Regulační prostředí ochrany soukromí pro Google Ads je nyní fragmentováno napříč 5 hlavními režimy, každý s vlastním modelem souhlasem, požadavky na nakládání s daty a sankcemi. Globální inzerent inzerující v USA, Evropě, GCC, Indii a Brazílii musí navigovat GDPR + Consent Mode v2 (EU/EEA), CCPA/CPRA (USA), DPDP (Indie), PDPL (Saúdská Arábie) a LGPD (Brazílie) — pět rámců, které sdílí principy, ale liší se v provádění. Chybné nastavení jakéhokoli z nich vede k pokutám, pozastavení účtu a ztrátě schopností (např. Customer Match v EU vyžaduje Consent Mode v2).
Tento průvodce je srovnávacím regulačním referenčním dokumentem pro PPC operace v roce 2026. Pokrýváme, co každý předpis vyžaduje, jaké jsou praktické dopady na Google Ads a univerzální server-side + Consent-Mode-v2 architekturu, která splňuje všech pět najednou. Plus 12měsíční plán migrace pro inzerenty, kteří v současnosti nejsou v souladu.
Aktualizováno 2026-05-08 tak, aby odráželo post-DPDP vymáhání, post-PDPL vyspělost a stabilní chování Consent Mode v2.
Proč je ochrana soukromí ve více regionech prioritou roku 2026
Tři síly se sblížily v letech 2024–2026, aby dodržování předpisů o ochraně soukromí v několika regionech učinily nevyhnutelným:
1. Vymáhání se zintenzivnilo. Italské, španělské, francouzské DPA vydaly mnohamilionové pokuty v eurech v letech 2022–2024. Indický DPB vybudoval infrastrukturu pro vymáhání v letech 2024–2025. Saúdská SDAIA rozšířila personál pro vymáhání PDPL. Brazilská ANPD zvýšila pokuty LGPD.
2. Ztráta schopností při nedodržování. Customer Match v EU vyžaduje Consent Mode v2 od roku 2024. Bez správného nastavení souhlasů doslova nemůžete používat vlastní publika. Další brány přicházejí pro inzerenty, kteří nedodržují předpisy globálně.
3. Weby pro více regionů jsou normou. SaaS společnost s uživateli v USA, EU, Indii a Brazílii nemůže provozovat samostatné weby pro každý region — ale regulační režim každého regionu se vztahuje na jeho návštěvníky. Geo-rozpoznávající dodržování předpisů je jediné praktické řešení.
Důsledek: PPC operace v roce 2026 vyžadují globální architekturu ochrany soukromí, ne regionální záplaty. Server-side GTM + geo-rozpoznávající CMP + Consent Mode v2 je jednotné řešení, které tento průvodce podrobně popisuje.
GDPR + Consent Mode v2 (EU/EEA)
Rozsah. GDPR se vztahuje na zpracování osobních údajů rezidentů EU/EEA bez ohledu na to, kde sídlí správce.
Základní požadavky pro reklamní sledování.
- Opt-in souhlas před jakýmkoli nezbytným sledováním (cookies, pixely, fingerprinting).
- Granulovaný souhlas (reklama, analytika, personalizace samostatně).
- Odvolání musí být stejně snadné jako udělení souhlasu.
- Zdokumentovaný právní základ (obvykle souhlas pro reklamu).
- Mechanismy přeshraničního přenosu (SCC, rozhodnutí o přiměřenosti) pro cíle dat mimo EU.
Consent Mode v2 konkrétně. Povinný v EU/EEA od roku 2024 pro inzerenty Google Ads. Dvě varianty: Basic Consent Mode (žádné měření při odmítnutí souhlasu) a Advanced Consent Mode (modelované konverze při odmítnutí souhlasu). Většina inzerentů používá Advanced pro plné zachování signálu Smart Bidding.
Sankce. Až 4 % ročního globálního obratu nebo 20 milionů EUR, podle toho, co je vyšší. Nedávné významné pokuty: Meta 1,2 miliardy EUR (2023), Amazon 746 milionů EUR (2021), Google 50 milionů EUR (CNIL 2019).
Praktický dopad na Google Ads. Bez Consent Mode v2: Customer Match zakázán v EU, signál Smart Bidding zhoršen o 20–40 %, modelované konverze nedostupné. S Consent Mode v2: plná funkčnost zachována při respektování souhlasu uživatele.
Pro implementaci si prohlédněte náš průvodce server-side sledováním.
CCPA / CPRA (Kalifornie + státní zákony USA)
Rozsah. CCPA/CPRA se vztahuje na rezidenty Kalifornie. Několik dalších amerických států (Virginia VCDPA, Colorado CPA, Connecticut CTDPA, Utah UCPA, Texas DPDPA od roku 2024) má podobné zákony. Do roku 2026 má přibližně 15 amerických států komplexní zákony o ochraně soukromí.
