Koho se TCF v2.2 týká
Transparency & Consent Framework (TCF) ve verzi 2.2 je průmyslový standard pro správu souhlasů uživatelů zejména v oblasti online reklamy. Týká se především webů, které využívají cookies a další sledovací technologie pro marketing, personalizovanou reklamu či analytiku. Patří sem například zpravodajské a obsahové weby zobrazující reklamy třetích stran, e-shopy využívající remarketing, stránky s nasazeným Google Analytics či Facebook Pixel, nebo jakékoli weby s reklamními systémy (Google AdSense/Ad Manager, Sklik od Seznamu apod.). Velcí hráči digitální reklamy vyžadují dodržování TCF – mnohé reklamní sítě dnes vůbec nezobrazí personalizované reklamy, pokud nemají k dispozici tzv. TC string (kódovaný záznam o udělených/odmítnutých souhlasech)cheq.ai.
Z pohledu zákona (GDPR a ePrivacy) musí každý provozovatel webu získat souhlas uživatele k ukládání či zpracování nepotřebných cookies. Použití CMP (Consent Management Platform) splňující TCF standard je praktický způsob, jak to udělat správně. Provozovatel webu má povinnost se uživatele předem zeptat na souhlas se zpracováním osobních údajů pro účely cookies a marketingupartner.seznam.cz. TCF v2.2 slouží k tomu, aby tento souhlas byl předáván dále reklamním a analytickým systémům jednotným způsobem.
Shrnutí: Pokud váš web využívá reklamní cookies, analytické nástroje nebo služby jako je YouTube, Google Maps či reCAPTCHA, které shromažďují data o uživatelích, TCF v2.2 se vás týká. Naopak čistě statické weby nebo weby používající jen technicky nezbytné cookies (např. pro přihlášení uživatele či obsah košíku) mohou fungovat i bez nasazení TCF – pro ně postačí základní informování uživatelů.
Kdy je možné fungovat bez TCF v2.2 a kdy hrozí pokuta
Web může legálně fungovat bez TCF (a obecně bez CMP) pouze tehdy, pokud neukládá žádné cookies či data podléhající souhlasu. Prakticky to znamená web, který používá jen nezbytné cookies (např. pro chod webu) a neprovozuje žádné marketingové, personalizační ani analytické nástroje. Typickým příkladem může být jednoduchá firemní prezentace, která nevyužívá žádné externí widgety ani statistiky – takový web nemusí zobrazovat lištu s cookies a řešit TCF.
Jakmile však web začne používat nepodstatné cookies (např. pro analýzu návštěvnosti, sledování konverzí či zobrazování cílené reklamy), vzniká zákonná povinnost získat aktivní souhlas uživatele. V ČR od 1. 1. 2022 platí novela zákona o elektronických komunikacích, která zavedla režim opt-in – tedy souhlas předempodnikatel.cz. Úřad pro ochranu osobních údajů (ÚOOÚ) po krátkém přechodném období začal toto pravidlo vymáhat a začal udělovat pokuty provozovatelům webů, kteří používali cookies pro marketing bez souhlasu uživatelů. Celkem už rozdal sankce okolo 4,5 milionu Kčpodnikatel.cz. Nejvyšší jednotlivá pokuta (898 000 Kč) padla za ukládání marketingových cookies bez souhlasu návštěvníkůpodnikatel.cz. Z toho plyne, že provozovat web s reklamami nebo analytikou bez řešení souhlasů znamená reálné riziko pokuty.
Kdy tedy lze být bez CMP/TCF? Pokud váš web opravdu nepoužívá nic, co by spadalo pod souhlas, není TCF nutností. To může být např. situace, kdy veškeré statistiky máte vyřešené serverově či vůbec, reklamy neprovozujete a žádné externí prvky (mapy, fonty, videa) nečerpáte z jiných domén. V takovém případě není co řešit – není potřeba žádat souhlas, tudíž ani implementovat CMP.
