GDPR pro weby a aplikace: praktický průvodce

Srozumitelný a praktický průvodce GDPR pro firemní weby a aplikace — od kontaktních formulářů a cookies přes zpracovatele až po práva uživatelů a ohlášení úniku. Bez právního žargonu.

GDPR neřeší jen velké korporace s tisíci zákazníků. Týká se i běžné firemní prezentace s kontaktním formulářem, e-shopu nebo interní aplikace, kterou používá pár lidí. Jakmile na webu nebo v aplikaci zpracováváte údaje o konkrétních lidech, vztahují se na vás pravidla obecného nařízení o ochraně osobních údajů (GDPR) i českého zákona č. 110/2019 Sb. A platí to bez ohledu na to, jestli web spravujete sami, nebo ho máte od dodavatele.

Tento průvodce je psaný prakticky a srozumitelně pro majitele firem a provozní manažery, ne jako právní rozbor. Ukazujeme, co v praxi řešit u GDPR pro weby a aplikace, jaké jsou nejčastější chyby a kde se vyplatí přizvat technika nebo právníka. Konkrétní znění dokumentů a hraniční případy vždy nechte posoudit advokáta specializovaného na ochranu osobních údajů — tady najdete orientaci, ne závazné právní stanovisko.

Co je vlastně osobní údaj

Osobní údaj je jakákoli informace, podle které lze identifikovat konkrétní fyzickou osobu — přímo i nepřímo. Lidé si pod tím obvykle představí jméno a e-mail, ale spadá sem mnohem víc. V kontextu webů a aplikací jde typicky o:

  • jméno, příjmení, e-mail, telefon, adresu,
  • IP adresu, identifikátory cookies a údaje z analytiky,
  • přihlašovací jméno, historii objednávek nebo aktivitu uživatele v aplikaci,
  • obsah kontaktních a poptávkových formulářů.

Zvláštní opatrnost vyžadují takzvané zvláštní kategorie údajů (zdravotní stav, biometrika, údaje o dětech a podobně). Pokud je zpracováváte, pravidla jsou přísnější a téma rozhodně patří k právníkovi. Pro většinu firemních webů ale platí, že hlavní starostí jsou běžné kontaktní a transakční údaje.

Dobré pravidlo na úvod: pokud byste podle nějakého záznamu dokázali říct, o kterého konkrétního člověka jde, je to skoro jistě osobní údaj — a vztahuje se na něj GDPR.

Kontaktní formuláře: ptejte se jen na to, co potřebujete

Kontaktní a poptávkový formulář je nejčastější místo, kde firemní web sbírá osobní údaje. Tady se uplatní princip minimalizace dat: sbírejte jen údaje, které ke konkrétnímu účelu opravdu potřebujete. Pokud chcete na poptávku odpovědět, stačí obvykle jméno, e-mail nebo telefon a text zprávy. Datum narození ani rodné číslo do kontaktního formuláře nepatří.

V praxi se osvědčí pár konkrétních zásad:

  • U formuláře jasně uveďte, kdo je správcem údajů a k čemu data použijete (vyřízení poptávky), s odkazem na zásady zpracování.
  • Oddělte vyřízení poptávky od marketingu. Souhlas se zasíláním newsletteru řešte samostatným zaškrtávacím políčkem, které není předem zaškrtnuté.
  • Nepoužívejte jeden předvyplněný souhlas „se vším“. To bývá neplatné a působí to nedůvěryhodně.
  • Stanovte si, jak dlouho poptávky uchováváte, a starší záznamy mažte.

Technicky za vás hodně vyřeší kvalitně postavený formulář — validace vstupů, ochrana proti spamu, šifrovaný přenos a bezpečné uložení. To je přesně oblast, kterou pokrýváme při vývoji webových aplikací na míru i u běžných prezentací.

Cookies a souhlas: co platí v praxi

Cookies jsou samostatná kapitola a často nejviditelnější chyba na českých webech. Zjednodušeně: technicky nezbytné cookies (přihlášení, košík, základní funkčnost) můžete používat bez souhlasu. Cookies pro analytiku, marketing, remarketing nebo vkládání obsahu třetích stran (reklamní pixely, mapy, videa) vyžadují předchozí souhlas uživatele — tedy aktivní volbu, ne pouhé „pokračováním souhlasíte“.

Co by měla cookie lišta umět:

  • Nabídnout rovnocenně tlačítko „Přijmout“ i „Odmítnout“, ne jen výrazné „Souhlasím“.
  • Načítat analytické a marketingové skripty až po udělení souhlasu, ne hned při otevření stránky.
  • Umožnit souhlas kdykoli odvolat nebo změnit nastavení.
  • Uchovávat doklad o tom, k čemu uživatel souhlas dal.

Častá chyba: web má sice cookie lištu, ale Google Analytics nebo reklamní pixel se spustí ještě před kliknutím. Souhlas pak fakticky nic neřeší. Zkontrolujte, že se skripty opravdu načítají až po souhlasu — dá se to ověřit v nástrojích pro vývojáře v prohlížeči.

Zásady zpracování a informační povinnost

GDPR po vás chce, abyste lidem srozumitelně řekli, co s jejich údaji děláte. Tomu slouží dokument obvykle nazvaný zásady ochrany osobních údajů. Není to formalita do patičky — měl by skutečně odpovídat tomu, jak data zpracováváte. Typicky obsahuje:

  • kdo je správce a jak ho kontaktovat,
  • jaké údaje, k jakému účelu a na jakém právním základě zpracováváte,
  • jak dlouho údaje uchováváte,
  • komu je předáváte (zpracovatelé, např. hosting, e-mailing, analytika),
  • jaká práva subjekt údajů má a jak je uplatnit.