Základní požadavky pro reklamní sledování.
- Model opt-out (odlišný od opt-in GDPR).
- Požadovaný odkaz "Do Not Sell My Personal Information".
- Respektování signálu Global Privacy Control (GPC) jako platného opt-out.
- Zveřejnění kategorií osobních údajů prodaných nebo sdílených.
- Roční vyřizování žádostí o práva na data (právo vědět, smazat, opravit).
Consent Mode pro Kalifornii. Nakonfigurujte svůj CMP tak, aby odesílal opt-out signály (ad_storage='denied', analytics_storage='granted' nebo 'denied' podle volby uživatele), když je detekován GPC nebo uživatel odmítne přes banner.
Sankce. Až 7 500 USD za úmyslné porušení, 2 500 USD za neúmyslné. Hromadné žaloby povoleny za porušení dat. Celkové pokuty nižší než GDPR, ale kumulují se napříč mnoha uživateli.
Praktický dopad na Google Ads. Většina kalifornského provozu stále umožňuje sledování (opt-out je vzácný). Ale: adopce GPC roste v letech 2024–2026; inzerenti musí respektovat GPC, aby se vyhnuli akcím generálního prokurátora. Výchozí sledování Google Ads funguje v rozsahu CCPA; CMP musí prominentně zobrazovat odkaz "Do Not Sell".
Zákon DPDP (Indie)
Rozsah. Zákon DPDP se vztahuje na osobní údaje osob v Indii bez ohledu na to, kde sídlí fiduciář dat (správce). Extrateritoriální rozsah podobný GDPR.
Základní požadavky pro reklamní sledování.
- Opt-in souhlas před zpracováním (podobný GDPR).
- Konkrétní, informovaný, jednoznačný souhlas.
- Oznámení v jasném jazyce (pro Indii doporučeno vícejazyčné).
- Minimalizace dat a omezení účelu.
- Údaje dětí (do 18 let) vyžadují ověřitelný souhlas rodičů.
Harmonogram implementace. Zákon DPDP přijat v srpnu 2023; pravidla účinná v etapách 2024–2025. Do roku 2026 povinné plné dodržování.
Sankce. Až 250 crore rupií (přibližně 30 milionů USD) za porušení. Vymáhá indický DPB; žádný globální strop obratu, ale absolutní limity jsou významné.
Praktický dopad na Google Ads. Indický provoz vyžaduje opt-in souhlas banner. Doporučen vícejazyčný CMP (minimálně hindština + angličtina; regionální jazyky pro dosah na úrovni států). Sledování Google Ads by mělo respektovat signály souhlasů přes Consent Mode v2 stejně jako EU.
PDPL (Saúdská Arábie + varianty GCC)
Rozsah. Saúdskoarabský zákon o ochraně osobních údajů (PDPL) se vztahuje na osobní údaje osob v KSA. Ostatní země GCC (UAE federální vyhláška-zákon 45/2021, Katar zákon 13/2016, Bahrajn PDPL) mají podobné, ale odlišné rámce.
Základní požadavky pro reklamní sledování.
- Opt-in souhlas před zpracováním.
- Rezidence dat: určité kategorie musí být uloženy v KSA (finanční, zdravotní, vládní data).
- Přeshraniční přenos vyžaduje schválení regulátora.
- Povinnosti oznamování porušení.
Harmonogram implementace. PDPL účinný od března 2023; plné vymáhání od roku 2024. SDAIA (Saúdský orgán pro data a AI) vydává předpisy a zajišťuje vymáhání.
Sankce. Až 5 milionů SAR (přibližně 1,3 milionu USD) plus možná trestní odpovědnost za závažná porušení zahrnující citlivá data. Podrobná matice pokut podle druhu porušení.
Praktický dopad na Google Ads. Pro provoz z KSA doporučen dvojjazyčný CMP (arabština + angličtina). Server-side architektura pomáhá s dodržováním rezidence dat (kontrola nad tím, co překračuje hranice). Sledování Google Ads přes Consent Mode v2 respektuje opt-in.
LGPD (Brazílie)
Rozsah. Lei Geral de Proteção de Dados (LGPD) se vztahuje na osobní údaje osob v Brazílii. Extrateritoriální rozsah podobný GDPR.
Základní požadavky pro reklamní sledování.
- Opt-in souhlas pro reklamu a nezbytné sledování (jeden z 10 právních základů).
- Práva subjektů údajů podobná GDPR (přístup, smazání, přenositelnost).
- Pro některé subjekty vyžadován pověřenec pro ochranu dat (DPO).
- Oznamování porušení ANPD (brazilský DPA).
Sankce. Až 2 % brazilského obratu (omezeno na 50 milionů R$ za porušení). ANPD aktivně vymáhá od roku 2023 do roku 2026 s průběžným nárůstem velikosti pokut.
