Sledování před souhlasem: co to je a proč to regulátoři považují za porušení

Sledování před souhlasem je třída nálezů v našem skeneru. Aktivuje se, když mezi začátkem nového načtení stránky a okamžikem, kdy uživatel provede jakoukoli akci v banneru souhlasu, prohlížeč odešle jeden nebo více síťových požadavků, které nesou identifikátory, obsahují nepodstatné analytické náklady nebo nastavují nepodstatné cookies.

Toto je nejčastěji zjištěná vada. V našem skenu 97 000 evropských webů byla většina klasifikací s vysokým rizikem způsobena právě sledováním před souhlasem, nikoli chybějícími bannery nebo nefunkčními tlačítky odmítnutí.

Co skener hledá

Detektor sleduje síť od okamžiku, kdy prohlížeč odešle požadavek na dokument, do jedné ze tří událostí:

1. Uživatel klikne na tlačítko v banneru souhlasu (přijmout, odmítnout, nastavení).
2. Je zapsána měřitelná cookie stavu souhlasu nebo záznam v localStorage.
3. Uplyne časový limit (výchozí 8 sekund) bez jakéhokoli signálu souhlasu.

Každý požadavek odeslaný v tomto okně je zkoumán z hlediska tří signálů:

• Známý otisk trackeru. Cílová doména, cesta požadavku nebo vzor obsahu odpovídá záznamu v naší databázi trackerů. Patří sem Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, konverzní pixely X a mnoho dalších.
• Obsah s identifikátorem. Požadavek nese stabilní identifikátor klienta (cookie, hash otisku nebo parametr dotazu, který přežívá napříč stránkami).
• Zápis nepodstatné cookie. Odpověď nastaví cookie, která podle klasifikace není nezbytně nutná pro funkčnost webu.

Stačí jeden z těchto bodů, aby se nález aktivoval. Všechny tři dohromady jsou typický vzor pro kontejner Google Tag Manager, který se spouští před branou souhlasu.

Právní rámec, stručně

Nejsme váš právník. Holá fakta:

• GDPR Art. 6(1)(a) vyžaduje platný právní základ pro zpracování osobních údajů. U nepodstatných trackerů je to souhlas.
• GDPR Art. 7 stanoví standard toho, jak má vypadat platný souhlas: svobodný, konkrétní, informovaný, jednoznačný a odvolatelný.
• ePrivacy Directive Art. 5(3) výslovně vyžaduje souhlas před uložením nebo přístupem k informacím v koncovém zařízení uživatele — tedy před čtením nebo zápisem cookies a podobných identifikátorů. Zda konkrétní síťový požadavek před souhlasem překračuje hranici porušení, závisí na tom, zda čte nebo zapisuje informace na zařízení, zda nese identifikátory a zda jej lze ospravedlnit jako "nezbytně nutný" — to jsou otázky, které regulátoři zvažují.

Národní implementace se v detailech liší. Německý TTDSG (nyní TDDDG) a francouzská transpozice prostřednictvím Loi Informatique et Libertés vymáhaná CNIL vedly k nejviditelnějšímu vymáhání. DPAs v celé EU varovaly před vzory sledování před souhlasem; konkrétní vymáhací prahy se v jednotlivých jurisdikcích liší. Základní princip je všude stejný: nejprve souhlas, pak tracker.

Co regulátoři skutečně udělali

Krátká, dílčí časová osa rozhodnutí, ve kterých bylo sledování před souhlasem ústředním nálezem:

• CNIL v. Google (prosinec 2020): 100 milionů EUR za umístění reklamních cookies na google.fr bez předchozího souhlasu.
• CNIL v. Amazon Europe Core (prosinec 2020): 35 milionů EUR za stejný vzor na amazon.fr.

Toto nejsou jediné případy — jsou to ty stěžejní. Vzor je v nich konzistentní: regulátor změřil chování sítě a technickou realitu považoval za rozhodující, bez ohledu na text politiky.

Skripty, které to nejčastěji způsobují

V přibližném pořadí četnosti, v jakém je vidíme jako primární příčinu při skenu s vysokým rizikem:

• Google Tag Manager kontejnery nakonfigurované bez bránění režimem souhlasu nebo s režimem souhlasu špatně nakonfigurovaným tak, že výchozí stav je "granted".
• Meta Pixel načítaný přímo přes <script src> místo bránění za zpětným voláním souhlasu.
• Hotjar záznam relace spuštěný před zavřením banneru.
• LinkedIn Insight pro B2B retargeting, zejména na webech agentur a SaaS.
• TikTok Pixel ve spotřebitelském ecommerce.
• Implementace vlastní analytiky, které čtou vlastnosti navigator nebo nastavují cookies pro otisky prstů před jakoukoli akcí uživatele.

Společný faktor téměř nikdy není sám skript — je to nasazení. Každý z těchto dodavatelů publikuje dokumentovaný způsob, jak bránit spuštění na signálu souhlasu; výchozí instalační pokyny to však často nezmiňují.

Jak vypadá čistý sken

Web, který projde naší kontrolou před souhlasem, dělá jednu z následujících věcí:

1. Nenačítá žádné sledování třetích stran, dokud není udělen souhlas. Funkční cookies (relace, jazyková preference, CSRF) jsou v pořádku.
2. Načítá tag manager ve stavu "denied", se všemi nepodstatnými tagy bráněnými za explicitními signály souhlasu, a aktualizuje stav prostřednictvím Google Consent Mode v2 nebo ekvivalentního mechanismu poté, co uživatel jedná.
3. Načítá útržky trackerů, které nepřenášejí identifikátory, dokud není nastaven příznak souhlasu.

V našem korpusu z 1. čtvrtletí 2026 zahrnujícím 97 000 webů EU mělo 68 % aktivní sledovací službu před jakýmkoli rozhodnutím o souhlasu. Menšina webů, které projdou kontrolou před souhlasem, má obvykle společný profil: síť v okně před souhlasem je dominována samotným dokumentem, soubory CSS a fontů a faviconou — ničím, co by neslo identifikátor ze zařízení.

Jak to opravit

Upřímná verze: zkratka neexistuje. Každý tag musí být zauditován z hlediska toho, zda se spouští před nastavením signálu souhlasu. Kroky, které v praxi fungují:

1. Otevřete web v čistém profilu prohlížeče s otevřenými vývojářskými nástroji.
2. Filtrujte síť na "third-party" a znovu načtěte.
3. Cokoli, co se spustí před kliknutím na tlačítko banneru, je kandidát.
4. Pro každého kandidáta najděte loader (obvykle tag skriptu, spouštěč tag manageru nebo inline úryvek) a podmiňte jej signálem souhlasu.
5. Otestujte znovu. Opakujte, dokud okno před souhlasem nebude bez trackerů.

Pokud používáte platformu pro správu souhlasu, režim "blokovat do souhlasu" platformy je nezbytný, ale nedostatečný — mnoho CMP blokuje pouze zápis cookie, nikoli požadavek. Article 5(3) ePrivacy Directive vyžaduje souhlas před uložením nebo přístupem k informacím v zařízení uživatele (cookies, local storage, podobné identifikátory). Zda konkrétní síťový požadavek před souhlasem spouští tuto povinnost, závisí na tom, co požadavek čte ze zařízení nebo na něj zapisuje — to je otázka závisející na faktech.

Pro vypracovaný příklad na vaší vlastní doméně spusťte sken a podívejte se na panel "síť před souhlasem" v reportu. Každý porušující požadavek je uveden se svým zásobníkem iniciátora, takže jej můžete vystopovat až ke zdrojovému souboru ve vaší kódové základně.