Sekám weby na míru!

tvorba webových stránek

Cookies, souhlas a online reklama 2025 – legislativní změny a nové požadavky

Rok 2025 přináší zásadní novinky pro cookies a personalizovanou reklamu. Provozovatelé webů se musejí připravit na aktualizace GDPR, ePrivacy, DSA, DMA a nové požadavky platforem Google, Meta, Sklik a Microsoft.

Krátké shrnutí:
Rok 2025 výrazně zpřísňuje pravidla pro používání cookies a cílenou online reklamu. V platnost vstupují nové evropské regulace (DSA, DMA) omezující cílení reklam na děti a využití citlivých údajů. Velké reklamní platformy jako Google, Meta (Facebook/Instagram), Seznam (Sklik) či Microsoft zavádějí technické požadavky – například povinné Consent Mode signály a certifikované CMP – bez nichž hrozí omezení měření konverzí nebo remarketingu. Běžní provozovatelé webů v EU, a zejména v ČR, proto musí upravit cookie lišty, získávat platné souhlasy uživatelů a aktualizovat kódy pro analytiku a reklamu, aby vyhověli nové legislativě a nepřišli o data pro marketing.

 

Legislativní novinky v EU a ČR kolem cookies a osobních údajů (2024–2025)

GDPR a ePrivacy: přísnější výklad souhlasu s cookies

Obecné nařízení o ochraně osobních údajů (GDPR) zůstává základním rámcem pro zpracování osobních údajů, včetně údajů získaných z cookies. Samotné ukládání cookies na zařízení uživatele a přístup k nim upravuje směrnice ePrivacy (v ČR transponovaná do zákona o elektronických komunikacích). Platí, že veškeré netechnické cookies (analytické, preferenční, marketingové) lze používat pouze na základě předem uděleného souhlasu uživatele, zatímco technické/nepostradatelné cookies souhlas nepotřebují. Provozovatel webu musí návštěvníky jasně informovat o účelu jednotlivých cookies a umožnit jim svobodně se rozhodnout.

V praxi to znamená nasazení cookie lišty (Consent Management Platform, CMP), která uživatele informuje a dává mu možnost cookies přijmout i odmítnout. Podle doporučení Úřadu pro ochranu osobních údajů (ÚOOÚ) musí být možnost odmítnutí stejně snadná jako souhlas – např. formou rovnocenného tlačítka „Odmítnout vše“ vedle „Přijmout“ (Cookies | Úřad pro ochranu osobních údajů). Také platí povinnost poskytnout detailní informace o zpracování údajů – kdo je správcem, jaké údaje a proč se sbírají, komu se předávají, jak dlouho se uchovávají, jak lze souhlas odvolat apod. (Cookies | Úřad pro ochranu osobních údajů). Bez platného souhlasu nelze cookies pro marketing nebo analytiku používat, jinak hrozí porušení GDPR. V uplynulých letech padly v EU vysoké pokuty za špatně řešené cookie lišty a nevyžádané sledování uživatelů. Lze tedy očekávat, že dozorové úřady (v ČR ÚOOÚ) budou i v roce 2025 pokračovat v důsledných kontrolách dodržování pravidel cookies a souhlasů.

(Poznámka: Nové evropské Nařízení o soukromí a elektronických komunikacích (tzv. ePrivacy Regulation), které by sjednotilo úpravu cookies na úrovni EU, nebylo k roku 2025 stále přijato. Weby se proto řídí stávající právní úpravou ePrivacy směrnice a národními zákony. Níže popsané povinnosti tedy vycházejí z platného stavu GDPR a české legislativy.)


DSA – Digital Services Act: zákaz cílení na děti a citlivé údaje

Od 17. února 2024 je účinné nové Nařízení EU 2022/2065 o digitálních službách (DSA), které mimo jiné zavádí omezení pro cílenou online reklamu na platformách. DSA reaguje na obavy o soukromí uživatelů a zvlášť chrání děti a zranitelné skupiny. Online platformy (jako jsou sociální sítě, inzertní systémy, vyhledávače atd.) nesmějí cílit personalizované reklamy na nezletilé, pokud vědí s dostatečnou jistotou, že uživatelem je dítě. Prakticky to znamená, že pokud platforma zjistí nebo předpokládá, že uživatel nedosáhl 18 let (např. podle věku v profilu), musí mu zobrazovat jen kontextovou/relevantní reklamu, nikoli reklamu založenou na profilování jeho chování či zájmů.

DSA dále zakazuje využívat tzv. citlivé osobní údaje pro účely cílení reklam. Mezi citlivé údaje dle GDPR patří např. údaje odhalující rasový či etnický původ, politické názory, náboženské přesvědčení, zdravotní stav, sexuální orientaci apod. Podle DSA tedy platformy nesmí vytvářet cílení reklam, které by uživatele profilovalo na základě těchto citlivých kategorií. V praxi již některé společnosti upravují své reklamní systémy – např. platforma LinkedIn oznámila, že ruší možnost cílení inzerce podle citlivých atributů jako je orientace či politické názory, aby vyhověla DSA. Pro běžné inzerenty to znamená, že některé detailní parametry cílení mohou z reklamních nástrojů zmizet a u mladistvých nebude personalizace vůbec umožněna (pokud to platforma dokáže rozpoznat). DSA rovněž ukládá velkým platformám povinnost větší transparentnosti – reklamy musí být jasně označené a uživatelé musí mít možnost zjistit, proč se jim určitá reklama zobrazuje a vypnout personalizaci obsahu i reklam (The impact of the Digital Services Act on digital platforms | Shaping Europe’s digital future).

