TL;DR Bloomberg začátkem května 2026 prošel weby dvaceti amerických státních zdravotních pojišťoven. Skoro všechny posílaly data o žadatelích velkým tech firmám: Metě, TikToku, Snapu, LinkedInu. Etnický původ. Občanství. PSČ. V New Yorku i informaci, že má někdo člena rodiny ve vězení. Nikdo nic nehackl. Stačil kousek kódu, který tam roky tiše běžel a nikdo ho neřešil: sledovací pixel. V Česku je to stejné. VZP, doktor.cz, ulekare.cz, drtivá většina zdravotních webů má Meta Pixel a Google Analytics. GDPR tohle nezakazuje. GDPR to legalizuje přes cookie lištu, kterou odklikáváš každé ráno. Tenhle článek vysvětluje, jak pixel funguje, co o tobě reálně ví, a pět věcí, co s tím uděláš ještě dnes.
Představ si, že jdeš k lékaři. V čekárně sedí cizí člověk. Neznáš ho, nepředstavil se. Celou dobu, co jsi uvnitř, si zapisuje: kdy jsi přišel, na co sis stěžoval, jakou diagnózu sis cestou vygoogloval. Pak vstane a odejde. Toho člověka platí někdo jiný než ty a než tvoje pojišťovna.
V čekárně se to neděje. Děje se to ve tvém prohlížeči. A děje se to právě teď.
Proč o tom píšeme zrovna teď
- května 2026 vyšlo vyšetřování agentury Bloomberg. Novináři prošli tisíce stránek na webech dvaceti amerických státních zdravotních pojišťoven plus pojišťovacího trhu ve Washingtonu D.C. Hledali jednu věc: reklamní sledovací kódy. Našli je skoro všude.
Přes těchhle dvacet webů si během jediného roku koupilo zdravotní pojištění víc než sedm milionů Američanů. Sedm milionů lidí, kteří vyplnili formulář o svém zdraví, příjmu, rodině a původu. A v drtivé většině případů ten formulář mlčky posílal kopii někam, kde nikdo z těch sedmi milionů netušil.
Není to nehoda jedné firmy. Je to vzorec. A není to jen v Americe.
Tenhle text si rozebereme klidně a do hloubky, protože jednorázové varování typu „pozor na cookies" nikoho nikdy nezachránilo. Zachrání tě, když pochopíš, jak ta věc funguje. Pak ji uvidíš sám/sama a už ti nikdo nemusí nic říkat.
Co je sledovací pixel a proč ho nikdy neuvidíš
Začneme tou nejdůležitější věcí, kterou většina článků o „ochraně soukromí" přeskakuje. Co to vlastně ten pixel je.
Sledovací pixel není virus. Není to malware. Není to nic, co by se k tobě vloupalo. Je to kousek kódu, který majitel webu sám dobrovolně vloží na svoje stránky. Původně to byl doslova obrázek velký jeden krát jeden bod, průhledný, neviditelný. Dnes je to většinou kousek JavaScriptu. Funkce zůstala stejná.
Jak to chodí krok za krokem:
- Otevřeš web pojišťovny. Tvůj prohlížeč stáhne stránku.
- Spolu se stránkou stáhne i ten pixel. A pixel udělá jedinou věc: tvůj prohlížeč na pozadí kontaktuje server Meta nebo TikToku.
- Té firmě řekne přesně tohle: „Tady je člověk. Je u něj cookie Facebooku číslo XY. Právě otevřel stránku
pojistovna.cz/kalkulacka/diabetes." - Meta si tu cookie spáruje s tvým účtem. Ví, že XY jsi ty. Tváře, jméno, kamarádi, všechno.
- K tvému profilu si přidá řádek: tenhle člověk se v úterý ve 21:14 díval na kalkulačku pojištění pro diabetiky.
Nikdo nic neprolomil. Tvůj prohlížeč udělal přesně to, k čemu byl postavený. Server poslechl. Firma dostala data. Celé to trvalo zlomek vteřiny a ty jsi nic neviděl/a, protože vidět nebylo co.
