Měření návštěvnosti bez souhlasu: podklad pro právní posouzení

Pro: advokáta klienta Připravil: dodavatel (technická strana); podklad není právní radou, posouzení náleží advokátovi Datum: 17. 7. 2026 Verze: 2.1 (doplněna část 2.1: zamýšlené technické provedení k odsouhlasení; prameny doplněny o odkazy)


1. Metoda

Podnětem k podkladu byla diskuse o možnostech měření návštěvnosti bez souhlasové lišty. Posouzení vychází především z primárních pramenů, nastudovaných pro tento účel: úřední české i anglické znění směrnice 2002/58/ES, platné znění zákona č. 127/2005 Sb., pokyny EDPB 2/2023 (v2.0), publikované materiály ÚOOÚ a judikatura SDEU. Sekundární prameny (komentáře, odborné diskuse) jsou v textu výslovně označeny.

Tam, kde se podklad týká konkrétního nástroje (Umami; části 1.2, 3 a 4), je posuzováno jeho skutečné chování, zjištěné auditem běžící instalace (verze 3.1.0): kód měřicího skriptu, serverový kód, obsah databáze. Marketingová tvrzení výrobce nebyla převzata.

1.1 Rozhodné právo

Čl. 5 odst. 3 směrnice 2002/58/ES (konsolidované znění 02002L0058-20091219, úřední překlad):

„Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.

Ustanovení zná souhlas a dvě výjimky. Oprávněný zájem jako právní základ zde neexistuje; ePrivacy je v tomto bodě přísnější než GDPR.

České provedení, § 89 odst. 3 zákona č. 127/2005 Sb.:

Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“

Fakta k textu: povinnost dopadá na každého, nejen na poskytovatele komunikačních služeb; souhlas musí být předchozí a prokazatelný (opt-in režim od 1. 1. 2022); směrnice užívá „nezbytně nutné“, zákon pouze „nezbytné“.

EDPB, Guidelines 2/2023 (v2.0, přijaté 16. 10. 2024) rozšiřují dosah čl. 5 odst. 3 za cookies na obdobné technologie (otisk zařízení, pixely, jedinečné identifikátory, sledování podle IP):

odst. 32: „Whenever an entity takes steps towards gaining access to information stored in the terminal equipment, Article 5(3) ePD would apply.“

odst. 33: „Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted information. Such access clearly falls within the scope of Article 5(3) ePD.

odst. 56: „…the applicability of this article does not systematically mean that consent needs to be collected.“

Publikovaný postoj ÚOOÚ (ověřeno na uoou.gov.cz, 17. 7. 2026):

„…správci webových stránek mohou shromažďovat osobní údaje návštěvníků těchto stránek pouze na základě jejich prokazatelného souhlasu.“

„Princip opt-in se však netýká technických cookies, které jsou nezbytné pro přenos zpráv a poskytování služeb.“

„Příkladem oprávněného zájmu je zpracování osobních údajů pro účely analytiky první strany (prostřednictvím cookies předmětných webových stránek).“ (Q&A; s dodatkem, že ukládání a čtení v koncovém zařízení i tak vyžaduje souhlas podle zákona o elektronických komunikacích.)

Publikované materiály ÚOOÚ neobsahují žádnou výjimku pro měření návštěvnosti. Podmíněnou výjimku pro nástroje omezené na měření audience vybudovala francouzská CNIL; do českého prostředí ji přenáší komentářová praxe (eLegal), tedy sekundární pramen. CNIL české subjekty nezavazuje.

Judikatura a stav legislativy:

1.2 Technický audit Umami 3.1.0

Zjištění Zdroj Význam
Skript čte screen.width, screen.height, navigator.language kód script.js přístup k údajům v koncovém zařízení; spouští čl. 5 odst. 3
Neukládá cookies; fetch-credentials výchozí omit; odpověď neposílá Set-Cookie kód skriptu, hlavičky odpovědi pro aplikaci čl. 5 odst. 3 nerozhodné (Planet49, EDPB odst. 33)
localStorage pouze čte (příznak umami.disabled) kód skriptu čtení je rovněž přístup
Identifikátor relace = uuid(websiteId, IP, user-agent, sůl) serverový kód identifikátor odvozený z otisku zařízení
Výchozí rotace soli je měsíc (process.env.SALT_ROTATION \|\| "month") serverový kód identifikátor stabilní po celý kalendářní měsíc
Žádný sloupec s IP adresou nenalezen inspekcí schématu (vzory „ip“, „addr“, všechny tabulky) katalog databáze IP se podle dostupné inspekce nedochovává
identify() v auditované instalaci nezavoláno dotaz do databáze žádné propojení s totožností
U relace se ukládá prohlížeč, OS, zařízení, rozlišení, jazyk, země, region, město schéma tabulky session profil vázaný na identifikátor

