Všeobecné nariadenie o ochrane údajov (GDPR) zásadne zmenilo spôsob, akým organizácie zbierajú a spracúvajú údaje používateľov. Pre webovú analytiku to vytvára významné výzvy. Mnohé populárne analytické nástroje, najmä Google Analytics, čelili právnemu preskúmaniu a boli vyhlásené za nesúladné viacerými európskymi úradmi na ochranu údajov — hoci právny kontext sa neustále vyvíja.

Matomo ponúka alternatívu so zameraním na súkromie, ktorú je možné nakonfigurovať pre plný súlad s GDPR. Tento sprievodca vysvetľuje, ako nastaviť Matomo tak, aby spĺňalo regulačné požiadavky a zároveň zbieralo zmysluplné analytické dáta.

Pochopenie požiadaviek GDPR pre analytiku

GDPR stanovuje prísne pravidlá pre spracúvanie osobných údajov. Pre analytiku sú kľúčové tieto požiadavky:

Základné princípy GDPR

  • Zákonný základ: Potrebujete právny základ na spracúvanie osobných údajov (súhlas, oprávnený záujem atď.)
  • Minimalizácia údajov: Zbierajte len to, čo potrebujete
  • Obmedzenie účelu: Používajte dáta len na stanovené účely
  • Obmedzenie uchovávania: Neuchovávajte dáta dlhšie ako je nevyhnutné
  • Práva dotknutých osôb: Používatelia môžu pristupovať k svojim údajom, opravovať ich a vymazať
  • Prenosy údajov: Obmedzenia prenosu údajov mimo EÚ/EHP

Čo sa počíta ako osobné údaje?

Podľa GDPR osobné údaje zahŕňajú akékoľvek informácie, ktoré môžu identifikovať jednotlivca, priamo alebo nepriamo:

  • IP adresy (aj čiastočné/anonymizované v niektorých interpretáciách)
  • Odtlačky zariadení a jedinečné identifikátory
  • Cookies, ktoré môžu identifikovať používateľov naprieč sessions
  • User ID prepojené s inými osobnými informáciami
  • Behaviorálne dáta, ktoré by mohli identifikovať jednotlivcov

Maximálne sankcie

Nesúlad s GDPR môže mať za následok pokuty až do výšky 20 miliónov EUR alebo 4% ročného globálneho obratu, podľa toho, čo je vyššie. Najvyššia pokuta GDPR doteraz bola 1,2 miliardy EUR, uložená spoločnosti Meta v máji 2023 za nezákonné prenosy dát EÚ-USA.

Google Analytics a GDPR: Aktuálny právny stav

Vzťah medzi Google Analytics a súladom s GDPR bol sporný a naďalej sa vyvíja.

Historické rozhodnutia DPA proti Google Analytics

Po rozhodnutí Schrems II v júli 2020, ktoré zrušilo EU-US Privacy Shield, viaceré európske úrady na ochranu údajov rozhodli proti Google Analytics:

  • Rakúsko (DSB), január 2022: Rozhodlo, že GA porušuje GDPR kvôli prenosom dát do USA
  • Francúzsko (CNIL), február 2022: Vydalo formálne upozornenia webom používajúcim GA; zistilo porušenia článku 44 GDPR
  • Taliansko (GPDP), jún 2022: Vyhlásilo používanie GA za nezákonné bez adekvátnych záruk
  • Dánsko (Datatilsynet), september 2022: Varovalo, že používanie GA bez dodatočných záruk porušuje GDPR
  • Švédsko (IMY), jún 2023: Vydalo pokuty a príkazy na zastavenie používania GA
  • Nórsko (Datatilsynet), január 2025: Zverejnilo enforcement case proti GA4

EU-US Data Privacy Framework (2023)

10. júla 2023 Európska komisia prijala EU-US Data Privacy Framework (DPF), poskytujúc nový právny základ pre prenosy dát do amerických spoločností, ktoré sa samo-certifikujú na súlad. Google sa pripojil k DPF programu. V septembri 2025 Všeobecný súd EÚ zamietol námietku voči rámcu, čím potvrdil (zatiaľ), že USA poskytuje adekvátnu ochranu údajov.