Tady je věc, kterou ti řeknu z vlastní zkušenosti. Posledních čtrnáct let dělám v IT a v oblasti řízení rizik a compliance, část z toho přímo audity ochrany osobních údajů pro firmy. A Meta Pixel jsem našel skoro na každém druhém webu, který jsem kontroloval. Skoro nikdy ho tam nikdo nevložil s myšlenkou „chci posílat data Metě". Vložil ho tam marketér v roce 2021, aby uměl měřit reklamu, zkopíroval pět řádků z návodu, a od té doby na ten kód nikdo nesáhl. Pixel je nejtišší zaměstnanec firmy. Nikdy nemá dovolenou, nikdy neonemocní a posílá reporty někomu úplně jinému.
Co konkrétně Bloomberg našel
Teď to konkrétní. Žádné obecné „data unikla", ale jména států a typy informací, protože v konkrétnu je to teprve nepříjemné.
Stát Washington posílal TikToku odpovědi žadatelů na otázku po pohlaví a po občanství. A taky část údajů o etnickém původu, které měl filtr odchytit, ale neodchytil.
Virginie měla na webu kalkulačku, která ti spočítá výši pojistného. Ta kalkulačka posílala Metě tvoje PSČ.
New York byl nejhorší. Tamní trh sdílel s TikTokem, Metou, Snapem a Microsoftím LinkedInem informaci o tom, kterými stránkami jsi během vyplňování žádosti prošel. Včetně stránky, kde žadatel uváděl, že má člena rodiny ve vězení.
Zastav se u toho posledního na chvíli. Ne kvůli emoci, ale kvůli logice. To není zdravotní údaj v běžném smyslu. Je to údaj o tvojí rodině, o tvojí situaci, o věci, kterou bys většině lidí ve svém okolí nikdy neřekl/a. A šel rovnou do reklamního systému čtyř firem.
Tech firmy na dotaz Bloombergu odpověděly v zásadě shodně. Meta, TikTok, LinkedIn, Snap i Google řekly, že jejich pravidla zakazují inzerentům posílat citlivá a zdravotní data, a že odpovědnost za dodržení leží na inzerentovi, tedy na té pojišťovně. Jinými slovy: my jsme ta data dostali, ale neměli jste nám je posílat, takže to není náš problém.
Washington a Virginie po dotazu Bloombergu část trackerů z webů odstranily. Tichý doznávací posun. Kdyby tam nepatřily, nemusely by je odstraňovat.
„Ale to jsou anonymní statistiky, ne?" Ne, nejsou
Tohle je nejčastější námitka a stojí za to ji rozbít, protože na ní stojí celý klid svědomí dotčených firem.
Argument zní: data jsou agregovaná a anonymizovaná, je to jen statistika, nikdo nepozná, žes to byl ty. Problém je, že „anonymní" je v roce 2026 skoro vždycky marketingové slovo, ne technický fakt.
Pixel neposílá tvoje jméno. To je pravda. Posílá ale balík dalších signálů: cookie tvého prohlížeče, IP adresu, model zařízení, rozlišení obrazovky, verzi systému, jazyk, časové pásmo. Téhle kombinaci se říká otisk prohlížeče a u většiny lidí je unikátní jako otisk prstu. A hlavně: Meta a TikTok nepracují s prázdnou databází. Mají tvůj profil. Mají miliardu profilů. Spárovat „anonymní" návštěvu zdravotního webu s konkrétním účtem pro ně není detektivní práce, je to základní funkce systému. Přesně proto ten pixel existuje. Kdyby data zůstala opravdu anonymní, byla by inzerentovi k ničemu.
Takže až příště uslyšíš „neboj, je to anonymizované", přelož si to. Znamená to „neposlali jsme jim přímo tvoje rodné číslo". Neznamená to „nevědí, že jsi to ty".