Z uvedeného kódu plyne: ve výchozím nastavení se týž návštěvník (stejná IP a prohlížeč) po celý kalendářní měsíc mapuje na tentýž identifikátor relace. Nastavení rotace soli na jeden den omezuje rozpoznání návratu na rámec téhož dne; napříč dny je pak opakovaná identifikace vyloučena konstrukcí.

Tvrzení „nepoužíváme cookies, tedy není potřeba souhlas“ (výrobce je dosud uvádí) je s výše uvedenými prameny neslučitelné: rozhodná není přítomnost cookie, ale akt přístupu do zařízení, a hashování aplikaci čl. 5 odst. 3 nevypíná.


2. ANO: agregované čítače na serveru, bez identifikátoru

Z předchozí části plyne, že marketingová tvrzení výrobců nástrojů třídy Umami neodpovídají právnímu stavu: tyto nástroje do působnosti § 89 odst. 3 spadají a jejich provoz bez souhlasu stojí na výjimce, kterou český regulátor nepublikoval. Z toho však neplyne, že bez souhlasu nelze měřit vůbec. Rozhodným aktem je sáhnutí do koncového zařízení; manévrovací prostor tedy existuje tam, kde měření žádný takový akt neobsahuje. To splňuje následující konstrukce.

Server zvyšuje čítače z požadavků, které mu uživatel sám poslal: kolikrát byla vydána která stránka, z jakého zdroje (hlavička Referer), kolik nastalo konverzí (vlastní záznamy objednávek). Výstupem je číslo, nikoli záznam o osobě.

Právní zařazení:

Podmínky, na kterých konstrukce stojí:

  1. Počítá se na serveru z příchozího požadavku. Žádný měřicí JavaScript, beacon ani pixel; skript přikazující prohlížeči odeslat „stránka X zobrazena“ je instrukcí podle odst. 33 pokynů EDPB a konstrukci ruší.
  2. Do čítačů nevstupuje nic identifikujícího: žádná IP, žádný user-agent, žádný otisk. Jen stránka, zdroj, hrubý čas (hodina, den), počet. Buňka se ukládá a stává dotazovatelnou až po uzavření svého časového okna a při počtu alespoň k; do té doby je rozpracovaný mezisoučet pouze přechodným stavem, který nelze číst. Buňka, která po uzavření okna prahu k nedosáhne, se slučuje do hrubšího okna, nebo se zahazuje. Tím neexistuje okamžik, kdy by byla pozorovatelná „buňka o jednom člověku“ (např. na začátku hodiny). Rozpracovaný mezisoučet přitom neobsahuje žádný identifikátor a je podmnožinou informací, které již po dobu retenční lhůty oprávněně obsahují provozní logy; nevzniká jím tedy žádné nové držení údajů. Vynucení prahu i oken přímo v kódu agregace odpovídá požadavku záměrné a standardní ochrany osobních údajů podle čl. 25 GDPR (ochrana zabudovaná do návrhu, nikoli závislá na kázni obsluhy).
  3. Serverové logy obsahují IP adresy, a jsou tedy zpracováním osobních údajů (Breyer); právním základem je oprávněný zájem na provozu a bezpečnosti (včetně diagnostiky incidentů), náleží k tomu retenční lhůta logů a zmínka v zásadách zpracování. Agregované čítače z nich odvozené osobním údajem nejsou. Anonymita odvozené vrstvy platí jen proto, že surová vrstva je poctivě ohraničená: má právní základ, účel a retenční lhůtu, po níž skutečně zaniká. Samotné „zobrazujeme jen souhrny“ právní kategorií není; rozhodné je, co se drží a zpracovává, nikoli co se ukazuje.
  4. Logy se nedolují po osobách. Rekonstrukce pohybu konkrétního člověka z logů je sledováním podle části 3.3 pokynů EDPB a u nízkých objemů i faktickým spojením s objednávkou.

