Analytické a marketingové cookies smíte na e-shopu spustit až po souhlasu návštěvníka, technické cookies nutné k provozu souhlas nepotřebují. Souhlas musí být podle GDPR svobodný, konkrétní, informovaný a doložitelný, tedy prokazatelný. Dozor vykonává ÚOOÚ. Elegantní cesta, jak měřit návštěvnost bez cookie rizika, je cookieless analytika, která neukládá osobní údaje a měří i ty, kdo souhlas nedají, takže vám neuteče polovina dat. U newsletterů platí navíc § 7 zákona o některých službách informační společnosti a fakticky se vyžaduje ověřený souhlas.
Srovnávací tabulka
Nejdřív fakta na jednom místě. Data k červenci 2026.
| Typ cookies | Souhlas | Příklad |
|---|---|---|
| Technické / nezbytné | není potřeba | přihlášení, obsah košíku |
| Analytické | vyžaduje souhlas | měření návštěvnosti |
| Marketingové / cílení | vyžaduje souhlas | remarketing, reklamní pixel |
Souhlas musí být podle GDPR svobodný, konkrétní, informovaný a doložitelný. Cookieless analytika, která neukládá osobní údaje, se do režimu souhlasu nedostává.
Cookie lišta, kterou nikdo nečte, a přesto rozhoduje
Cookie lišta je asi nejotravnější prvek celého internetu. Návštěvník ji chce odkliknout a jít dál, vy ji tam musíte mít, a přitom právě ona rozhoduje o tom, jestli vůbec smíte měřit návštěvnost. Většina e-shopů ji má nastavenou napůl a ani neví, že tím riskuje.
Základní pravidlo je jednoduché. Dokud návštěvník nedá souhlas, nesmíte spouštět analytické ani marketingové skripty. Technické cookies, které jsou nutné k provozu obchodu, třeba přihlášení nebo obsah košíku, souhlas nepotřebují. Problém je, že spousta webů nasadí Google Analytics nebo reklamní pixel hned při načtení, tedy dřív, než návštěvník cokoli odklikne. A to je přesně to, co dělá z cookie lišty právní past.
Co musí splňovat platný souhlas
GDPR definuje souhlas čtyřmi vlastnostmi a všechny musí platit zároveň. Musí být svobodný, tedy bez nátlaku a bez předvyplněných políček. Konkrétní, zvlášť pro analytiku a zvlášť pro marketing, ne jeden hromadný souhlas se vším. Informovaný, aby člověk věděl, k čemu ho dává. A doložitelný, což znamená, že musíte umět prokázat, kdo, kdy a k čemu souhlas udělil.
Z toho plyne pár praktických věcí. Odmítnout má jít stejně snadno jako souhlasit, tlačítko odmítnout nesmíte schovávat. A předvyplněná zaškrtnutá políčka jsou od začátku neplatná. Kdo tohle podcení, má lištu, která vypadá hezky, ale právně nedrží.
Na co se dívá ÚOOÚ
Dozor nad ochranou osobních údajů u nás vykonává Úřad pro ochranu osobních údajů. Když dojde na kontrolu, jádro je vždycky stejné, umíte souhlas doložit a získali jste ho správně? Tedy před spuštěním sledování, svobodně a odděleně pro jednotlivé účely.
Nechci strašit pokutami, protože reálné riziko u malého e-shopu není v drakonické sankci, ale v tom, že sbíráte data, ke kterým nemáte právní titul. To je slabina, kterou si spousta obchodníků neuvědomuje. Chystá se navíc evropský režim ePrivacy, který pravidla kolem elektronické komunikace a cookies dál zpřísní, takže pořádek v tomhle se vyplatí udělat spíš dřív než později.
Jak měřit bez pokut: cookieless analytika
Tady je řešení, které většina lidí nezná. Klasické Google Analytics vidí jen ty návštěvníky, kteří odkliknou souhlas s cookies, což bývá zhruba padesát až sedmdesát procent. Zbytek vám v datech chybí. Rozhodujete se pak podle vzorku, ne podle celku.
Cookieless analytika jde jinou cestou. Neukládá osobní údaje ani neskládá otisk prohlížeče, pracuje s anonymním identifikátorem, který se pravidelně mění, a IP adresu neukládá. Díky tomu měří všechny návštěvníky, i ty, kteří souhlas nedali, a přitom nespadá pod režim, který vyžaduje cookie souhlas. Výsledek je paradoxně lepší data a menší právní riziko zároveň.
