GDPR už tu je s námi od roku 2018 a lidé se mu stále vyhýbají nebo ho podceňují. V roce 2026 to ale není možné — kontroly ÚOOÚ se zintenzivnily, pokuty padají i u malých firem, a kdo má špatně cookie consent, riskuje nejen pokutu, ale i odmítnutí z Google Search Console.
V tomto článku projdeme všechno, co musíte pro GDPR a cookies mít na webu v roce 2026. Bez právnického žargonu, s konkrétními kroky.
Co je GDPR a koho se týká
GDPR (General Data Protection Regulation) je evropské nařízení o ochraně osobních údajů. V ČR ho doplňuje zákon č. 110/2019 Sb. o zpracování osobních údajů.
Týká se vás, pokud:
- Provozujete web navštěvovaný občany EU
- Sbíráte jakákoli osobní data (e-mail, jméno, IP adresa, cookies)
- Používáte Google Analytics, Facebook Pixel, Hotjar atd.
Takže prakticky každý web. I ten nejmenší statický web už kvůli Google Analytics zpracovává osobní údaje a musí GDPR splňovat.
Jaké pokuty hrozí
Co musí váš web mít
1. Zásady ochrany osobních údajů (Privacy Policy)
Samostatná stránka, typicky /ochrana-soukromi nebo /gdpr. Musí obsahovat:
- Kdo je správce (vaše firma, IČO, kontakt)
- Jaké údaje sbíráte (e-mail, jméno, IP adresa, cookies...)
- Proč je sbíráte (kontakt, marketing, analytika)
- Právní základ (souhlas, smlouva, oprávněný zájem)
- Jak dlouho je uchováváte
- Komu je předáváte (Google Analytics, MailChimp, externí zpracovatelé)
- Jaká jsou práva uživatele (přístup, oprava, smazání, přenos, odvolání souhlasu)
- Kontakt na stížnost (ÚOOÚ)
2. Cookie lišta (Cookie Consent Banner)
Evropský soud v roce 2022 rozhodl: všechny non-essential cookies vyžadují explicitní souhlas uživatele. Žádné "používáním webu souhlasíte...".
Správně funkční cookie lišta musí:
- Objevit se před načtením jakéhokoliv trackingu (Google Analytics, Pixel)
- Nabídnout rovnocenné tlačítka "Přijmout" a "Odmítnout" (ne "Odmítnout" schované)
- Umožnit granulární volbu (essential / funkční / analytické / marketingové)
- Uložit volbu a nezobrazovat ji znovu při další návštěvě
- Umožnit odvolání souhlasu (tlačítko "Upravit nastavení" trvale v patičce)
3. Právní základ pro zpracování
Každý sběr údajů musí mít legitimní právní základ:
| Základ | Příklad |
|---|---|
| Souhlas | Newsletter, marketingové cookies |
| Plnění smlouvy | Objednávka v e-shopu |
| Právní povinnost | Vystavení faktury, archivace účetnictví |
| Oprávněný zájem | Bezpečnost, základní analytika |
| Životně důležitý zájem | Medicína, záchranné situace (zřídka) |
| Veřejný zájem | Úřady, soudy |
Nejběžnější chyba: firma pošle marketingový e-mail na základě "oprávněného zájmu". To neplatí — marketing vyžaduje souhlas.
4. Double opt-in u newsletteru
Pokud sbíráte e-maily pro newsletter, musí projít double opt-in procesem:
- Uživatel vyplní e-mail v formuláři
- Systém pošle potvrzovací e-mail s unikátním odkazem
- Uživatel klikne → teprve poté je zapsán do databáze
Nesmíte poslat marketingový e-mail dřív, než uživatel potvrdí. Výjimka: existující zákazník (objednal u vás v posledních 2 letech) + ochrana proti odhlášení v každém e-mailu.
5. Právo na smazání (Right to be Forgotten)
Na žádost uživatele musíte:
- Smazat všechna jeho data do 30 dnů
- Potvrdit smazání e-mailem
- Zajistit, že data zmizí i ze záloh (postupně se přepisují)
- Předat požadavek na smazání všem externím zpracovatelům (MailChimp, CRM, ...)
Cookie kategorie — co kam patří
Nezbytné (Essential / Strictly Necessary)
Cookies nutné pro fungování webu. Nevyžadují souhlas.
Příklady:
- Session cookie (pamatuje si přihlášení)
- CSRF token (bezpečnost)
- Cookie consent samotný (pamatuje si volbu)
- Košík v e-shopu
Funkční (Preferences)
Vylepšují uživatelský zážitek, ale web funguje i bez nich. Vyžadují souhlas.
