Digitální Omnibus — jak se změní GDPR a pravidla pro cookies
Co je Digital Omnibus
Evropská komise v listopadu 2025 představila návrh Digital Omnibus — rozsáhlý legislativní balíček, který mimo jiné mění GDPR a pravidla pro cookies. Klíčový posun: ePrivacy regulace byla stažena a pravidla pro cookies se přímo integrují do GDPR prostřednictvím nových článků 88a a 88b.
Cílem je zjednodušit regulační prostředí, snížit administrativní zátěž pro firmy a zároveň posílit kontrolu uživatelů nad svými daty. Legislativní proces by mohl být dokončen v polovině roku 2026.
Hlavní změny, které se dotknou každého webu
1. Analytické cookies bez souhlasu
Cookies používané čistě pro statistické účely — bez individuálního profilování — by mohly být povoleny bez souhlasu. Podmínka: sbírají se pouze agregovaná, anonymizovaná data.
To znamená, že základní měření návštěvnosti a dosahu webu by se výrazně zjednodušilo. Pozor ale: nástroje, které operují napříč více službami nebo platformami (typicky reklamní a cross-site tracking), nadále vyžadují souhlas.
2. Preference souhlasu na úrovni prohlížeče
Uživatel nastaví své preference jednou v prohlížeči nebo operačním systému — a weby je automaticky respektují prostřednictvím CMP. Odpadá opakované klikání na cookie lišty na každém webu.
Nový článek 88b reguluje, jak se souhlas, odmítnutí a námitky musí technicky vyjádřit — včetně automatizovaných, strojově čitelných signálů.
3. Šestiměsíční moratorium na opakovaný dotaz
Pokud uživatel odmítne souhlas, web se ho nesmí znovu ptát na totéž po dobu minimálně 6 měsíců. Konec neustálých cookie pop-upů po každém odmítnutí.
4. Zúžená definice osobních údajů
Data jsou „osobní" pouze tehdy, pokud konkrétní správce má prostředky k přiřazení dat ke konkrétní osobě. Samotná teoretická možnost identifikace nestačí. Komise společně s EDPB může stanovit kritéria, kdy pseudonymizovaná data přestanou být pro konkrétní subjekt osobními údaji.
Tento bod je kontroverzní — český ÚOOÚ i řada privacy advokátů se staví kriticky. Hrozí, že zúžení definice oslabí ochranu.
5. Vyšší práh pro hlášení úniků
Povinnost hlásit únik dat by se vztahovala pouze na incidenty s „vysokým rizikem" — ne na každé porušení. To snižuje administrativní zátěž, ale zvyšuje riziko, že menší úniky zůstanou nenahlášené.
6. Právo odmítnout nebo zpoplatnit opakované žádosti o přístup
Správci dat by mohli odmítnout nebo účtovat poplatek za zjevně nepřiměřené nebo opakované žádosti o přístup k údajům (čl. 15 GDPR).
Harmonogram
| Fáze | Termín |
|---|---|
| Návrh Komise | Listopad 2025 |
| Projednávání v Parlamentu a Radě | 2026 |
| Předpokládané přijetí | Polovina až konec roku 2026 |
| Vstup v platnost | 3 dny po publikaci v Úředním věstníku |
Co to znamená pro správu souhlasů
Digital Omnibus přináší pro CMP platformy zásadní změny:
- Podpora browser-level signálů — CMP bude muset umět číst a respektovat preference nastavené v prohlížeči.
- Granulární souhlas zůstává — článek 88a potvrzuje, že souhlas musí být granulární, snadno odvolatelný a získaný před nastavením cookies.
- 6měsíční cooldown — CMP musí sledovat, kdy uživatel naposledy odmítl, a neopakovat dotaz dříve než za 6 měsíců.
- Analytické cookies bez banneru — ale pouze pro agregovaná data bez cross-site trackingu.
Jak se Waulter připravuje
Waulter CMP sleduje legislativní vývoj Digital Omnibus a připravuje se na implementaci nových požadavků:
- Granulární souhlas je ve Waulter standardem od prvního dne — symetrické tlačítka, žádné přednastavené checkboxy.
- Blokování cookies před souhlasem — žádné trackery se nespustí bez platného souhlasu.
- Audit-ready záznamy — transparentní logy pro případ kontroly ze strany ÚOOÚ nebo jiného DPA.
Jakmile Digital Omnibus vstoupí v platnost, Waulter CMP bude aktualizován o podporu browser-level preferencí a 6měsíčního morátoria.
Zdroje: Finmag.cz, Taylor Wessing, Usercentrics, Didomi, White & Case