Praktický dopad na Google Ads. Portugalský CMP pro brazilský provoz. Implementace Consent Mode v2 podobná EU. ANPD vydala konkrétní pokyny k reklamním cookies a pixelům (2024); ujistěte se, že CMP odpovídá.
Server-side architektura fungující všude
Jednotná architektura splňující všech 5 režimů:
Vrstva 1 — Geo-rozpoznávající CMP (Cookiebot, OneTrust, Didomi, vlastní řešení). Detekuje polohu návštěvníka přes IP/geolokaci. Aplikuje regionální tok:
- EU/UK: GDPR opt-in
- Kalifornie: CCPA opt-out + respektování GPC
- Indie: DPDP opt-in (vícejazyčné)
- KSA/GCC: PDPL opt-in (dvojjazyčné)
- Brazílie: LGPD opt-in (portugalsky)
- Výchozí: opt-in (bezpečnější než opt-out)
Vrstva 2 — Server-side GTM (sGTM) hostovaný na Google Cloud nebo Stape. Přijímá události od klienta; aplikuje signály souhlasů; přeposílá reklamním platformám pouze to, co je povoleno. Jediný zdroj pravdy pro konfiguraci tagů.
Vrstva 3 — Google tag (gtag.js) s Consent Mode v2. Nakonfigurován k odesílání signálů ad_storage, analytics_storage, ad_user_data, ad_personalization odrážejících souhlas uživatele. Modelované konverze se aktivují při odmítnutém souhlasu.
Vrstva 4 — Enhanced Conversions a nahrávání offline konverzí. Hashovaný e-mail/telefon (SHA-256) odeslaný server-to-server když souhlas umožňuje. Nahrávání offline konverzí přes API pro B2B/long-cycle atribuci.
Vrstva 5 — Protokolování auditu. Každé rozhodnutí o souhlasu a spuštění tagu zaznamenáno pro regulační audit. Roční přehled datových toků zdokumentován.
Pro specifika server-side si prohlédněte náš průvodce sGTM.
Srovnávací matice regionů
4 opt-in režimy (GDPR, DPDP, PDPL, LGPD) mají prakticky identické implementační vzory; opt-out CCPA je výjimkou. Jednotná architektura zvládá obě varianty s geo-rozpoznávajícím CMP routingem.
Plán migrace (12 měsíců)
Blok HowTo výše poskytuje podrobný 12měsíční plán. Klíčové milníky:
- Měsíc 2: Audit dokončen; zásobník vybrán.
- Měsíc 4: sGTM a CMP nasazeny; signály souhlasů proudí.
- Měsíc 6: Consent Mode v2 plně aktivní; modelované konverze ověřeny.
- Měsíc 9: Enhanced Conversions a offline uploady v provozu.
- Měsíc 12: Plný audit dokončen; dokumentace finalizována; tým proškolen.
Pro účty pod akutním regulačním tlakem (aktivní šetření DPA, nedávné porušení) urychlte na 6měsíční harmonogram s dedikovaným týmem pro dodržování předpisů/vývoj.
Nastavení dodržování předpisů pro více regionů typicky stojí 15 000–60 000 USD úvodní + 1 000–3 500 USD/měsíc průběžně (CMP + hosting sGTM + údržba). Jedna pokuta GDPR tato čísla často překročí 10–100×; jedno regulační šetření stojí měsíce právního času. Dodržování předpisů berte jako pojištění, ne jako nákladové centrum.
Tento průvodce ochranou soukromí pro více regionů je čtvrtletně aktualizován SteerAds. Poslední aktualizace: 2026-05-08. Regulační informace jsou informativní; pro konkrétní poradenství v oblasti dodržování předpisů se obraťte na svého právního poradce. Jednotná server-side + Consent Mode v2 architektura je dominantní vzor roku 2026 pro globální inzerenty.
Pro doplňkové čtení si prohlédněte náš průvodce server-side sledováním, náš průvodce konverzním sledováním a náš PPC playbook pro zdravotnictví. Chcete-li porovnat dodržování sledování s těmito režimy, spusťte náš bezplatný audit.
Zdroje
Oficiální zdroje použité v tomto průvodci:
FAQ
Potřebuji Consent Mode v2, i když nejsem v Evropě?
Striktně povinný pouze pro inzerenty využívající Google Ads s provozem z EU/EEA od roku 2024. Mimo EU není Consent Mode v2 právně vyžadován — ale Google ho stále více doporučuje jako výchozí implementaci tagu. CCPA/CPRA v Kalifornii má jiné požadavky (opt-out signál, ne opt-in). DPDP, PDPL a LGPD mají vlastní rámce založené na souhlasu. Nejlepší praxe 2026: implementujte Consent Mode v2 globálně jako základ s regionálním přizpůsobením CMP pro opt-in vs opt-out a nakládání s právy subjektů údajů.
