Právo, soukromí a souhlas

Tým nasadí Cookiebot, banner hlásí „používáme tři kategorie cookies" a všichni mají pocit, že je vyřešeno. V <head> přitom visí Google Tag Manager, Meta pixel, Hotjar a fonty načtené z Google CDN. Banner o nich neví. Část z nich nejsou cookies, takže by je „cookie banner" stejně nepokryl. A fonty z cizí CDN posílají IP adresu návštěvníka třetí straně dřív, než kdokoli klikl na „souhlasím".

To není detail, je to celá kapitola v malém. Soulad s pravidly nestojí na banneru, ale na inventuře toho, co web reálně načítá. Banner je deklarace. Když neodpovídá skutečným skriptům, je nepravdivá. A přesně za tu padají pokuty.

Tahle kapitola není univerzální právní rada. Je to kontrolní seznam rizik opřený o doložitelné precedenty: kdo dostal pokutu a za co. Jednovětou definici pojmu souhlas, včetně toho, že ePrivacy a GDPR nejsou totéž, drží společný slovník. Tady ji rozvádíme do postupu.

Jeden měřicí skript, dvě otázky

Nejdražší záměna v celé oblasti je myslet si, že souhlas je jedna věc. Nad týmž skriptem stojí dvě nezávislé právní vrstvy a každá se ptá na něco jiného.

První otázka je ePrivacy: smím vůbec něco uložit do zařízení návštěvníka nebo z něj číst? Článek 5(3) ePrivacy směrnice řídí ukládání a přístup k informacím v koncovém zařízení a vyžaduje souhlas pro všechno, co není nezbytně nutné. Je psaný technologicky neutrálně. Nemluví o cookies, mluví o ukládání a přístupu k informacím, takže dopadá i na local storage, pixely a fingerprinting.

Druhá otázka je GDPR: mám právní základ to, co jsem získal, zpracovat jako osobní údaj? Článek 6 GDPR řeší zpracování osobních údajů, které z měřicího skriptu plyne. Jiný rámec, jiná otázka.

Typicky potřebuješ obě vrstvy u téhož měřicího skriptu: souhlas podle ePrivacy na uložení a samostatný právní základ podle GDPR na zpracování. A tady padá nejčastější obrana. „Postavíme to na legitimním zájmu, souhlas nepotřebujeme." Nezachrání to. Recitál 47 GDPR sice zmiňuje přímý marketing jako možný legitimní zájem, ale EDPB řekl výslovně, že z toho neplyne, že lze vždy stavět na čl. 6(1)(f). U elektronické komunikace stejně nastupuje ePrivacy a často je nutný souhlas. Legitimní zájem podle GDPR nepřebije souhlas vyžadovaný ePrivacy. Jsou to dvě vrstvy, ne jedna, kterou si vybereš.

„Bez cookies" soulad neřeší

„Nepoužíváme cookies" nic neznamená. Plyne to z technologické neutrality čl. 5(3).

EDPB to potvrdil v Guidelines 2/2023, jejichž finální verze byla přijata 16. října 2024. Pod čl. 5(3) spadají nejen cookies, ale i měřicí pixely a měřicí odkazy, device fingerprinting, určité lokální zpracování tam, kde se data pošlou ven ze zařízení, IoT reporting a některé případy měření jen podle IP. Fingerprinting i pixel padají pod stejné pravidlo jako cookie. Souhlas je potřeba na základě toho, co skript dělá, ne podle toho, jestli tomu říkáš cookie.

Stejný omyl má i variantu „bez Googlu". Analytika bez cookies může být legální, ale ne automaticky. Matomo má z CNIL výjimku ze souhlasu jen za tvrdých podmínek (jen měření návštěvnosti pro provozovatele webu, žádné křížení ani sdílení, anonymizace IP, omezená životnost a retence). Spadne jedna podmínka a souhlas je zpět povinný. Detail těch podmínek a srovnání nástrojů vede analytika.

Šest právních základů, žádná hierarchie

GDPR čl. 6 nabízí šest právních základů: souhlas, plnění smlouvy, právní povinnost, ochrana životně důležitých zájmů, úkol ve veřejném zájmu a oprávněný zájem. Jsou rovnocenné, žádná hierarchie. Souhlas není „nejlepší" základ. Je jen jeden z šesti, a často nejkřehčí, protože jde odvolat.