(Poznámka: DSA stanoví, že platformy nemusí aktivně zjišťovat věk každého uživatele kvůli zákazu cílení na děti – nemají povinnost “profilovat” uživatele jen kvůli ověření věku. Zůstává však otázkou, jak prakticky zajistí s “rozumnou mírou jistoty” vyloučení nezletilých z personalizované inzerce. Je možné, že některé služby začnou vyžadovat potvrzení věku nebo se spolehnou na informace z uživatelských účtů.)


DMA – Digital Markets Act: souhlas s kombinováním dat a konec „souhlas nebo plať“ modelů

Další významnou změnou je Nařízení EU 2022/1925 o digitálních trzích (DMA), účinné postupně od května 2023. DMA se zaměřuje na největší technologické firmy označené jako “gatekeepeři” digitálního trhu (mezi ně Evropská komise zařadila v roce 2023 například společnosti Google (Alphabet), Meta, Apple, Amazon, Microsoft, ByteDance aj. (Digital Markets Act (DMA): What are Google’s new CMP requirements, and how to get ready? | Didomi) (Digital Markets Act (DMA): What are Google’s new CMP requirements, and how to get ready? | Didomi)). Provozovatelé těchto rozsáhlých platforem mají dle DMA nové povinnosti, které ovlivňují i oblast online reklamy a ochrany dat. Zejména čl. 5 odst. 2 DMA vyžaduje, aby gatekeepeři získali aktivní souhlas uživatele (v souladu s GDPR) předtím, než spojí osobní data uživatele ze svých různých služeb nebo zdrojů a použijí je pro cílení reklam. Například Meta (provozovatel Facebooku a Instagramu) již nemůže jednoduše propojovat údaje o aktivitě uživatele napříč svými platformami pro účely reklamy, pokud k tomu uživatel nedal výslovný souhlas.

DMA také fakticky zakazuje praktiky typu „souhlas nebo platba“ – tedy nucení uživatele, aby si zaplatil prémiový účet, pokud nechce být sledován pro reklamu. Právě tímto směrem se původně vydala Meta, když v říjnu 2023 v reakci na předchozí rozhodnutí ohledně GDPR oznámila, že uživatelům v EU nabídne buď placené předplatné bez reklam, nebo pokračování zdarma s personalizovanými reklamami (model „zaplať, nebo souhlas s reklamním profilováním“). Evropská komise však dala najevo, že takový přístup je v rozporu s DMA. Meta proto plán koncem roku 2024 změnila – oznámila, že začne nabízet variantu “méně personalizovaných reklam” i pro neplatící uživatele, která bude využívat jen omezené údaje (základní demografii a interakce uživatele s reklamami). Tím se snaží vyhovět DMA, aniž by musela získat výslovný souhlas, pokud uživatel odmítne plně personalizované cílení. Uživatelé v EU tak získají více kontroly nad tím, jak moc personalizované reklamy uvidí. Pro inzerenty to ale znamená možný pokles účinnosti cílení – část uživatelů uvidí jen obecně cílené reklamy podle kontextu, ne podle detailního profilu, což může snížit míru prokliku či konverzí. (Například Meta nově uvádí, že u těchto „méně personalizovaných“ kampaní bude využívat jen atributy jako věk, pohlaví, obecná lokalita a předchozí interakce s reklamami, nikoli komplexní behaviorální profil.) Vývoj zde bude záviset na probíhajícím dohledu – v roce 2025 se očekává konečný verdikt regulátorů EU, zda Meta a další gatekeepeři DMA plně vyhovují.

Shrnutí: Provozovatelé webů a online marketéři by měli vnímat DSA a DMA jako posun směrem k omezení invazivního sledování a profilování. V praxi se většina požadavků DSA/DMA promítne do funkcí samotných velkých platforem (ty upraví své reklamní systémy, cílení a uživatelské volby). Na úrovni webů je však důležité například nevyužívat žádné vlastní praktiky v rozporu s DMA (např. nevynucovat souhlas stylem „máš smůlu, pokud nesouhlasíš, službu nedostaneš“ – to by neprošlo testem svobodného souhlasu dle GDPR ani férovosti dle DMA). Zároveň se vyplatí sledovat aktualizace podmínek reklamních platforem, protože ty se mění, aby odpovídaly nové legislativě.


Požadavky reklamních platforem (Google, Meta, Seznam, Microsoft) v roce 2024/2025

Ruku v ruce s legislativními změnami zpřísňují své podmínky i hlavní reklamní a analytické systémy. Google, Meta, Seznam i Microsoft zavádějí nové technické a právní požadavky, které ovlivní každého provozovatele webu využívajícího jejich nástroje. Níže mapujeme klíčové změny u jednotlivých platforem:


Google: Consent Mode v2, certifikace CMP a TCF

Google v posledních letech reaguje na GDPR a další předpisy sérií změn, které vrcholí kolem roku 2024/2025. Pro inzerenty a vydavatele v EU jsou nejdůležitější tyto novinky:

  • Povinné zapojení IAB TCF a certifikované CMP pro personalizované reklamy: Google stanovil, že od 16. ledna 2024 musí každý, kdo zobrazuje personalizovanou reklamu uživatelům v EU/EEA a UK, používat certifikovanou platformu pro správu souhlasu (CMP) integrovanou do rámce IAB TCF. To znamená, že web musí mít cookie lištu, která odpovídá standardu Transparency & Consent Framework (TCF) v2.2 od IAB Europe a je schválená Googlem. Od 31. července 2024 se tato povinnost rozšiřuje i na Švýcarsko. Pokud web nebude schopen předávat Google signály o souhlasu skrze TCF (tzv. TC string), Google může omezit či úplně vypnout zobrazování personalizovaných reklam na daném webu. Google výslovně varuje, že nedodržení těchto požadavků může vést např. k pozastavení funkcí publika pro remarketing a personalizaci reklam nebo omezení měření konverzí daného inzerenta. Pro vydavatele to zase znamená riziko ztráty příjmů z reklam AdSense. Akce pro provozovatele webu: zkontrolovat, zda vaše CMP (cookie lišta) je na seznamu Google certifikovaných CMP a používá TCF; pokud ne, přejít na řešení, které to splňuje. Příklady známých CMP s podporou TCF v2.2 jsou OneTrust, CookieYes, Didomi, Cookiebot, Consentmanager aj.
  • Google Consent Mode v2: Jde o technický režim, jak Google tagy (Analytics, Ads, Floodlight atd.) reagují na udělený či neudělený souhlas uživatele. Consent Mode (režim souhlasu) byl Googlem zaveden už v roce 2020, ale verze 2 přináší vylepšení a od března 2024 se stává de facto standardem. Google oznámil, že od března 2024 začne vynucovat dodržování své EU User Consent Policy u měření a publik v reklamách, a proto požaduje nasazení Consent Mode v2. V praxi Consent Mode v2 umožňuje, že Google skripty (Analytics, reklamy) nejprve zjistí stav souhlasu z CMP a podle toho upraví své chování. Pokud uživatel souhlas neudělil, neuloží se žádné identifikátory do prohlížeče a odešlou se jen anonymní agregované údaje (“cookieless pings”). Google pak chybějící data dopočítává pomocí modelování konverzí (např. odhaduje konverze na základě anonymních signálů). Naopak pokud uživatel souhlasí, fungují tagy normálně. Consent Mode v2 zavádí i detailnější členění souhlasů – kromě dosavadních signálů ad_storage a analytics_storage přibývají i signály ad_personalization a ad_user_data pro jemnější kontrolu využití údajů (Consent mode v2 signals). Google tak dokáže rozlišit, zda uživatel souhlasil např. s personalizací reklam vs. pouze s měřením konverzí apod.Proč na tom záleží: Pokud neimplementujete Consent Mode v2 správně, Google může od března 2024 vypnout vašim kampaním některé funkce (zejména remarketingové seznamy a pokročilé měření konverzí). Již v roce 2024 Google začal vyžadovat, aby weby s Google tagy načítaly tyto tagy až po souhlasu, případně v režimu, který respektuje nesouhlas. Akce: Ujistěte se, že váš systém pro správu tagů (GTManager apod.) podporuje Consent Mode v2. V praxi to znamená například aktualizovat šablony Google Analytics 4, Google Ads konverzí atd., aby četly stav souhlasu z CMP. Mnohé CMP již nabízí přímou integraci s Google Consent Mode – např. nástroj CookieYes uvádí, že umí automaticky nastavit Google tagy do základního nebo pokročilého režimu dle souhlasu. K dispozici jsou i přehledy a testery, které ověří, že váš web správně předává signály (např. Google Tag Assistant ukáže tzv. parametry gcs a gcd v odesílaných měřeních, které indikují stav souhlasu).
  • Google Analytics 4 a soukromí: Ačkoli přechod z Universal Analytics na GA4 proběhl v červenci 2023, stojí za zmínku, že GA4 byl navržen s ohledem na soulad s GDPR více než jeho předchůdce. GA4 standardně neukládá IP adresy, umožňuje snadno anonymizovat údaje a plně respektuje výše zmíněný Consent Mode. Pokud uživatel odmítne analytické cookies, GA4 stejně pošle jednorázovou návštěvu bez identifikátorů, kterou Google započítá do agregovaných statistik, aniž by ukládal cookie – tím web nepřijde o základní přehled návštěvnosti, i když návštěvník nesouhlasil (v GA4 se to projeví jako data z “consentless” měření). Přesto však jakékoli využití Google Analytics vyžaduje splnit informační povinnosti a získat souhlas pro plnohodnotné sledování – v EU proběhly debaty o legálnosti GA kvůli přenosům dat do USA, ale to je odlišné téma. Pro rok 2025 Google slibuje další vylepšení Privacy Sandbox technologií (např. náhrady cookies třetích stran), což ovlivní i Google Analytics a Ads, ale tyto změny jdou nad rámec legislativy.

 

Co hrozí, když požadavky Google ignoruji? Pokud by web nadále spouštěl Google Analytics či Ads skripty bez ohledu na souhlas, porušuje tím GDPR (absence platného právního základu) a navíc riskuje sankce přímo od Google. Google může například pozastavit možnost vytvářet si remarketingové publikum nebo v krajním případě zablokovat váš účet či zobrazování reklam. Kromě toho neimplementování CMP/TCP by znamenalo, že Google odmítne zpracovat reklamní požadavky pro uživatele z EU – tzn. na webu by se přestaly zobrazovat personalizované reklamy AdSense nebo by Google Ads kampaně nezahrnuly uživatele bez souhlasu do remarketingu. Stručně řečeno: dodržení požadavků je nyní podmínkou pro plnou funkčnost reklam a měření.


Meta (Facebook/Instagram): Pixel jen s opt-in, evropské změny v cílení a pokuty

Meta Platforms, provozovatel Facebooku a Instagramu, byl v posledních letech pod silným tlakem evropských regulátorů ohledně způsobu získávání souhlasu pro personalizované reklamy. Z hlediska provozovatele webu je zásadní, jak používat Meta Pixel (Facebook Pixel) a podobné nástroje v souladu s právem:

  • Meta Pixel a souhlas uživatele: Stejně jako u jiných trackerů platí, že Meta Pixel nesmí být spuštěn bez opt-in souhlasu uživatele. V praxi by vaše CMP měla zajistit, že kód Pixelu (či skript Meta Conversion API pro serverové sledování) se aktivuje teprve, když uživatel odsouhlasil marketingové cookies. Meta ve své dokumentaci zdůrazňuje, že každá firma je zodpovědná za zajištění souladu s GDPR při používání jejich nástrojů. To znamená například i úpravu nastavení Pixelu – doporučuje se vypnout funkce automatického rozšířeného porovnávání (Automatic Advanced Matching), pokud nemáte jistotu, že máte souhlas ke sběru a předání těchto údajů. Právě AAM sehrálo roli v kauze švédské online lékárny, kde byl Meta Pixel nasazen a neúmyslně sbíral příliš mnoho osobních údajů (včetně jmen, e-mailů a detailů o nákupech citlivého zboží) – švédský úřad IMY udělil za tento incident pokutu 8 milionů švédských korun (cca 16,5 mil. Kč), protože chyběl platný souhlas a došlo k porušení zabezpečení dat. Ponaučení: Prověřte, jaké údaje váš Pixel odesílá (Meta nabízí v nástrojích diagnostiku událostí). Ujistěte se, že nepředává například osobní údaje z formulářů bez dovolení. A hlavně – bez souhlasu uživatele Pixel nespouštějte. V mnoha zemích (Rakousko, Norsko aj.) řešily úřady stížnosti na nelegální nasazení Pixelu a Google Analytics kvůli předávání dat do USA; dokud nejsou dořešeny otázky kolem tzv. Schrems II (přenosy dat), je zvlášť důležité mít aspoň řádný souhlas jako minimální obranu.
  • Změna právního základu pro reklamy na Facebooku/Instagramu: Do konce roku 2022 Meta tvrdila, že může zpracovávat data uživatelů pro personalizovanou reklamu na základě “smluvní nezbytnosti” (contractual necessity) – tedy že personalizované cílení je nedílnou součástí služby, kterou si uživatel odsouhlasil v podmínkách. Evropské úřady však s tímto výkladem nesouhlasily. Na přelomu roku 2022/2023 Evropský sbor pro ochranu osobních údajů (EDPB) rozhodl, že Meta musí pro cílenou reklamu získat platný souhlas dle GDPR a irský DPC udělil Metě za předchozí porušení pokuty přes 300 milionů € (souhrnně pro Facebook a Instagram). Meta se následně pokusila najít jiná řešení – nejprve naznačila přechod na tzv. oprávněný zájem jako právní základ pro některé reklamní aktivity (což však také čelí odporu, protože u tak masivního profilování je souhlas standardem), poté přišla s výše zmíněným plánem placeného předplatného bez reklam pro EU. V listopadu 2024 Meta oznámila, že s modelem “zaplať, nebo souhlas” přestane a místo toho nabídne bezplatnou verzi s méně personalizovanými reklamami. Pro uživatele v Evropě to znamená, že Facebook a Instagram jim začnou dávat na výběr: buď plně personalizované reklamy (na základě souhlasu), nebo “omezeně” personalizované reklamy (bez použití údajů z aktivit mimo danou platformu, bez kombinování dat z Facebooku a Instagramu atd.). Z pohledu inzerenta se to projeví pravděpodobně tak, že část uživatelů bude reklamním systémem Meta zařazena pouze do širokých, kontextových cílení. Například pokud uživatel nesouhlasí s použitím svých dat, může ho systém zařadit jen do obecné kategorie podle věku, pohlaví a lokality, ale ne podle zájmů či chování na síti. Kampaně na Meta platformách tak mohou mít v roce 2025 menší granulitu cílení a možná i nižší výkonnost u uživatelů, kteří personalizaci odmítnou. Meta sama uvádí, že se to bude týkat všech neplatících uživatelů v EU, kteří odhlásí personalizaci – těm bude reklama cílená jen kontextuálně či demograficky. Inzerenti by na to měli reagovat například širším cílením a větším důrazem na kvalitu reklamního sdělení (aby i méně přesné zacílení oslovilo publikum).
  • Pokuty a právní výklady v EU vůči Metě: Kromě zmíněných pokut od DPC za právní základ bylo v květnu 2023 uloženo také rekordních 1,2 miliardy € pokuty za nezákonné předávání uživatelských dat z EU do USA (službami Meta). To sice nesouvisí přímo s cookies, ale dokresluje to přísnost dohledu. V létě 2023 pak došlo k zajímavému judikátu SDEU ve věci CJUE C‑300/21 (UI v. Facebook Ireland), kde soud konstatoval, že i čistě osobní újma v důsledku ztráty kontroly nad osobními údaji může být důvodem k finanční kompenzaci. Jinými slovy, uživatelé mohou žádat odškodnění, pokud firma zpracovává jejich data pro reklamu bez zákonného základu. To může otevřít dveře i civilním žalobám. Dopad pro praxi: Nepodceňovat tyto věci – riziko není jen regulační, ale i soudní.

 

Rekapitulace pro weby: Pokud na svůj web nasazujete Meta Pixel kvůli remarketingu či sledování konverzí z Facebook/Instagram reklam, musíte mít od uživatele souhlas obdobně jako pro Google Analytics. Zkontrolujte nastavení Pixelu, zejména vypněte automatický sběr kontaktních údajů bez souhlasu. Sledujte také aktualizace od Meta – například v Business Manageru se může objevit nutnost potvrdit, že dodržujete podmínky EU. V krajním případě, pokud by používání Pixelu bylo pro váš byznys nepostradatelné a souhlasů byste získávali málo, lze uvažovat o alternativách: např. využít pouze serverové měření (Conversions API) spárované s vlastními daty zákazníků, nebo se více opřít o vlastní marketing (e-maily, věrnostní program), kde máte data od uživatelů s jejich souhlasem.


Seznam Sklik: Consent parametr od 1. 8. 2024

Česká reklamní platforma Sklik (Seznam.cz) také reaguje na nové standardy ochrany soukromí. Od 1. srpna 2024 Sklik vyžaduje, aby všechny konverzní a retargetingové kódy na webu obsahovaly parametr “consent” s hodnotou 1 nebo 0. Tento parametr předává do Skliku informaci, zda uživatel udělil souhlas s cílenou reklamou / měřením konverzí. Prakticky jde opět o signál z CMP – váš skript pro odeslání konverze do Skliku musí při volání URL předat např. ...&consent=1 pokud uživatel souhlasil, nebo consent=0 pokud nesouhlasil.