Příklady:
- Volba jazyka
- Dark mode preference
- Cookie pro "zapamatovat login" na 30 dní
Analytické (Statistics)
Sběr dat o chování návštěvníků. Vyžadují souhlas.
Příklady:
- Google Analytics (_ga, _gid)
- Hotjar, Smartlook, Clarity
- Matomo (on-premise alternativa k GA, ale stále vyžaduje souhlas pokud sbírá IP)
Marketingové (Marketing)
Slouží k cílení reklamy a remarketingu. Vyžadují souhlas.
Příklady:
- Facebook Pixel (_fbp)
- Google Ads conversion (_gcl)
- LinkedIn Insight Tag
- TikTok Pixel
Konkrétní implementace
Option A: Vlastní cookie lišta
Výhody: plná kontrola, design podle brandu, bez externích závislostí.
Nevýhody: musíte si sami spravovat všechny cookie kategorie a blokovat scripty před souhlasem.
Option B: Hotové řešení (Cookiebot, Iubenda, Complianz)
Výhody: automatický scan cookies na webu, pravidelné aktualizace, právně aktuální texty.
Nevýhody: měsíční poplatek (500–5 000 Kč podle velikosti webu).
Co je "server-side tagging" a proč to pomáhá
Klasický tracking: JavaScript v prohlížeči posílá data Googlu / Facebooku. Adblockery ho snadno zablokují, uživatel má plnou kontrolu.
Server-side tagging posílá data nejprve na váš server, ten je pak přeposílá Googlu. Z pohledu uživatele to není tracking — je to server-to-server komunikace.
Pro: Méně impactu od adblockerů, lepší rychlost webu, přesnější data.
Proti: Stále musíte splňovat GDPR — sběr osobních údajů se nezmění tím, že proběhne na serveru. Souhlas je stále potřeba.
Nejčastější dotazy
Musím mít cookie lištu i pro statický web bez trackingu?
Pokud opravdu nesbíráte žádná data (žádné Google Analytics, žádné formuláře, žádné Pixely), nemusíte. Ale to v 2026 prakticky nikdo nemá.
Můžu použít Google Analytics 4 bez souhlasu?
Ne. GA4 sbírá IP adresu a další identifikátory, což jsou osobní údaje. Souhlas je nutný.
Výjimka: Google Consent Mode v2 umožňuje GA běžet v anonymizovaném módu před souhlasem — data jsou ale nepoužitelná pro marketing.
Co s Google Analytics Universal (UA)?
UA je od 1. 7. 2024 vypnutý. Pokud ho ještě máte na webu, odstraňte ho — sbírá data, která ale nikam nejdou. Čistě formálně stále porušujete GDPR.
Potřebuju souhlas i v B2B?
Ano. GDPR se vztahuje na fyzické osoby. I když je adresát v B2B kontextu, stále je to fyzická osoba. Platí double opt-in i v B2B newsletterech.
Co s daty, která už mám nasbíraná bez souhlasu?
- Marketing databáze bez souhlasu: proveďte re-opt-in kampaň (pošlete jednou e-mail s odkazem na nové potvrzení). Kdo nepotvrdí do 30 dnů, smažte.
- Kontaktní údaje: můžete si ponechat pokud máte právní důvod (smlouva, faktura, archivace).
- Analytická data: starší 14 měsíců smažte.
Pokuty v ČR — reálné případy
V 2025 ÚOOÚ rozhodl o několika pokutách:
- E-shop s oblečením: 350 000 Kč za chybějící cookie lištu a sběr IP do Facebook Pixel bez souhlasu
- Banka: 2 500 000 Kč za posílání marketingových e-mailů bez opt-in
- IT firma: 180 000 Kč za nezabezpečenou databázi zaměstnanců
- Lékařská klinika: 500 000 Kč za sdílení pacientských údajů přes neposkytnutou službu
Závěr
GDPR není byrokratická obtíž — je to standard péče o zákazníka. Uživatelé dnes očekávají, že máte cookie lištu, privacy policy a respektujete jejich volbu.
Pokud na GDPR zapracujete jednou důkladně, máte klid:
- Cookie lišta: jednou nastavit, pak jen udržovat
- Privacy policy: šablona + update 1× ročně
- Databáze: dodržovat retenční politiku
Investice 20–50 tisíc do profesionálně nastaveného GDPR je levnější než jedna pokuta z ÚOOÚ — a buduje důvěru u zákazníků.
Potřebujete audit vašeho webu z pohledu GDPR? Napište nám — projdeme cookies, privacy policy a formuláře. Zdarma dostanete report s konkrétními kroky k nápravě.