Sledovanie pred súhlasom: čo to je a prečo to regulátori považujú za porušenie

Sledovanie pred súhlasom je trieda nálezov v našom skeneri. Aktivuje sa, keď medzi začiatkom čerstvého načítania stránky a okamihom, keď používateľ vykoná akúkoľvek akciu v banneri súhlasu, prehliadač odošle jednu alebo viac sieťových požiadaviek, ktoré nesú identifikátory, obsahujú nepodstatné analytické náklady alebo nastavujú nepodstatné cookies.

Toto je najčastejšie zistená chyba. V našom skene 97 000 európskych webov bola väčšina klasifikácií s vysokým rizikom spôsobená práve sledovaním pred súhlasom, nie chýbajúcimi bannermi alebo nefunkčnými tlačidlami odmietnutia.

Čo skener hľadá

Detektor sleduje sieť od okamihu, keď prehliadač odošle požiadavku na dokument, do jednej z troch udalostí:

1. Používateľ klikne na tlačidlo v banneri súhlasu (prijať, odmietnuť, nastavenia).
2. Je zapísaná merateľná cookie stavu súhlasu alebo záznam v localStorage.
3. Uplynie časový limit (predvolene 8 sekúnd) bez akéhokoľvek signálu súhlasu.

Každá požiadavka odoslaná v tomto okne je skúmaná z hľadiska troch signálov:

• Známy odtlačok trackera. Cieľová doména, cesta požiadavky alebo vzor obsahu zodpovedá záznamu v našej databáze trackerov. Patria sem Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, konverzné pixely X a mnoho ďalších.
• Obsah s identifikátorom. Požiadavka nesie stabilný identifikátor klienta (cookie, hash odtlačku alebo parameter dotazu, ktorý prežije naprieč stránkami).
• Zápis nepodstatnej cookie. Odpoveď nastaví cookie, ktorá podľa klasifikácie nie je nevyhnutne potrebná pre funkčnosť webu.

Stačí jeden z týchto bodov, aby sa nález aktivoval. Všetky tri spolu sú typický vzor pre kontajner Google Tag Manager, ktorý sa spúšťa pred bránou súhlasu.

Právny rámec, stručne

Nie sme váš právnik. Holé fakty:

• GDPR Art. 6(1)(a) vyžaduje platný právny základ pre spracovanie osobných údajov. Pri nepodstatných trackeroch je to súhlas.
• GDPR Art. 7 stanovuje štandard toho, ako má vyzerať platný súhlas: slobodný, konkrétny, informovaný, jednoznačný a odvolateľný.
• ePrivacy Directive Art. 5(3) výslovne vyžaduje súhlas pred uložením alebo prístupom k informáciám v koncovom zariadení používateľa — teda pred čítaním alebo zápisom cookies a podobných identifikátorov. Či konkrétna sieťová požiadavka pred súhlasom prekračuje hranicu porušenia, závisí od toho, či číta alebo zapisuje informácie na zariadení, či nesie identifikátory a či sa dá ospravedlniť ako "nevyhnutne potrebná" — to sú otázky, ktoré regulátori zvažujú.

Národné implementácie sa v detailoch líšia. Nemecký TTDSG (teraz TDDDG) a francúzska transpozícia prostredníctvom Loi Informatique et Libertés vymáhaná CNIL viedli k najviditeľnejšiemu vymáhaniu. DPAs v celej EÚ varovali pred vzormi sledovania pred súhlasom; konkrétne vymáhacie prahy sa v jednotlivých jurisdikciách líšia. Základný princíp je všade rovnaký: najprv súhlas, potom tracker.

Čo regulátori skutočne urobili

Krátka, čiastočná časová os rozhodnutí, v ktorých bolo sledovanie pred súhlasom ústredným nálezom:

• CNIL v. Google (december 2020): 100 miliónov EUR za umiestnenie reklamných cookies na google.fr bez predchádzajúceho súhlasu.
• CNIL v. Amazon Europe Core (december 2020): 35 miliónov EUR za rovnaký vzor na amazon.fr.

Toto nie sú jediné prípady — sú to tie nosné. Vzor je v nich konzistentný: regulátor zmeral správanie siete a technickú realitu považoval za rozhodujúcu, bez ohľadu na text politiky.