Co se stane, když tam parametr nebude? Sklik upozorňuje, že kódy bez parametru consent nebudou jejich systémy nadále zpracovávat. Konverze se nezaznamená a uživatel nebude přidán do retargetingového publika – a to i kdyby třeba reálně souhlas měl, ale kód to neoznámil. Je to logické opatření: Seznam tím motivuje provozovatele webů, aby respektovali souhlas návštěvníků. Pokud uživatel souhlas nedal (parametr = 0), Seznam sice úplně data nezahodí – využije je anonymizovaně k modelování konverzí (podobně jako Google), což umožní inzerentovi alespoň agregovaně odhadnout, kolik konverzí asi kampaň přinesla i ze skupiny uživatelů bez souhlasu. Nicméně do retargetingových seznamů se takový uživatel samozřejmě nezařadí (remarketing na něj nefunguje, protože to by odporovalo jeho nesouhlasu).

Co je potřeba udělat: Pokud používáte Sklik konverzní kódy ručně vložené na webu, upravte je podle dokumentace (viz nápověda Skliku pro parametry konverzí a retargetingu). Jednoduše přidejte do volání funkce Sklik.trackConversion() či do img skriptu parametr consent. Pokud kódy spravujete přes Google Tag Manager, Seznam připravil šablony tagů, které už pole consent obsahují – stačí je aktualizovat. Od srpna 2024 by všechny vaše Sklik měřicí kódy měly posílat správný souhlasový signál, jinak uvidíte propad měřených konverzí a publika.

Výhled 2025: Seznam zatím neuvedl další nové požadavky, ale lze předpokládat, že bude nadále dbát na soulad s českou legislativou. Zavedení consent parametru v Skliku a Zboží.cz bylo včas komunikováno a i menší čeští inzerenti už tak museli začít řešit cookie souhlasy. Provozovatelům e-shopů či obsahových webů v ČR, kteří dosud cookies a souhlasům nevěnovali pozornost, tento krok jasně ukázal dopad – pokud nebudete mít funkční CMP a upravené kódy, přestanou vám fungovat zásadní marketingové funkce (měření ROI kampaní, remarketing). Naštěstí implementace není složitá a většina populárních e-shopových platforem (Shoptet, Eshop-rychle, FastCentrik…) připravila návody či updaty, jak consent ke Skliku doplnit.


Microsoft (Bing Ads/UET): Consent signal povinně od května 2025

Microsoft Advertising (reklamy na Bing, MSN a další síti Microsoftu) dosud nebyl v souvislosti se souhlasy tak často zmiňován, ale to se mění. Od 5. května 2025 zavádí Microsoft požadavek, aby všechny weby používající jeho měřicí kódy posílaly informaci o souhlasu uživatele, a to pro návštěvníky z EU, Spojeného království a Švýcarska. Týká se to především UET (Universal Event Tracking) tagu – ekvivalentu Google Analytics a konverzního kódu v jednom, který se používá pro Microsoft Ads. Pokud na web přijde uživatel z Evropy, UET tag musí při svém volání předat Microsoftu signál, zda uživatel udělil souhlas s trackováním. Microsoft tento krok zavedl, aby sladil své služby s globálními zákony na ochranu soukromí, zejména GDPR.

Co když signál nepošlu? Microsoft avizuje, že pokud nedostane žádnou informaci o souhlasu, může omezit nebo zablokovat sběr dat pro daného návštěvníka. Prakticky to znamená, že bez implementace CMP a předávání souhlasu přestanou Microsoft Ads sbírat konverze, budovat remarketingové seznamy či jinak sledovat uživatele na vašem webu. Tím se vaše kampaně mohou zhoršit (nebudou vědět, kdo konvertoval, neoptimalizují se) nebo se remarketing vůbec nespustí. Z pohledu Microsoftu je to analogické jako u Google – řešením je Consent Mode. Microsoft již nabízí funkci UET Consent Mode, která funguje podobně jako u Google: pokud uživatel nesouhlasí, UET omezí či vypne sběr dat automaticky. Ale pozor, Microsoft sám to neudělá automaticky – je na provozovateli webu, aby vše správně nastavil a signály posílal.

Co udělat: Pokud používáte Microsoft UET (např. pro reklamy na Bingu nebo Microsoft Audience Network), integrujte ho s vaší CMP. Některé CMP už to umí – např. platforma Didomi oznámila podporu UET Consent Mode. V praxi jde o to, že vašemu UET skriptu předáte informaci o stavu souhlasu (Microsoft očekává globální javascriptovou proměnnou nebo volání metody, viz jejich dokumentace). Také je potřeba od května 2025 aktualizovat zásady ochrany soukromí na webu, aby reflektovaly využití těchto signálů. I weby mimo EU by měly zpozornět – Microsoft upozorňuje, že jeho tagy používají i americké firmy a měly by se raději přizpůsobit, protože podobné žaloby a zákony (CCPA, nově i případy dle tzv. CIPA v Kalifornii) začínají vyžadovat respektování opt-in souhlasu i v USA. Jednoduše řečeno, trend směřuje k univerzálnímu uplatňování modelu GDPR: nesouhlas = žádné marketingové trackování.