Dôležité upozornenie: Stabilita DPF je neistá. V januári 2025 Trumpova administratíva odvolala demokratických členov Privacy and Civil Liberties Oversight Board (PCLOB), čím ho nechala bez kvóra. PCLOB je kľúčový dozorný mechanizmus uvedený 31-krát v rozhodnutí Komisie o adekvátnosti. Nórsky Datatilsynet odporučil podnikom pripraviť si núdzové plány pre prípad, že by DPF bol zrušený.

Kľúčové pretrvávajúce problémy s Google Analytics

  1. Súhlas vždy vyžadovaný: GA4 nastavuje cookies a zbiera osobné údaje (cookie identifikátory, IP adresy, identifikátory zariadení), čo vyžaduje explicitný súhlas podľa GDPR aj smernice ePrivacy
  2. Google Consent Mode v2: Od marca 2024 Google vyžaduje implementáciu Consent Mode v2 pre stránky prijímajúce EEA traffic
  3. Neúplná anonymizácia: Aj so zapnutou anonymizáciou IP môže Google potenciálne identifikovať používateľov cez iné signály
  4. Spracúvanie treťou stranou: Údaje môžu byť spracúvané spoločnosťou Google pre jej vlastné účely

Prečo je Matomo iné

Matomo bolo navrhnuté so súkromím ako základným princípom a ponúka niekoľko výhod:

Vlastníctvo a umiestnenie dát

  • Self-hosted možnosť: Uchovávajte všetky údaje na vlastných serveroch v EÚ
  • Matomo Cloud: Údaje uložené vo Frankfurte, Nemecko; spoločnosť sídli na Novom Zélande (ktorý má EÚ status adekvátnosti)
  • Žiadny prístup tretích strán: Vaše údaje sa nikdy nezdieľajú ani nespracúvajú tretími stranami
  • Plná kontrola nad údajmi: Exportujte, vymažte alebo upravte údaje podľa potreby pre compliance

Funkcie ochrany súkromia

  • Sledovanie bez cookies: Sledujte návštevníkov bez nastavovania akýchkoľvek cookies
  • Anonymizácia IP: Viacero úrovní maskovania IP adries
  • Podpora signálov súkromia: Voliteľne rešpektujte signály Do Not Track (DNT) a Global Privacy Control (GPC)
  • Vstavaný opt-out: Jednoducho implementovateľný mechanizmus opt-out pre používateľov
  • Kontroly uchovávania dát: Automatické mazanie starých dát
  • CNIL výnimka: Môže byť nakonfigurované pre sledovanie bez súhlasu podľa francúzskych (CNIL) smerníc

Konfigurácia Matomo pre súlad s GDPR

Postupujte podľa týchto krokov na konfiguráciu Matomo pre maximálny súlad s ochranou súkromia.

1. Povoľte sledovanie bez cookies

Sledovanie bez cookies vám umožňuje zbierať analytiku bez nastavovania akýchkoľvek cookies, čo vás potenciálne oslobodí od požiadaviek na súhlas podľa smernice ePrivacy v niektorých jurisdikciách (najmä Francúzsko, Španielsko, Taliansko a Holandsko, za špecifických podmienok).

// Konfigurácia JavaScript tracking kódu
var _paq = window._paq = window._paq || [];

// Úplne zakážte cookies
_paq.push(['disableCookies']);

// Štandardné nastavenie sledovania
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);

(function() {
  var u="//vasa-matomo-instancia.com/";
  _paq.push(['setTrackerUrl', u+'matomo.php']);
  _paq.push(['setSiteId', '1']);
  var d=document, g=d.createElement('script');
  g.async=true; g.src=u+'matomo.js';
  d.head.appendChild(g);
})();

Dôležité úvahy pre sledovanie bez cookies:

  • Matomo používa config_id — privacy-friendly hash založený na atribútoch návštevníka (OS, prehliadač, pluginy, anonymizovaná IP, jazyk) — ktorý sa resetuje denne. Toto nie je fingerprinting.
  • Metriky vracajúcich sa návštevníkov budú menej presné (návštevníkov nie je možné rozpoznať naprieč dňami)
  • Sledovanie sessions v rámci jedného dňa zostáva presné
  • Tento prístup je uznaný francúzskym CNIL pre potenciálnu výnimku zo súhlasu (keď sú splnené všetky ostatné podmienky)

2. Nakonfigurujte anonymizáciu IP

Matomo podporuje viacero úrovní anonymizácie IP. Pre maximálne súkromie anonymizujte IP adresy pred ich uložením.