Přímý marketing se zpravidla bere jako zpracování vyžadující souhlas. I tam, kde si marketing opřeš o legitimní zájem, má jednotlivec absolutní právo vznést námitku, a tím marketing zastavit. Rozhodnout, který základ pro které zpracování platí, je samostatný krok. Nejde „pro jistotu" zaškrtnout všechny.

Souhlas je záznam, ne pocit

Platný souhlas podle čl. 7 a recitálu 32 musí být svobodný, konkrétní, informovaný a jednoznačný, vyjádřený jasným potvrzujícím úkonem. Aktivní opt-in. Předzaškrtnutá políčka, ticho a nečinnost neplatí jako souhlas.

A teď ta část, kterou většina webů přehlíží. Důkazní břemeno je na správci: čl. 7(1) říká, že „musí být schopen prokázat, že subjekt souhlasil". Při sporu nepředkládáš popis systému, předkládáš záznam. Záznam souhlasu má obsahovat identifikátor subjektu, čas, konkrétní účely, přesné znění nebo verzi oznámení ukázaného v daný okamžik, metodu sběru a záznam o případném odvolání. Souhlas tedy není stav mysli návštěvníka, je to řádek v databázi, který musíš umět vytáhnout.

Tahle doložitelnost je důvod, proč je newsletter vlastněné aktivum jen s evidovaným souhlasem: čas, mechanismus, ideálně double opt-in. Pixel nebo měřicí skript bez souhlasu je naopak doložitelné porušení, protože záznam, který by ho ospravedlnil, neexistuje.

Že na podobě souhlasu záleží do detailu, ukazuje CNIL. V lednu 2022 dala Googlu pokutu 150 milionů eur a Facebooku 60 milionů eur za to, že odmítnout cookies šlo hůř než je přijmout. „Accept all" bylo na první vrstvě, odmítnutí až přes „Personalise" a víc kroků. Ta asymetrie znamená, že souhlas nebyl svobodný, a tím byl neplatný. EDPB to v Guidelines 03/2022 zobecnil. Tlačítka accept a reject musí mít stejnou vizuální výraznost (velikost, barvu, pozici) a reject nesmí mít víc tření. Reject na stejné vrstvě jako accept, ne o klik dál.

Dvě novější rozhodnutí tu hranici posouvají dál. EDPB v Opinion 08/2024 zpochybnil model „souhlas, nebo platba" u velkých platforem. Souhlas není svobodný, pokud uživatel z neudělení utrpí újmu, a EDPB doporučuje třetí možnost, reklamu bez sledování. A 14. května 2025 bruselský odvolací soud potvrdil, že IAB Europe TCF je nezákonný. TC String porušuje GDPR, pokuta 250 000 eur, a dopadá na kohokoli v EU, kdo staví behaviorální reklamu na TCF. Data sebraná přes ten rámec jsou sebraná nezákonně.

Česko: opt-in od 1. ledna 2022

Než někdo namítne, že tohle je evropská teorie, česká úprava je tvrdá a konkrétní. Novela zákona o elektronických komunikacích vyhlášená 18. října 2021 změnila § 89 odst. 3 ZEK z opt-out na opt-in. Dřív se cookies směly používat, dokud je uživatel neodmítl. Od 1. ledna 2022 je nutný předem prokazatelný souhlas s rozsahem a účelem, s výjimkou technicky nezbytných cookies. „Předem prokazatelný" se opět vrací k záznamu z předchozí sekce.

Externí skript je přenos do třetí strany

CDN bereme jako výkonovou věc, rychlejší doručení. Jenže každý skript, font nebo embed načtený z cizí CDN posílá té CDN IP adresu návštěvníka. A IP adresa je osobní údaj. Tady se právo potká s technikou v místě, kde to nikdo nečeká.

Precedent je konkrétní. Zemský soud v Mnichově I rozhodl 20. ledna 2022, že dynamické načítání Google Fonts z Google CDN posílá IP adresu Googlu bez souhlasu, a to porušuje GDPR. Náhrada byla symbolických 100 eur, ale soud připustil pokutu až 250 000 eur za opakování. Šlo přitom o obyčejný web, ne korporát. Řešení je vlastní hostování: font stáhneš a servíruješ z vlastní domény (třeba přes google-webfonts-helper), a IP nikam neodchází.

