Pro: advokáta klienta Připravil: dodavatel (technická strana); podklad není právní radou, posouzení náleží advokátovi Datum: 17. 7. 2026 Verze: 2.1 (doplněna část 2.1: zamýšlené technické provedení k odsouhlasení; prameny doplněny o odkazy)
Podnětem k podkladu byla diskuse o možnostech měření návštěvnosti bez souhlasové lišty. Posouzení vychází především z primárních pramenů, nastudovaných pro tento účel: úřední české i anglické znění směrnice 2002/58/ES, platné znění zákona č. 127/2005 Sb., pokyny EDPB 2/2023 (v2.0), publikované materiály ÚOOÚ a judikatura SDEU. Sekundární prameny (komentáře, odborné diskuse) jsou v textu výslovně označeny.
Tam, kde se podklad týká konkrétního nástroje (Umami; části 1.2, 3 a 4), je posuzováno jeho skutečné chování, zjištěné auditem běžící instalace (verze 3.1.0): kód měřicího skriptu, serverový kód, obsah databáze. Marketingová tvrzení výrobce nebyla převzata.
Čl. 5 odst. 3 směrnice 2002/58/ES (konsolidované znění 02002L0058-20091219, úřední překlad):
„Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“
Ustanovení zná souhlas a dvě výjimky. Oprávněný zájem jako právní základ zde neexistuje; ePrivacy je v tomto bodě přísnější než GDPR.
České provedení, § 89 odst. 3 zákona č. 127/2005 Sb.:
„Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, získá od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování. Tato povinnost neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem.“
Fakta k textu: povinnost dopadá na každého, nejen na poskytovatele komunikačních služeb; souhlas musí být předchozí a prokazatelný (opt-in režim od 1. 1. 2022); směrnice užívá „nezbytně nutné“, zákon pouze „nezbytné“.
EDPB, Guidelines 2/2023 (v2.0, přijaté 16. 10. 2024) rozšiřují dosah čl. 5 odst. 3 za cookies na obdobné technologie (otisk zařízení, pixely, jedinečné identifikátory, sledování podle IP):
odst. 32: „Whenever an entity takes steps towards gaining access to information stored in the terminal equipment, Article 5(3) ePD would apply.“
odst. 33: „Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted information. Such access clearly falls within the scope of Article 5(3) ePD.“
odst. 56: „…the applicability of this article does not systematically mean that consent needs to be collected.“
Publikovaný postoj ÚOOÚ (ověřeno na uoou.gov.cz, 17. 7. 2026):
„…správci webových stránek mohou shromažďovat osobní údaje návštěvníků těchto stránek pouze na základě jejich prokazatelného souhlasu.“
„Princip opt-in se však netýká technických cookies, které jsou nezbytné pro přenos zpráv a poskytování služeb.“
„Příkladem oprávněného zájmu je zpracování osobních údajů pro účely analytiky první strany (prostřednictvím cookies předmětných webových stránek).“ (Q&A; s dodatkem, že ukládání a čtení v koncovém zařízení i tak vyžaduje souhlas podle zákona o elektronických komunikacích.)
Publikované materiály ÚOOÚ neobsahují žádnou výjimku pro měření návštěvnosti. Podmíněnou výjimku pro nástroje omezené na měření audience vybudovala francouzská CNIL; do českého prostředí ji přenáší komentářová praxe (eLegal), tedy sekundární pramen. CNIL české subjekty nezavazuje.
