Předpisy o cookies a ochraně soukromí: Globální přehled
Soulad v oblasti cookies neupravuje jediný zákon. Utváří jej mozaika národních a regionálních předpisů, které se výrazně liší svým rozsahem, požadavky i způsobem vymáhání. Pro každý web s mezinárodním publikem — což na otevřeném internetu znamená prakticky každý web — je zásadní pochopit, které zákony se uplatní a jak se od sebe liší.
Tento průvodce mapuje globální regulatorní prostředí pro cookies a online sledování — od evropského modelu založeného na předchozím souhlasu přes americký přístup „upozornění a volba" až po nové rámce vznikající jinde ve světě.
Globální mozaika
Neexistuje jediný „zákon o cookies". Soulad v oblasti cookies se místo toho nachází na průsečíku předpisů o ochraně soukromí, směrnic o elektronických komunikacích a zákonů na ochranu spotřebitele. Výsledkem je složité, občas protichůdné prostředí, kde jeden a tentýž web může podléhat různým pravidlům podle toho, kde se nacházejí jeho návštěvníci.
Vyvinuly se dva široké modely:
- Evropský model (souhlas jako první krok): Nezbytné cookies smějí být nastaveny až poté, co uživatel udělil informovaný, konkrétní a svobodně daný souhlas. Výchozím stavem je žádné sledování. Uživatel musí aktivně souhlasit.
- Americký model (upozornění a volba): Podniky musí zpřístupnit své postupy sběru dat a poskytnout uživatelům možnost odmítnout určitá použití (zejména prodej či sdílení osobních údajů). Výchozím stavem je sledování, přičemž uživatel se z něj může odhlásit.
Většina nových předpisů o ochraně soukromí ve světě se sbližuje s evropským modelem, byť s lokálními variacemi. Pochopení obou modelů — i konkrétních zákonů v jejich rámci — je nezbytné pro jakýkoli web působící přeshraničně.
Evropský rámec: směrnice ePrivacy + GDPR
Přístup Evropské unie k regulaci cookies stojí na dvou právních nástrojích, které fungují společně:
Směrnice ePrivacy (2002/58/ES)
Směrnice ePrivacy — často nazývaná „směrnice o cookies" — je hlavním právním předpisem EU upravujícím používání cookies a podobných sledovacích technologií. Její klíčové ustanovení, čl. 5 odst. 3, stanoví:
Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím v koncovém zařízení účastníka nebo uživatele bylo povoleno pouze za podmínky, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace.
Jedinou výjimkou jsou cookies, které jsou „nezbytně nutné" pro poskytnutí služby výslovně vyžádané uživatelem — například relační cookies pro nákupní košík nebo přihlašovací stav.
Důležité: ePrivacy je směrnice, nikoli nařízení. To znamená, že každý členský stát EU ji transponoval do vnitrostátního práva s lokálními variacemi. Základní princip (souhlas vyžadovaný pro nezbytné cookies) je konzistentní, ale detaily implementace se liší. Například:
- Francie (CNIL): Vydala podrobné pokyny k cookies včetně omezené výjimky pro určité nástroje měření návštěvnosti, které splňují přísné podmínky (anonymizace, žádné sledování napříč weby, omezená doba uchovávání).
- Německo: Implementováno prostřednictvím TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), který vstoupil v platnost v prosinci 2021 a výslovně kodifikoval požadavek souhlasu.
- Itálie (Garante): V roce 2021 zveřejnila podrobné pokyny k cookies, které vyžadují tlačítko pro odmítnutí v první vrstvě a zakazují tzv. cookie walls.
- Nizozemsko (AP): Zaujalo poněkud shovívavější postoj k cookie walls a naznačilo, že mohou být přijatelné, pokud má uživatel skutečnou alternativní cestu k přístupu k obsahu.
GDPR (nařízení (EU) 2016/679)
Obecné nařízení o ochraně osobních údajů se o cookies konkrétně nezmiňuje, ale upravuje zpracování osobních údajů — a cookies s osobními údaji pracují často. GDPR je pro soulad v oblasti cookies relevantní v několika ohledech:
- Standard souhlasu (čl. 4 odst. 11, čl. 7): GDPR definuje, co představuje platný souhlas: svobodně daný, konkrétní, informovaný, jednoznačný a udělený jasným aktivním úkonem. Tento standard se vztahuje na souhlas s cookies získaný podle směrnice ePrivacy.
- Transparentnost (čl. 12–14): Pokud cookies zpracovávají osobní údaje, uplatňují se požadavky GDPR na transparentnost. To znamená, že vaše zásady používání cookies musí poskytovat konkrétní informace o daném zpracování údajů.