To je obecnější princip než fonty. Každý zdroj třetí strany v <head> je potenciální přenos. Kdo data na edge zpracovává a jak se tomu vyhnout vlastním hostováním, rozvádí Cloudflare a hosting a CDN.

A vrstva nad tím jsou přenosy do USA. EU-US Data Privacy Framework od léta 2023 dělá přenosy do Spojených států a nástroje jako GA4 právně průchodnější, ale ten stav je křehký. Do poloviny 2025 vyšlo šest národních DPA případů proti GA4. Trump odvolal demokratické členy dozorového PCLOB, čímž board klesl pod funkční práh, a Schrems chystá další žalobu. „Projde to teď" není „vyřešeno napořád". Tohle je právní strana, kterou analytika jen zmiňuje a deleguje sem.

DPA: každý vendor je smlouva

Jakmile data předáváš někomu dalšímu, který je za tebe zpracovává (analytika, e-mailing, hosting, formuláře), je to zpracovatel podle čl. 28 GDPR. Mezi tebou a každým takovým dodavatelem musí být písemná smlouva o zpracování, DPA, která vymezuje, co s daty smí a nesmí.

Řetězec jde dál. Zpracovatel nesmí zapojit dalšího sub-zpracovatele bez tvého předchozího písemného souhlasu, musí na něj přenést stejné povinnosti a zůstává plně odpovědný, když sub-zpracovatel selže. Prakticky to znamená, že inventura dodavatelů z úvodu kapitoly má u každé položky mít doložitelnou DPA. Dodavatel bez DPA je díra, kterou při auditu nezdůvodníš.

Retention: lhůtu si musíš nastavit sám

GDPR nepublikuje tabulku lhůt. Princip omezení uložení (čl. 5(1)(e)) říká jen, že údaje nesmíš držet déle, než je nutné pro účel. Konkrétní lhůty si organizace musí sama definovat, zdokumentovat, ospravedlnit proti účelu a právnímu základu, a reálně vynutit smazáním nebo anonymizací. „Mysleli jsme, že se to bude hodit" neobstojí.

Tohle je drahé místo. Porušení omezení uložení spadá do nejvyšší sazby pokut, až 20 milionů eur nebo 4 % celosvětového obratu.

Copyright a licence: zaplaceno není totéž co smím

Poslední vrstva nejsou osobní údaje, ale cizí práva. Texty, fotky, fonty a skripty na webu mají autora a licenci, a „máme to nahrané" neznamená „smíme to takhle používat". Inventuru a doložitelnost licencí u médií drží média a podklady; tady je právní princip.

Licence umí mít provozní strop vázaný na návštěvnost. Monotype prodává web font licence v pásmech podle měsíčních zobrazení stránek (500K, 1M, 5M, 10M, 25M a výš) a překročení znamená doplatek, typicky o 20 až 50 % dráž než proaktivní upgrade. Adobe Fonts naopak v rámci Creative Cloud limit na zobrazení stránek nemá. Font tedy není „jednou koupený", licence může mít strop, který přerosteš úspěchem webu.

U fotek se pletou typy licencí, a záměna je riziko. Rights Managed se cení podle rozsahu, času a exkluzivity a platí pro jeden účel. Royalty Free zaplatíš jednou a použiješ vícekrát, ale tutéž fotku může mít i konkurence. A Editorial Use Only (loga, značky, celebrity) se nesmí použít v reklamě ani komerčně. Editorial fotka v kampani je porušení bez ohledu na to, že je zaplacená.

Není to zbytečné pro malý web?

„Inventura dodavatelů, záznam souhlasu, DPA u každého nástroje, retenční politika, to je aparát pro korporát, my máme pětistránkový web." Zčásti to sedí, formální DPIA nebo placený nástroj pro správu souhlasu na pět stránek nepotřebuješ.

Co se neškáluje dolů, jsou rizika. Google Fonts kauza byl obyčejný web a 100 eur s hrozbou 250 000. Copytrack chodí i na malé weby. Český opt-in podle § 89/3 ZEK platí pro každý web s ne-nutnými cookies bez ohledu na velikost. Otázky zůstávají stejné: odpovídá banner skutečným skriptům? Mám u měřicích skriptů souhlas a umím ho doložit? Mám k fotkám a fontům licenci? Servíruju fonty z vlastní domény, nebo posílám IP cizí CDN? Tyhle platí pro vizitku stejně jako pro velký web. Inventuru toho, co web reálně načítá a používá, odhalí už discovery, a re-audit souhlasu, dodavatelů a retenčních lhůt patří mezi průběžné úkoly správy a údržby, ne mezi jednorázové.