Judikatura a stav legislativy:
| Zjištění | Zdroj | Význam |
|---|---|---|
Skript čte screen.width, screen.height, navigator.language |
kód script.js |
přístup k údajům v koncovém zařízení; spouští čl. 5 odst. 3 |
Neukládá cookies; fetch-credentials výchozí omit; odpověď neposílá Set-Cookie |
kód skriptu, hlavičky odpovědi | pro aplikaci čl. 5 odst. 3 nerozhodné (Planet49, EDPB odst. 33) |
localStorage pouze čte (příznak umami.disabled) |
kód skriptu | čtení je rovněž přístup |
Identifikátor relace = uuid(websiteId, IP, user-agent, sůl) |
serverový kód | identifikátor odvozený z otisku zařízení |
Výchozí rotace soli je měsíc (process.env.SALT_ROTATION \|\| "month") |
serverový kód | identifikátor stabilní po celý kalendářní měsíc |
| Žádný sloupec s IP adresou nenalezen inspekcí schématu (vzory „ip“, „addr“, všechny tabulky) | katalog databáze | IP se podle dostupné inspekce nedochovává |
identify() v auditované instalaci nezavoláno |
dotaz do databáze | žádné propojení s totožností |
| U relace se ukládá prohlížeč, OS, zařízení, rozlišení, jazyk, země, region, město | schéma tabulky session |
profil vázaný na identifikátor |
Z uvedeného kódu plyne: ve výchozím nastavení se týž návštěvník (stejná IP a prohlížeč) po celý kalendářní měsíc mapuje na tentýž identifikátor relace. Nastavení rotace soli na jeden den omezuje rozpoznání návratu na rámec téhož dne; napříč dny je pak opakovaná identifikace vyloučena konstrukcí.
Tvrzení „nepoužíváme cookies, tedy není potřeba souhlas“ (výrobce je dosud uvádí) je s výše uvedenými prameny neslučitelné: rozhodná není přítomnost cookie, ale akt přístupu do zařízení, a hashování aplikaci čl. 5 odst. 3 nevypíná.
Z předchozí části plyne, že marketingová tvrzení výrobců nástrojů třídy Umami neodpovídají právnímu stavu: tyto nástroje do působnosti § 89 odst. 3 spadají a jejich provoz bez souhlasu stojí na výjimce, kterou český regulátor nepublikoval. Z toho však neplyne, že bez souhlasu nelze měřit vůbec. Rozhodným aktem je sáhnutí do koncového zařízení; manévrovací prostor tedy existuje tam, kde měření žádný takový akt neobsahuje. To splňuje následující konstrukce.
Server zvyšuje čítače z požadavků, které mu uživatel sám poslal: kolikrát byla vydána která stránka, z jakého zdroje (hlavička Referer), kolik nastalo konverzí (vlastní záznamy objednávek). Výstupem je číslo, nikoli záznam o osobě.
Právní zařazení:
Podmínky, na kterých konstrukce stojí:
Co tato varianta dává a nedává:
| Dává | Nedává |
|---|---|
| zobrazení podle stránek | unikátní návštěvníky |
| rozložení zdrojů návštěv | míru okamžitého opuštění |
| počty konverzí a poměry (z 1 000 zobrazení domovské stránky 20 objednávek, tj. 2 %) | délku relace |
| časové řady a trendy | cesty uživatele webem |
Pojem „unikátní návštěvník“ vyžaduje identifikátor, proto v této variantě neexistuje. Zdůvodňování čítačů provozními potřebami serverů není zapotřebí: kde nevzniká osobní údaj ani přístup do zařízení, žádná výjimka se nedovolává a účel se nemusí konstruovat.
Riziko: nízké. Konstrukce se neopírá o žádnou výjimku ani sporný výklad.
Prodejní platforma e-shopu (Upgates) je hostovaná služba; provozovatel nemá přístup k serverovým logům platformy, čítače proto nelze umístit přímo na její server. V úvahu přicházejí dvě provedení; ani jedno nepřidává na stránky žádný skript.
Provedení A: počítání na předřazené reverzní proxy. Před e-shop se předřadí reverzní proxy (typicky Cloudflare; běžná praxe u e-shopů, současně přináší ochranu proti útokům a zrychlení). Proxy z každého příchozího požadavku zvýší příslušný čítač (stránka, zdroj z hlavičky Referer, hrubý čas) a požadavek beze změny předá platformě. Ukládají se pouze agregované buňky; žádná IP adresa, žádný user-agent, žádný identifikátor. Buňky pod prahem k = 10 se slučují nebo zahazují (psaná politika, vynucená v kódu agregace). Poskytovatel proxy je zpracovatelem podle čl. 28 GDPR (u Cloudflare standardní zpracovatelská smlouva); jeho provozní logy podléhají retenční lhůtě podle bodu 3 části 2.
Provedení B: pouze konverzní data. Bez zásahu do provozu webu: konverze a zdroje objednávek se čtou z vlastních záznamů objednávek (API platformy). Neposkytuje čítače návštěvnosti ani mapu toků; právně nejjednodušší varianta.