Jakmile však nasadíte např. Google Analytics, reklamy nebo pluginy třetích stran, musíte řešit souhlasy. Není přitom povinné zvolit zrovna TCF – GDPR vyžaduje nějaký prokazatelný souhlas, ale formu nechává na vás. V praxi však použití CMP s podporou TCF v2.2 velmi usnadňuje splnění požadavků velkých platforem a přenos souhlasů do jejich systémů. Web bez TCF by musel mít vlastní řešení a integrace pro každý systém zvlášť, což je obtížné. Proto se pro weby s reklamou a sledováním TCF v2.2 de facto stává nutností (byť de iure jde „jen“ o jedno z možných technických řešení souladu s GDPR).
Jak probíhá kontrola a jaké hrozí sankce
Dodržování pravidel ohledně cookies a souhlasů kontroluje v Česku **Úřad pro ochranu osobních údajů (ÚOOÚ)**. Kontrola může začít buď na základě **stížnosti uživatele**, nebo z vlastního podnětu (např. v rámci tematických šetření). Ve většině případů úřad **nejprve vyzve provozovatele webu k nápravě** – typicky upozorní na porušení a dá lhůtu pro opravu. Pokud provozovatel **nereaguje, neprovede nápravu, nebo se jedná o závažné či opakované porušení**, přistupuje ÚOOÚ ke správnímu řízení a udělení pokuty.
Výše pokuty závisí na závažnosti přestupku, velikosti provozovatele a dalších okolnostech. V praxi se udělují pokuty v rozmezí desítek až stovek tisíc korun. Například za používání marketingových cookies bez platného souhlasu byla v minulosti udělena pokuta ve výši 898 000 Kč. Celkový objem pokut za nedodržení pravidel kolem cookies v ČR už přesáhl 4,5 milionu Kč.
Úřad některé přestupky také zveřejňuje veřejně v databázi pravomocných rozhodnutí, kterou najdete na stránce
👉 https://www.uoou.cz/pravomocna-rozhodnuti-id2158.
Z hlediska zákona platí, že porušením povinností při používání cookies se může provozovatel dopustit přestupku podle § 89 zákona č. 127/2005 Sb. o elektronických komunikacích, nebo přestupku podle čl. 83 odst. 5 nařízení GDPR, kde hrozí sankce až do výše 20 milionů EUR nebo 4 % z celosvětového obratu (v praxi v ČR spíše nižší pokuty, ale s reálným dopadem).
Vztah TCF v2.2 a Google Consent Mode V2
Google Consent Mode (GCM) je technologie od Google, která upravuje chování Google tagů podle stavu souhlasu uživatele. Např. pokud uživatel odmítne analytické cookies, Consent Mode zajistí, že Google Analytics nebude ukládat cookies, ale zároveň může odeslat anonymizovanou návštěvu pro agregované statistiky. Verze 2 Google Consent Mode (zavedená koncem roku 2023) přidává nové signály a je uzpůsobena přísnějším pravidlům (např. souvisejícím s evropským nařízením o digitálních trzích – DMA – platným od 2024).
TCF v2.2 a Google Consent Mode V2 spolu úzce souvisí, ale nejsou totéž:
- TCF v2.2 je rámec pro získání a sdílení souhlasu. CMP zobrazí uživateli lištu, uživatel udělí/odmítne souhlasy pro různé účely a výsledkem je například TC string, který pak čtou reklamní systémy (Google, Seznam, SSP, DSP atd.). TCF řeší hlavně jak získat souhlas v souladu s GDPR a jak jej technicky předat dalším stranám.
- Google Consent Mode je technický režim pro skripty Google (Analytics, Ads, atd.), který zajistí, že tyto služby budou respektovat volbu uživatele. Consent Mode sám nedotazuje uživatele, neřeší právní stránku souhlasu – předpokládá, že už souhlas (či nesouhlas) byl nějak zjištěn (právě přes CMP či jiné bannerové řešení).
Jinými slovy: **TCF v2.2 řeší “máme od uživatele souhlas a jak jej zaznamenat”, zatímco Consent Mode řeší “jak se mají chovat skripty, když souhlas není/je udělen”. Tyto nástroje se tedy vzájemně doplňují.