Praktický checklist

• Existuje inventura dodavatelů, měřicích skriptů a podkladů; banner a centrum předvoleb odpovídají skutečné implementaci.
• U každého měřicího skriptu je vyřešená ePrivacy vrstva (souhlas na uložení) i GDPR vrstva (právní základ na zpracování).
• Reject je na stejné vrstvě a se stejnou vizuální výrazností jako accept.
• Existuje záznam souhlasu: subjekt, čas, účely, verze oznámení, metoda, odvolání.
• Každý zpracovatel má písemnou DPA; sub-zpracovatelé jsou pokryti.
• Retenční lhůty jsou definované, zdokumentované a reálně vynucené mazáním nebo anonymizací.
• Fonty a skripty z třetích stran jsou hostované na vlastní doméně tam, kde to jde (IP neodchází cizí CDN).
• Licence k textům, fotkám a fontům jsou doložitelné a sedí na účel (pozor na Editorial Use Only a limity zobrazení stránek).

Typické chyby

• Souhlas jako jedna otázka. ePrivacy (smím uložit?) a GDPR (smím zpracovat?) jsou dvě nezávislé vrstvy nad týmž skriptem.
• Banner neodpovídá skriptům. Cookiebot hlásí tři kategorie, v <head> visí pixel a fonty, které banner nezná.
• „Bez cookies = vyřešeno." Fingerprinting, pixel i měření podle IP spadají pod čl. 5(3); Matomo výjimka má tvrdé podmínky.
• Legitimní zájem místo souhlasu. Nepřebije ePrivacy ani automaticky nepokryje marketing.
• Souhlas jako pocit. Bez záznamu (čas, verze oznámení) ho při sporu neprokážeš.
• Dodavatel bez DPA, data bez retenční lhůty. Obojí spadá do nejvyšší sazby pokut.
• „Zaplaceno = smím." Editorial fotka v reklamě nebo přerostlý limit zobrazení stránek u fontu jsou porušení.

Zdroje

• ePrivacy směrnice čl. 5(3); EDPB Guidelines 2/2023 o technickém rozsahu (finální verze 16. 10. 2024): pixely, fingerprinting, měření podle IP.
• GDPR čl. 6 (šest základů), čl. 7 a recitál 32 (platný souhlas, důkazní břemeno), čl. 28 (DPA, sub-zpracovatelé), čl. 5(1)(e) (retenční lhůty).
• EDPB o legitimním zájmu (2024): nepřebíjí souhlas u elektronické komunikace.
• CNIL vs. Google a Facebook (6. 1. 2022): 150 a 60 mil. eur za asymetrii accept/reject.
• EDPB Guidelines 03/2022 (deceptive design): stejná vizuální výraznost accept a reject.
• EDPB Opinion 08/2024 „souhlas, nebo platba"; bruselský odvolací soud k IAB TCF (14. 5. 2025, 250 000 eur).
• LG München I (20. 1. 2022, 3 O 17493/20): Google Fonts z CDN posílá IP, porušení GDPR.
• Novela ZEK § 89 odst. 3, opt-in od 1. 1. 2022.
• EU-US Data Privacy Framework status 2025 (6 DPA případů proti GA4, PCLOB, Schrems).
• Monotype a Adobe Fonts (pásma podle zobrazení stránek); typy stock licencí (Rights Managed, Royalty Free, Editorial Use Only).

Tahle kapitola je právní konec řetězu, který zbytek wiki rozehrává. Definici souhlasu drží slovník, inventuru měřicích skriptů a podkladů zakládá discovery. Konfigurace GA4 a přenosy do USA se sem delegují z analytiky, doložitelný souhlas pro newsletter z marketingu a distribuce a licence k fotkám a fontům z médií a podkladů. Vlastní hostování fontů místo přenosu IP řeší Cloudflare a hosting a CDN, a re-audit souhlasu, dodavatelů a retenčních lhůt drží správa a údržba.