To je první věc z tohohle článku, která trochu škrábe. A je jich tu víc.
Nemocnice: 664 systémů, přes padesát žalob a Zuckerberg u soudu
Pojišťovny v tom nejedou samy. Pixel na zdravotních webech je velký, dlouhý a dobře zdokumentovaný příběh.
Výzkumníci napočítali Meta Pixel na webech a pacientských portálech 664 amerických nemocničních systémů. Ne na okrajových webech. Na portálech, kam se pacient přihlašuje, objednává se na termín, píše lékaři, dívá se na výsledky. Pixel přitom Metě hlásil věci jako registrace pacienta, přihlášení do zabezpečeného portálu, žádost o termín, kontaktování lékaře přes web.
Od roku 2022 se kvůli tomu nahromadilo přes padesát hromadných žalob. Pár konkrétních výsledků:
- Nemocnice MarinHealth v Kalifornii zaplatila 3 miliony dolarů za urovnání žaloby kvůli Meta Pixelu, který na jejím webu běžel zhruba šest let.
- Jefferson Healthcare se urovnala v roce 2025.
- Eisenhower Health, nezisková fakultní nemocnice, vytvořila urovnávací fond ve výši 875 tisíc dolarů pro postižené pacienty.
A to je jen výsek.
A pak ta věc, která dělá z příběhu příběh. 14. května 2025 federální soudkyně v severní Kalifornii nařídila, že Mark Zuckerberg musí osobně vypovídat ve sporu o zneužití zdravotních dat přes pixel. Meta se bránila, že by místo něj mohli svědčit jiní manažeři. Soudkyně to odmítla. Z podkladů totiž vyplynulo, že Zuckerberg byl podle žalobců „konečným rozhodovatelem ve všech zásadních otázkách soukromí" ve firmě.
Šéf nejvlivnější reklamní firmy planety má jít k soudu vysvětlovat, jak se k ní dostala zdravotní data lidí, kteří o Metě v té chvíli vůbec nepřemýšleli. To samo o sobě ledacos říká o tom, jak je celý ten model postavený.
A co Česko? GDPR nás přece chrání
Tady přichází otázka, kterou si po předchozích odstavcích logicky kladeš. To je Amerika, ti nemají naše GDPR. Nás to chrání. Že jo?
Polovičatě. A ta polovina je důležitá.
GDPR je dobrý zákon a opravdu něco mění. Ale nedělá to, co si většina lidí myslí. GDPR nezakazuje sledovací pixely. GDPR vyžaduje, abys k nim dal souhlas. To je obrovský rozdíl a hned ti ukážu, kde se schovává.
Drtivá většina českých zdravotních webů má dnes Meta Pixel, Google Analytics nebo obojí. Týká se to webů pojišťoven, srovnávačů lékařů, portálů typu doktor.cz nebo ulekare.cz, webů s prodejem doplňků, e-shopů lékáren. Není to české selhání ani spiknutí. Je to default. Marketingový nástroj se nasazuje, protože se nasazuje, a nikdo se moc neptá, kudy ta data tečou.
A český „sušenkový zákon", tedy povinná cookie lišta? Tady je ta past. Cookie lišta měla být tvoje ochrana. V praxi se z ní stal hlavně právní deštník pro firmu.
GDPR tě nechrání tak, jak si myslíš. Chrání hlavně ten web
Tohle je jádro celého článku, tak pomalu.
Když otevřeš zdravotní web, vyskočí na tebe lišta. „Tento web používá cookies." Dvě tlačítka. „Přijmout vše" je velké, barevné, hned po ruce. „Odmítnout" nebo „Nastavení" je menší, šedivé, někdy schované o proklik dál. Tomuhle designu se říká temný vzorec (dark pattern) a není náhodný. Je navržený tak, abys klikl/a na to první.
