GDPR na webu - co musíte splnit v roce 2026

Úvod

GDPR je tu s námi od roku 2018 a spousta webů to pořád nemá v pořádku. Nemusíte být právník, abyste pochopili, co váš web potřebuje. Tenhle článek je praktický průvodce pro majitele webových stránek - žádná právnická hatmatilka, jen konkrétní kroky, které musíte udělat.

Pokud provozujete web, na kterém sbíráte jakákoliv data od návštěvníků (a to je skoro každý web), tohle se vás týká. Pokuty za porušení GDPR můžou dosáhnout až 20 milionů eur nebo 4 % ročního obratu firmy. V praxi se v Česku zatím ukládají pokuty v řádech statisíců až milionů korun, ale kontroly ze strany ÚOOÚ přibývají.

📋 GDPR ve zkratce - co to znamená pro váš web

GDPR (General Data Protection Regulation) je evropské nařízení o ochraně osobních údajů. Osobní údaj je cokoliv, co může identifikovat konkrétní osobu - jméno, email, IP adresa, cookies, telefonní číslo. Pokud na svém webu sbíráte cokoliv z toho, musíte dodržovat pravidla GDPR.

Pro vás jako majitele webu to v praxi znamená tři základní věci:

Většina dat na běžném webu spadá pod souhlas nebo oprávněný zájem.

🍪 Cookies lišta - jak ji nastavit správně (a jak ne)

Cookies lišta je to první, co návštěvník na vašem webu vidí. A bohužel je to taky místo, kde většina webů dělá chyby. Základní pravidlo zní: analytické a marketingové cookies smíte spustit až po aktivním souhlasu návštěvníka. Technicky nezbytné cookies (přihlášení, nákupní košík, jazykové preference) souhlas nepotřebují.

Jak to vypadá v praxi? Správná cookies lišta musí obsahovat:

• Tlačítko "Přijmout" a tlačítko "Odmítnout" - obě musí být stejně výrazná. Žádné schovávání odmítnutí do šedého textu.
• Možnost vybrat kategorie cookies (nezbytné, analytické, marketingové).
• Odkaz na zásady zpracování cookies s detailním popisem každé cookie.
• Souhlas se musí dát snadno odvolat - nejčastěji ikonkou v rohu stránky.

Pokud vás cookies lišta zajímá víc do hloubky, mám na to samostatný článek.

Jak správně na cookies lištu?

Číst více

📨 Kontaktní formuláře - souhlas se zpracováním údajů

Kontaktní formulář je jeden z nejběžnějších způsobů, jak na webu sbíráte osobní údaje. Jméno, email, telefon, obsah zprávy - to všechno jsou osobní údaje. A pro jejich zpracování potřebujete právní základ.

U kontaktního formuláře máte dvě možnosti. Buď použijete oprávněný zájem (návštěvník vás sám kontaktuje, očekává odpověď), nebo si vyžádáte explicitní souhlas checkboxem. V praxi je bezpečnější používat checkbox se souhlasem, protože oprávněný zájem se hůř obhajuje, pokud data používáte i k dalším účelům.

Správně nastavený kontaktní formulář by měl obsahovat:

• Checkbox se souhlasem (nesmí být předvyplněný): "Souhlasím se zpracováním osobních údajů za účelem vyřízení poptávky. Více informací v Zásadách ochrany osobních údajů."
• Odkaz na zásady ochrany osobních údajů přímo u formuláře.
• Informaci o tom, jak dlouho data uchováváte - např. "Vaše údaje budou smazány do 6 měsíců od vyřízení poptávky."

📄 Zásady ochrany osobních údajů - co musí obsahovat

Každý web, který zpracovává osobní údaje, musí mít přístupnou stránku se zásadami ochrany osobních údajů (privacy policy). Nestačí tam hodit vygenerovaný text z internetu - musí odpovídat tomu, co na webu skutečně děláte.

Co musí zásady obsahovat:

• Kdo jste - identifikace správce údajů (jméno, IČO, kontakt, případně kontakt na pověřence pro ochranu osobních údajů).
• Jaké údaje sbíráte - konkrétní výčet (jméno, email, IP adresa, cookies...).
• Proč je sbíráte - účel zpracování pro každý typ údaje (vyřízení poptávky, analýza návštěvnosti, marketing...).
• Na jakém právním základě - souhlas, oprávněný zájem, plnění smlouvy.
• Komu údaje předáváte - seznam zpracovatelů (Google, hosting provider, emailová služba...).
• Jak dlouho data uchováváte - konkrétní lhůty, ne "po nezbytně nutnou dobu".
• Jaká práva má návštěvník - právo na přístup, opravu, výmaz, přenositelnost, vznesení námitky.
• Jak může návštěvník podat stížnost - odkaz na ÚOOÚ.