Newslettery a souhlas podle § 7
Cookies nejsou jediné, kde se souhlas řeší. U obchodních sdělení, tedy newsletterů, platí § 7 zákona č. 480/2004 Sb., podle kterého smíte posílat marketing jen s předchozím prokazatelným souhlasem. ÚOOÚ přitom fakticky vyžaduje ověřený souhlas přes takzvaný double opt-in, protože je to prakticky jediný spolehlivý způsob, jak doložit, že souhlas dal majitel adresy.
Výjimka existuje pro vlastní zákazníky. Toho, kdo u vás nakoupil, smíte oslovit s nabídkou obdobného zboží i bez předchozího souhlasu, pokud jste e-mail získali při prodeji a v každém e-mailu je snadné odhlášení. Každé obchodní sdělení musí být zřetelně označené, mít identifikaci odesílatele a funkční odhlášení.
Jak to řeší Behio
Behio bere consent vážně a řeší ho na dvou úrovních. Šablona obchodu má cookie consent a vlastní skripty, tedy Google Analytics, GTM nebo reklamní pixely, spouští až po souhlasu, takže je nenačtete nedopatřením před odkliknutím lišty.
Druhá úroveň je vlastní analytika. Behio Analytics je cookieless po vzoru nástrojů jako Plausible, pracuje s denně rotovaným anonymním identifikátorem a IP adresu neukládá. Měří tak všechny návštěvníky bez závislosti na cookie souhlasu a tržby počítá přímo platforma, takže jsou přesná, ne odhad ze vzorku. Podle mě je tohle nejčistší způsob, jak mít data i klid, měřit tak, aby vůbec nevznikala otázka, jestli na to máte souhlas. Není to náhrada za právní konzultaci, ale odstraňuje to největší každodenní tření.
Verdikt
Cookies na e-shopu nejsou o tom mít hezkou lištu, ale o tom nespouštět analytiku a marketing dřív, než návštěvník dá svobodný, konkrétní, informovaný a doložitelný souhlas. Dozoruje to ÚOOÚ a reálné riziko malého e-shopu není ani tak pokuta jako sbírání dat bez právního titulu. Nejčistší cesta ven je cookieless analytika, která měří všechny návštěvníky bez cookie souhlasu a neukládá osobní údaje, takže dostanete lepší data i menší riziko. Behio to má nativně, consent-gated skripty a vlastní cookieless měření. Právní kontrolu to nenahradí, ale odstraní to největší každodenní tření.
Časté dotazy
Pro analytické cookies ano. Technické cookies nutné k provozu obchodu souhlas nepotřebují, ale analytiku a marketing smíte spustit až po souhlasu návštěvníka. Cesta okolo je cookieless analytika, která neukládá osobní údaje a do režimu cookie souhlasu nespadá.
Podle GDPR musí být svobodný (bez nátlaku a předvyplněných políček), konkrétní (zvlášť pro analytiku a marketing), informovaný a doložitelný, tedy prokazatelný. Odmítnout má jít stejně snadno jako souhlasit a zaškrtnutá políčka předem jsou neplatná.
Hlavně to, zda umíte souhlas doložit a zda jste ho získali správně, tedy před spuštěním sledování, svobodně a odděleně pro jednotlivé účely. Riziko malého e-shopu není ani tak vysoká pokuta jako sbírání dat, ke kterým nemáte právní titul.
Protože klasické Google Analytics vidí jen ty, kdo odkliknou souhlas s cookies, což bývá zhruba padesát až sedmdesát procent. Zbytek v datech chybí. Cookieless analytika měří i ty, kteří souhlas nedají, takže pracujete s celkem, ne se vzorkem.
Fakticky ano. U obchodních sdělení platí § 7 zákona č. 480/2004 Sb. a ÚOOÚ vyžaduje prokazatelný souhlas, k čemuž je double opt-in prakticky jediný spolehlivý způsob doložení. Výjimkou jsou vlastní zákazníci s nabídkou obdobného zboží a snadným odhlášením v každém e-mailu.
Postavte si e-shop, který vás nepřekvapí na faktuře.
Sklad, fakturace, B2B, feedy i AI parťák nativně v jedné ceně od 300 Kč měsíčně. Vyzkoušejte Behio zdarma na 14 dní, bez karty.