- Právní základ (čl. 6): Zpracování osobních údajů prostřednictvím cookies vyžaduje právní základ. Pro nezbytné cookies je tímto základem souhlas. Někteří správci se snaží opírat o oprávněný zájem (čl. 6 odst. 1 písm. f), ale dozorové úřady oprávněný zájem jako základ pro reklamní a analytické sledování stále častěji odmítají.
- Práva subjektů údajů (čl. 15–22): Uživatelé mají práva na přístup, opravu, výmaz a přenositelnost svých údajů — včetně údajů shromážděných prostřednictvím cookies.
- Extrateritoriální působnost (čl. 3): GDPR se vztahuje na jakoukoli organizaci, která zpracovává osobní údaje osob nacházejících se v EU, bez ohledu na to, kde je organizace usazena. Americká společnost cílící na zákazníky v EU musí GDPR dodržovat.
Připravované nařízení ePrivacy
Evropská komise v roce 2017 navrhla nařízení ePrivacy, které má nahradit směrnici ePrivacy, harmonizovat pravidla napříč členskými státy a aktualizovat je pro moderní technologie. Na začátku roku 2026 nebylo nařízení dokončeno. Jednání se protahovala kvůli neshodám ohledně výjimek pro oprávněný zájem, ustanovení o cookie walls a mechanismech souhlasu na úrovni prohlížeče.
Až bude nakonec přijato, bude se nařízení ePrivacy přímo uplatňovat ve všech členských státech (na rozdíl od stávající směrnice, která vyžaduje vnitrostátní transpozici). Do té doby zůstávají rozhodujícím právem stávající směrnice ePrivacy a její vnitrostátní implementace.
Americký rámec: zákony o ochraně soukromí na úrovni států
Spojené státy nemají federální zákon o cookies ani federální komplexní zákon o ochraně soukromí (k počátku roku 2026). Regulace ochrany soukromí se místo toho vyvinula na úrovni jednotlivých států, čímž vznikla mozaika požadavků.
Kalifornie: CCPA a CPRA
California Consumer Privacy Act (CCPA) ve znění California Privacy Rights Act (CPRA) je nejkomplexnějším americkým státním zákonem o ochraně soukromí. Klíčová ustanovení relevantní pro cookies:
- Právo odmítnout prodej/sdílení. Spotřebitelé mají právo odmítnout „prodej" nebo „sdílení" svých osobních údajů. Podle CPRA „sdílení" zahrnuje sdílení dat s třetími stranami pro behaviorální reklamu napříč kontexty — což je přesně to, co dělá většina reklamních cookies.
- Předchozí souhlas není vyžadován. Na rozdíl od evropského modelu CCPA/CPRA nevyžaduje předchozí souhlas s cookies. Výchozím stavem je, že sledování je povoleno, a uživatelé se z něj musí aktivně odhlásit.
- Odkaz „Do Not Sell or Share". Podniky musí na svém webu uvádět zřetelný odkaz „Do Not Sell or Share My Personal Information".
- Global Privacy Control (GPC). Podniky musí respektovat signál prohlížeče GPC jako platnou žádost o odhlášení. Pokud prohlížeč uživatele vysílá signál GPC, podnik s ním musí zacházet, jako by uživatel klikl na „Do Not Sell or Share".
- Upozornění při sběru. Podniky musí v okamžiku sběru nebo před ním zveřejnit kategorie shromažďovaných osobních údajů a účely, pro které budou použity.
Další americké státní zákony
Po vzoru Kalifornie přijala komplexní zákony o ochraně soukromí řada dalších amerických států. K počátku roku 2026 patří mezi státy s účinnými zákony o ochraně soukromí:
| Stát | Zákon | Datum účinnosti | Prvky relevantní pro cookies |
|---|---|---|---|
| Virginie | VCDPA | Leden 2023 | Odhlášení z cílené reklamy, prodeje dat |
| Colorado | CPA | Červenec 2023 | Odhlášení z cílené reklamy, prodeje dat; povinnost respektovat univerzální signály pro odhlášení |
| Connecticut | CTDPA | Červenec 2023 | Odhlášení z cílené reklamy, prodeje dat; povinnost respektovat univerzální signály pro odhlášení |
| Utah | UCPA | Prosinec 2023 | Odhlášení z cílené reklamy, prodeje dat |
| Texas | TDPSA | Červenec 2024 | Odhlášení z cílené reklamy, prodeje dat; povinnost respektovat univerzální signály pro odhlášení |
| Oregon | OCPA | Červenec 2024 | Odhlášení z cílené reklamy, prodeje dat; povinnost respektovat univerzální signály pro odhlášení |
| Montana | MCDPA | Říjen 2024 | Odhlášení z cílené reklamy, prodeje dat; povinnost respektovat univerzální signály pro odhlášení |
Další státy přijaly zákony s datem účinnosti v letech 2025 a 2026. Trend je jasný: regulace ochrany soukromí na úrovni států se rozšiřuje a většina nových zákonů zahrnuje práva na odhlášení z cílené reklamy, která přímo ovlivňují postupy v oblasti cookies.