Zásady ochrany osobních údajů musí být snadno dostupné - typicky odkaz v patičce webu. Doporučuju je psát srozumitelným jazykem a dbát na přístupnost webu. Právnický text plný odkazů na paragrafy nikomu nepomůže a GDPR přímo vyžaduje, aby informace byly podány jasně a srozumitelně.

📧 Newsletter a email marketing - pravidla pro sběr emailů

Sběr emailů pro newsletter je oblast, kde se chybuje hodně často. Základní pravidlo: pro zasílání marketingových emailů potřebujete svobodný, konkrétní, informovaný a jednoznačný souhlas. To v praxi znamená:

• Double opt-in - po zadání emailu přijde potvrzovací email s odkazem. Teprve po kliknutí je člověk přihlášen k odběru. Tohle není přímo vyžadováno zákonem, ale je to nejlepší způsob, jak prokázat, že souhlas byl skutečně udělen.
• Oddělený souhlas - souhlas s newsletterem nesmí být sloučen se souhlasem s podmínkami služby. Musí to být samostatný checkbox.
• Snadné odhlášení - v každém emailu musí být odkaz pro odhlášení z odběru. A odhlášení musí fungovat okamžitě, ne "do 30 dnů".

Pamatujte si, že musíte být schopni prokázat, kdy a jak člověk souhlas udělil. Uložte si datum, čas, IP adresu, konkrétní znění souhlasu a způsob, jakým byl udělen. Pokud přijde kontrola z ÚOOÚ, budou chtít vidět důkazy.

📊 Google Analytics a GDPR - jak to vyřešit

Google Analytics je asi nejrozšířenější analytický nástroj a zároveň jeden z nejproblematičtějších z pohledu GDPR. V Google Analytics 4 sice Google přidal možnost anonymizace IP adres a zkrácení doby uchovávání dat, ale pořád je tu zásadní problém - data se přenášejí na servery Googlu v USA.

Co to pro vás znamená v praxi:

• Google Analytics vyžaduje souhlas návštěvníka. Nesmíte je spustit před udělením souhlasu v cookies liště.
• Musíte mít s Googlem uzavřenou smlouvu o zpracování dat (Data Processing Agreement). Nastavíte ji v administraci Google Analytics.
• V zásadách ochrany osobních údajů musíte uvést, že používáte Google Analytics, jaká data sbíráte a že se přenášejí do USA.
• Doporučuju nastavit zkrácení doby uchovávání dat na minimum (2 měsíce) a zapnout anonymizaci IP adres.

Pokud chcete jít cestou menšího odporu, zvažte alternativy, které jsou na GDPR přátelštější. Plausible, Fathom nebo Umami jsou analytické nástroje, které nepoužívají cookies, nesbírají osobní údaje a data ukládají v EU. U těchto nástrojů nepotřebujete ani souhlas v cookies liště, protože nespadají pod regulaci cookies.

Další populární nástroj - Hotjar nebo Microsoft Clarity (nahrávání návštěv, heatmapy) - taky vyžaduje souhlas. Zaznamenávání chování návštěvníků je zpracování osobních údajů a bez souhlasu to nejde.

🚨 Nejčastější chyby, které weby dělají

Za roky práce s weby jsem viděl spoustu opakujících se chyb. Tady jsou ty nejčastější:

✅ Praktický checklist ke kontrole

Tady je checklist, který si můžete projít a zkontrolovat, jestli váš web splňuje základní požadavky GDPR:

Závěr

GDPR není strašák, ale sada pravidel, která chrání osobní údaje lidí na internetu. Pro většinu běžných webů je splnění požadavků otázka několika hodin práce - správně nastavená cookies lišta, aktuální zásady ochrany osobních údajů, ošetřené formuláře a pořádek v analytických nástrojích.

ÚOOÚ kontroluje čím dál víc a pokuty v Česku rostou. Navíc - správně nastavené GDPR buduje důvěru u vašich zákazníků. Lidé si všímají, jestli s jejich daty zacházíte zodpovědně.

Pokud si nejste jistí, začněte s checklistem výše. Projděte si svůj web bod po bodu a opravte, co najdete. A pokud řešíte složitější případy (e-shop s mezinárodními zákazníky, zpracování citlivých údajů), doporučuju konzultaci s právníkem specializujícím se na GDPR.

Užitečné odkazy

• ÚOOÚ - Úřad pro ochranu osobních údajů - český dozorový úřad, najdete tu návody i rozhodnutí
• GDPR.cz - český portál s praktickými informacemi o GDPR
• Plausible Analytics - GDPR-friendly alternativa ke Google Analytics
• Cookiebot - nástroj pro správu cookies souhlasů
• Google Analytics Data Processing Agreement - nastavení smlouvy o zpracování dat s Googlem
• Vzor zásad ochrany osobních údajů - vzory dokumentů od ÚOOÚ