Další platformy a technologie

Kromě výše uvedených hlavních hráčů stojí za zmínku také:

  • Adform, Criteo a ostatní reklamní systémy: Tyto subjekty jsou rovněž členy IAB a zapojily se do rámce TCF. Inzerujete-li přes programatické kanály, ověřte, že i tam CMP předává souhlas (obvykle to CMP dělá automaticky skrze TCF string). Bez souhlasu se vám uživatelé vyřadí z aukcí pro personalizovaný retargeting.
  • Heureka, Zboží.cz a srovnávače: I tyto služby nasazují na weby obchodníků měřicí kódy (pro konverze, recenze atd.). Je vhodné zkontrolovat, zda nepotřebují také parametry souhlasu. Zboží.cz je přímo propojeno se Sklikem, takže sdílí jeho přístup (consent parametr).
  • Google Tag Manager a jiné tag management systémy: GTM sám o sobě cookies nepoužívá, ale pokud jím spravujete různé tagy, využijte vestavěné funkce pro consent management. GTM umožňuje konfigurovat tzv. Consent Overview, kde nastavíte, které tagy vyžadují jaký typ souhlasu, a on je pak automaticky nepustí, dokud CMP nedá zelenou. To výrazně zjednoduší implementaci.
  • Další nástroje (Hotjar, Clarity, atd.): Všechny nástroje pro analýzu chování uživatelů, heatmapy, chatovací widgety a podobné, které ukládají cookies nebo sledují uživatele, by měly být také provázané s CMP. Např. Hotjar se dá nastavit, aby čekal na window.hjSettings se souhlasem, Microsoft Clarity obdobně. Projděte si seznam všech skriptů na webu a u každého se ujistěte, že nepoběží bez souhlasu (pokud není čistě technický).


Dopady a doporučení pro běžné weby a online inzerenty

Provozovatelé webů (zejména e-shopy a obsahové weby závislé na reklamě) musí v roce 2025 aktivně přizpůsobit své postupy. Níže uvádíme hlavní dopady a naše doporučení:

  • Méně dat při nesouhlasu, nutnost modelování: Čím dál tím větší procento uživatelů odmítá cookies – ať už vědomě, nebo pomocí prohlížečů a pluginů. To povede k tomu, že běžné webové analytiky budou vykazovat méně uživatelů (ti bez souhlasu se nezapočítají nebo jen anonymně). Nástroje jako Google Analytics 4 či Sklik to řeší modelováním, ale to je jen odhad. Marketingové metriky (konverze, atribuce) se stanou méně přesnými na úrovni uživatele – bude těžší určit, který konkrétní uživatel udělal co, a budete více pracovat s agregovanými daty a odhady. Doporučujeme proto sledovat nové metriky od těchto platforem (např. v GA4 věnovat pozornost modelovaným konverzím a neodhazovat je jako nepřesné – Google je trénuje na reálných datech, takže mohou být užitečné).
  • Menší publika pro remarketing a personalizaci: S odmítáním cookies se zmenší vaše remarketingové seznamy. Jak Google, tak Seznam či Meta vyloučí všechny nesouhlasící uživatele – reálně můžete přijít o 20–50 % publika (podle míry souhlasů, která se značně liší dle typu webu a nastavení lišty). To znamená méně uživatelů, které můžete oslovit remarketingem či dynamickým retargetingem (např. opuštěné košíky). A i ti, které oslovíte, možná nebudou tak “zahřátí”, protože ti, kdo odmítli cookies, třeba uvidí jen obecnější reklamy. Připravte se na pokles výkonu klasického remarketingu – marketingově to můžete částečně kompenzovat větším zaměřením na kontextovou reklamu a obsahový marketing. Například místo spolehání na cookie trackování zvažte cílení reklam podle kontextu (témat stránek) nebo investujte do kvalitního obsahu/SEO, abyste uživatele získali přirozeněji. Také budujte vlastní databáze (CRM) – e-mailové adresy zákazníků získané dobrovolně vám umožní dělat cílení např. přes vlastní publika (Customer Match u Google, Custom Audiences u Facebooku), která nejsou závislá na cookies (ale i zde samozřejmě musíte mít souhlas pro využití e-mailu k marketingu).
  • Nutnost nasadit a spravovat CMP: Pro mnohé malé weby to bude nová agenda navíc. Správa Consent Management Platformy znamená udržovat aktuální seznam cookies, texty, integrace, řešit verze pro různé země (pokud máte uživatele i mimo EU, musíte zohlednit třeba i jiné zákony jako CCPA). Doporučujeme zvolit ověřené CMP řešení, které vám práci ulehčí – řada z nich nabízí automatické skenování cookies a generování kategorií, podporu více jazyků a hlavně kompatibilitu s Google Consent Mode i IAB TCF (to vám pokryje většinu požadavků). Některé CMP jsou zdarma v základní verzi (např. CookieYes, Cookiebot – omezeně, nebo open-source řešení). Důležité je také uchovávat záznamy o udělených souhlasech pro případ kontroly – i to dobré CMP dělá za vás (loguje si, kdy kdo klikl). V ČR i EU se pomalu rozbíhají kontroly cookie lišt, takže mít v pořádku CMP už není jen “hezké mít”, ale nutnost.
  • Školení a procesy: Dopady nejsou jen technické. Vaše marketingové a analytické týmy by měly být informovány o těchto změnách. Například při vyhodnocení kampaní 2025 nelze srovnávat data 1:1 s rokem 2021, kdy většina uživatelů byla trackována – musíte zohlednit, že teď část uživatelů odpadá z měření. Možná si vytvoříte interně nový klíčový ukazatel výkonu (KPI), který bude počítat i s “unseen” uživateli. Zkuste také optimalizovat míru opt-in: nejde o to někoho manipulovat, ale přátelské a srozumitelné znění cookie banneru může zlepšit, že lidé souhlasí, pokud vidí hodnotu. Například zdůrazněte, že díky cookies nabídnete lepší obsah, personalizované slevy apod. – samozřejmě pravdivě a transparentně. Dark patterns (klamavé prvky) však nepoužívejte, jednak jsou nelegální, jednak to podrývá důvěru uživatelů.
  • Právní jistota: Zkontrolujte si také smluvní dokumenty a zásady – aktualizujte zásady cookies na webu, popisy v podmínkách užití a v zásadách ochrany osobních údajů. Přidejte tam informace o nových prvcích (třeba zmínku o modelování konverzí, pokud využíváte, o tom, že využíváte data jen s agregovaným souhlasem přes TCF, atd.). Tyto dokumenty sice většina uživatelů nečte, ale pro úřady a “právně gramotné” návštěvníky jsou důkazem, že to berete vážně.