Je nutné mít oboje? Pokud využíváte služby od Google, doporučuje se mít oba systémy: CMP s TCF pro získání souhlasu i nasazený Google Consent Mode pro lepší využití dat. Samotný CMP/TCF bez GCM: právně budete v pořádku (uživatel buď souhlas dal a pak se třeba spustí GA4, nebo nedal a GA4 se nespustí vůbec). Přijdete však o některé informace – Google nedostane žádný signál při nesouhlasu, takže neuvidíte ani anonymní návštěvu či nepřiřadíte konverzi. Samotný Google Consent Mode bez CMP: ten by nedával smysl, protože byste neměli odkud brát informaci, zda uživatel souhlasí. (Teoreticky byste museli nastavit výchozí stav „nesouhlas“ a někde v kódu při nějaké akci uživatele ho změnit na „souhlas“ – v podstatě byste si museli vytvořit vlastní mini-CMP.)
Consent Mode V2 se navíc stává povinným pro některé funkce Google: Google avizoval, že od března 2024 vyžaduje na webech využívajících jeho reklamní služby nasazení Consent Mode v případě, že sbírají data pro remarketing nebo tvorbu publiksimoahava.com. Pokud byste tedy např. provozovali Google Ads a vytvářeli z návštěvníků publika pro cílení reklam, budete muset implementovat Consent Mode (jinak Google ta data nebude používat).
Shrnutí: TCF v2.2 a Google Consent Mode V2 nejsou konkurenční, ale měly by jít ruku v ruce. CMP s TCF zajistí, že máte platné souhlasy a dokážete je předat dál. Consent Mode zajistí, že Google Analytics, Google Ads a další skripty Google automaticky dodrží souhlas/nedosouhlas a využijí maximum možného (např. agregovaná data při nesouhlasu místo žádných dat). Pro plnou funkčnost webů s reklamami je tak ideální implementovat obojí.
Požadavky reklamních systémů na správu souhlasů
Různé reklamní a marketingové platformy mají své konkrétní požadavky a termíny, od kdy vyžadují určité řešení souhlasů:
- Google (Adsense, Ad Manager, AdMob, Google Ads): Od 16. ledna 2024 Google vyžaduje použití certifikované CMP s podporou TCF pro zobrazování personalizovaných reklam uživatelům v EU/EEA a UKcheq.ai. Prakticky to znamená, že každý web využívající AdSense nebo reklamní systémy Google musí mít nasazenou CMP registrovanou u IAB (TCF) a zároveň schválenou Googlem. Po tomto datu nebude možné zobrazovat reklamy Google bez splnění této podmínkycookiebot.com. (Google tak chce zajistit jednotný a spolehlivý přístup k získávání souhlasu napříč ekosystémem.) Dále Google zavádí od března 2024 povinnost nasadit Google Consent Mode v2 pro weby využívající remarketingové seznamy či pokročilé měření konverzí – jak zmíněno výše, bez něj budou některé funkcionality omezeny nebo deaktivovány. Pozn.: Tyto požadavky se týkají EEA a UK; od 31. 7. 2024 se rozšiřují i na Švýcarsko (Google tam nově aplikuje stejná pravidla souhlasu jako v EU).
- Meta (Facebook/Instagram – Meta Pixel, konverze): Meta Platforms (Facebook) nemá přímou podporu TCF a nevyžaduje použití konkrétní CMP frameworku. Nicméně GDPR vyžaduje i zde explicitní souhlas uživatele před použitím cookies nebo pixelu pro marketingusercentrics.com. Pokud tedy na web nasadíte Facebook Pixel či jiné trackery od Meta, musíte zajistit, že se spustí až po udělení souhlasu (typicky přes nějaký cookie banner/CMP). V minulosti Meta tvrdila, že personalizovaná reklama je součást “smluvního plnění” jejich služeb, ale evropské úřady toto v roce 2023 definitivně odmítly – i Facebook musí v EU žádat uživatele o souhlas s personalizací reklamy, případně nabídnout alternativu. Pro vás jako provozovatele webu to znamená, že od počátku účinnosti GDPR (2018) jste povinni mít pro nasazení Facebook Pixelu souhlas. Pokud ho nezískáte a stejně Pixel nasadíte, porušujete tím zákon (a hrozí sankce podobně jako u cookies). Meta sama tedy CMP s TCF nevyžaduje, ale odpovědnost za soulad je na vás – nejjednodušší cesta je opět použití CMP, která umí blokovat Facebook skript do doby souhlasu.
