Digital Markets Act (DMA) vstoupil v plnou platnost v březnu 2024 a změnil pravidla hry pro největší technologické platformy v Evropě. Pokud váš web využívá Google Analytics, Meta Pixel nebo jiné nástroje od tzv. strážců brány (gatekeepers), DMA se vás přímo dotýká — a to způsobem, jakým tyto platformy nakládají se souhlasem s cookies.

Co je Digital Markets Act?

Digital Markets Act je nařízení EU (Nařízení (EU) 2022/1925) navržené k zajištění spravedlivých a soutěžitelných digitálních trhů. Na rozdíl od GDPR, které se vztahuje na všechny organizace zpracovávající osobní údaje, cílí DMA pouze na největší digitální platformy — tzv. strážce brány (gatekeepers).

Strážci brány jsou společnosti poskytující základní platformové služby (vyhledávače, sociální sítě, operační systémy, obchody s aplikacemi, komunikační aplikace, prohlížeče, virtuální asistenti, reklamní služby), které splňují specifické prahové hodnoty tržního dopadu. Evropská komise v září 2023 označila šest strážců brány:

  • Alphabet (Google Search, Google Maps, Google Play, Chrome, YouTube, Google reklama)
  • Amazon (Amazon Marketplace, Amazon Ads)
  • Apple (iOS, App Store, Safari)
  • ByteDance (TikTok)
  • Meta (Facebook, Instagram, WhatsApp, Facebook Marketplace, Meta reklama)
  • Microsoft (Windows, LinkedIn, Bing, Edge)

Tyto společnosti měly do 7. března 2024 splnit povinnosti vyplývající z DMA — a za jejich neplnění hrozí pokuty až 10 % ročního celosvětového obratu, nebo 20 % v případě opakovaného porušení.

Jak se DMA liší od GDPR

GDPR je horizontální nařízení — vztahuje se na jakoukoli organizaci, která zpracovává osobní údaje rezidentů EU, bez ohledu na velikost. DMA je vertikální, asymetrické nařízení, které ukládá dodatečné povinnosti pouze největším strážcům brány. GDPR si představte jako spodní příčku, které musí dosáhnout všichni, DMA jako další patro, které musí postavit jen ti největší hráči.

Praktické rozdíly z pohledu souhlasu s cookies:

  • GDPR vyžaduje, aby každý web získal svobodný, informovaný a specifický souhlas před nastavením nepotřebných cookies.
  • DMA navíc zakazuje strážcům brány požadovat po uživatelích souhlas s kombinováním dat mezi jejich základními platformovými službami jako podmínku přístupu k těmto službám. Vyžaduje také, aby strážci brány nabídli rovnocenné alternativy tam, kde souhlas není udělen.

Pro většinu malých a středních podniků zůstává GDPR hlavním rámcem compliance. DMA je pro vás relevantní především proto, že formuje způsob, jakým nástroje strážců brány, které využíváte — Google Ads, Meta Pixel a další — nakládají s daty o souhlasu.

Klíčové povinnosti DMA ovlivňující souhlas s cookies

Článek 5(2) DMA je z pohledu souhlasu s cookies nejrelevantnější ustanovení. Zakazuje strážcům brány:

  • Zpracovávat osobní údaje pro účely online reklamy bez platného souhlasu (DMA zde výslovně odkazuje na standardy GDPR)
  • Kombinovat osobní údaje ze základních platformových služeb s daty z jiných služeb — včetně webů třetích stran — bez samostatného, explicitního souhlasu
  • Křížově využívat osobní údaje pro online cílení bez souhlasu, jehož odvolání musí být pro uživatele stejně snadné jako jeho udělení

Klíčové je, že DMA vyžaduje, aby souhlas byl skutečně svobodný. Strážci brány nesmí podmiňovat přístup ke svým základním službám tím, že uživatelé přijmou kombinování dat — to je důvod, proč byl původní model Meta „platit nebo souhlasit" právně zpochybněn.

Kontroverze modelu „platit nebo souhlasit"

V listopadu 2023 Meta zavedla v EU model předplatného: uživatelé si mohli buď platit měsíční poplatek (9,99 € měsíčně na webu) za používání Facebooku a Instagramu bez sledování pro reklamní účely, nebo tyto služby využívat zdarma výměnou za souhlas se zpracováním osobních údajů pro reklamu.

Tento model — označovaný jako „platit nebo souhlasit" (pay or consent) — byl okamžitě kontroverzní. Evropský sbor pro ochranu osobních údajů (EDPB) v dubnu 2024 vydal stanovisko, podle něhož velké platformy nemohou obecně nabízet binární volbu mezi platbou za soukromí a souhlasem se zpracováním dat pro reklamu. Souhlas získaný prostřednictvím takových modelů není „svobodně udělený", protože pro uživatele, kteří nemohou nebo nechtějí platit, neexistuje skutečná volná alternativa.

Evropská komise také zahájila vyšetřování DMA ohledně modelu Meta, které vedlo k tomu, že Meta koncem roku 2024 oznámila změny svého přístupu — včetně zavedení možnosti méně cílené reklamy, která nevyžaduje ani platbu, ani souhlas s rozsáhlým zpracováváním dat.

Poučení pro firmy: i když sami nejste strážcem brány, nástroje, které na svém webu vkládáte od strážců brány (pixy, SDK, reklamní tagy), musí před zpracováním uživatelských dat získat platný souhlas podle GDPR. DMA vymáhání zpřísňuje standardy toho, co „platný souhlas" vlastně znamená.