Další významné předpisy
Spojené království: UK GDPR a PECR
Po brexitu si Spojené království ponechalo GDPR jako „UK GDPR" a nadále vymáhá Privacy and Electronic Communications Regulations (PECR), které implementují směrnici ePrivacy. Požadavky na cookies jsou v podstatě totožné s EU: pro nezbytné cookies je vyžadován předchozí souhlas, s úzkou výjimkou pro nezbytně nutné cookies. Tato pravidla vymáhá Information Commissioner's Office (ICO), který zveřejnil podrobné pokyny k cookies.
Brazílie: LGPD
Brazilský zákon Lei Geral de Proteção de Dados (LGPD), účinný od roku 2020, je silně inspirován GDPR. Vyžaduje právní základ pro zpracování osobních údajů, včetně údajů shromážděných prostřednictvím cookies. Ačkoli LGPD nemá přímý ekvivalent ustanovení směrnice ePrivacy specificky zaměřeného na cookies, pro zpracování dat založené na cookies musí být stanoven souhlas nebo oprávněný zájem. ANPD (národní úřad pro ochranu osobních údajů) postupně vydává pokyny k cookies a souhlasu.
Kanada: PIPEDA a návrh zákona C-27
Kanadský Personal Information Protection and Electronic Documents Act (PIPEDA) vyžaduje „smysluplný souhlas" se sběrem, používáním a zpřístupňováním osobních údajů. U cookies, které shromažďují osobní údaje, musí organizace získat souhlas a poskytnout jasné informace o svých postupech. Návrh zákona C-27, tzv. Consumer Privacy Protection Act, by kanadský rámec modernizoval přísnějšími požadavky na souhlas, ale jeho přijetí bylo odloženo.
Japonsko: APPI
Japonský Act on the Protection of Personal Information (APPI), novelizovaný v roce 2022, zavedl koncept „osobně odkazovatelných informací", které mohou v určitých kontextech zahrnovat identifikátory cookies. Když jsou data z cookies kombinována s dalšími informacemi za účelem identifikace jednotlivce, uplatňují se požadavky na souhlas.
Jižní Korea: PIPA
Jihokorejský Personal Information Protection Act (PIPA), novelizovaný v roce 2023, vyžaduje souhlas se sběrem a používáním osobních údajů, které mohou zahrnovat data z cookies, pokud identifikují nebo mohou identifikovat jednotlivce.
Trend sbližování
Navzdory současné mozaice se rýsuje jasný trend: většina nových zákonů o ochraně soukromí se řídí evropským modelem regulace, která staví souhlas na první místo a posiluje postavení uživatele. I americké státní zákony, které jsou technicky založeny na odhlášení (opt-out) spíše než na přihlášení (opt-in), směřují k přísnějším požadavkům s univerzálními signály pro odhlášení (GPC), principům minimalizace dat a rozšířeným definicím „osobních údajů", které zahrnují i identifikátory cookies.
Z praktického hlediska toto sbližování znamená, že weby zavádějící soulad v oblasti cookies na úrovni EU (předchozí souhlas, jasné přijmout/odmítnout, granulární kategorie, transparentní zásady) jsou dobře připraveny na soulad s většinou ostatních jurisdikcí. Standard EU je nejvyšším společným jmenovatelem.
Posouzení rizik: které zákony se vztahují na váš web?
Klíčovou otázkou pro každého provozovatele webu je: které zákony se na mě vztahují? Odpověď závisí na dvou faktorech:
- Kde je vaše organizace usazena. Podléháte zákonům o ochraně soukromí těch jurisdikcí, kde má vaše organizace provozovnu (kancelář, dceřinou společnost, pobočku).