V Matomo Admin prejdite na: Administrácia > Súkromie > Anonymizovať údaje

Odporúčané nastavenia:

  • Anonymizovať IP adresy návštevníkov: Povoliť
  • Maskovať bajty: Minimálne 2 bajty (posledné dva oktety, napr. 192.168.xxx.xxx); pre prísnejší súlad použite 3 bajty
  • Použiť anonymizovanú IP pre obohatenie návštev: Povoliť pre geolokáciu pred anonymizáciou

3. Nastavte politiky uchovávania dát

GDPR vyžaduje, aby ste neuchovávali údaje dlhšie ako je nevyhnutné. Nakonfigurujte automatické mazanie dát:

Prejdite na: Administrácia > Súkromie > Uchovávanie dát

Odporúčané obdobia uchovávania:

  • Pre CNIL výnimku (Francúzsko): Maximum 25 mesiacov pre surové dáta; životnosť cookie obmedzená na 13 mesiacov
  • Všeobecný súlad s GDPR: Surové dáta (návštevy, akcie): 90-180 dní, v závislosti od vašich analytických potrieb
  • Agregované reporty: Môžu sa uchovávať dlhšie, pretože neobsahujú osobné údaje
  • Mazať staré logy: Povoľte automatické mazanie tracking logov
# CLI príkaz pre manuálne mazanie dát
./console core:delete-logs-data --dates="2024-01-01,2024-03-31"

# Naplánovať pravidelné čistenie (crontab)
0 3 * * 0 /path/to/matomo/console core:purge-old-archive-data

4. Signály súkromia: Do Not Track (DNT) a Global Privacy Control (GPC)

Dôležitá aktualizácia: Do Not Track (DNT) je teraz zastaraný. Firefox odstránil podporu DNT vo februári 2025; Safari ho odstránil v 2019. Štandard DNT bol opustený W3C kvôli rozšírenému nedodržiavaniu zo strany webov.

Global Privacy Control (GPC) je moderná náhrada. GPC má právnu podporu podľa CCPA (Kalifornia), CPA (Colorado), CTDPA (Connecticut) a potenciálne podľa GDPR. Na rozdiel od DNT môžu byť weby v pokrytých jurisdikciách právne povinné rešpektovať GPC signály. GPC je podporovaný v Firefox, Brave, DuckDuckGo a rozšíreniach prehliadača.

Matomo stále podporuje DNT pre legacy účely:

// Povoliť podporu Do Not Track (legacy)
_paq.push(['setDoNotTrack', true]);

// Skontrolovať GPC signál (moderný prístup)
if (navigator.globalPrivacyControl) {
  // Používateľ požiadal o nesledovanie/nezdieľanie dát
  // Zvážte nesledovanie alebo aplikovanie privacy-preserving nastavení
  _paq.push(['disableCookies']);
}

V Matomo Admin: Administrácia > Súkromie > Opt-out používateľov

  • Povoľte "Podporovať preferenciu Do Not Track" (pre podporu legacy prehliadačov)

Poznámka: Matomo zatiaľ nemá natívnu GPC podporu vstavanú v admin paneli, ale môžete implementovať GPC detekciu cez JavaScript ako je ukázané vyššie, alebo cez integrácie consent management platformy (CMP).