- Seznam (Sklik a další reklamní systémy Seznam.cz): Také český Seznam.cz má své požadavky. Pro zapojení webu do partnerské sítě (Sklik Partner) je nasazení CMP dokonce smluvní podmínkou – Seznam výslovně uvádí, že je to zákonná povinnost a před spuštěním webu je nutné implementovat CMPpartner.seznam.cz. Seznam.cz nabízí vlastní CMP řešení, ale akceptuje i jiné CMP, pokud předají potřebné informace. Důležité je, že Seznam vyžaduje v reklamních requestech tzv. TC string, z něhož pozná, k čemu dal uživatel souhlas nebo neo-seznam.cz. Pro inzerenty (tj. majitele webů, kteří na svém webu měří konverze Skliku nebo sbírají publika pro remarketing) zavedl Seznam nový mechanismus: od 1. srpna 2024 musí všechny Sklik retargetingové a konverzní kódy obsahovat parametr “consent” s hodnotou 0 nebo 1o-seznam.cz. Hodnota „1“ znamená, že uživatel na webu souhlasil s cílenou reklamou, hodnota „0“ znamená, že nesouhlasil. Podle toho Seznam buď zařadí uživatele do remarketingového publika, nebo ne; a u konverzí buď započítá konverzi standardně, nebo ji započte pouze modelovaněo-seznam.cz. Pokud od srpna 2024 pošle inzerent kód bez tohoto parametru, Seznam daný hit nezpracuje vůbec (nebude měřit konverzi ani plnit publikum)o-seznam.cz. Prakticky to nutí všechny, kdo používají Sklik pro retargeting/konverze, aby měli na webu CMP a předávali stav souhlasu – jinak jejich Sklik měření přestane fungovat. (Již od 2022 to ostatně měli mít zavedeno partneři; nyní i samotní inzerenti s měřícími kódy.)
- Microsoft (Bing Ads/UET): Microsoft Advertising také zavádí povinné předávání souhlasů. Mají svůj obdobný Microsoft Consent Mode pro univerzální sledovací tag (UET). Microsoft oznámil, že od 5. května 2025 bude vyžadovat explicitní poskytování signálů o souhlasu uživatelůabout.ads.microsoft.com u kampaní cílících na uživatele v EEA, UK a Švýcarsku. Cílem je opět zajistit soulad s GDPR a jednotný přístup. Jak to provést? Microsoft uvádí tři možnosti, ze kterých postačí splnit jednu: (1) implementovat jejich Consent Mode v rámci UET kódu, (2) posílat signály o souhlasu prostřednictvím IAB TCF (tj. předat Microsoftu TC string přes vaši CMP)about.ads.microsoft.com, nebo (3) využít integrace v Google Tag Manageru či jiných nástrojíchabout.ads.microsoft.com. Důležité datum: 5/5/2025 – od tohoto dne začne Microsoft vynucovat poskytování souhlasu. Pokud nebudete posílat žádný signál, může to ovlivnit výkonnost vašich kampaní (nebude možné správně sledovat konverze či vytvářet publika z uživatelů bez souhlasu)about.ads.microsoft.com. Naštěstí podpora TCF znamená, že pokud již máte CMP pro Google, lze ji využít i pro Microsoft.