 

Možné členění obsahu do více článků: Vzhledem k šíři tématu lze uvažovat i o rozdělení do samostatných článků pro různé čtenáře. Například jeden článek by se mohl věnovat čistě legislativě (GDPR, ePrivacy, DSA, DMA) a vysvětlit principy a povinnosti. Další článek by mohl podrobně rozebrat technickou implementaci na webu – krok za krokem, jak nastavit CMP, GTM, jak otestovat Consent Mode v Google Analytics apod. A separé by šlo řešit dopady pro marketingovou strategii (jak pracovat s menším množstvím dat, čím nahradit remarketing). Pro účely SEO a přehlednosti je ale možné (jako zde) poskytnout komplexní přehled s jasnými podsekcemi, aby si každý vyzobral to své.


Přehled změn a jejich dopadů v roce 2025

Pro rychlou orientaci shrnuje následující tabulka nejdůležitější změny v regulacích a podmínkách platforem a co znamenají pro provozovatele webů a online inzerenty:

Oblast / Předpis Co se mění (2024–2025) Dopad na weby a inzerenty
GDPR & ePrivacy (ČR) Pokračuje důraz na opt-in souhlas pro netechnické cookies. ÚOOÚ zdůrazňuje nutnost snadného odmítnutí a plné informovanosti uživatele. (Žádná novelizace GDPR samotného v 2025; čeká se na ePrivacy Regulation.) Nutnost mít správně nastavenou cookie lištu (CMP). Bez souhlasu nelze měřit ani cílit – hrozí pokuty za neoprávněné zpracování. Je třeba plnit i informační povinnost (aktualizované zásady cookies).
DSA (Digital Services Act) Od 17. 2. 2024: Zákaz cílené reklamy na děti (pokud platforma ví, že jde o nezletilého). Zákaz využití citlivých údajů (rasový původ, zdraví, víra, sexualita apod.) pro reklamní cílení. Platformy musí nabídnout možnost vypnout personalizaci a zvýšit transparentnost reklam. Platformy (Facebook, Google aj.) upraví své reklamní systémy – inzerenti mohou zaznamenat omezení některých možností cílení (např. demografické či zájmové okruhy spojené s citlivými daty budou nedostupné). Reklamy na dětské publikum budou pouze kontextové. Weby samy nemusí nic konfigurovat, ale inzerenti by měli dbát na obsah reklam vůči dětem a respektovat nové limity cílení.
DMA (Digital Markets Act) Od 2023/2024: Velké platformy (Google, Meta…) jako gatekeepeři musí získat souhlas uživatele ke kombinaci osobních dat napříč službami pro účely reklamy. “Souhlas nebo platba” modely jsou nepřípustné – uživatel musí mít i bez platby přístup ke službě aspoň s omezenou personalizací. Meta mění model reklam v EU – uživatelé mohou odmítnout personalizaci (pak dostanou méně cílené reklamy). Inzerenti zřejmě uvidí pokles přesnosti cílení na platformách gatekeeperů. Google zatím souhlas ke kombinaci dat řeší v nastavení účtů (uživatel může odmítnout personalizaci napříč službami). Pro weby to znamená poskytnout maximálně svobodnou volbu – nenutit souhlas podmiňující službu.
Google (Ads, Analytics) Od 16. 1. 2024 (EEA+UK) / 31. 7. 2024 (CH):** vyžadován Google-certifikovaný CMP s IAB TCF pro personalizované reklamy. Od 2024: Consent Mode v2 – tagy musí reagovat na souhlas, Google vynucuje dodržování (hrozí omezení remarketingu, měření). GA4 plně respektuje nesouhlas a modeluje chybějící data. Web musí nasadit CMP kompatibilní s TCF a propojit ji s Google tagy. Nutná konfigurace tagů přes GTM nebo gtag, aby čekaly na souhlas (ad_storage, analytics_storage apod.). Kdo zůstane u nevyhovující lišty, riskuje vypnutí personalizovaných reklam Google na svém webu a ztrátu dat o uživatelích. Remarketing na Google se omezí jen na uživatele, kteří souhlasili – ostatní se pokryjí jen anonymním modelováním.
Meta (Facebook/Instagram) Od 2024: Meta přechází na souhlas jako základ pro personalizované reklamy (po rozhodnutí EDPB/DPC). Plán 2024: zavedení méně personalizovaných reklam pro ty, kdo souhlas neudělí. Meta Pixel nelze spustit bez opt-in; za porušení hrozí pokuty (viz Švédsko 2023, €0.7m fine). Inzerenti na FB/IG musí počítat s uživateli bez personalizace – kampaně osloví částečně obecné publikum (nižší výkon). Weby musí Pixel integrovat do CMP (nesmí střílet bez souhlasu). Doporučeno provést audit Pixelu (co odesílá) a vypnout automatický sběr citlivých dat. Custom Audiences a další data kombinovaná z více zdrojů nově vyžadují výslovný souhlas uživatelů (DMA).
Seznam Sklik Od 1. 8. 2024: povinný parametr consent (0/1) u Sklik konverzních a retargetingových kódů. Bez něj kód nebude zpracován. Při hodnotě 0 Sklik nezapočte konverzi do statistik, jen anonymně promodeluje výkon, a nezařadí uživatele do publika. Provozovatel webu musí upravit Sklik kódy – buď pomocí aktualizovaných šablon v GTM, nebo úpravou skriptů na stránce – aby vždy předávaly informaci o souhlasu. Bez této úpravy přestane Sklik měřit konverze a fungovat retargeting na webu. Inzerenti na Skliku musí počítat s poklesem publika (uživatelé bez souhlasu se nepočítají).
Microsoft Ads (Bing UET) Od 5. 5. 2025: povinné předávání souhlasového signálu pro EU/UK/CH návštěvníky. Microsoft zavádí vlastní Consent Mode – UET tag se má chovat podle souhlasu (nebo bez něj nefungovat). Pokud web nepošle signál, Microsoft může blokovat sběr dat. Web s Microsoft UET musí implementovat CMP integraci – obdobně jako u Google. V praxi nastavit UET skript tak, aby četl souhlas (např. MicrosoftAdvertising.useConsent=true a předání consentRequired s hodnotou). Bez toho dojde k výpadku měření konverzí a remarketingu v kampaních Bing/Microsoft Ads. I pro české inzerenty platí – pokud cílíte na EU publikum přes Microsoft, připravte se.