Co tato varianta dává a nedává:

Dává Nedává
zobrazení podle stránek unikátní návštěvníky
rozložení zdrojů návštěv míru okamžitého opuštění
počty konverzí a poměry (z 1 000 zobrazení domovské stránky 20 objednávek, tj. 2 %) délku relace
časové řady a trendy cesty uživatele webem

Pojem „unikátní návštěvník“ vyžaduje identifikátor, proto v této variantě neexistuje. Zdůvodňování čítačů provozními potřebami serverů není zapotřebí: kde nevzniká osobní údaj ani přístup do zařízení, žádná výjimka se nedovolává a účel se nemusí konstruovat.

Riziko: nízké. Konstrukce se neopírá o žádnou výjimku ani sporný výklad.

2.1 Zamýšlené technické provedení (k odsouhlasení)

Prodejní platforma e-shopu (Upgates) je hostovaná služba; provozovatel nemá přístup k serverovým logům platformy, čítače proto nelze umístit přímo na její server. V úvahu přicházejí dvě provedení; ani jedno nepřidává na stránky žádný skript.

Provedení A: počítání na předřazené reverzní proxy. Před e-shop se předřadí reverzní proxy (typicky Cloudflare; běžná praxe u e-shopů, současně přináší ochranu proti útokům a zrychlení). Proxy z každého příchozího požadavku zvýší příslušný čítač (stránka, zdroj z hlavičky Referer, hrubý čas) a požadavek beze změny předá platformě. Ukládají se pouze agregované buňky; žádná IP adresa, žádný user-agent, žádný identifikátor. Buňky pod prahem k = 10 se slučují nebo zahazují (psaná politika, vynucená v kódu agregace). Poskytovatel proxy je zpracovatelem podle čl. 28 GDPR (u Cloudflare standardní zpracovatelská smlouva); jeho provozní logy podléhají retenční lhůtě podle bodu 3 části 2.

Provedení B: pouze konverzní data. Bez zásahu do provozu webu: konverze a zdroje objednávek se čtou z vlastních záznamů objednávek (API platformy). Neposkytuje čítače návštěvnosti ani mapu toků; právně nejjednodušší varianta.

Do rozhodnutí advokáta se nenasazuje nic. Žádost: go/no-go k provedení A, případně s podmínkami. Provedení B považujeme za zálohu bez sporných bodů.


3. ANO s výhradami: Umami se souhlasem

Souhlas je v čl. 5 odst. 3 hlavní režim; se souhlasem se žádná výjimka nedovolává. Kdo souhlas dá, u toho lze provozovat plné měření včetně rozpoznávání návratů (identify() vytváří stabilní totožnost nezávislou na soli).

Podmínky:

  1. Za souhlas se schovává celý měřicí skript, ne jen identify(). Skript načítaný všem čte rozlišení a jazyk i osobám bez souhlasu, což je akt podle čl. 5 odst. 3. Do udělení souhlasu běží pouze čítače z části 2.
  2. identify() výhradně po zaznamenaném souhlasu; při odvolání ukončit a záznamy dotčené osoby smazat.
  3. Identifikátorem neprůhledný řetězec, nikdy e-mail.
  4. Zapnout data-exclude-search a zkontrolovat titulky stránek: adresy s parametry a titulky typu „Objednávka pana Nováka“ zanášejí osobní údaje do analytiky i bez sběru nástrojem.
  5. Stanovená a vynucovaná retenční lhůta; PRIVATE_MODE=1; provoz na vlastní infrastruktuře. Hostuje-li instalaci dodavatel, jde o zpracovatele a náleží smlouva podle čl. 28 GDPR.
  6. Souhlas musí splňovat náležitosti GDPR: aktivní, informovaný, prokazatelný (Planet49: předzaškrtnuté políčko nestačí).

Výhrady: data pokrývají jen souhlasící část návštěvnosti; kombinace s čítači z části 2 dává základní čísla ode všech a hloubková data od souhlasících.

Riziko: nízké až střední, nesené kvalitou provedení souhlasu a kázní v bodech 1 až 4.


4. NE: Umami bez souhlasu, s odvoláním na výjimku

Konfigurace: denní rotace soli, žádné identify(), retenční lhůta, vlastní hosting, bez banneru, s odvoláním na výjimku pro měření návštěvnosti.

