GDPR neřeší jen velké korporace s tisíci zákazníků. Týká se i běžné firemní prezentace s kontaktním formulářem, e-shopu nebo interní aplikace, kterou používá pár lidí. Jakmile na webu nebo v aplikaci zpracováváte údaje o konkrétních lidech, vztahují se na vás pravidla obecného nařízení o ochraně osobních údajů (GDPR) i českého zákona č. 110/2019 Sb. A platí to bez ohledu na to, jestli web spravujete sami, nebo ho máte od dodavatele.
Tento průvodce je psaný prakticky a srozumitelně pro majitele firem a provozní manažery, ne jako právní rozbor. Ukazujeme, co v praxi řešit u GDPR pro weby a aplikace, jaké jsou nejčastější chyby a kde se vyplatí přizvat technika nebo právníka. Konkrétní znění dokumentů a hraniční případy vždy nechte posoudit advokáta specializovaného na ochranu osobních údajů — tady najdete orientaci, ne závazné právní stanovisko.
Co je vlastně osobní údaj
Osobní údaj je jakákoli informace, podle které lze identifikovat konkrétní fyzickou osobu — přímo i nepřímo. Lidé si pod tím obvykle představí jméno a e-mail, ale spadá sem mnohem víc. V kontextu webů a aplikací jde typicky o:
- jméno, příjmení, e-mail, telefon, adresu,
- IP adresu, identifikátory cookies a údaje z analytiky,
- přihlašovací jméno, historii objednávek nebo aktivitu uživatele v aplikaci,
- obsah kontaktních a poptávkových formulářů.
Zvláštní opatrnost vyžadují takzvané zvláštní kategorie údajů (zdravotní stav, biometrika, údaje o dětech a podobně). Pokud je zpracováváte, pravidla jsou přísnější a téma rozhodně patří k právníkovi. Pro většinu firemních webů ale platí, že hlavní starostí jsou běžné kontaktní a transakční údaje.
Dobré pravidlo na úvod: pokud byste podle nějakého záznamu dokázali říct, o kterého konkrétního člověka jde, je to skoro jistě osobní údaj — a vztahuje se na něj GDPR.
Kontaktní formuláře: ptejte se jen na to, co potřebujete
Kontaktní a poptávkový formulář je nejčastější místo, kde firemní web sbírá osobní údaje. Tady se uplatní princip minimalizace dat: sbírejte jen údaje, které ke konkrétnímu účelu opravdu potřebujete. Pokud chcete na poptávku odpovědět, stačí obvykle jméno, e-mail nebo telefon a text zprávy. Datum narození ani rodné číslo do kontaktního formuláře nepatří.
V praxi se osvědčí pár konkrétních zásad:
- U formuláře jasně uveďte, kdo je správcem údajů a k čemu data použijete (vyřízení poptávky), s odkazem na zásady zpracování.
- Oddělte vyřízení poptávky od marketingu. Souhlas se zasíláním newsletteru řešte samostatným zaškrtávacím políčkem, které není předem zaškrtnuté.
- Nepoužívejte jeden předvyplněný souhlas „se vším“. To bývá neplatné a působí to nedůvěryhodně.
- Stanovte si, jak dlouho poptávky uchováváte, a starší záznamy mažte.
Technicky za vás hodně vyřeší kvalitně postavený formulář — validace vstupů, ochrana proti spamu, šifrovaný přenos a bezpečné uložení. To je přesně oblast, kterou pokrýváme při vývoji webových aplikací na míru i u běžných prezentací.
Cookies a souhlas: co platí v praxi
Cookies jsou samostatná kapitola a často nejviditelnější chyba na českých webech. Zjednodušeně: technicky nezbytné cookies (přihlášení, košík, základní funkčnost) můžete používat bez souhlasu. Cookies pro analytiku, marketing, remarketing nebo vkládání obsahu třetích stran (reklamní pixely, mapy, videa) vyžadují předchozí souhlas uživatele — tedy aktivní volbu, ne pouhé „pokračováním souhlasíte“.
Co by měla cookie lišta umět:
- Nabídnout rovnocenně tlačítko „Přijmout“ i „Odmítnout“, ne jen výrazné „Souhlasím“.
- Načítat analytické a marketingové skripty až po udělení souhlasu, ne hned při otevření stránky.
- Umožnit souhlas kdykoli odvolat nebo změnit nastavení.
- Uchovávat doklad o tom, k čemu uživatel souhlas dal.
Častá chyba: web má sice cookie lištu, ale Google Analytics nebo reklamní pixel se spustí ještě před kliknutím. Souhlas pak fakticky nic neřeší. Zkontrolujte, že se skripty opravdu načítají až po souhlasu — dá se to ověřit v nástrojích pro vývojáře v prohlížeči.
