GDPR není jediná legislativa týkající se cookies. Vedle něj existuje ePrivacy směrnice a na obzoru je ePrivacy nařízení (ePrivacy Regulation), které má potenciál zásadně změnit pravidla hry pro cookies, elektronickou komunikaci a online marketing. Přestože se jeho přijetí opakovaně odkládá, je jen otázkou času, kdy vstoupí v platnost. V tomto článku si podrobně rozebereme, co ePrivacy nařízení přinese, jak se liší od GDPR, co to znamená pro české weby a jak se na změny připravit.

Co je ePrivacy a jaký je jeho vztah ke GDPR?

Abychom pochopili ePrivacy nařízení, musíme nejdříve pochopit vztah mezi dvěma klíčovými legislativními nástroji EU v oblasti soukromí.

GDPR (General Data Protection Regulation) je obecné nařízení, které reguluje veškeré zpracování osobních údajů – od HR systémů přes CRM až po webovou analytiku. GDPR je „lex generalis" – obecný zákon.

ePrivacy je „lex specialis" – speciální zákon, který se zaměřuje konkrétně na elektronickou komunikaci. Tam, kde se GDPR a ePrivacy překrývají, má ePrivacy přednost. V praxi to znamená, že pro cookies, e-mailový marketing a sledování online chování platí přísnější pravidla ePrivacy, zatímco GDPR slouží jako záchranná síť pro oblasti, které ePrivacy neupravuje.

Aktuálně platí ePrivacy směrnice z roku 2002 (novelizovaná v roce 2009), kterou každý členský stát EU implementoval do svého národního práva po svém. V České republice je transponována především zákonem č. 127/2005 Sb. o elektronických komunikacích a zákonem č. 480/2004 Sb. o některých službách informační společnosti.

Proč potřebujeme nové ePrivacy nařízení?

Současná ePrivacy směrnice vznikla v době, kdy internet vypadal úplně jinak. V roce 2002 neexistovaly chytré telefony, sociální sítě ani programatická reklama. Směrnice má několik zásadních nedostatků:

  • Nejednotná implementace: Každý stát EU si směrnici přizpůsobil jinak. Ve Francii jsou pravidla pro cookies přísnější než v Rumunsku, což vytváří právní nejistotu pro firmy působící ve více zemích.
  • Zastaralá terminologie: Směrnice hovoří o „cookies", ale nezahrnuje moderní technologie jako local storage, fingerprinting, web beacons nebo pixel tracking.
  • Slabé vymáhání: Na rozdíl od GDPR nemá ePrivacy směrnice jednotný systém pokut. Sankce se liší stát od státu a jsou často nedostatečné.
  • Nezahrnuje OTT služby: WhatsApp, Messenger, Signal a další „over-the-top" komunikační služby nejsou současnou směrnicí pokryty, přestože nahradily tradiční SMS a telefonáty.

Historie vyjednávání – proč to trvá tak dlouho?

Evropská komise předložila návrh ePrivacy nařízení v lednu 2017 s cílem, aby vstoupilo v platnost společně s GDPR v květnu 2018. Od té doby uplynulo přes osm let a nařízení stále není přijato. Co se stalo?

2017: Komise publikuje návrh. Europarlament relativně rychle přijímá svou pozici s přísnějšími pravidly.

2018–2019: Rada EU (členské státy) se nemůže shodnout. Hlavní spory se vedou o rozsah souhlasu s cookies, výjimky pro legitimní zájem a pravidla pro „cookie walls".

2020–2021: Portugalské a slovinské předsednictví předkládají kompromisní návrhy. Reklamní průmysl intenzivně lobbuje za zmírnění pravidel. Vydavatelé médií varují před ohrožením financování žurnalistiky.

2022–2024: Vyjednávání pokračují s minimálním pokrokem. Některé členské státy zpochybňují potřebu nového nařízení s argumentem, že GDPR je dostatečné.

2025–2026: Nová Evropská komise pod vedením Ursuly von der Leyen II oživuje jednání. Realistický odhad přijetí je rok 2027 s účinností v roce 2029.

ePrivacy nařízení je v legislativním procesu od roku 2017 – nejdelší vyjednávání v historii EU v oblasti digitální legislativy. Přesto je jeho přijetí jen otázkou času.