Jak souhlas ovlivňuje remarketing: TCF 2.2 a Consent Mode v praxi
I když web technicky spustí měřící skripty (např. Meta Pixel, Sklik, Google Ads), reklamní platformy vyžadují od roku 2024 platné předání souhlasu pomocí TCF 2.2 a/nebo Google Consent Mode V2. Pokud web nemá správně nasazený systém souhlasů, data se do systémů vůbec nedostanou – nebo budou ignorována.
| Režim webu | Data dostupná pro remarketing (Google, Meta, Sklik…) |
|---|---|
| Pouze Google Consent Mode (bez TCF CMP) |
0–10 % (remarketing většinou nefunguje) |
| Pouze TCF CMP (bez Consent Mode) |
30–60 % (podle počtu souhlasů) |
| Bez TCF i Consent Mode (špatně nebo vůbec) |
0–10 % (většina dat systém ignoruje, nelegální) |
🟩 zelená plná data pro remarketing (vše správně nastaveno)
🟧 oranžová omezený remarketing, závislý na souhlasech
🟥 červená remarketing nefunguje, data ignorována systémy
Jak zjistit stav vašeho webu?
Pro využití přes Google Ads a placené kampaně, byste tam měli vidět 2x ANO.
Stačí zkopírovat následující kód a vložit do konzole prohlížeče:
(klikněte na Copy)
(function () {
function logResult(name, result) {
console.log(`%c${name}: %c${result ? 'Ano' : 'Ne'}`, 'font-weight:bold;', `color:${result ? 'green' : 'red'};`);
}
// Zjištění Google Consent Mode v2
const hasGtagConsent = typeof gtag === 'function' && typeof window.gtagDataLayer !== 'undefined';
const hasConsentModeV2 = hasGtagConsent && window.gtagDataLayer.some(entry =>
entry[0] === 'consent' && entry[1]?.ad_storage !== undefined
);
// Zjištění TCF v2 podle IAB (pomocí __tcfapi)
const hasTCFAPI = typeof __tcfapi === 'function';
logResult('Google Consent Mode V2', hasConsentModeV2);
logResult('IAB TCF (__tcfapi detekováno)', hasTCFAPI);
// (Volitelně) vypsání informací z TCF (pokud existuje)
if (hasTCFAPI) {
__tcfapi('getTCData', 2, function(tcData, success) {
if (success) {
console.log('%cTCF Data:', 'font-weight:bold;', tcData);
} else {
console.warn('Nepodařilo se získat TCF data.');
}
});
}
})();
Příklady konkrétních situací
Následující tři příklady ukazují typické scénáře na webech a jak se jich problematika souhlasů a TCF v2.2 týká:
a) Jednoduchý web bez TCF a bez souhlasů (jen základní funkce)
Představme si malý firemní web či osobní blog, který nepoužívá žádné měřicí nebo reklamní služby. Má jen základní obsah a možná technické cookies pro fungování (např. zapamatování preferovaného jazyka nebo udržení přihlášení administrátora). Takový web nemusí zobrazovat lištu se souhlasy – žádné „zbytné“ cookies totiž neukládá. TCF v2.2 zde není potřeba vůbec, protože web nepředává žádné informace žádným reklamním partnerům.
Legálně je vše v pořádku: neprobíhá žádné cílené zpracování osobních údajů návštěvníků, takže není vyžadován souhlas dle §89 EK zákona / ePrivacy. Provozovatel by však měl uživatele informovat v zásadách o zpracování nezbytných údajů (např. že web může ukládat nezbytné cookies). U takového webu nehrozí pokuta od ÚOOÚ, protože nedochází k porušení pravidel – není co vytýkat.
Shrnutí: Web nabízející jen základní obsah bez reklam a analytiky se obejde bez CMP i bez TCF. Musí ale skutečně dodržet, že nespustí žádný externí skript, který by třeba posílal někam data (pozor na případné nečekané prvky – např. vložené video z YouTube by už znamenalo komunikaci se třetí stranou a potřebu řešit souhlas!).
b) Web se službami jako Google Fonts, Maps, reCAPTCHA – rizika bez souhlasu
Druhý příklad: web malé firmy, který je o něco interaktivnější. Například používá Google Fonts pro pěkné písmo, na kontaktní stránce má vloženou Google Mapu s adresou a ve formuláři má pro ochranu proti spamu zapnuté Google reCAPTCHA. Na webu ale nejsou žádné reklamy a provozovatel si možná ani neuvědomuje, že by měl něco řešit. Vždyť jde „jen“ o fonty a mapu, ne o reklamy.