A ve chvíli, kdy klikneš „Přijmout vše", se stane jedna konkrétní věc. Sledování, které by jinak bylo právně sporné, se stane legálním. Protože jsi k němu dal/a souhlas. Sám/sama. Dobrovolně. Jedním kliknutím v devět ráno, když jsi chtěl/a jen rychle zjistit, jestli máš jít s tím kašlem k doktorovi.
Cookie lišta nepřekáží trackingu. Cookie lišta tracking zapíná a posvěcuje. Z pohledu firmy je to ideální stav. Před GDPR posílala data Metě v právní šedé zóně. Po GDPR je posílá s tvým podpisem. Problém se neodstranil, problém se přesunul na tebe.
Dozorovým orgánem je u nás Úřad pro ochranu osobních údajů (ÚOOÚ). Má pravomoc, občas i pokutuje. Jenže tracking pixel na webu lékárny není jeho denní priorita, na to jsou jeho kapacity malé proti počtu webů. Takže reálně se ochrana tvého soukromí scvrkla na jedno tvoje rozhodnutí: které tlačítko na té liště zmáčkneš.
To je nepříjemné. Ale je v tom i dobrá zpráva, ke které se za chvíli dostaneme. Když ochrana visí na jednom tvém kliknutí, znamená to taky, že to kliknutí máš ve své moci.
Proč to firmy dělají. A proč to není spiknutí
Krátká, ale podstatná odbočka, protože bez ní by to vyznělo jako konspirace. Není.
Nemocnice ani pojišťovna se ráno neprobudí s myšlenkou „pošleme dnes zdravotní data Zuckerbergovi". Stane se tohle: marketingové oddělení chce vědět, jestli se vyplácí reklama. Meta nabídne nástroj, který to změří. Zdarma, snadno, pět řádků kódu. Marketér ho nasadí. Nikdo z IT, z právního, z vedení si nikdy nesedne a neprojde, co přesně ten kód odesílá. Protože to není ničí práce a protože „to přece dělají všichni".
Není to zlý úmysl. Je to nezájem v průmyslovém měřítku. A z hlediska výsledku je to skoro jedno, jestli ti data odteče zlým úmyslem nebo nedbalostí. Odtekla.
Pro Metu a TikTok je to naopak čistý byznys. Čím víc vědí o tom, co tě trápí, tím přesněji ti prodají reklamu. Zdravotní téma je přitom zlatý důl, protože strach a nemoc jsou nejsilnější prodejní páky, jaké existují. Člověk, který si večer hledá příznaky, je člověk ochotný utratit. Tvoje obava je jejich reklamní formát.
Jak se bránit. Pět věcí, co zvládneš ještě dnes
Konec špatných zpráv. Tady je část, kvůli které ten článek vznikl. Obrana není složitá a nepotřebuješ k ní být ajťák. Potřebuješ patnáct minut a trochu tvrdohlavosti.
1. Nainstaluj si blokovač. Brave nebo uBlock Origin
Tohle je největší pákový efekt za nejmenší úsilí. Blokovač je nástroj, který sledovacím pixelům prostě nedovolí naběhnout.
Dvě cesty, vyber si jednu:
- Brave je prohlížeč, který blokuje trackery rovnou v základním nastavení. Nainstaluješ, používáš místo Chromu, hotovo. Pro člověka, který nechce nic řešit, je to nejjednodušší.
- uBlock Origin je doplněk, který přidáš do prohlížeče, co už máš (Firefox je ideální, funguje i v dalších). Zdarma, otevřený, blokuje Meta Pixel a drtivou většinu reklamních trackerů. Doplnit se k němu dá ještě Privacy Badger od organizace EFF.
Nemusíš obojí. Vyber jedno a udělej to dnes.
2. Zdravotní formuláře vyplňuj v anonymním okně
Anonymní, soukromé nebo Incognito okno není kouzlo a samo o sobě tě před Metou neschová úplně. Ale dělá jednu užitečnou věc: nemá tvoje běžné cookies. To znamená, že tě pixel hůř spáruje s tvým hlavním profilem.