(Legenda: EEA = Evropský hospodářský prostor (EU + Norsko, Island, Lichtenštejnsko); UK = Velká Británie; CH = Švýcarsko.)


Závěrem

Pro běžné provozovatele webů v EU (a zejména v ČR) znamenají výše popsané změny nutnost proaktivního přístupu k řešení cookies a osobních údajů. Není už možné spoléhat na zastaralé “cookie lišty” s jediným tlačítkem “Souhlasím” – regulační požadavky i technická omezení od platforem vyžadují opravdové respektování voleb uživatelů. Dobrou zprávou je, že existuje řada nástrojů a osvědčených postupů, jak toho dosáhnout (moderní CMP, Consent Mode, TCF standardy). Transparentnost a respekt k soukromí už nejsou překážkou, ale stávají se novým standardem, na který si zvykají uživatelé i firmy. Kdo se dokáže rychle přizpůsobit – aktualizuje technologie, poučí marketingový tým a upraví strategie – získá výhodu do budoucna. Ochrana soukromí totiž bude do dalších let pravděpodobně ještě posilovat a firmy, které ji budou mít v DNA, se vyhnou problémům i získají důvěru svých zákazníků.

 

Další zdroje a odkazy:

  • Nařízení EU 2016/679 (GDPR) – základní rámec pro souhlas se zpracováním osobních údajů.
  • Zákon č. 127/2005 Sb., o elektronických komunikacích – česká úprava cookies (po novele 2022).
  • Nařízení EU 2022/2065 (Digital Services Act) – čl. 24 a 28, omezení cílení reklam.
  • Nařízení EU 2022/1925 (Digital Markets Act) – čl. 5(2), povinnost souhlasu pro kombinaci dat.
  • Blog Seznam Sklik (červen 2024): Od srpna bude nutné, aby reklamní kódy v Skliku zahrnovaly parametr consent.
  • Lexology (duben 2025): Microsoft’s New Cookie Consent Requirement Coming May 5, 2025 (B. Schumer) – oznámení změn u Microsoft Ads.
  • CookieInformation.com (duben 2025): Is Consent Mode v2 mandatory? – přehled Google Consent Mode v2.
  • CookieInformation.com (říjen 2023): 8 Million SEK Fine for Meta Pixel Use in the EU – rozbor švédského případu s Meta Pixel.

Potřebujete poradit?

Nejste si i přesto jisti a potřebujete poradit? Neváhejte s kontaktováním.
Přejít na kontakt
Tato stránka je chráněna službou reCAPTCHA a platí Zásady ochrany soukromí a Podmínky služby společnosti Google.

Líbil se Vám tento článek?

Sdílet na Facebook
Sdílet na Twitter
Sdílet na Linkedin
Sdílet na Pinterest
Nejnovější příspěvky
Archivy
Štítky
AI Act (1) backlinking (3) blog (2) CAN-SPAM (1) chrome (1) CMS (2) consent v2 (2) cookies (4) CTR (1) digitální marketing (2) DKIM (1) DMARC (1) doména (3) DSA (2) e-commerce (2) EAA (2) firefox (1) GDPR (2) iab tcf (2) Joomla (2) keyword (1) marketing (2) mobilní zařízení (2) NIS2 (1) novinky (8) obsahový marketing (2) online obchod (2) open source (2) opera (1) optimalizace (3) platformy (2) pluginy (2) SEM (2) SEO (6) SERP (1) Shoptet (2) SPF (1) SSL (2) technické SEO (2) TLD (2) tvorba webu (3) UCPD (1) vyhledávače (1) WordPress (3) zabezpečení (4)

WebKat

Svému odvětví se v oblasti tvorby webových stránek a eshopů věnuji již od roku 2012. S pomocí talentovaných grafiků, zkušených programátorů a dalších obchodních partnerů jsme připraveni poskytnout Vám nejen kvalitní webové stránky a eshopy, ale také individuální řešení v podobě mobilních či desktopových aplikací.

Skvělá spolupráce a ochota vytvořit web dle představ klienta. Jako bonus rychlá zpětná vazba. Můžu jen doporučit!
Tereza Kopecká
Tereza KopeckáStudio Harmony
Akordy jsou písnička - webovky jsou WebKat! Děkujeme za spolupráci.
Alchymie
Alchymiekapela
S WebKat spolupracuji více jak dva roky. Nejvíce oceňuji rychlost řešení problému a proklientský přístup. Zatím velká spokojenost!
Vojtěch Rozum
Vojtěch RozumNo Limit Tour
© 2019 - 2025
Zásady Cookies