarketingČas na opravu: 30-60 min
Meta Pixel před souhlasem
Zabraňte tomu, aby se Meta Pixel načítal nebo odesílal eventy, dokud návštěvník neudělí potřebný marketingový souhlas.
Zahrnuje: meta_pixel_before_consent, pre_consent_meta_pixel
- Potvrďte, že se před souhlasem neodesílají žádné Meta requesty.
- Potvrďte, že Meta cookies zůstávají nepřítomné ve stavu denied.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 30-60 min
GA4 před souhlasem
Odložte Google Analytics 4 až do chvíle, kdy existuje platný analytický souhlas, a ověřte, že parametry Consent Mode zůstávají konzistentní.
Zahrnuje: ga4_before_consent, pre_consent_ga4
- Potvrďte, že před analytics souhlasem neodchází žádné GA4 volání.
- Potvrďte, že cookies `_ga` zůstávají před opt-in nepřítomné.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-2 h
GTM tagy se spouštějí před souhlasem
Opravte GTM triggery tak, aby volitelné tagy nevykonaly nic, dokud neexistuje požadovaný souhlas.
Zahrnuje: gtm_tags_before_consent, pre_consent_gtm_fire
- V Preview potvrďte, že se žádný volitelný GTM tag nespustí před souhlasem.
- Potvrďte, že při prvním načtení zůstávají aktivní jen nezbytné tagy.
Závažnost: VysokáVlastník: CMP administrátorČas na opravu: 15-45 min
Reject pouze ve druhé vrstvě
Zobrazte Reject už v první vrstvě místo toho, aby uživatel musel otevírat preference nebo dělat další kliky jen kvůli odmítnutí volitelného zpracování.
Zahrnuje: reject_in_second_layer, reject_not_first_layer
- Potvrďte, že je Reject přítomný v první vrstvě na desktopu i mobilu.
- Potvrďte, že Reject z první vrstvy blokuje volitelné tagy.
Závažnost: VysokáVlastník: VývojČas na opravu: 30-90 min
Banner souhlasu se na mobilu nezobrazuje
Opravte problémy s viewportem, CSS a lazy-loadem, kvůli kterým banner na mobilu mizí nebo se vůbec nevyrenderuje.
Zahrnuje: mobile_banner_missing, consent_banner_mobile
- Potvrďte, že se banner zobrazuje na reálném mobilním zařízení.
- Potvrďte, že uživatel může na mobilu použít Accept i Reject.
Závažnost: StředníVlastník: VývojČas na opravu: 30-90 min
Stav souhlasu se neukládá
Opravte storage a chování po reloadu tak, aby si web pamatoval volbu návštěvníka a vynucoval ji napříč stránkami i session.
Zahrnuje: consent_not_persisted, consent_state_lost
- Potvrďte, že stejná volba přetrvá po reloadu i při cross-page navigaci.
- Potvrďte, že Reject zůstává denied i při další návštěvě.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-2 h
Third-party embedy před souhlasem
Odložte YouTube, mapy, chat, rezervace a další third-party embedy do chvíle, kdy návštěvník odsouhlasí jejich načtení nebo je výslovně načte sám.
Zahrnuje: pre_consent_embed, third_party_embed_before_consent
- Potvrďte, že embedded provideři při prvním načtení nedostávají žádné requesty.
- Potvrďte, že se embed načte až po opt-in nebo click-to-load akci.
Závažnost: VysokáVlastník: MarketingČas na opravu: 15-45 min
Hotjar před souhlasem
Zabraňte tomu, aby Hotjar načítal session replay nebo heatmap skripty dřív, než návštěvník udělí analytics nebo marketingový souhlas.
Zahrnuje: hotjar_before_consent, pre_consent_hotjar
- Potvrďte, že se Hotjar před souhlasem nenačítá.
- Potvrďte, že Hotjar cookies v pre-consent stavu chybí.
Závažnost: StředníVlastník: MarketingČas na opravu: 30-120 min
Cookie deklarace je zastaralá
Slaďte publikovanou cookie deklaraci s cookies a vendory, které jsou skutečně vidět v runtime evidence.
Zahrnuje: cookie_declaration_outdated, declaration_mismatch
- Potvrďte, že je každý pozorovaný cookie uvedený v deklaraci.
- Potvrďte, že odstranění vendeři už nejsou uvádění, pokud už neběží.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-2 h
Cookies se po Reject stále nastavují
Opravte flow, ve kterých volitelné cookies nebo requesty pokračují i poté, co návštěvník tracking výslovně odmítne.
Zahrnuje: cookies_after_reject, reject_not_enforced
- Reject a reload: potvrďte, že volitelné cookies zůstávají nepřítomné.
- Reject a reload: potvrďte, že volitelné requesty zůstávají blokované.
Závažnost: StředníVlastník: VývojČas na opravu: 30-90 min
Banner souhlasu je blokovaný CSP
Aktualizujte Content Security Policy tak, aby CMP skript, styly nebo iframe zdroje mohly běžet bez zbytečného oslabování zabezpečení.
Zahrnuje: cmp_blocked_by_csp, consent_banner_csp_error
- Potvrďte, že CSP chyby spojené s CMP assety zmizely.
- Potvrďte, že se banner normálně renderuje a přijímá uživatelskou interakci.
Závažnost: VysokáVlastník: VývojČas na opravu: 1-3 h
Problémy se souhlasem u server-side GTM
Slaďte server-side GTM routing a propagaci souhlasu tak, aby server-side tagging neobcházel stav souhlasu návštěvníka.
Zahrnuje: ssgtm_consent_issue, server_side_gtm_before_consent
- Potvrďte, že se před souhlasem neproxyují žádné volitelné eventy do server-side GTM.
- Potvrďte, že Accept aktivuje zamýšlený event flow a Reject ho drží v denied stavu.