Proč ne:

  1. Výjimka není v textu předpisu. Uživatel si vyžádal webovou stránku; měření návštěvnosti není k jejímu doručení „nezbytně nutné“. Spojení „měření návštěvnosti“ se v čl. 5 odst. 3 nevyskytuje.
  2. Výjimka není v publikovaných materiálech ÚOOÚ. Úřad zná výjimku technickou a analytiku řadí do režimu souhlasu (část 1.1). Opora existuje jen ve francouzském režimu CNIL a v české komentářové praxi, tedy v pramenech, které české subjekty nezavazují.
  3. Identifikátor z otisku zařízení zůstává i po denní rotaci soli (rozpoznání návratu v rámci dne). Odborná praxe (sekundární prameny, GitHub #2929, Reddit r/gdpr) právě tento prvek označuje za důvod, proč nástroje této třídy souhlas vyžadují: „Umami et al uses device fingerprinting… strictly under these two guidances they would need consent.“ K obraně výrobce „neukládáme IP“ tamtéž: „Transient storage is still storage.“ K tvrzení o anonymitě: identifikátor umožňující rozpoznat návrat musí být odvozen ze statických údajů zařízení, a jde tedy o pseudonymizaci, nikoli anonymizaci.
  4. Vymáhání je doložené (pokuty ÚOOÚ, část 1.1).

5. Rozhodnutí

Volba varianty a posouzení předložených konstrukcí náleží advokátovi. K usnadnění posouzení:

  1. Obstojí konstrukce části 2, tedy že serverové čítače bez identifikátoru nejsou přístupem podle § 89 odst. 3 a jejich výstup není osobním údajem podle GDPR? Souhlasí s konkrétním provedením podle části 2.1 (go/no-go k provedení A)?
  2. Je varianta části 4 za popsaných okolností obhajitelná, nebo je závěr NE správný?
  3. Jaký význam má rozdíl mezi „nezbytně nutné“ (směrnice) a „nezbytné“ (§ 89 odst. 3)?
  4. Vyžaduje varianta části 2 zmínku v zásadách zpracování, přestože z čítačů osobní údaj nevzniká?
  5. Jaká retenční lhůta serverových logů (s IP adresami) je obhajitelná pro provozní účely?
  6. Při variantě části 3: jaké náležitosti souhlasu a jaká retenční lhůta analytických dat? Navrhovaných 13 měsíců zachovává meziroční srovnání.

6. Prameny

Pramen Povaha Co z něj plyne
Směrnice 2002/58/ES, čl. 5 odst. 3, konsolidované znění primární souhlas + dvě výjimky; oprávněný zájem neexistuje
Zákon č. 127/2005 Sb., § 89 odst. 3 primární „každý“; „předem prokazatelný souhlas“; opt-in od 1. 1. 2022
EDPB, Guidelines 2/2023, v2.0, 16. 10. 2024 (PDF) primární (výkladové) odst. 32, 33, 55, 56; obdobné technologie; JavaScript v dosahu
ÚOOÚ, „Cookies od začátku roku 2022 pouze se souhlasem“ primární opt-in; výjimka jen technická; o měření návštěvnosti mlčí
ÚOOÚ, Q&A k cookies primární technické cookies bez souhlasu; analytika první strany jako příklad oprávněného zájmu; ukládání a čtení vyžaduje souhlas
SDEU, C-673/17 Planet49 primární souhlas bez ohledu na povahu údajů
SDEU, C-582/14 Breyer primární dynamická IP jako osobní údaj; dopad na logy
Evropský parlament, legislativní přehled k reformě ePrivacy primární návrh nařízení ePrivacy stažen Komisí 11. 2. 2025
ÚOOÚ, tisková zpráva 2. 8. 2023 k pokutám za cookies primární pokuty 4 443 000 Kč souhrnně za cookies (z toho 1 640 000 Kč tehdy pravomocně); jednotlivě až 898 000 Kč
CNIL, „Cookies: solutions pour les outils de mesure d'audience" zahraniční regulátor zdroj podmíněné výjimky; ČR nezavazuje
eLegal, „Analytické cookies bez souhlasu“ sekundární komentář dovozující obdobu CNIL výjimky pro ČR
GitHub, umami-software/umami, diskuse #2929 sekundární námitky k „cookieless = bez souhlasu“; výrobce bez reakce
Reddit, r/gdpr, vlákno k Umami sekundární námitky k otisku zařízení; podpora čistě agregovaných počtů
Technický audit instalace Umami 3.1.0 (17. 7. 2026) vlastní zjištění skutečné chování nástroje (kód skriptu, serverový kód, schéma databáze)