Vzor ze šablony je dobrý odrazový můstek, ale musí sedět na realitu vaší firmy — jiný rozsah má jednoduchá prezentace a jiný e-shop s uživatelskými účty. Příklad takového dokumentu najdete v našich zásadách ochrany osobních údajů. Finální znění pro vaši situaci ať posoudí právník.

Zpracovatelé: na koho data napojujete

Skoro žádný web nestojí sám o sobě. Hosting, e-mailingový nástroj, platební brána, CRM, analytika, chatovací widget — to všechno jsou často zpracovatelé, kteří se k osobním údajům dostanou. S každým takovým dodavatelem byste měli mít uzavřenou zpracovatelskou smlouvu (DPA) a vědět, kde data fyzicky leží.

V praxi doporučujeme udělat si jednoduchý přehled:

  1. Vypište všechny služby a integrace, které se na webu nebo v aplikaci dotýkají osobních údajů.
  2. U každé si ověřte, že máte zpracovatelskou smlouvu (větší poskytovatelé ji mají standardně v podmínkách).
  3. Zkontrolujte, zda data neodtékají mimo EU bez odpovídajícího zajištění.
  4. Přehled aktualizujte, kdykoli přidáte nový nástroj nebo integraci.

Právě napojování externích služeb přes API a integrace je místo, kde se snadno přehlédne, kam všude data tečou. Mapování datových toků se vyplatí udělat hned na začátku projektu, ne až při kontrole.

Zabezpečení a práva subjektů

GDPR výslovně požaduje „přiměřené technické a organizační zabezpečení“. Co to znamená konkrétně, závisí na citlivosti dat, ale základ je u webů a aplikací vždy podobný: šifrovaný přenos přes HTTPS, silné řízení přístupů, aktuální software bez známých zranitelností, bezpečné uložení hesel, zálohy a logování. Tématu se podrobně věnujeme v článku o bezpečnosti webových aplikací.

Práva subjektů údajů

Lidé, jejichž data zpracováváte, mají vůči vám konkrétní práva — a vy musíte být schopni je v rozumné lhůtě vyřídit. Typicky jde o:

  • právo na přístup (co o nich evidujete),
  • právo na opravu nepřesných údajů,
  • právo na výmaz („být zapomenut“) tam, kde pro uchování není důvod,
  • právo na omezení zpracování a na přenositelnost,
  • právo vznést námitku, zejména proti marketingu.

Z pohledu provozu je klíčové, aby aplikace tato práva technicky umožňovala — najít všechna data o jednom člověku, exportovat je a smazat. Pokud se na to nemyslelo při návrhu, bývá pozdější dohledávání zdlouhavé. Proto to řešíme i při správě a rozvoji aplikací, kde se postupně doplňují funkce pro výmaz a export dat.

Ohlášení úniku dat

Když dojde k úniku nebo prozrazení osobních údajů, máte obecně povinnost incident posoudit a v řadě případů ho do 72 hodin ohlásit Úřadu pro ochranu osobních údajů, případně informovat dotčené osoby. Klíčové je být na to připravený dopředu — mít logy, kontakty a jasný postup, kdo co dělá. Improvizace pod časovým tlakem je nejhorší varianta.

Praktické minimum, které zvládne každá firma: aktuální zásady zpracování, korektní cookie lišta, přehled zpracovatelů, HTTPS a základní bezpečnostní hygiena a postup pro vyřízení žádostí i ohlášení úniku. Tím pokryjete většinu běžných situací.

GDPR pro weby není o tlustých složkách dokumentů, ale o tom, aby vaše stránky a aplikace s daty lidí zacházely čistě a bezpečně — od formuláře přes cookies až po výmaz na vyžádání. Většinu z toho lze vyřešit už při návrhu a běžné správě. Pokud si nejste jistí, jak na tom váš web nebo aplikace stojí, ozvěte se nám přes nezávaznou konzultaci. Společně projdeme, co máte v pořádku, co technicky doladit a kde je vhodné ověření u právníka.

Časté otázky

Ano. Jakmile přes formulář sbíráte jméno, e-mail nebo telefon, zpracováváte osobní údaje a vztahuje se na vás GDPR. Rozsah povinností je u jednoduché prezentace menší než u e-shopu, ale základ (informování o zpracování, minimalizace dat, zabezpečení) platí vždy.

Lišta je nutná, ale sama o sobě nestačí. Musí reálně blokovat analytické a marketingové skripty do udělení souhlasu, nabízet rovnocenné odmítnutí a umožnit souhlas odvolat. Časté je, že lišta je jen vizuální a skripty se spustí stejně — to GDPR neřeší.

S dodavateli, kteří se dostanou k osobním údajům vašich zákazníků, byste měli mít zpracovatelskou smlouvu (DPA). Velcí poskytovatelé ji mají standardně součástí podmínek; u menších nástrojů si existenci a obsah ověřte.

Obecně bez zbytečného odkladu, nejpozději do jednoho měsíce od žádosti, s možností lhůtu ve složitějších případech prodloužit. Důležité je, aby vaše aplikace dokázala data o konkrétním člověku dohledat, exportovat a smazat.

Ne. Je to praktická orientace pro rozhodování. Konkrétní znění dokumentů, hraniční případy a citlivé údaje vždy nechte posoudit advokáta specializovaného na ochranu osobních údajů.

Pojďme to vyřešit společně

Napište nám, co řešíte. Navrhneme řešení na míru vašim potřebám i rozpočtu.

Domluvit konzultaci