Co ePrivacy nařízení změní pro cookies?

Návrh nařízení přináší několik zásadních změn, které ovlivní každého provozovatele webu.

Nastavení preferencí v prohlížeči

Jedna z nejdiskutovanějších novinek. ePrivacy nařízení počítá s tím, že uživatel bude moci vyjádřit své preference ohledně cookies přímo v nastavení prohlížeče. Prohlížeč by pak automaticky komunikoval tyto preference každému webu. V praxi by to mohlo znamenat konec cookie bannerů, jak je známe – místo toho by uživatel nastavil preference jednou v prohlížeči a weby by je automaticky respektovaly.

Technicky se tomuto konceptu říká „ADPC" (Advanced Data Protection Control) a organizace noyb Maxe Schremse již vyvinula prototyp. Otázkou zůstává, zda prohlížeče tento mechanismus skutečně implementují – Google Chrome má zjevný střet zájmů, protože jeho obchodní model závisí na reklamních cookies.

Rozšíření definice „cookies"

Nařízení nehovoří jen o cookies, ale o jakémkoliv „ukládání informací nebo přístupu k informacím v koncovém zařízení". To zahrnuje:

  • Klasické HTTP cookies
  • Local storage a session storage
  • IndexedDB
  • Fingerprinting (kombinace parametrů prohlížeče)
  • Pixel tracking a web beacons
  • ETags a další caching mechanismy zneužívané ke sledování

Cookie walls – podmíněný přístup k obsahu

Jedním z nejvíce sporných bodů je otázka „cookie walls" – tedy praxe, kdy web odmítne zobrazit obsah, pokud uživatel nesouhlasí s cookies. Různé verze návrhu přistupují k této otázce odlišně.

Aktuální kompromisní návrh počítá s tím, že cookie walls budou přípustné za určitých podmínek: web musí nabídnout alternativní přístup (například placené předplatné bez cookies) a nesmí jít o web s dominantním postavením na trhu.

Toto je důležité zejména pro české zpravodajské servery jako iDNES.cz, Novinky.cz nebo Seznam Zprávy, které experimentují s modelem „pay or consent".

Výjimky pro analytické cookies

Návrh počítá s možnou výjimkou ze souhlasu pro analytické cookies, pokud splňují určité podmínky:

  • Jedná se o first-party analytiku (ne cookies třetích stran)
  • Data se nepředávají třetím stranám
  • Slouží pouze k měření návštěvnosti a výkonu webu
  • Mají omezenou dobu platnosti

Pokud by tato výjimka prošla, znamenalo by to, že nástroje jako Matomo v self-hosted režimu by mohly fungovat bez cookie banneru. Google Analytics by však výjimku nesplnily kvůli přenosu dat do USA a sdílení dat s Googlem.

Přímé pokuty jako u GDPR

Nařízení zavádí systém pokut srovnatelný s GDPR – až 10 milionů EUR nebo 2 % obratu za méně závažná porušení, až 20 milionů EUR nebo 4 % obratu za závažná. Na rozdíl od současné směrnice, kde se pokuty liší stát od státu, by nařízení zavedlo jednotný rámec v celé EU.

Dopad na elektronickou komunikaci

ePrivacy nařízení se netýká jen cookies. Přináší zásadní změny i v oblasti elektronické komunikace.

OTT služby pod regulací

WhatsApp, Messenger, Telegram, Signal a další „over-the-top" komunikační služby budou nově podléhat stejným pravidlům jako tradiční telekomunikační operátoři. To zahrnuje důvěrnost komunikace, pravidla pro metadata a ochranu před spamem.

Metadata

Nařízení zpřísňuje pravidla pro zpracování metadat – tedy informací o tom, kdo, kdy, odkud a jak dlouho komunikoval. Metadata mohou být stejně citlivá jako obsah komunikace (z metadat lze zjistit, že někdo pravidelně volá na linku krizové pomoci, aniž byste znali obsah hovoru).

Nevyžádaný marketing

ePrivacy zpřísní pravidla pro nevyžádaná obchodní sdělení. V ČR je tato oblast upravena zákonem č. 480/2004 Sb., ale nové nařízení přinese jednotná pravidla pro celou EU včetně přísnějších podmínek pro „soft opt-in" (marketingové e-maily stávajícím zákazníkům).

