Co se stane, když neshromažďujete souhlas: Skutečné pokuty a případové studie
Myslíte, že bannery souhlasu jsou volitelné? Myslíte, že jednoduchá cookie lišta stačí? Regulátoři nesouhlasí — a mají důkazy. Od vstupu GDPR v platnost v roce 2018 vydaly orgány ochrany osobních údajů v Evropě i za jejími hranicemi pokuty přesahující 4,5 miliardy eur. Mnohé z nich přímo souvisely se selháním při shromažďování platného souhlasu uživatele.
Zde jsou skutečné případy, skutečná čísla a co znamenají pro vaše podnikání.
Největší pokuty v historii související se souhlasem
Meta (Facebook/Instagram) -- Irsko, 2023
Irský DPC zjistil, že Meta přenášela data uživatelů EU do USA bez platných právních mechanismů a bez řádného souhlasu. Tato pokuta zůstává největší pokutou GDPR vůbec. Meta byla také pokutována 390 miliony eur v lednu 2023 za přinucení uživatelů přijímat personalizovanou reklamu jako podmínku používání Facebooku a Instagramu — jasné porušení požadavku na „svobodně udělený" souhlas.
Amazon -- Lucembursko, 2021
Amazon byl pokutován za zpracování osobních údajů pro cílenou reklamu bez řádného souhlasu uživatelů. Lucemburský orgán pro ochranu osobních údajů (CNPD) zjistil, že systém cílení reklam Amazonu nesplňuje požadavky na souhlas dle GDPR.
Google -- Francie (CNIL), 2022
CNIL pokutovala Google, protože jeho mechanismus souhlasu s cookies na google.fr a youtube.com umožňoval přijmout všechny cookies jedním kliknutím, ale k odmítnutí bylo potřeba více kliknutí. Bylo rozhodnuto, že tento asymetrický design — kdy odmítnutí je obtížnější než přijetí — představuje porušení principu „svobodně uděleného" souhlasu.
TikTok -- Irsko, 2023
TikTok byl pokutován za zpracování osobních údajů dětí bez odpovídajícího souhlasu a transparentních opatření. DPC zjistil, že účty dětí byly ve výchozím nastavení veřejné a nastavení ochrany soukromí platformy nebylo dostatečně přístupné.
Criteo -- Francie (CNIL), 2023
Reklamně-technologická společnost byla pokutována za shromažďování dat o procházení milionů uživatelů prostřednictvím sledovacích cookies, aniž by prokázala, že byl získán platný souhlas. CNIL zjistila, že Criteo nemohl prokázat platný řetězec souhlasu z webových stránek, kde byly cookies umístěny.
Nejen velké technologické firmy: Pokuty pro malé podniky
Nemyslete si, že pokuty jsou jen pro technologické giganty. Orgány ochrany osobních údajů v Evropě pravidelně pokutují malé a střední podniky za porušení pravidel souhlasu:
- Španělský AEPD: Pravidelně uděluje pokuty od 2 000 do 60 000 eur malým podnikům za ukládání cookies bez souhlasu nebo za chybějící zásady cookies.
- Italský Garante: Pokutoval malý e-shop 20 000 eury za používání Google Analytics bez platných mechanismů přenosu souhlasu.
- Francouzský CNIL: Pokutoval zdravotní web 150 000 eury za shromažďování citlivých údajů prostřednictvím formulářů bez výslovného souhlasu.
- Rakouský DSB: Rozhodl, že používání Google Analytics bez souhlasu je nezákonné, čímž vytvořil precedent ovlivňující tisíce podniků.
- Belgická DPA: Pokutovala IAB Europe 250 000 eury za problémy s řetězci souhlasu TCF, čímž prokázala, že i samotný rámec souhlasu podléhá vymáhání.
Za pokutami: Skryté náklady
Finanční sankce jsou jen špičkou ledovce. Skutečné škody často zahrnují:
- Poškození reputace: Pokuty GDPR jsou veřejným záznamem. Vaše značka se v mediálních zprávách a výsledcích vyhledávání spojuje s porušením ochrany soukromí.
- Ztráta příjmů z reklamy: Bez certifikovaného CMP může Google omezit zobrazování reklam v EHP. Vydavatelé hlásí pokles příjmů o 30-70 % při nesouladu jejich nastavení souhlasu.