Ve skutečnosti všechny tyto služby kontaktují servery Googlu a předávají osobní údaje (minimálně IP adresu uživatele). Proto i na ně dopadají pravidla GDPR. Pokud web nezajistí souhlas uživatele před načtením takovýchto služeb, vystavuje se riziku porušení zákona. Například: Německý soud už v roce 2022 rozhodl, že načítání fontů z Google (Google Fonts) bez svolení uživatele je neoprávněné předání osobních údajů (IP adresy) a porušení práva na soukromí. Provozovatel webu byl odsouzen k odškodnění €100theregister.com. Zároveň soud konstatoval, že řešením by bylo hostovat si fonty lokálně přímo na webu – tím by se žádná data třetí straně neposílalatheregister.com.
Obdobně Google Maps vložené do stránky typicky ukládají cookies (např. pro sledování využití mapy) a Google reCAPTCHA při ověřování uživatele sbírá řadu dat o jeho zařízení a chování (aby vyhodnotil, zda nejde o bot). Tyto věci nejsou čistě technicky nutné pro poskytování webu – jde o funkční doplňky, které však zpracovávají osobní údaje. Podle výkladu regulátorů by tedy měly být podmíněny souhlasem uživatele podobně jako cookies. Pokud by si někdo stěžoval (jako v případě Google Fonts) nebo by ÚOOÚ dělal kontrolu, hrozí i za takové integrace postih.
Jak riziko řešit? Majitel webu má několik možností:
Získat souhlas: Nasadit CMP/cookies lištu a požádat uživatele o souhlas s načtením externích služeb. Prakticky – než uživatel odsouhlasí např. „funkční cookies“, nenačítat Mapy ani reCAPTCHA. Místo mapy lze zobrazit zástupný obrázek s výzvou k odsouhlasení pro zobrazení interaktivní mapy.
Nahradit službu méně invazivní variantou: Např. místo Google Fonts fonty hostovat přímo na svém webu (Google je nabízí ke stažení – tím odpadne volání na googleapis.comtheregister.com). Místo reCAPTCHA lze použít jednodušší antispam (kontrolní otázka, matematický příklad) nebo novější privacy-friendly alternativu (např. hCaptcha). Místo vložené Google Mapy lze zvážit statický obrázek mapy či odkaz, případně opět podmínit zobrazení souhlasem.
Akceptovat riziko: Teoreticky může provozovatel spoléhat, že se nikdo ozývat nebude. To ale není moudré – jak ukázala kauza Google Fonts v Německu, někteří aktivisté či právníci takové věci cíleně vyhledávají. ÚOOÚ v Česku se rovněž zaměřuje i na běžné weby, nejen velké firmy. Doporučení tedy je řešit souhlasy i u těchto „nenápadných“ služeb.
Shrnutí: I web, který neprovozuje reklamu, ale používá např. Google služby (fonty, mapy, captcha), by měl mít základní řešení souhlasů. Minimálně by na něj mělo pamatovat v zásadách cookies a ideálně aktivně vyžádat souhlas, než spustí dané skripty. V opačném případě se vystavuje (byť menšímu) riziku právních problémů.
c) Web s reklamami, analytikou a remarketingem
Třetím případem je komplexní web – například zpravodajský portál nebo e-shop, který využívá různá marketingová řešení:
Zobrazuje reklamy (např. přes Google AdSense/Ad Manager, případně Sklik či jiné adnetworks).
Má nasazenou webovou analytiku (Google Analytics 4) a sleduje konverze.
Používá remarketing – např. Facebook Pixel, Sklik Retargeting kódy, Google Ads konverzní měření a publiká.
Možná má i další personalizované prvky (např. doporučování obsahu na míru apod.).
Takový web už spadá do všech zmíněných regulací a požadavků. Co je potřeba nasadit, aby byl v souladu s předpisy a požadavky platforem?