- Kde se nacházejí vaši uživatelé. Na základě extrateritoriální působnosti GDPR (čl. 3 odst. 2) podléháte evropskému právu o ochraně soukromí, pokud nabízíte zboží či služby jednotlivcům v EU nebo pokud monitorujete chování jednotlivců v EU. Podobná extrateritoriální ustanovení existují v UK GDPR, brazilském LGPD i dalších zákonech.
V praxi platí, že pokud je váš web přístupný uživatelům v EU — a máte jakýkoli provoz z EU, což mají prakticky všechny weby — měli byste dodržovat směrnici ePrivacy a GDPR. Máte-li provoz z USA, měli byste řešit CCPA/CPRA (Kalifornie) a další příslušné státní zákony.
Pragmatický přístup:
- Zaveďte souhlas na úrovni EU pro všechny návštěvníky z EU/EHP/Spojeného království (předchozí souhlas typu opt-in pro nezbytné cookies).
- Zaveďte mechanismy pro odhlášení pro návštěvníky z USA (odkaz Do Not Sell/Share, podpora GPC).
- Použijte jako výchozí vyšší standard, pokud je geografická detekce nepraktická. Souhlas na úrovni EU vyhovuje prakticky všem jurisdikcím.
Extrateritoriální působnost
Jedním z nejvýznamnějších aspektů moderní regulace ochrany soukromí je její extrateritoriální působnost. GDPR (čl. 3 odst. 2) se vztahuje na organizace mimo EU, které:
- nabízejí zboží či služby jednotlivcům v EU (i zdarma — web přístupný v EU, který cílí na uživatele z EU, splňuje podmínku), nebo
- monitorují chování jednotlivců v EU (analytické a reklamní sledování představuje monitorování).
To znamená, že americká společnost provozující Google Analytics na webu, který přijímá provoz z EU, technicky podléhá GDPR a požadavkům směrnice ePrivacy na cookies. Vymáhání vůči neevropským organizacím bylo historicky omezené, ale narůstá, zejména u velkých společností. Praktické riziko pro menší organizace závisí na viditelnosti a počtu stížností, ale právní povinnost existuje bez ohledu na velikost.
Prostředí vymáhání
Vymáhání souladu v oblasti cookies se od roku 2020 dramaticky zintenzivnilo. Klíčové trendy:
Kdo vymáhá
V EU vymáhají směrnici ePrivacy i GDPR národní úřady pro ochranu osobních údajů (DPA). Mezi významné aktivní vymahatele patří CNIL (Francie), Garante (Itálie), Datatilsynet (Dánsko a Norsko), BfDI (Německo na federální úrovni) a APD (Belgie). Přeshraniční vymáhání koordinuje EDPB.
V USA vymáhají CCPA/CPRA California Attorney General a California Privacy Protection Agency. Ostatní státní zákony vymáhají státní generální prokurátoři.
Jak vymáhají
- Vyšetřování na základě stížností. Většina vymáhání začíná stížností uživatele podanou u DPA. Stížnost spouští vyšetřování postupů webu v oblasti cookies.
- Plošná vyšetřování. DPA pravidelně provádějí celoodvětvová plošná šetření, při nichž kontrolují stovky webů z hlediska souladu v oblasti cookies. Zveřejněná plošná šetření provedly CNIL, italský Garante i dánský Datatilsynet.
- Stížnosti neziskových organizací. Organizace na ochranu soukromí, jako je noyb (v čele s Maxem Schremsem), podaly hromadné stížnosti proti stovkám webů, čímž vytvořily značný objem vymáhání. Samotné stížnosti noyb na cookie lišty vedly k desítkám vymáhacích opatření napříč EU.
Sankce
Pokuty podle GDPR za porušení v oblasti cookies mohou dosáhnout až 20 milionů EUR nebo 4 % ročního celosvětového obratu, podle toho, která částka je vyšší. V praxi se pokuty za porušení v oblasti cookies pohybovaly od varování (u malých organizací s drobnými porušeními) až po 150 milionů EUR (Google, CNIL, 2022). Trend směřuje k vyšším pokutám a častějšímu vymáhání.
Kromě pokut s sebou nesoulad nese reputační riziko, poškození důvěry spotřebitelů a provozní náklady na urgentní nápravu nařízenou regulátorem.
Passiro vám pomáhá zvládnout tuto regulatorní složitost pomocí automatizovaného souladu, který se přizpůsobuje zákonům platným pro vaše návštěvníky. Zjistěte, jak Passiro zjednodušuje soulad v oblasti cookies napříč jurisdikcemi.
Splňuje váš web pravidla pro cookies?
Zdarma naskenujte svůj web a najděte všechny cookies během několika minut.
Skenovat cookies zdarma