- Právní náklady: Obrana proti stížnostem, odpovídání na šetření DPA a restrukturalizace datových praktik může stát stovky tisíc v právních poplatcích.
- Provozní narušení: DPA vám mohou nařídit úplné zastavení zpracování dat, dokud nebude dosaženo souladu — fakticky zastavující váš online byznys.
- Riziko hromadných žalob: GDPR umožňuje kolektivní právní kroky. Spotřebitelské organizace v Rakousku, Francii a Německu podaly hromadné žaloby proti společnostem za porušení pravidel souhlasu.
Nejčastější chyby v souhlasu vedoucí k pokutám
- Předem zaškrtnutá políčka souhlasu: GDPR to výslovně zakazuje. Souhlas musí být aktivní jednání.
- Cookie walls: Blokování přístupu k obsahu, pokud uživatelé nepřijmou všechny cookies, není „svobodně udělený" souhlas.
- Asymetrická tlačítka: Zvýraznění tlačítka „Přijmout" při skrývání nebo minimalizaci tlačítka „Odmítnout" porušuje princip svobodně uděleného souhlasu.
- Sdružený souhlas: Sloučení souhlasu pro více účelů do jediného tlačítka „Přijmout" zbavuje uživatele konkrétní volby, na kterou mají nárok.
- Bez mechanismu odvolání: Pokud uživatelé nemohou snadno změnit nebo odvolat souhlas, celé shromažďování souhlasu je neplatné.
- Chybějící záznamy o souhlasu: Bez záznamů s časovým razítkem ukazujících, kdo souhlas udělil, kdy a k čemu, nemůžete prokázat soulad při auditu.
- Sledování před souhlasem: Načítání analytiky, reklamních pixelů nebo marketingových skriptů před tím, než uživatel učiní volbu, je nejčastější — a nejsnáze odhalitelné — porušení.
Jak regulátoři odhalují nesoulad
Orgány ochrany osobních údajů pouze nečekají na stížnosti. Aktivně skenují webové stránky pomocí automatizovaných nástrojů, které odhalují:
- Cookies nastavené před jakoukoliv interakcí se souhlasem
- Chybějící nebo neúplné bannery souhlasu
- Neplatné nebo prošlé řetězce souhlasu
- Sledovací skripty spouštěné před zaznamenáním souhlasu
- Asymetrické designy bannerů upřednostňující přijetí
Francouzský CNIL například prohledal tisíce webových stránek a udělil desítky pokut výhradně na základě automatizované detekce — bez jakékoli stížnosti uživatele.
Jak vypadá řádný souhlas v roce 2026
Aby se vyhnuli pokutám a ochránili svůj byznys, vaše implementace souhlasu musí:
- Blokovat všechny nepodstatné cookies a skripty, dokud není udělen výslovný souhlas
- Poskytnout stejnou vizuální váhu možnostem přijmout a odmítnout
- Umožnit detailní volbu podle kategorie cookies (analytika, marketing, funkční)
- Ukládat záznamy o souhlasu s časovými razítky a identifikátory uživatelů
- Podporovat IAB TCF 2.3 pro programatickou reklamu
- Integrovat Google Consent Mode V2 pro souladné zobrazování reklam
- Umožnit snadné odvolání souhlasu kdykoli
- Zobrazovat v jazyce uživatele
Jak vás FlexyConsent chrání
FlexyConsent je vytvořen speciálně k prevenci výše popsaných porušení:
- Automatické blokování skriptů: Žádné sledování se nespustí, dokud není udělen souhlas
- Souladný design banneru: Stejná tlačítka přijmout/odmítnout, žádné temné vzory
- Záznamy připravené pro audit: Každé rozhodnutí o souhlasu je zaznamenáno s časovými razítky
- Google Certified CMP: Splňuje požadavky Google pro zobrazování reklam v EHP
- IAB TCF 2.3: Platné řetězce souhlasu pro programatickou reklamu
- Consent Mode V2: Nativní integrace Google pro kontinuitu měření
- 43 jazyků: Automatická lokalizace pro globální návštěvníky
- Geo-targeting: Regionálně vhodné bannery pro GDPR, CCPA, LGPD a další