Blog/LEGISLATIVA

GDPR a cookies na e-shopu 2026: bez pokut · Behio

Souhlas s cookies, měření bez rizika a na co se dívá ÚOOÚ. Vysvětlujeme, jak na e-shopu řešit analytiku i newslettery legálně a bez pokut.

BRedakce BehioAktualizováno 4. 7. 2026 · 8 min čtení
GDPR a cookies na e-shopu 2026: bez pokut · Behio
RYCHLÁ ODPOVĚĎ

Analytické a marketingové cookies smíte na e-shopu spustit až po souhlasu návštěvníka, technické cookies nutné k provozu souhlas nepotřebují. Souhlas musí být podle GDPR svobodný, konkrétní, informovaný a doložitelný, tedy prokazatelný. Dozor vykonává ÚOOÚ. Elegantní cesta, jak měřit návštěvnost bez cookie rizika, je cookieless analytika, která neukládá osobní údaje a měří i ty, kdo souhlas nedají, takže vám neuteče polovina dat. U newsletterů platí navíc § 7 zákona o některých službách informační společnosti a fakticky se vyžaduje ověřený souhlas.

Srovnávací tabulka

Nejdřív fakta na jednom místě. Data k červenci 2026.

Typ cookiesSouhlasPříklad
Technické / nezbytnénení potřebapřihlášení, obsah košíku
Analytickévyžaduje souhlasměření návštěvnosti
Marketingové / cílenívyžaduje souhlasremarketing, reklamní pixel

Souhlas musí být podle GDPR svobodný, konkrétní, informovaný a doložitelný. Cookieless analytika, která neukládá osobní údaje, se do režimu souhlasu nedostává.

Cookie lišta, kterou nikdo nečte, a přesto rozhoduje

Cookie lišta je asi nejotravnější prvek celého internetu. Návštěvník ji chce odkliknout a jít dál, vy ji tam musíte mít, a přitom právě ona rozhoduje o tom, jestli vůbec smíte měřit návštěvnost. Většina e-shopů ji má nastavenou napůl a ani neví, že tím riskuje.

Základní pravidlo je jednoduché. Dokud návštěvník nedá souhlas, nesmíte spouštět analytické ani marketingové skripty. Technické cookies, které jsou nutné k provozu obchodu, třeba přihlášení nebo obsah košíku, souhlas nepotřebují. Problém je, že spousta webů nasadí Google Analytics nebo reklamní pixel hned při načtení, tedy dřív, než návštěvník cokoli odklikne. A to je přesně to, co dělá z cookie lišty právní past.

Co musí splňovat platný souhlas

GDPR definuje souhlas čtyřmi vlastnostmi a všechny musí platit zároveň. Musí být svobodný, tedy bez nátlaku a bez předvyplněných políček. Konkrétní, zvlášť pro analytiku a zvlášť pro marketing, ne jeden hromadný souhlas se vším. Informovaný, aby člověk věděl, k čemu ho dává. A doložitelný, což znamená, že musíte umět prokázat, kdo, kdy a k čemu souhlas udělil.

Z toho plyne pár praktických věcí. Odmítnout má jít stejně snadno jako souhlasit, tlačítko odmítnout nesmíte schovávat. A předvyplněná zaškrtnutá políčka jsou od začátku neplatná. Kdo tohle podcení, má lištu, která vypadá hezky, ale právně nedrží.

Na co se dívá ÚOOÚ

Dozor nad ochranou osobních údajů u nás vykonává Úřad pro ochranu osobních údajů. Když dojde na kontrolu, jádro je vždycky stejné, umíte souhlas doložit a získali jste ho správně? Tedy před spuštěním sledování, svobodně a odděleně pro jednotlivé účely.

Nechci strašit pokutami, protože reálné riziko u malého e-shopu není v drakonické sankci, ale v tom, že sbíráte data, ke kterým nemáte právní titul. To je slabina, kterou si spousta obchodníků neuvědomuje. Chystá se navíc evropský režim ePrivacy, který pravidla kolem elektronické komunikace a cookies dál zpřísní, takže pořádek v tomhle se vyplatí udělat spíš dřív než později.

Jak měřit bez pokut: cookieless analytika

Tady je řešení, které většina lidí nezná. Klasické Google Analytics vidí jen ty návštěvníky, kteří odkliknou souhlas s cookies, což bývá zhruba padesát až sedmdesát procent. Zbytek vám v datech chybí. Rozhodujete se pak podle vzorku, ne podle celku.

Cookieless analytika jde jinou cestou. Neukládá osobní údaje ani neskládá otisk prohlížeče, pracuje s anonymním identifikátorem, který se pravidelně mění, a IP adresu neukládá. Díky tomu měří všechny návštěvníky, i ty, kteří souhlas nedali, a přitom nespadá pod režim, který vyžaduje cookie souhlas. Výsledek je paradoxně lepší data a menší právní riziko zároveň.