Do rozhodnutí advokáta se nenasazuje nic. Žádost: go/no-go k provedení A, případně s podmínkami. Provedení B považujeme za zálohu bez sporných bodů.
Souhlas je v čl. 5 odst. 3 hlavní režim; se souhlasem se žádná výjimka nedovolává. Kdo souhlas dá, u toho lze provozovat plné měření včetně rozpoznávání návratů (identify() vytváří stabilní totožnost nezávislou na soli).
Podmínky:
identify(). Skript načítaný všem čte rozlišení a jazyk i osobám bez souhlasu, což je akt podle čl. 5 odst. 3. Do udělení souhlasu běží pouze čítače z části 2.identify() výhradně po zaznamenaném souhlasu; při odvolání ukončit a záznamy dotčené osoby smazat.data-exclude-search a zkontrolovat titulky stránek: adresy s parametry a titulky typu „Objednávka pana Nováka“ zanášejí osobní údaje do analytiky i bez sběru nástrojem.PRIVATE_MODE=1; provoz na vlastní infrastruktuře. Hostuje-li instalaci dodavatel, jde o zpracovatele a náleží smlouva podle čl. 28 GDPR.Výhrady: data pokrývají jen souhlasící část návštěvnosti; kombinace s čítači z části 2 dává základní čísla ode všech a hloubková data od souhlasících.
Riziko: nízké až střední, nesené kvalitou provedení souhlasu a kázní v bodech 1 až 4.
Konfigurace: denní rotace soli, žádné identify(), retenční lhůta, vlastní hosting, bez banneru, s odvoláním na výjimku pro měření návštěvnosti.
Proč ne:
Volba varianty a posouzení předložených konstrukcí náleží advokátovi. K usnadnění posouzení:
| Pramen | Povaha | Co z něj plyne |
|---|---|---|
| Směrnice 2002/58/ES, čl. 5 odst. 3, konsolidované znění | primární | souhlas + dvě výjimky; oprávněný zájem neexistuje |
| Zákon č. 127/2005 Sb., § 89 odst. 3 | primární | „každý“; „předem prokazatelný souhlas“; opt-in od 1. 1. 2022 |
| EDPB, Guidelines 2/2023, v2.0, 16. 10. 2024 (PDF) | primární (výkladové) | odst. 32, 33, 55, 56; obdobné technologie; JavaScript v dosahu |
| ÚOOÚ, „Cookies od začátku roku 2022 pouze se souhlasem“ | primární | opt-in; výjimka jen technická; o měření návštěvnosti mlčí |
| ÚOOÚ, Q&A k cookies | primární | technické cookies bez souhlasu; analytika první strany jako příklad oprávněného zájmu; ukládání a čtení vyžaduje souhlas |
| SDEU, C-673/17 Planet49 | primární | souhlas bez ohledu na povahu údajů |
| SDEU, C-582/14 Breyer | primární | dynamická IP jako osobní údaj; dopad na logy |
| Evropský parlament, legislativní přehled k reformě ePrivacy | primární | návrh nařízení ePrivacy stažen Komisí 11. 2. 2025 |
| ÚOOÚ, tisková zpráva 2. 8. 2023 k pokutám za cookies | primární | pokuty 4 443 000 Kč souhrnně za cookies (z toho 1 640 000 Kč tehdy pravomocně); jednotlivě až 898 000 Kč |
| CNIL, „Cookies: solutions pour les outils de mesure d'audience" | zahraniční regulátor | zdroj podmíněné výjimky; ČR nezavazuje |
| eLegal, „Analytické cookies bez souhlasu“ | sekundární | komentář dovozující obdobu CNIL výjimky pro ČR |
| GitHub, umami-software/umami, diskuse #2929 | sekundární | námitky k „cookieless = bez souhlasu“; výrobce bez reakce |
| Reddit, r/gdpr, vlákno k Umami | sekundární | námitky k otisku zařízení; podpora čistě agregovaných počtů |
| Technický audit instalace Umami 3.1.0 (17. 7. 2026) | vlastní zjištění | skutečné chování nástroje (kód skriptu, serverový kód, schéma databáze) |