Dopad na český trh

Pro české firmy a weby bude ePrivacy nařízení znamenat několik konkrétních změn.

E-shopy: Budou muset přehodnotit své cookie strategie. Remarketing přes Google Ads a Facebook bude vyžadovat jednoznačný souhlas i za nových pravidel – ale technické požadavky na jeho získání se mohou zpřísnit.

Média a vydavatelé: České zpravodajské servery, které závisí na reklamních příjmech, budou muset najít rovnováhu mezi cookie consent, cookie walls a předplatným. Model „pay or consent", který začal testovat například iDNES.cz, by mohl získat jasnější právní rámec.

Telekomunikační operátoři: O2, T-Mobile a Vodafone budou čelit přísnějším pravidlům pro zpracování metadat a komunikačních dat.

Marketingové agentury: E-mailový marketing bude podléhat přísnějším pravidlům. Soft opt-in pro stávající zákazníky zůstane, ale podmínky se zpřísní.

ÚOOÚ (Úřad pro ochranu osobních údajů) bude pravděpodobně pověřen dohledem nad dodržováním nového nařízení, podobně jako u GDPR. To může znamenat navýšení jeho kapacit a aktivnější přístup ke kontrolám.

Jak se připravit na ePrivacy nařízení?

I přesto, že finální podoba nařízení ještě není známa, existují kroky, které můžete podniknout již dnes.

  1. Dodržujte současná pravidla GDPR a ePrivacy směrnice – nové nařízení bude stavět na stávajících principech. Pokud je dodržujete nyní, přechod bude snazší.
  2. Auditujte své cookies a trackery – zjistěte, jaké technologie na webu používáte, které z nich vyžadují souhlas a které by mohly spadat pod nové výjimky.
  3. Zvažte privacy-first alternativy – cookieless analytika, first-party data strategie a kontextová reklama budou v novém regulačním prostředí výhodnější.
  4. Používejte flexibilní cookie management – vaše cookie lišta by měla být snadno aktualizovatelná, aby se přizpůsobila novým požadavkům.
  5. Sledujte vývoj legislativy – přihlaste se k odběru novinek od ÚOOÚ, EDPB nebo specializovaných právních portálů.
  6. Připravte si „pay or consent" strategii – pokud jste mediální nebo obsahový web, zvažte, zda model placeného přístupu bez cookies dává smysl pro váš byznys.

Co říkají experti?

Názory na ePrivacy nařízení se liší podle toho, koho se zeptáte.

Ochránci soukromí (noyb, EFF, Iuridicum Remedium) volají po co nejpřísnějších pravidlech a kritizují zdlouhavé vyjednávání, které umožňuje reklamnímu průmyslu pokračovat v masovém sledování uživatelů.

Reklamní průmysl (IAB Europe, Digital Advertising Alliance) varuje před negativním dopadem na financování volně dostupného obsahu a žádá široké výjimky pro legitimní zájem.

Vydavatelé médií (ENPA, News Media Europe) požadují jasná pravidla pro cookie walls a ochranu svých obchodních modelů.

Regulátoři (EDPB, CNIL, ÚOOÚ) obecně podporují přísnější pravidla, ale uznávají potřebu praktických výjimek pro funkční cookies a analytiku.

Časový výhled

Na základě aktuálního stavu vyjednávání a politické situace v EU lze očekávat následující harmonogram:

  • 2026–2027: Dosažení politické dohody mezi Radou EU a Europarlamentem
  • 2027–2028: Formální přijetí a publikace v Úředním věstníku EU
  • 2029: Vstup v platnost (24 měsíců po publikaci, obdobně jako u GDPR)

Je však třeba zdůraznit, že tyto odhady se mohou změnit. Vyjednávání se již několikrát zastavila a znovu obnovila. Pokud by se politická konstelace v EU změnila, přijetí se může dále odložit.

S Consentio budete vždy v souladu s aktuální legislativou – ať už jde o GDPR, ePrivacy směrnici nebo budoucí ePrivacy nařízení. Naše platforma se automaticky přizpůsobuje legislativním změnám, takže se nemusíte starat o technické detaily. Aktualizace řešíme za vás.