Praktický dopad na weby využívající nástroje Google a Meta

Pokud váš web používá Google Analytics 4, sledování konverzí Google Ads nebo Meta Pixel, vymáhání DMA se vás přímo dotýká — ne proto, že byste byli strážcem brány, ale proto, že sami strážci brány mění způsob fungování svých nástrojů jako reakci na tlak DMA.

Google Consent Mode v2

Google reagoval na rostoucí regulatorní tlak (jak GDPR, tak DMA) tím, že od března 2024 učinil Google Consent Mode v2 povinným pro všechny weby využívající reklamní a měřicí produkty Google. Consent Mode umožňuje tagům Google fungovat v omezeném režimu v případě, kdy souhlas není udělen, a modelovat data o konverzích místo sledování jednotlivých uživatelů. Weby bez Consent Mode v2 riskují ztrátu remarketingových publik a modelování konverzí v Google Ads.

Meta Pixel a Conversions API

Meta podobně aktualizovala svá doporučení a doporučuje používat Conversions API (CAPI) pro sdílení událostí na straně serveru vedle — nebo místo — browserového Pixelu. Sledování na straně serveru vás však nezbavuje povinnosti získat souhlas: osobní údaje odesílané přes CAPI vyžadují stejný platný souhlas jako browserový Pixel.

Souhlas musí přijít jako první

Podle GDPR i požadavků platforem formovaných DMA je pořadí kroků nezpochybnitelné: žádné sledování před souhlasem. To znamená:

  1. Váš cookie banner musí blokovat všechny nepotřebné sledovací tagy, dokud uživatel aktivně nesouhlasí.
  2. Musíte respektovat odmítnutí — pokud uživatel odmítne, analytické a reklamní tagy se nesmí spustit.
  3. Musíte poskytnout uživatelům snadný mechanismus pro odvolání nebo změnu souhlasu kdykoli.

Časová osa a vymáhání

Klíčová data v časové ose DMA:

  • Listopad 2022 — DMA vstoupilo v platnost
  • Květen 2023 — DMA se stalo použitelným
  • Září 2023 — Šest strážců brány oficiálně označeno Evropskou komisí
  • 7. března 2024 — Lhůta pro splnění povinností strážci brány; povinnosti DMA nabyly plného účinku
  • Březen 2024 a dále — Evropská komise zahájila formální vyšetřování možného neplnění DMA (pravidla Apple pro mobilní prohlížeče, reklamní model Meta, povinnosti interoperability)
  • 2025–2026 — Očekávána první rozhodnutí o vymáhání a možné pokuty; jako strážci brány mohou být označeny další platformy

DMA vymáhá výhradně Evropská komise — na rozdíl od GDPR, kde má každý členský stát EU svůj vlastní dozorový úřad (v České republice je to ÚOOÚ). Tento centralizovaný model vymáhání znamená, že rozhodnutí budou relativně jednotná v celé EU, ale jejich přijetí může být pomalejší než vymáhání GDPR na národní úrovni.

Co by měla vaše firma udělat

I když se na vás DMA přímo nevztahuje, zde je přehled kroků, které byste měli podniknout, abyste zůstali v souladu se směřováním unijní digitální regulace:

  1. Proveďte audit nástrojů třetích stran. Sestavte kompletní seznam všech sledovacích, analytických a reklamních tagů na vašem webu. U každého z nich ověřte, zda dodavatel vyžaduje souhlas a zda ho správně blokujete před jeho udělením.
  2. Implementujte Consent Mode v2. Pokud používáte jakékoli reklamní nebo měřicí produkty Google, implementujte Google Consent Mode v2 okamžitě, pokud jste tak ještě neučinili. Jde nyní o požadavek Google, nejen o regulatorní povinnost.
  3. Zkontrolujte svůj cookie banner. Ujistěte se, že blokuje všechny nepotřebné cookies před udělením souhlasu, nabízí volby srozumitelně bez temných vzorů (dark patterns) a poskytuje stejně snadný způsob odmítnutí nebo odvolání souhlasu.
  4. Udržujte záznamy o souhlasech. GDPR vyžaduje, abyste dokladovali, že souhlas byl získán. Ujistěte se, že vaše platforma pro správu souhlasů (CMP) zaznamenává události souhlasu s časovými razítky, verzí zásad, ke které byl souhlas udělen, a volbami uživatele.
  5. Sledujte regulatorní vývoj. Vymáhání DMA je stále v raném stadiu. Sledujte rozhodnutí Evropské komise o plnění povinností strážci brány — tato rozhodnutí ovlivní nástroje a SDK, které vkládáte na svůj web.

Větší obrázek: souhlas je základem

DMA je ve svém jádru o mocenské asymetrii na digitálních trzích. Jeho praktický dopad — v kombinaci s GDPR a připravovaným nařízením ePrivacy — ale spočívá ve zvýšení laťky pro to, co se považuje za smysluplný souhlas na celém webu. Éra bezmyšlenkovitého klikání na tlačítko „přijmout vše" končí. Regulátoři, platformy a stále více i uživatelé očekávají, že souhlas bude skutečný, granulární a odvolatelný.

Pro firmy to znamená, že solidní a compliantní nastavení souhlasu s cookies není jen právní zaškrtávací políčko — je to infrastruktura. Kvalita vašich analytických dat, efektivita cílení reklamy a vaše postavení u platforem jako Google a Meta závisí na správném získání souhlasu.

Consentio vám pomůže vybudovat nastavení souhlasu s cookies, které skutečně funguje — pro GDPR, pro Consent Mode v2 i pro vyvíjející se prostředí DMA. Náš vizuální editor banneru vám umožní vytvořit compliantní banner bez jediného řádku kódu, zatímco analytika souhlasu vám ukáže, jak na tom vaši návštěvníci jsou. Začněte zdarma a mějte svůj web v souladu s předpisy během několika minut.