GDPR + ePrivacy direktiva říkají to stejné přes 6 článků: bez souhlasu nesmíš sledovat, ukládat ani sdílet osobní údaje. Server-side tracking neobchází souhlas — usnadňuje compliance, protože ti dá kontrolu nad daty.
Checklist před spuštěním
- CMP banner — implementace Cookiebot, Usercentrics, OneTrust nebo vlastní. Musí být před načtením tracking skriptů.
- Consent Mode v2 — povinné pro Google Ads od 6.3.2024. Návod.
- Privacy policy — sekce „Jaké údaje sbíráme", „S kým je sdílíme", „Doba uchování".
- DPA s DataNostro — automaticky zaslaná po podpisu smlouvy, ke stažení v dashboardu (Nastavení → Smluvní dokumenty).
- Doba uchování — DataNostro uchovává tracking logy 90 dní (pro debug). Po 90 dnech automatické smazání.
- DSAR endpoint — možnost smazat data konkrétního uživatele. V dashboardu Tools → DSAR.
Subprocessory
DataNostro používá výhradně EU subprocessory:
- Hetzner (Falkenstein, Norimberk) — hosting tracking serveru
- Cloudflare R2 (EU region) — file storage
- Comgate — platby (CZ)
- Superfaktura / Fakturoid — fakturace (SK / CZ)
Všechny pod EU GDPR jurisdikcí. Žádný US transfer, žádný Schrems II problém.
Časté omyly
„Server-side tracking nepotřebuje souhlas." — Špatně. Souhlas je o účelu (sledování chování pro reklamu), ne o lokaci skriptu.
„Stačí mi pixel + GTM, server nepotřebuju." — Z čistě GDPR pohledu pravda, ale ITP/adblock ti ujídá data, takže nikdy nedosáhneš plné atribuce. Server-side je o kvalitě dat, ne o GDPR shortcuts.
Pomáháme s compliance
Pokud potřebuješ revizi privacy policy nebo CMP integraci, balík DataNostro Care Premium obsahuje právní review + nasazení Consent Mode v2 v ceně.