Cookies & GDPR 2026: Co se mění a jak se připravit | Průvodce pro e-shopy
Nová pravidla pro cookies a GDPR v roce 2026. Zjisti, co musíš změnit na své cookie liště, proč potřebuješ Consent Mode v2 a kdy zmizí bannery.
📋 TL;DR – Co je potřeba vědět
- Co se mění: Nová pravidla EU z listopadu 2025 (Digital Omnibus) zavádějí 6-měsíční „klid“ po odmítnutí cookies, rozšiřují výjimky pro analytiku a připravují automatický souhlas přes prohlížeč.
- Deadline: Některá pravidla platí už teď (vizuální rovnost tlačítek, Consent Mode v2), automatický souhlas přes prohlížeč se očekává až kolem roku 2028.
- Co e-shopy riskují: Bez správného nastavení nefunguje remarketing, přichází se o data z iPhonů a hrozí pokuty od ÚOOÚ.
Proč je nutné to řešit právě teď?
V roce 2024 se strašilo „cookiepocalypsou“. Měly zmizet cookies třetích stran a s nimi celý remarketing. Realita je jiná – cookies tu pořád jsou, ale jejich spolehlivost dramaticky klesla.
Google Chrome nezrušil cookies úplně, přešel na model „User Choice“ – uživatel si vybere. A právě tady nastává problém. Kombinace nastavení prohlížečů, AdBlockerů a fragmentace trhu způsobuje, že marketingová data jsou čím dál děravější.
K tomu přibyla nová legislativa. Dlouho očekávané nařízení ePrivacy bylo staženo a nahrazeno návrhem Digital Omnibus a českými úpravami (Zákon o digitální ekonomice).
Tohle už není jen o pokutách. Jde o přežití marketingu.
Bez správného nastavení:
- Prodražuje se reklama (vyšší CPA)
- Ztrácí se schopnost měřit konverze
- Remarketing přestane fungovat úplně
Pojďme si projít, co přesně se mění a co s tím lze dělat.
1. Pravidlo 6 měsíců: Konec otravného vyskakování
Co platí teď?
Pokud uživatel odmítne cookies, nesmí být obtěžován novým bannerem minimálně 6 měsíců. To říká ÚOOÚ ve svých doporučeních pro rok 2025/2026. Existuje i dobrovolná iniciativa „Cookie Pledge“, která navrhuje dokonce 1 rok klidu – to může být signál důvěryhodnosti pro zákazníky.
Co přinese Digital Omnibus?
Nový návrh EU chce toto pravidlo kodifikovat do zákona. Pokud uživatel odmítne souhlas, nesmí se žádat o nový souhlas pro stejný účel po dobu nejméně 6 měsíců.
Co to znamená pro provozovatele?
| Před | Po |
|---|---|
| Banner vyskočil při každé návštěvě | Banner se neukáže 6 měsíců po odmítnutí |
| „Vynucování“ souhlasu opakovaným zobrazováním | Musí se respektovat NE dlouhodobě |
| Agresivní taktiky mohly projít | Agresivní taktiky = porušení zákona |
💡 Akční krok: Je nutné zkontrolovat nastavení CMP (Cookiebot, CookieYes apod.), jestli správně ukládá odmítnutí a nezobrazuje banner znovu dřív než za 6 měsíců.
2. Výjimky z cookie lišty: Kdy není potřeba souhlas
Co platí teď?
Bez souhlasu lze ukládat pouze cookies nezbytně nutné pro technický provoz:
- Obsah košíku
- Přihlášení uživatele
- Bezpečnostní tokeny
- Load balancing
Pro analytiku (Google Analytics) a marketing je souhlas potřeba vždy.
Co přinese Digital Omnibus?
Návrh chce rozšířit výjimky, kdy není potřeba souhlas ani banner, o tyto případy:
- Poskytování služby výslovně vyžádané uživatelem (košík, nastavení jazyka)
- Zajištění bezpečnosti služby nebo zařízení
- Agregované statistiky o používání služby – ALE pouze pokud je provozovatel provádí sám pro vlastní potřebu
Pozor na háček!
Výjimka pro analytiku je velmi úzká. Nástroje jako Google Analytics nebo Facebook Pixel, které data sdílejí napříč platformami, do této výjimky pravděpodobně nespadnou. Jinými slovy: Pro remarketing a klasické měření bude souhlas potřeba i nadále.
💡 Akční krok: Pokud chce provozovatel využít výjimku pro agregovanou analytiku, je vhodné zvážit nástroje jako Plausible nebo Matomo (self-hosted), které data nesdílejí s třetími stranami.
3. Automatický souhlas přes prohlížeč: Kdy zmizí bannery?
Jak to má fungovat?
Digital Omnibus přináší revoluční myšlenku: souhlas nebo nesouhlas se nastaví jednou v prohlížeči a webové stránky budou mít povinnost tento signál respektovat.