Pravidlo do hlavy: kdykoli jdeš na web řešit něco o svém zdraví, financích nebo rodině, otevři si na to soukromé okno. Po dokončení ho zavři. Cookies zmizí.
3. Cookie lišta: vždycky hledej „Odmítnout vše"
Po zbytek života. Když vyskočí lišta, nehledej nejrychlejší tlačítko, hledej to, kde je „Odmítnout vše" nebo „Jen nezbytné". Bývá schované, menší, šedivé. To je záměr, viz výš. Trvá to o dvě vteřiny déle a o jeden proklik víc.
Nezbytné cookies web nechat musí, jinak nefunguje přihlášení a košík. To je v pořádku, ty s trackingem nesouvisí. Odmítáš tu marketingové a analytické.
4. Vymaž cookies Facebooku a Instagramu
Tahle se přeskakuje a je důležitá. Většina párování stojí na cookie, kterou ti Meta uložila, když ses naposledy přihlásil/a na Facebook nebo Instagram. Když tu cookie smažeš, přerušíš spojnici mezi sebou a svým profilem.
V nastavení prohlížeče najdeš „vymazat data prohlížení" a můžeš mazat cookies pro konkrétní web. Udělej to pro facebook.com a instagram.com. Odhlásí tě to, přihlásíš se znovu, nic se neděje. Zopakuj jednou za měsíc.
5. Nepřihlašuj se na zdravotní weby přes Facebook ani Google
Když ti web nabídne „Přihlásit se přes Facebook" nebo „Přihlásit se přes Google", odolej. Je to o klik pohodlnější a je to nejpřímější možná spojnice mezi tvým zdravotním účtem a tvým reklamním profilem. Založ si normální účet přes e-mail a heslo. Správce hesel to za tebe zapamatuje, takže ani nepřijdeš o pohodlí.
A bonus nad pět: tyhle kroky neřeš jen sám/sama. Projdi je s rodiči. Babička, která si googluje léky, je přesně ten člověk, u kterého pixel sklízí nejcitlivější věci a kterému to nikdo nevysvětlí.
Časté otázky
Když si nainstaluju blokovač, přestanou mě firmy sledovat úplně? Ne úplně, ale výrazně. Blokovač zastaví drtivou většinu trackerů na webu. Nezastaví sledování uvnitř aplikací v mobilu, na to platí jiná opatření. Pokryješ tím ale zhruba 90 procent problému s velmi malým úsilím, a to je výborný poměr.
Mám na to antivirus, ten mě snad ochrání. Ne. Antivirus hlídá škodlivý kód, který se ti snaží něco provést v počítači. Pixel není škodlivý kód, je to legální marketingový nástroj, který tam web sám pustil. Pro antivirus je neviditelný, protože z jeho pohledu je všechno v pořádku. Tvůj antivirus tě v tomhle nezachrání.
Já nemám co skrývat, je mi to jedno. Tohle není o skrývání. Je to o tom, kdo s tvými daty obchoduje a kolik na tobě vydělá, aniž bys z toho viděl/a korunu. A i kdyby ti to bylo jedno u sebe, nejsi na světě sám/sama. Když si svoje zdravotní téma googluješ na sdíleném počítači nebo na účtu, kde je i tvoje dítě nebo rodič, řešíš tím i jejich soukromí.
Je v tom rozdíl mezi Metou a TikTokem? Z hlediska tvého soukromí ne moc. Liší se, kde firma sídlí a komu se zodpovídá, ale technika je stejná a sběr dat taky. V Bloombergově vyšetřování figurovaly vedle sebe Meta, TikTok, Snap, LinkedIn i Google. Není to příběh jedné firmy, je to příběh celého reklamního modelu.