CMP s podporou TCF v2.2: Jednoznačně je potřeba mít na webu plnohodnotnou lištu/okno, kde uživatelé mohou dát či nedat souhlas s cookies pro jednotlivé účely. CMP by měla být registrovaná v IAB TCF (verze 2.2) – jedině tak vygeneruje platný TC string a zajistí, že např. reklamní skripty Google nebo Skliku rozpoznají stav souhlasu. Všechny hlavní reklamní systémy od 2024 vyžadují CMP v režimu TCF: Google od ledna 2024cheq.ai, Seznam v podstatě též (pro cílenou reklamu nejpozději od srpna 2024)o-seznam.cz. Výběr CMP řešení je na provozovateli – existují komerční i open-source CMP, důležité je, aby byly Google-certified (Google zveřejnil seznam schválených CMP). Nasazení CMP zajistí, že web návštěvníka nejprve požádá o souhlas a uloží jeho volbu (souhlas/nesouhlas).
Nastavení blokování/odkladu značek před souhlasem: Samotná existence CMP nestačí – je nutné technicky zařídit, že všechny sledovací skripty (Google Analytics, pixel, reklamní sloty) se buď nespustí vůbec bez souhlasu, nebo se spustí ve velmi omezeném režimu. To se obvykle děje integrací CMP s tag managerem nebo přímým API voláním. Pokud uživatel odmítne např. marketingové cookies, CMP zajistí, že se neaktivuje kód Facebook Pixelu ani remarketing Google. Pokud odmítne analytiku, nespustí se GA4 atd. Moderní CMP to umí automaticky – označíte skript jako „statistický“ či „marketingový“ a CMP ho pustí až při souhlasu. Tím splníte požadavek, že bez souhlasu se nic takového načítat nemá.
Implementace Google Consent Mode v2: Pro weby využívající Google Analytics, Google Ads apod. je velmi vhodné (a do jisté míry nutné) nasadit i Consent Mode. Ten doplní výše zmíněné blokování tím, že Google skripty neblokuje úplně, ale spustí je v upraveném režimu. Například pokud uživatel odmítl marketing, script Google Ads se může spustit, ale nebude ukládat identifikátory a pouze zaznamená, že uživatel nesouhlasil – tím pádem Google může započítat konverzi modelovaně a nevytvoří remarketingový záznamo-seznam.cz. Podobně u Google Analytics – při nesouhlasu neuloží cookies, ale pošle anonymní hit. Od března 2024 bude Consent Mode pro plné využití Google Ads nutnostísimoahava.com, takže je dobré ho nasadit v předstihu. CMP většinou umí s Google Consent Mode spolupracovat – předávat mu signály souhlasu (ad_storage, analytics_storage atd.). Technicky se to nastaví buď v Google Tag Manageru, nebo přímo voláním
gtag('consent', ...)v kódu.Respektování požadavků jednotlivých platforem: Jak jsme výše shrnuli, Google požaduje CMP (TCF) od 16. 1. 2024cheq.ai, Seznam od 8/2024 parametr souhlasuo-seznam.cz a Microsoft od 5/2025 consent mode/TCFabout.ads.microsoft.com. Provozovatel webu s reklamami by si měl pohlídat, že do těchto dat upgraduje svá řešení. Např. pokud používal CMP v2.0 nebo 2.1, musí do 20. 11. 2023 přejít na TCF 2.2 (po tomto datu je starší TCF neplatné)cheq.ai. Pokud ještě neměl žádnou CMP, nejpozději v lednu 2024 ji nasadit, jinak mu Google začne omezovat reklamu. Stejně tak provést update měřicích kódů Skliku, aby posílaly parametr
consent– Sklik už nové kódy nabízí a staré bude od srpna 2024 bojkotovato-seznam.cz. A v neposlední řadě si pohlídat, aby Facebook Pixel nepálil bez souhlasu, jinak hrozí pokuta i bez tlaku ze strany platformy.
Shrnutí: Web, který vydělává na reklamě či používá remarketing, potřebuje od základu vyřešit souhlasy už nyní. Nejprve právně (jasně informovat a získat opt-in souhlas) a následně technicky (předat jej dál přes TCF a respektovat ho skripty). Od roku 2024 už velcí hráči tlačí na dodržování pravidel – kdo nebude mít CMP, tomu Google reklamu raději nevydácookiebot.com a přijde tak i o příjmy, případně riskuje postih od úřadů. Investice do správné implementace CMP a souvisejících nástrojů je tedy nezbytná pro další bezproblémový provoz.