Zásady zpracování a informační povinnost
GDPR po vás chce, abyste lidem srozumitelně řekli, co s jejich údaji děláte. Tomu slouží dokument obvykle nazvaný zásady ochrany osobních údajů. Není to formalita do patičky — měl by skutečně odpovídat tomu, jak data zpracováváte. Typicky obsahuje:
- kdo je správce a jak ho kontaktovat,
- jaké údaje, k jakému účelu a na jakém právním základě zpracováváte,
- jak dlouho údaje uchováváte,
- komu je předáváte (zpracovatelé, např. hosting, e-mailing, analytika),
- jaká práva subjekt údajů má a jak je uplatnit.
Vzor ze šablony je dobrý odrazový můstek, ale musí sedět na realitu vaší firmy — jiný rozsah má jednoduchá prezentace a jiný e-shop s uživatelskými účty. Příklad takového dokumentu najdete v našich zásadách ochrany osobních údajů. Finální znění pro vaši situaci ať posoudí právník.
Zpracovatelé: na koho data napojujete
Skoro žádný web nestojí sám o sobě. Hosting, e-mailingový nástroj, platební brána, CRM, analytika, chatovací widget — to všechno jsou často zpracovatelé, kteří se k osobním údajům dostanou. S každým takovým dodavatelem byste měli mít uzavřenou zpracovatelskou smlouvu (DPA) a vědět, kde data fyzicky leží.
V praxi doporučujeme udělat si jednoduchý přehled:
- Vypište všechny služby a integrace, které se na webu nebo v aplikaci dotýkají osobních údajů.
- U každé si ověřte, že máte zpracovatelskou smlouvu (větší poskytovatelé ji mají standardně v podmínkách).
- Zkontrolujte, zda data neodtékají mimo EU bez odpovídajícího zajištění.
- Přehled aktualizujte, kdykoli přidáte nový nástroj nebo integraci.
Právě napojování externích služeb přes API a integrace je místo, kde se snadno přehlédne, kam všude data tečou. Mapování datových toků se vyplatí udělat hned na začátku projektu, ne až při kontrole.
Zabezpečení a práva subjektů
GDPR výslovně požaduje „přiměřené technické a organizační zabezpečení“. Co to znamená konkrétně, závisí na citlivosti dat, ale základ je u webů a aplikací vždy podobný: šifrovaný přenos přes HTTPS, silné řízení přístupů, aktuální software bez známých zranitelností, bezpečné uložení hesel, zálohy a logování. Tématu se podrobně věnujeme v článku o bezpečnosti webových aplikací.
Práva subjektů údajů
Lidé, jejichž data zpracováváte, mají vůči vám konkrétní práva — a vy musíte být schopni je v rozumné lhůtě vyřídit. Typicky jde o:
- právo na přístup (co o nich evidujete),
- právo na opravu nepřesných údajů,
- právo na výmaz („být zapomenut“) tam, kde pro uchování není důvod,
- právo na omezení zpracování a na přenositelnost,
- právo vznést námitku, zejména proti marketingu.
Z pohledu provozu je klíčové, aby aplikace tato práva technicky umožňovala — najít všechna data o jednom člověku, exportovat je a smazat. Pokud se na to nemyslelo při návrhu, bývá pozdější dohledávání zdlouhavé. Proto to řešíme i při správě a rozvoji aplikací, kde se postupně doplňují funkce pro výmaz a export dat.
Ohlášení úniku dat
Když dojde k úniku nebo prozrazení osobních údajů, máte obecně povinnost incident posoudit a v řadě případů ho do 72 hodin ohlásit Úřadu pro ochranu osobních údajů, případně informovat dotčené osoby. Klíčové je být na to připravený dopředu — mít logy, kontakty a jasný postup, kdo co dělá. Improvizace pod časovým tlakem je nejhorší varianta.
Praktické minimum, které zvládne každá firma: aktuální zásady zpracování, korektní cookie lišta, přehled zpracovatelů, HTTPS a základní bezpečnostní hygiena a postup pro vyřízení žádostí i ohlášení úniku. Tím pokryjete většinu běžných situací.
GDPR pro weby není o tlustých složkách dokumentů, ale o tom, aby vaše stránky a aplikace s daty lidí zacházely čistě a bezpečně — od formuláře přes cookies až po výmaz na vyžádání. Většinu z toho lze vyřešit už při návrhu a běžné správě. Pokud si nejste jistí, jak na tom váš web nebo aplikace stojí, ozvěte se nám přes nezávaznou konzultaci. Společně projdeme, co máte v pořádku, co technicky doladit a kde je vhodné ověření u právníka.