5. Implementujte opt-out pre používateľov

Poskytnite používateľom jasný spôsob, ako sa odhlásiť zo sledovania. Matomo poskytuje vložiteľný opt-out iframe:

<!-- Matomo opt-out iframe -->
<iframe
  style="border: 0; height: 200px; width: 600px;"
  src="https://vasa-matomo-instancia.com/index.php?module=CoreAdminHome&action=optOut&language=sk"
></iframe>

Pre vlastnú implementáciu opt-out:

// Vlastné tlačidlo opt-out
function optOutMatomo() {
  _paq.push(['optUserOut']);
  document.getElementById('optout-status').textContent =
    'Boli ste odhlásení zo sledovania analytiky.';
}

function optInMatomo() {
  _paq.push(['forgetUserOptOut']);
  document.getElementById('optout-status').textContent =
    'Boli ste znovu prihlásení do sledovania analytiky.';
}

// Skontrolovať aktuálny stav
function checkOptOutStatus() {
  _paq.push([function() {
    if (this.isUserOptedOut()) {
      document.getElementById('optout-status').textContent =
        'V súčasnosti ste odhlásení.';
    }
  }]);
}

6. Nakonfigurujte správu súhlasov

Ak potrebujete sledovať s cookies alebo nemôžete použiť sledovanie bez cookies, implementujte správny súhlas. Matomo ponúka dva prístupy:

Možnosť A: Plný tracking súhlas (žiadne dáta sa neodosielajú kým sa neudelí súhlas):

// Vyžadovať súhlas pred akýmkoľvek sledovaním
_paq.push(['requireConsent']);

// Keď používateľ udelí súhlas (napr. cez cookie banner)
function giveAnalyticsConsent() {
  _paq.push(['setConsentGiven']);
}

// Sledovať odvolanie súhlasu
function withdrawAnalyticsConsent() {
  _paq.push(['forgetConsentGiven']);
}

// Zapamätať si súhlas pre budúce návštevy (vyprší po daných hodinách)
_paq.push(['rememberConsentGiven', 8760]); // 8760 hodín = 1 rok

Možnosť B: Len cookie súhlas (sledovanie pokračuje ale bez cookies kým sa neudelí súhlas):

// Vyžadovať súhlas pred použitím cookies (sledovanie stále funguje)
_paq.push(['requireCookieConsent']);

// Keď používateľ súhlasí s cookies
function giveCookieConsent() {
  _paq.push(['setCookieConsentGiven']);
}

// Zapamätať si cookie súhlas
_paq.push(['rememberCookieConsentGiven', 8760]);

Consent Management Platformy (CMP): Matomo sa integruje s populárnymi CMP vrátane Cookiebot, OneTrust, Osano, CookieYes, Complianz a ďalších. Pozrite si stránku Matomo Integrations pre implementačné sprievodcov.

7. Zakážte detekciu funkcií prehliadača (voliteľné)

Pre prísnejšie súkromie zakážte zber schopností prehliadača:

// Zakázať detekciu funkcií prehliadača
_paq.push(['disableBrowserFeatureDetection']);

Toto zabráni Matomu v prístupe k informáciám o rozlíšení prehliadača a podporovaných pluginoch.

Kompletná konfigurácia so zameraním na súkromie

Tu je kompletná konfigurácia tracking kódu pre maximálny súlad s GDPR:

var _paq = window._paq = window._paq || [];

// Nastavenia súkromia
_paq.push(['disableCookies']);
_paq.push(['setDoNotTrack', true]);

// Zakázať funkcie, ktoré môžu vyvolávať obavy o súkromie
_paq.push(['disableBrowserFeatureDetection']);

// Nesledovať používateľov naprieč viacerými doménami
_paq.push(['disableCrossDomainLinking']);

// Voliteľné: Skontrolovať Global Privacy Control
if (navigator.globalPrivacyControl) {
  console.log('GPC signál detekovaný - aplikujem vylepšené nastavenia súkromia');
}

// Štandardné sledovanie
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);

(function() {
  var u="//vasa-matomo-instancia.com/";
  _paq.push(['setTrackerUrl', u+'matomo.php']);
  _paq.push(['setSiteId', '1']);
  var d=document, g=d.createElement('script');
  g.async=true; g.src=u+'matomo.js';
  d.head.appendChild(g);
})();