Dělám web a tohle čtu se studeným potem. Co s tím? Dobře, že to čteš. Projdi si, jaké trackery na webu reálně máš, ne jaké si myslíš, že máš. Zkontroluj, co konkrétně odesílají, hlavně na stránkách s formuláři. Citlivé sekce, tedy cokoli o zdraví, financích, dětech, nech bez marketingových pixelů úplně. A cookie lištu nastav férově, tedy „Odmítnout" stejně dostupné jako „Přijmout". Není to jen slušnost, je to i ochrana před žalobou, viz oněch padesát plus případů z USA.
Co GDPR, nemůžu si stěžovat? Můžeš. Když na zdravotním webu najdeš tracking, na který ses nepřihlásil/a, nebo cookie lištu, která ti neumožní jednoduše odmítnout, dá se to nahlásit Úřadu pro ochranu osobních údajů. Sám tím nejspíš svět nezměníš, ale stížnosti se sčítají a ukazují úřadu, kde lidi něco bolí.
Co s tím dál
Tenhle příběh nemá zlého hackera. Nemá únik, nemá prolomené heslo, nemá okamžik, kdy ti někdo něco ukradl. A přesně tím je nepříjemný. Je to model, který funguje úplně přesně tak, jak byl postavený. Jen ho nikdo nepostavil pro tebe.
Dvě věci si z toho vezmi.
První. Soukromí v roce 2026 není věc, kterou máš nebo nemáš. Je to věc, kterou si denně držíš spoustou malých rozhodnutí. Které tlačítko zmáčkneš na liště. Jestli si otevřeš soukromé okno. Jestli máš zapnutý blokovač. Žádné z těch rozhodnutí není těžké. Těžké je jen začít je dělat a pak u toho zůstat.
Druhá, a ta škrábe nejvíc. Cookie lišta není tvoje ochrana, je to formulář na souhlas. GDPR nezakázalo, aby ti pojišťovna četla přes rameno, jen z toho udělalo věc, kterou musíš odklepnout ty. Takže až příště vyskočí ta lišta, neber ji jako otravu, ber ji jako otázku. Web se tě ptá: smím tě prodat dál? A ty máš tu jednu vteřinu na to říct ne.
Pošli tenhle článek mámě, sestře, kolegovi, co si o polední pauze googluje příznaky. Tohle není věc pro ajťáky. Je to věc pro každého, kdo má tělo a používá internet, což jsme my všichni.
A jestli chceš mít celou tuhle logiku, scamy, sledování i digitální hygienu, srovnanou na jednom místě a lidsky, mrkni na knihu Kyberbezpečnost pro nepolíbené. Píšu ji přesně pro lidi, kteří nechtějí být experti, jen chtějí přežít Český Internet se zdravým rozumem.
Zdroje a další čtení
Bloomberg vyšetřování (květen 2026):
- State Health Sites Send Race, Location, Immigration Data to Meta, TikTok - Bloomberg
- TikTok, Meta Were Sent Personal Data From State Health Sites - Bloomberg Law
- US healthcare marketplaces shared citizenship and race data with ad tech giants - TechCrunch
- Meta and TikTok Are Getting Your Data From State Healthcare Sites - Gizmodo
- 20 State Health Exchanges Leaked Citizenship Data to TikTok - The Cyber Signal
- Healthcare Marketplaces Shared Sensitive Data With Advertisers - Privacy Guides
Soudní spory v USA:
- In re Meta Pixel Healthcare Litigation - Cohen Milstein
- Mark Zuckerberg Must Testify in Meta Pixel Health Data Lawsuit - Bloomberg Law
- MarinHealth Pays $3 Million to Settle Meta Pixel Lawsuit - HIPAA Journal
- California Teaching Hospital Settles Meta Pixel Data Breach - HIPAA Journal
Český kontext:
Související na webu:
- Bezpečnostní checklist - 29 konkrétních kroků pro tvoji digitální hygienu
- Slovník pojmů - co je pixel, cookie, fingerprint, dark pattern
- Plán přežití - kurz zdarma, krok za krokem
Pokud máš k tématu otázku, napiš mi rovnou na kuba@comensky.cz.