Co se stane, když nebudu dodržovat GDPR pro sledování Google Ads?
Pokuty GDPR mohou dosáhnout 4 % ročního globálního obratu nebo 20 milionů EUR (podle toho, co je vyšší). Italský DPA pokutoval Cookiebot 1 milionem EUR v roce 2023 za nedostatky v souhlasu s cookies; španělský DPA pokutoval samotný Google 10 miliony EUR v roce 2022 za problémy se souhlasem. Nad rámec pokut: Customer Match v EU vyžaduje Consent Mode v2 od roku 2024 — bez něj je celá remarketingová schopnost EU vypnuta. Praktický dopad: 20–40% snížení efektivity PPC v EU plus regulační riziko.
Je server-side sledování nutné pro dodržování předpisů?
Zákon to striktně nevyžaduje ve většině regionů, ale dodržování předpisů je s ním výrazně snazší. Server-side GTM (sGTM) vám umožňuje přesně kontrolovat, jaká data opouštějí vaše prostředí a jdou na reklamní platformy. Můžete redakovat PHI/PII na straně serveru, konzistentně hashovat identifikátory, aplikovat signály souhlasu před přeposíláním a auditovat datové toky. Vyžadováno pro inzerování ve zdravotnictví v rozsahu HIPAA v USA. Silně doporučeno pro jakýkoli účet s výdaji nad 50 000 USD/měsíc nebo v regulovaných odvětvích.
Co konkrétně je Consent Mode v2?
Consent Mode v2 je rámec Googlu pro přizpůsobení chování tagů na základě signálů souhlasu uživatele. Když uživatelé odmítnou sledování, Consent Mode v2 posílá modelované (bez cookies) konverzní signály do Google Ads místo surových událostí, čímž zachovává kvalitu signálu Smart Bidding. Implementuje se prostřednictvím Google tagu (gtag.js) nebo GTM s konfigurací zohledňující souhlas. Povinné v EU/EEA od roku 2024 pro inzerenty Google Ads; globálně doporučené.
Jak se CCPA liší od GDPR pro inzerenty?
GDPR vyžaduje opt-in souhlas před jakýmkoli nezbytným sledováním. CCPA/CPRA vyžaduje opt-out — sledování je ve výchozím stavu povoleno, ale uživatelé mohou odmítnout prostřednictvím signálů 'Do Not Sell My Personal Information'. Google respektuje hlavičku GPC (Global Privacy Control) jako opt-out signál CCPA od roku 2023. Prakticky: GDPR vyžaduje cookie banner s explicitním opt-in; CCPA vyžaduje odkaz 'Do Not Sell' nebo respektovaný GPC. Weby pro více regionů obvykle implementují CMP s geo-rozpoznáváním přizpůsobující se poloze návštěvníka.
Jaký je harmonogram indického zákona DPDP?
Zákon DPDP byl přijat v srpnu 2023; pravidla účinná v etapách 2024–2025. Termíny implementace pro většinu ustanovení: konec roku 2024 až polovina roku 2025. Do roku 2026 je plné dodržování povinné pro každého inzerenta zaměřujícího se na Indii. Požadavky na souhlas podobné GDPR (opt-in pro nezbytné sledování). Pokuty až 250 crore rupií (přibližně 30 milionů USD) za porušení. Dodržování vymáhá indický DPB (Rada pro ochranu dat); žádný strop 4 % obratu jako u GDPR, ale absolutní limity jsou významné.
Platí saúdskoarabský PDPL pro inzerenty mimo Saúdskou Arábii?
Ano, pokud zpracováváte osobní údaje osob v Saúdské Arábii. Extrateritoriální rozsah podobný GDPR. PDPL účinný v etapách 2023–2024 s plným vymáháním od roku 2024. Vyžaduje explicitní souhlas pro zpracování, úvahy o rezidenci dat (některé kategorie musí být uloženy v KSA) a oznamování porušení. Vymáhá SDAIA (Saúdský orgán pro data a AI). Pokuty zahrnují pokuty až 5 milionů SAR plus možnou trestní odpovědnost za závažná porušení.
Jak mám zpracovávat konverzní sledování pro mezinárodní inzerenty?
Geo-rozpoznávající platforma pro správu souhlasů (CMP — Cookiebot, OneTrust, Didomi) detekující polohu návštěvníka a aplikující správný tok souhlasů pro každý region. Server-side GTM kontejner jako jediný zdroj pravdy pro konfiguraci tagů. Pravidla spouštění tagů pro každý region respektující: GDPR opt-in pro provoz EU, opt-out signály CCPA pro Kalifornii, PDPL/DPDP/LGPD opt-in pro příslušné regiony. Zdokumentovaný audit datových toků ročně. Standardní nastavení roku 2026 pro každého globálního inzerenta.