Konfigurácia CNIL výnimky (Francúzsko)

Francúzsky úrad na ochranu údajov (CNIL) uznáva, že Matomo môže byť nakonfigurované pre meranie návštevnosti bez súhlasu. Aby ste sa kvalifikovali pre túto výnimku, musíte splniť všetky nasledujúce podmienky:

Požadovaná konfigurácia pre CNIL výnimku

  1. Zakázať Visits Log a Visitor Profile: Prejdite na Administrácia > Systém > Všeobecné nastavenia a zakážte tieto funkcie
  2. Nepoužívať sledovanie User ID: Overte v Návštevníci > User IDs, že sa nezbierajú žiadne dáta
  3. Nepoužívať E-commerce sledovanie: E-commerce dáta prepájajú nákupy s jednotlivcami
  4. Nepoužívať cross-domain sledovanie: Každá doména musí byť sledovaná samostatne
  5. Nepoužívať third-party cookies: Povolené sú len first-party cookies (ak nejaké)
  6. Anonymizovať IP adresy: Minimum 2 bajty
  7. Obmedziť uchovávanie dát: Životnosť cookie max 13 mesiacov; zozbierané dáta max 25 mesiacov
  8. Poskytnúť mechanizmus opt-out: Jasný a prístupný na vašej stránke s politikou ochrany súkromia
  9. Nezdieľať dáta s tretími stranami: Dáta musia byť použité výhradne na meranie návštevnosti
  10. Nepoužívať UTM campaign parametre: Nedávne CNIL usmernenie naznačuje, že UTM sledovanie môže zrušiť výnimku

Dôležité: CNIL výnimka je špecifická pre Francúzsko. Iné krajiny EÚ môžu mať odlišné interpretácie. Krajiny ako Španielsko, Taliansko a Holandsko tiež povoľujú výnimky pre privacy-friendly analytiku za špecifických podmienok. Vždy overte požiadavky s lokálnym usmernením.

Kontrolný zoznam súladu s GDPR

Použite tento kontrolný zoznam na overenie, že vaša inštalácia Matomo je v súlade s GDPR:

Zber dát

  • Sledovanie bez cookies povolené (alebo získaný súhlas pre cookies)
  • Anonymizácia IP nakonfigurovaná (minimum 2 bajty, preferovaná 3)
  • Signály súkromia zohľadnené (DNT legacy podpora; GPC implementácia ak aplikovateľné)
  • Mechanizmus opt-out pre používateľov implementovaný a prístupný
  • Nezbierajú sa žiadne nepotrebné osobné údaje
  • Detekcia funkcií prehliadača zakázaná (ak sa vyžaduje prísnejšie súkromie)

Uchovávanie dát

  • Dáta uložené v EÚ/EHP (self-hosted) alebo pomocou Matomo Cloud (Frankfurt, Nemecko)
  • Nakonfigurované obdobia uchovávania dát primerané
  • Staré dáta automaticky vymazávané
  • Prístup k databáze správne zabezpečený
  • Zálohy šifrované a v jurisdikciách so súladom

Dokumentácia

  • Politika ochrany súkromia aktualizovaná s uvedením Matomo a vysvetlením zberu dát
  • Zdokumentovaný právny základ pre spracúvanie (súhlas, oprávnený záujem alebo výnimka)
  • Dohoda o spracúvaní údajov (DPA) na mieste (ak používate Matomo Cloud)
  • Aktualizované záznamy o činnostiach spracúvania (ROPA)

Práva používateľov

  • Proces na vybavovanie žiadostí o prístup k údajom (SAR)
  • Schopnosť vymazať údaje jednotlivých používateľov
  • Opt-out rešpektovaný naprieč všetkým sledovaním
  • Mechanizmus cookie súhlasu (ak sa používajú cookies) spĺňa štandard GDPR

Šablóna politiky ochrany súkromia

Zahrňte podobný text do vašej politiky ochrany súkromia:

Analytika

Používame Matomo, analytickú platformu so zameraním na súkromie, na pochopenie toho, ako návštevníci interagujú s naším webom. [Vyberte jednu z nasledujúcich možností podľa vášho nastavenia:]

Pre self-hosted: Matomo je self-hosted na našich serveroch v Európskej únii, čo znamená, že vaše dáta nikdy neopustia našu infraštruktúru ani nie sú zdieľané s tretími stranami.