Skripty, ktoré to najčastejšie spôsobujú

V približnom poradí početnosti, v akom ich vidíme ako primárnu príčinu pri skene s vysokým rizikom:

• Google Tag Manager kontajnery nakonfigurované bez bránenia režimom súhlasu alebo s režimom súhlasu zle nakonfigurovaným tak, že predvolený stav je "granted".
• Meta Pixel načítaný priamo cez <script src> namiesto bránenia za spätným volaním súhlasu.
• Hotjar záznam relácie spustený pred zatvorením banneru.
• LinkedIn Insight pre B2B retargeting, najmä na weboch agentúr a SaaS.
• TikTok Pixel v spotrebiteľskom ecommerce.
• Implementácie vlastnej analytiky, ktoré čítajú vlastnosti navigator alebo nastavujú cookies pre odtlačky prstov pred akoukoľvek akciou používateľa.

Spoločný faktor takmer nikdy nie je samotný skript — je to nasadenie. Každý z týchto dodávateľov publikuje dokumentovaný spôsob, ako brániť spustenie na signáli súhlasu; predvolené inštalačné pokyny to však často nespomínajú.

Ako vyzerá čistý sken

Web, ktorý prejde našou kontrolou pred súhlasom, robí jednu z nasledujúcich vecí:

1. Nenačíta žiadne sledovanie tretích strán, kým nie je udelený súhlas. Funkčné cookies (relácia, jazyková preferencia, CSRF) sú v poriadku.
2. Načíta tag manager v stave "denied", so všetkými nepodstatnými tagmi bránenými za explicitnými signálmi súhlasu, a aktualizuje stav prostredníctvom Google Consent Mode v2 alebo ekvivalentného mechanizmu po tom, čo používateľ koná.
3. Načíta útržky trackerov, ktoré neprenášajú identifikátory, kým nie je nastavený príznak súhlasu.

V našom korpuse z 1. štvrťroka 2026 zahŕňajúcom 97 000 webov EÚ malo 68 % aktívnu sledovaciu službu pred akýmkoľvek rozhodnutím o súhlase. Menšina webov, ktoré prejdú kontrolou pred súhlasom, má zvyčajne spoločný profil: sieť v okne pred súhlasom je dominovaná samotným dokumentom, súbormi CSS a fontov a faviconou — ničím, čo by nieslo identifikátor zo zariadenia.

Ako to opraviť

Úprimná verzia: skratka neexistuje. Každý tag musí byť zauditovaný z hľadiska toho, či sa spúšťa pred nastavením signálu súhlasu. Kroky, ktoré v praxi fungujú:

1. Otvorte web v čistom profile prehliadača s otvorenými vývojárskymi nástrojmi.
2. Filtrujte sieť na "third-party" a znova načítajte.
3. Čokoľvek, čo sa spustí pred kliknutím na tlačidlo banneru, je kandidát.
4. Pre každého kandidáta nájdite loader (zvyčajne tag skriptu, spúšťač tag managera alebo inline úryvok) a podmieňte ho signálom súhlasu.
5. Otestujte znova. Opakujte, kým okno pred súhlasom nebude bez trackerov.

Ak používate platformu na správu súhlasu, režim "blokovať do súhlasu" platformy je nevyhnutný, ale nedostatočný — mnoho CMP blokuje iba zápis cookie, nie požiadavku. Article 5(3) ePrivacy Directive vyžaduje súhlas pred uložením alebo prístupom k informáciám v zariadení používateľa (cookies, local storage, podobné identifikátory). Či konkrétna sieťová požiadavka pred súhlasom spúšťa túto povinnosť, závisí od toho, čo požiadavka číta zo zariadenia alebo naň zapisuje — to je otázka závisiaca od faktov.

Pre vypracovaný príklad na vašej vlastnej doméne spustite sken a pozrite sa na panel "sieť pred súhlasom" v reporte. Každá porušujúca požiadavka je uvedená so svojím zásobníkom iniciátora, takže ju môžete vystopovať až k zdrojovému súboru vo vašej kódovej základni.