Představte si to takhle:
- Uživatel otevře Chrome/Firefox/Safari
- V nastavení klikne „Odmítnout veškeré sledování“
- Každý web automaticky přečte tuto volbu
- Žádný banner se nezobrazí
Zní to skvěle. Ale...
Realita je mnohem komplikovanější:
| Problém | Důsledek |
|---|---|
| Technické standardy neexistují | Prohlížeče se na ničem nedohodly |
| Povinnost informovat trvá | I při automatickém souhlasu je nutné uživatele informovat o zpracování |
| Hybridní bannery | Místo „souhlasových“ bannerů budou „informační“ bannery |
Kdy to bude fungovat?
Realistický odhad: 2028 nebo později. Do té doby cookie lišty nezmizí. Navíc pro marketingové nástroje (Facebook Pixel, Google Ads) bude explicitní souhlas pravděpodobně nutný i po zavedení prohlížečového řešení.
💡 Akční krok: Nelze spoléhat na to, že bannery brzy zmizí. Je třeba investovat čas do správného nastavení současné cookie lišty.
4. Barva tlačítek: Dark patterns jsou venku ze hry
Co říká ÚOOÚ?
Pravidla jsou jasná: tlačítka „Přijmout vše“ a „Odmítnout vše“ musí být vizuálně rovnocenná.
Co je zakázané (Dark Patterns):
- ❌ Jasně zelené/modré tlačítko pro přijetí + šedý nevýrazný text pro odmítnutí
- ❌ „Odmítnout“ schované v druhé vrstvě banneru (za „Nastavení“)
- ❌ Menší velikost tlačítka pro odmítnutí
- ❌ Manipulativní formulace („Odmítnout personalizovaný zážitek“ vs. „Přijmout“)
Jak má banner vypadat správně:
- ✅ Obě tlačítka na první vrstvě
- ✅ Stejná velikost
- ✅ Stejná vizuální váha (barva, kontrast)
- ✅ Neutrální formulace
UX paradox
Mnoho uživatelů si už na to, že pro odmítnutí cookies museli kliknout na nevýrazné sekundární tlačítko, zvyklo. Nyní pro ně bude paradoxně těžší cookies odmítnout, jelikož budou tlačítka vypadat stejně.
💡 Akční krok: Doporučuje se udělat screenshot cookie lišty a podívat se na ni očima zákazníka – je odmítnutí stejně snadné jako přijetí?
5. Google Consent Mode v2: Bez něj remarketing nefunguje
Proč je to nutné?
Google Consent Mode v2 (GCM v2) je přímým důsledkem Digital Markets Act (DMA). Bez něj Google zablokuje:
- Vytváření remarketingových publik
- Cílení reklamy na uživatele v EU
- Správné měření konverzí
Jak to funguje?
Consent Mode posílá Googlu signál o stavu souhlasu uživatele. Jsou dvě verze:
| Režim | Bez souhlasu uživatele | Výhody | Nevýhody |
|---|---|---|---|
| Basic | Nespustí se žádné Google tagy | Maximální ochrana soukromí | Žádná data, žádné modelování |
| Advanced | Odesílají se anonymizované „pingy“ | Google AI dopočítává konverze | Mírně vyšší právní riziko |
Co jsou ty nové signály?
GCM v2 přidává dva nové parametry:
ad_user_data– souhlas s odesláním dat do Google pro reklamní účelyad_personalization– souhlas s personalizovanou reklamou
Bez správného nastavení těchto signálů remarketing v Google Ads přestane fungovat.
Basic vs. Advanced – co vybrat?
- Basic Mode: Bezpečnější právně, ale přichází se o data. Hodí se, pokud remarketing není hlavní kanál.
- Advanced Mode: Získají se lepší data pro optimalizaci kampaní. Google pomocí AI dopočítá pravděpodobné konverze i od uživatelů, kteří nedali souhlas. Je to právně o něco rizikovější (někteří regulátoři v EU diskutují, jestli i anonymizovaný „ping“ není zpracování vyžadující souhlas).
💡 Akční krok: Je nutné ověřit v Google Tag Manager nebo u vývojáře, zda se posílají správné signály
ad_user_dataaad_personalization. Bez toho se vyhazují peníze za reklamu z okna.
6. Server-Side Tagging: Jak zachránit data ze Safari
Proč tradiční měření selhává?
Prohlížeče (Safari ITP, Firefox) a AdBlockery blokují měřící kódy třetích stran. Co to znamená?
- Ztráta 10–30 % dat z tradičního měření
- V Safari cookies třetích stran vydrží max 7 dní
- Konverze z (nejen) iPhonů se správně neatribuují
Jak funguje Server-Side Tagging?
Místo toho, aby data z prohlížeče šla přímo na Facebook/Google, jdou nejdřív na server (proxy) provozovatele.