Newslettery a souhlas podle § 7

Cookies nejsou jediné, kde se souhlas řeší. U obchodních sdělení, tedy newsletterů, platí § 7 zákona č. 480/2004 Sb., podle kterého smíte posílat marketing jen s předchozím prokazatelným souhlasem. ÚOOÚ přitom fakticky vyžaduje ověřený souhlas přes takzvaný double opt-in, protože je to prakticky jediný spolehlivý způsob, jak doložit, že souhlas dal majitel adresy.

Výjimka existuje pro vlastní zákazníky. Toho, kdo u vás nakoupil, smíte oslovit s nabídkou obdobného zboží i bez předchozího souhlasu, pokud jste e-mail získali při prodeji a v každém e-mailu je snadné odhlášení. Každé obchodní sdělení musí být zřetelně označené, mít identifikaci odesílatele a funkční odhlášení.

Jak to řeší Behio

Behio bere consent vážně a řeší ho na dvou úrovních. Šablona obchodu má cookie consent a vlastní skripty, tedy Google Analytics, GTM nebo reklamní pixely, spouští až po souhlasu, takže je nenačtete nedopatřením před odkliknutím lišty.

Druhá úroveň je vlastní analytika. Behio Analytics je cookieless po vzoru nástrojů jako Plausible, pracuje s denně rotovaným anonymním identifikátorem a IP adresu neukládá. Měří tak všechny návštěvníky bez závislosti na cookie souhlasu a tržby počítá přímo platforma, takže jsou přesná, ne odhad ze vzorku. Podle mě je tohle nejčistší způsob, jak mít data i klid, měřit tak, aby vůbec nevznikala otázka, jestli na to máte souhlas. Není to náhrada za právní konzultaci, ale odstraňuje to největší každodenní tření.

Verdikt

Cookies na e-shopu nejsou o tom mít hezkou lištu, ale o tom nespouštět analytiku a marketing dřív, než návštěvník dá svobodný, konkrétní, informovaný a doložitelný souhlas. Dozoruje to ÚOOÚ a reálné riziko malého e-shopu není ani tak pokuta jako sbírání dat bez právního titulu. Nejčistší cesta ven je cookieless analytika, která měří všechny návštěvníky bez cookie souhlasu a neukládá osobní údaje, takže dostanete lepší data i menší riziko. Behio to má nativně, consent-gated skripty a vlastní cookieless měření. Právní kontrolu to nenahradí, ale odstraní to největší každodenní tření.

Časté dotazy

Musím mít souhlas s cookies, i když jen měřím návštěvnost?

Pro analytické cookies ano. Technické cookies nutné k provozu obchodu souhlas nepotřebují, ale analytiku a marketing smíte spustit až po souhlasu návštěvníka. Cesta okolo je cookieless analytika, která neukládá osobní údaje a do režimu cookie souhlasu nespadá.

Jaké podmínky musí splňovat platný souhlas s cookies?

Podle GDPR musí být svobodný (bez nátlaku a předvyplněných políček), konkrétní (zvlášť pro analytiku a marketing), informovaný a doložitelný, tedy prokazatelný. Odmítnout má jít stejně snadno jako souhlasit a zaškrtnutá políčka předem jsou neplatná.

Co kontroluje ÚOOÚ u cookies?

Hlavně to, zda umíte souhlas doložit a zda jste ho získali správně, tedy před spuštěním sledování, svobodně a odděleně pro jednotlivé účely. Riziko malého e-shopu není ani tak vysoká pokuta jako sbírání dat, ke kterým nemáte právní titul.

Proč mi Google Analytics ukazuje míň návštěvníků, než mám?

Protože klasické Google Analytics vidí jen ty, kdo odkliknou souhlas s cookies, což bývá zhruba padesát až sedmdesát procent. Zbytek v datech chybí. Cookieless analytika měří i ty, kteří souhlas nedají, takže pracujete s celkem, ne se vzorkem.

Potřebuju double opt-in na newslettery?

Fakticky ano. U obchodních sdělení platí § 7 zákona č. 480/2004 Sb. a ÚOOÚ vyžaduje prokazatelný souhlas, k čemuž je double opt-in prakticky jediný spolehlivý způsob doložení. Výjimkou jsou vlastní zákazníci s nabídkou obdobného zboží a snadným odhlášením v každém e-mailu.

Postavte si e-shop, který vás nepřekvapí na faktuře.

Sklad, fakturace, B2B, feedy i AI parťák nativně v jedné ceně od 300 Kč měsíčně. Vyzkoušejte Behio zdarma na 14 dní, bez karty.