Co jsou to Cookies a jak fungují?
GDPRcookiestrackingochrana osobních údajůweb compliancecookie lištaanalyticsdigitální právo

Co jsou to Cookies a jak fungují?

Tým Váš Pověřenec

16. března 2026

Cookies a sledovací technologie byly dlouhou dobu vnímány spíše jako technický detail webu. Dnes jsou ale jednou z nejcitlivějších oblastí ochrany osobních údajů. To, co dříve „procházelo“, už dnes často neobstojí.

Téma se netýká jen e-shopů nebo marketingových agentur. Stejně dopadá na obce, školy, příspěvkové organizace, nemocnice i neziskové subjekty. Jakmile web využívá analytiku, sociální pluginy, vložená videa nebo reklamní nástroje, vstupuje do hry ochrana osobních údajů.

Proč jsou cookies citlivé

Cookies ukládají informace do zařízení uživatele nebo z něj tyto informace čtou. V mnoha případech pracují s IP adresou, identifikátorem zařízení nebo s jedinečným online identifikátorem. To znamená, že může docházet ke zpracování osobních údajů, i když správce nezná konkrétní jméno návštěvníka.

Právní rámec vychází z GDPR a ze zákona o elektronických komunikacích. Klíčové pravidlo je poměrně jasné: pokud nejde o technicky nezbytné cookies, je potřeba předchozí souhlas uživatele. A tento souhlas musí být skutečně svobodný, informovaný a aktivní.

Dohled nad touto oblastí vykonává Úřad pro ochranu osobních údajů.

Souhlas

Zásadní změnou posledních let je důraz na kvalitu souhlasu. Nestačí obecná informace v patičce webu. Nestačí ani formulace typu „Používáním webu souhlasíte“. Souhlas musí být aktivní – uživatel jej musí vědomě udělit před tím, než se začnou načítat analytické nebo marketingové nástroje.

Velkým tématem je rovnováha mezi možností souhlasit a odmítnout. Pokud je tlačítko „Souhlasím“ výrazné a barevné, zatímco odmítnutí je skryté v druhé vrstvě nastavení, může být takový souhlas považován za neplatný. Stejně tak není možné spojit více účelů do jednoho univerzálního souhlasu bez možnosti volby.

Další oblastí je prokazatelnost. Správce musí být schopen doložit, kdy a s čím konkrétně uživatel souhlasil. To znamená technické logování souhlasů a uchovávání příslušných záznamů.

Jak vypadá problém v praxi

Typický příklad z veřejného sektoru: obecní web používá Google Analytics. Nástroj se spouští okamžitě po načtení stránky, ještě před tím, než uživatel cokoli potvrdí. Cookie lišta obsahuje jen jedno tlačítko „Rozumím“ nebo „Souhlasím“. Z pohledu práva je takové řešení problematické, protože analytické cookies nejsou technicky nezbytné a vyžadují předchozí souhlas.

Další častá situace nastává u školních webů, kde je vložené video z YouTube. Už samotné načtení stránky může vést k předání IP adresy třetí straně. Pokud k tomu dojde bez souhlasu uživatele, může jít o porušení pravidel.

V komerční sféře bývá problém ještě výraznější. E-shop využívá reklamní pixel pro remarketing, tedy sledování návštěvníků za účelem zobrazování personalizované reklamy. Pokud se tento pixel aktivuje bez výslovného souhlasu, je právní riziko výrazné. Navíc často dochází k předávání dat mimo Evropskou unii, což vyžaduje další právní posouzení a smluvní zajištění.

Podobně problematické je sledování otevření newsletterů. Mnoho organizací ani netuší, že jejich e-mailový nástroj automaticky sleduje, kdo e-mail otevřel a na co klikl. Pokud o tom uživatel není transparentně informován, může být zpracování nelegitimní.

Přenos dat mimo EU jako další vrstva rizika

Používání globálních nástrojů znamená, že osobní údaje mohou být předávány do třetích zemí. V takovém případě nestačí jen souhlas s cookies. Je nutné řešit také otázku mezinárodního předávání dat, právních záruk a smluvních doložek.

To je oblast, kterou mnoho správců podceňuje. Přitom právě zde vzniká významná část právních rizik.

Proč nestačí „mít cookie lištu“

Správné řešení vyžaduje kombinaci právního posouzení a technického nastavení. Je potřeba vědět, jaké nástroje web skutečně používá, kdy se aktivují a kam data směřují. Teprve poté lze správně nastavit mechanismus souhlasu a aktualizovat dokumentaci.

Reálné důsledky

Rizikem nejsou jen pokuty podle GDPR. Pro veřejné instituce může být zásadní i reputační dopad. Stížnost občana nebo rodiče může vést ke kontrole a následnému mediálnímu zájmu. V komerční sféře může nesprávné nastavení znamenat ztrátu důvěry zákazníků.

Trend je přitom zřejmý: větší důraz na ochranu soukromí, minimalizaci dat a skutečnou kontrolu uživatele nad tím, co se s jeho údaji děje.

Závěr

Každá organizace, která provozuje web, by měla vědět, jaké nástroje používá, na jakém právním základě a kam data směřují. Teprve tehdy lze říci, že ochrana osobních údajů není jen deklarací, ale reálně nastaveným systémem.

Související články

GDPR vs. ChatGPT v organizaci: Jak zkrotit umělou inteligenci a ochránit svá data
GPDRAI
GDPR vs. ChatGPT v organizaci: Jak zkrotit umělou inteligenci a ochránit svá data

Umělá inteligence už dávno není hudbou budoucnosti nebo hračkou pro IT oddělení. Zatímco pro produktivitu je to obrovský skok vpřed, z pohledu bezpečnosti a ochrany dat jde o noční můru. Pokud zaměstnanci používají generativní AI živelně, vaše firma balancuje na tenkém ledě. Stačí jeden neopatrný "prompt" (příkaz) a může dojít k masivnímu úniku osobních údajů nebo cenného obchodního tajemství.

Tým Váš Pověřenec · 1. dubna 2026

Nařízení Cyber Resilience Act (CRA): Nové paradigma kybernetické bezpečnosti pro digitální produkty, legislativní kontext a aplikační praxe
cyber resilience actdigitalni produkty
Nařízení Cyber Resilience Act (CRA): Nové paradigma kybernetické bezpečnosti pro digitální produkty, legislativní kontext a aplikační praxe

V současném hyperkonektivním světě, kde se stírají hranice mezi fyzickou a digitální realitou, představuje bezpečnost technologických produktů jeden z nejkritičtějších pilířů stability moderní společnosti. Cílem tohoto článku je poskytnout analýzu nařízení CRA, detailně rozebrat jeho technické a administrativní požadavky, nabídnout praktické příklady z praxe a formulovat strategická doporučení pro subjekty působící v dodavatelských řetězcích.

Tým Váš Pověřenec · 15. března 2026

Implementace a dopady Nového zákona o kybernetické bezpečnosti (nZKB) k únoru 2026
kybernetická bezpečnostNIS 2
Implementace a dopady Nového zákona o kybernetické bezpečnosti (nZKB) k únoru 2026

Nacházíme se v kritickém bodě transformace české digitální ekonomiky. Uplynulo přesně tři a půl měsíce od chvíle, kdy 1. listopadu 2025 vstoupil v účinnost nový zákon o kybernetické bezpečnosti (nZKB), který do českého právního řádu transponoval evropskou směrnici NIS2. Období, které mnozí analytici nazývali „legislativním zemětřesením“, se přehouplo z fáze teoretických diskusí do tvrdé reality implementační praxe.

Tým Váš Pověřenec · 15. února 2026