- Tradiční měření: Prohlížeč → přímo → Facebook/Google (blokováno)
- Server-Side Tagging: Prohlížeč → vlastní server (metrics.tvujeshop.cz) → Facebook/Google (OK)
Výhody SST:
- ✅ Obchází AdBlockery – požadavek vypadá jako interní komunikace webu
- ✅ Delší životnost cookies – v Safari ze 7 dní na až 2 roky
- ✅ Lepší atribuce – je známo, odkud skutečně přišel nákup
- ✅ Kontrola nad daty – lze odstranit IP adresy před odesláním do USA
💡 Akční krok: Pokud e-shop trápí nepřesná data z měření (hlavně z mobilů), je třeba komunikovat s marketingovým specialistou nebo agenturou o implementaci SST.
Rizika a pokuty: Co se stane při ignorování pravidel?
ÚOOÚ může udělit:
- Pokutu až 20 mil. EUR nebo 4 % celosvětového obratu (GDPR)
- V praxi u malých e-shopů jde spíše o desítky až stovky tisíc Kč
Praktické důsledky ignorování:
- Google Ads: Bez Consent Mode v2 přestane remarketing fungovat kompletně
- Měření: Přichází se o 10–30 % dat, optimalizuje se na špatných číslech
- Safari/iPhone: Bez SST není vidět velká část konverzí z mobilů
Bonus: Pravidlo 2 let pro newslettery
Nový český Zákon o digitální ekonomice říká, že kontakt pro marketing lze využívat max 2 roky od posledního nákupu nebo souhlasu. Poslání newsletteru na kontakt starší 2 let bez interakce = porušení zákona s hrozbou pokuty až 5 mil. Kč.
💡 Akční krok: Doporučuje se projít databázi kontaktů v CRM. Je třeba nastavit automatizaci, která vyřadí neaktivní kontakty, nebo spustit re-aktivační kampaň před uplynutím lhůty.
Jak pomohou Vládní změny
Legislativa kolem cookies, GDPR a e-commerce se mění rychleji, než je možné sledovat. Digital Omnibus, Zákon o digitální ekonomice, doporučení ÚOOÚ – kdo má čas tohle všechno číst?
Vládní změny hlídají právě tyto změny:
- Monitorují legislativu relevantní pro podnikání
- Zašlou notifikaci, když se něco změní
- Vysvětlí lidsky, co to znamená a co je třeba udělat
Místo čtení stovek stran zákonů obdrží podnikatel jasný souhrn s akčními kroky.
FAQ – Často kladené otázky
Zmizí konečně otravné cookie lišty díky novému zákonu EU?
Bohužel ne hned a ne úplně. Návrh Digital Omnibus počítá s automatickým souhlasem přes prohlížeč, ale technologie na to zatím není připravena (očekává se kolem roku 2028). Pro marketingové nástroje (Facebook, Google Ads) bude souhlas pravděpodobně nutný i nadále.
Je nutné mít na liště tlačítko „Odmítnout vše“?
Ano. Podle výkladu ÚOOÚ i evropských standardů musí být odmítnutí stejně snadné jako přijetí. Tlačítko musí být viditelné hned na první vrstvě a mít stejnou vizuální váhu jako tlačítko pro přijetí.
Co se stane, když není nasazený Google Consent Mode v2?
Google zablokuje možnost vytvářet remarketingová publika a cílit reklamu na uživatele v EU. Kampaně budou méně efektivní a prodraží se.
Lze posílat newsletter zákazníkům, kteří nakoupili před 3 lety?
Pozor – podle Zákona o digitální ekonomice platí souhlas s marketingem typicky jen 2 roky od posledního kontaktu/nákupu. Pokud zákazník 2 roky nereagoval, měl by být z databáze vyřazen nebo by měl být vyžádán nový souhlas.
Jaký je rozdíl mezi Basic a Advanced verzí Consent Mode?
Basic: Při nesouhlasu neposílá Googlu vůbec nic (žádná data). Advanced: Posílá anonymizované „pingy“ bez cookies, Google pomocí AI dopočítá pravděpodobné konverze. Lepší data, mírně vyšší právní riziko.
Shrnutí: Co udělat teď
Okamžitě (Q1 2026):
- Audit cookie lišty – jsou tlačítka vizuálně rovnocenná?
- Consent Mode v2 – posílají se správné signály
ad_user_dataaad_personalization? - Audit databáze kontaktů – nastavení automatizace pro kontakty starší 2 let
Tento rok (2026):
- Server-Side Tagging – pokud má e-shop obrat nad 10 mil. Kč
- Aktualizace Zásad ochrany osobních údajů – doplnění info o AI a profilování
Dlouhodobě (2027+):
- Sledování vývoje prohlížečových standardů pro automatický souhlas
- Budování First-Party Data (vlastní data) – cookies třetích stran budou čím dál méně spolehlivé