Digitální omnibus a cookies

Evropská komise 19. listopadu 2025 představila rozsáhlý balík změn digitální legislativy označovaný jako „Digitální omnibus“. Cílem je zjednodušit a sjednotit pravidla pro práci s a ochranu soukromí, která jsou dnes upravena především v obecném nařízení o ochraně osobních údajů (GDPR) a ePrivacy směrnici doplněné národními zákony. Právě část věnovaná cookies a dalším technologiím pro ukládání dat v zařízení uživatele vzbudila největší debaty.  

Jak fungují pravidla pro cookies dnes

Ukládání a využívání cookies a podobných dat se řídí směrnicí ePrivacy, která je v této části do českého práva transponována zákonem o elektronických komunikacích. Tam, kde využití cookies představuje zpracování osobních údajů, se uplatní rovněž GDPR.  

V České republice pro cookies platí režim opt-in. Všechno, co není technicky nezbytné pro provoz webu nebo poskytnutí služby vyžádané uživatelem, vyžaduje předchozí souhlas. Výsledkem je záplava cookies lišt a vyžadování souhlasu.  

Co chce Komise změnit

Komise navrhuje pravidla pro cookies upravit, zjednodušit jejich využití a pravidla přesunout přímo do GDPR. Přináší to několik podstatných novinek:

Přesun pravidel z ePrivacy do GDPR

Do GDPR by dle Digitálního omnibu přibyly nové články upravující, kdy lze ukládat data do zařízení uživatele nebo je ze zařízení uživatele vyčítat, kdy to lze činit bez souhlasu a kdy je souhlas uživatele nezbytný. Jde nejen o cookies, ale také o local storage, SDK v aplikacích a další běžné technologie. Cílem je odstranit dvojkolejnost mezi ePrivacy směrnicí, jejími národními transpozicemi a GDPR.

Souhlas vyjádřený nastavením prohlížeče

Uživatelé by dle návrhu mohli spravovat své preference přímo v prohlížeči nebo jiném jednotném rozhraní. Weby by tato nastavení musely respektovat. Prakticky by to mohlo znamenat konec situací, kdy uživatel musí na každém webu znovu a znovu odmítat nebo akceptovat reklamní cookies od stejného provozovatele.  

Která cookies jsou nezbytná?

Návrh se snaží jasně rozlišit, které technologie jsou čistě funkční a které už zasahují do soukromí. Například uchování položek v košíku nebo detekce útoků nevyžadují souhlas. Sledovací skripty nebo personalizace reklamy ano. Dnes není tento rozdíl v praxi vždy jednoznačný, což vede k přehnaným interpretacím.

Rozšíření možnosti využít cookies bez souhlasu

Komise navrhuje několik dalších kategorií cookies, které by bylo možné využívat bez souhlasu uživatele. Jedná se především o cookies nezbytné pro zabezpečení webu, pro měření návštěvnosti a další analytiku. Téma těchto výjimek bude jedním z nejvíc sledovaných v legislativním procesu.

Krok zpět, nebo nezbytná efektivita?

Některé organizace na ochranu soukromí varují, že návrh může oslabit stávající ochranu soukromí online. Obávají se, že by bylo možné bez souhlasu využívat i nepřiměřeně invazivní sledovací technologie, nebo že nastavení cookie souhlasu v prohlížeči může vést k mechanickému udělování souhlasů. Tyto výtky jsou relevantní, ale je třeba k nim dodat, že současný stav je pro uživatele i firmy dlouhodobě neudržitelný. Model založený na nekonečných lištách a opakovaném udělování souhlasů nefunguje, vede k rezignaci uživatelů (consent fatigue) a ve výsledku nezajišťuje skutečnou kontrolu nad soukromím.

Právě proto je návrh Komise v této části podle mého soudu krok správným směrem. Pokud se podaří nastavit jasné hranice dalších výjimek pro využití cookies bez souhlasu, může být nový systém výrazně funkčnější než ten dnešní. Uživatel získá jednodušší, jednotnou kontrolu a provozovatelé přehlednější pravidla.