Specifika pro weby na CMS (WordPress, Elementor apod.)
Mnoho menších webů běží na redakčních systémech jako WordPress, často s předpřipravenými šablonami nebo vizuálními editory (Elementor, Divi…). Je důležité pamatovat, že i zdánlivě nevinné funkce šablony mohou načítat obsah třetích stran. Například řada WordPress šablon donedávna automaticky načítala Google Fonts z externího zdroje (fonts.googleapis.com). Po zmíněných kauzách v Německu vývojáři šablon začali přidávat možnost hostovat fonty lokálně, případně pluginy (např. OMGF) to dokáží zajistit. Pokud tedy máte WP web, zkontrolujte si, zda vaše šablona nebo builder nenačítá Google Fonty či jiné skripty zvenčí. Ideální je fonty stáhnout a uložit na svém webhostingu, tím odpadá starost se souhlasem pro ně – už se nejedná o třetí stranutheregister.com.
Podobně pluginy pro kontaktní formuláře často nabízejí integraci Google reCAPTCHA. Když ji aktivujete, vloží se na každou stránku skrytý skript od Google, který si profiluje uživatele (aby poznal roboty). Doporučení: pokud to jde, použijte raději alternativní metodu ověření (např. jednoduchou otázku, plugin Honeypot aj.), nebo přejděte na reCAPTCHA v3 s vlastním skóre na backendu (ale i tak by to chtělo zmínit v zásadách). Jestliže musíte použít reCAPTCHA, mějte na paměti, že by správně měla běžet až po souhlasu. Některé CMP dokáží blokovat i reCAPTCHA – typicky ji zařadíte do kategorie „funkční“ či „nezbytné“ podle svého posouzení. (Je tu jistý argument, že ochrana webu před boty je legitimní zájem – ale není vyjasněno, jestli to obstojí. Raději nabídněte třeba volbu „Povolit ochranu webu Google reCAPTCHA“ v rámci nastavení souhlasů.)
Další častou věcí na webech z šablon jsou embedované mapy (Google Maps), videa (YouTube/Vimeo) apod. Zde platí totéž: bez interakce uživatele by se neměly načíst, pokud nastavují cookies. Řešením je tzv. two-click řešení – místo mapy rovnou zobrazit např. šedé pole s textem „Pro zobrazení mapy prosím udělte souhlas s funkčními cookies“ + tlačítko. Po kliknutí se teprve mapa načte (a už víte, že uživatel souhlasil). Existují pluginy, které to ve WordPressu umí automatizovat, nebo tuto funkci mívají přímo CMP platformy.
Pozor i na zdánlivě drobnosti: Např. Elementor page builder mohl vkládat svoje ikonky přes Font Awesome z CDN, což je opět externí zdroj (byť nevytváří cookies, ale volání k cizímu serveru s IP uživatele). Tyto detaily je dobré zmapovat – existují online skenery nebo rozšíření prohlížeče, které ukážou, kam všude váš web při načtení volá. Na základě toho pak můžete buď upravit web (hostovat potřebné skripty lokálně), nebo zahrnout tyto služby do CMP.
Závěrem k CMS: I když používáte „krabicové“ řešení, nezapomeňte nakonfigurovat souhlasy. Pro WordPress existují hotové pluginy CMP, např. CookieYes, Cookiebot, Complianz aj., které jsou přímo integrované do WP a umí TCF v2.2. Nasazením takového pluginu a jeho propojením s vašimi službami splníte jak zákonné povinnosti, tak technické požadavky platforem. Zároveň si pohlídejte, co vaše šablona nebo pluginy načítají za externí obsah, a upravte to dle doporučení výše. Tím předejdete nepříjemnostem a váš web bude v souladu s GDPR i pravidly reklamních systémů. theregister.comusercentrics.com