Pre Matomo Cloud: Používame Matomo Cloud, ktorý ukladá všetky dáta vo Frankfurte, Nemecko. Službu prevádzkuje InnoCraft Ltd (Nový Zéland), ktorý má EÚ status adekvátnosti, a dáta nie sú nikdy zdieľané s tretími stranami.

Nakonfigurovali sme Matomo tak, aby:

  • Nepoužívalo cookies na sledovanie [alebo: Používalo cookies len s vaším súhlasom]
  • Anonymizovalo vašu IP adresu
  • Rešpektovalo signály súkromia (Do Not Track / Global Privacy Control)
  • Automaticky mazalo surové dáta po [X] dňoch/mesiacoch

Právny základ: [Vyberte: Spracúvame tieto dáta na základe nášho oprávneného záujmu na pochopení používania webu / Zbierame tieto dáta len po získaní vášho súhlasu / Táto konfigurácia analytiky sa kvalifikuje pre výnimku zo súhlasu podľa [aplikovateľného nariadenia]].

Môžete sa kedykoľvek odhlásiť zo sledovania analytiky pomocou ovládacieho prvku nižšie:

[Opt-out iframe alebo tlačidlo]

Dodatočné úvahy o súlade

Smernica ePrivacy

Smernica ePrivacy (implementovaná cez národné zákony) upravuje cookies a sledovacie technológie oddelene od GDPR. Kľúčové body:

  • Súhlas je vyžadovaný pred umiestnením neesenciálnych cookies na zariadenia používateľov
  • Analytika bez cookies môže byť oslobodená v niektorých jurisdikciách (Francúzsko, Španielsko, Taliansko, Holandsko) za špecifických podmienok
  • Krajiny ako Nemecko (TDDDG/TTDSG) môžu vyžadovať súhlas pre akékoľvek client-side sledovanie
  • Vždy skontrolujte vašu špecifickú národnú implementáciu

Cezhraničné úvahy

Ak váš web slúži návštevníkom z viacerých jurisdikcií:

  • Zvážte implementáciu geo-based pravidiel súhlasu cez váš CMP
  • Aplikujte najprísnejší štandard ako váš základ
  • Dokumentujte váš prístup pre každú jurisdikciu

Nad rámec súladu

Súlad s GDPR je minimálna požiadavka. Zvážte tieto dodatočné opatrenia na ochranu súkromia:

  • Pravidelné audity súkromia: Preskúmajte vašu implementáciu sledovania štvrťročne
  • Privacy by default: Začnite s minimálnym sledovaním a pridávajte len to, čo potrebujete
  • Transparentnosť: Buďte voči používateľom jasní o tom, čo sledujete a prečo
  • Školenia: Zabezpečte, aby váš tím rozumel požiadavkám na súkromie
  • Zostaňte aktuálni: Interpretácia GDPR sa vyvíja; sledujte usmernenia DPA, súdne rozhodnutia a regulačné aktualizácie
  • Núdzové plánovanie: Vzhľadom na neistotu EU-US Data Privacy Framework zvážte, ako by sa vaša analytická stratégia prispôsobila ak by bol rámec zrušený

So správnou konfiguráciou vám Matomo umožňuje zbierať cenné analytické poznatky pri plnom rešpektovaní súkromia používateľov a splnení požiadaviek GDPR. Počiatočná investícia do nastavenia sa vyplatí v zníženej právnej expozícii a zvýšenej dôvere používateľov.

Posledná aktualizácia: Január 2026. Predpisy o ochrane súkromia sa neustále vyvíjajú. Tento sprievodca odráža súčasné pochopenie, ale nemal by byť považovaný za právne poradenstvo. Konzultujte s kvalifikovaným právnym profesionálom pre usmernenie špecifické pre vašu situáciu.