GDPR neboli General Data Protection Regulation je nařízení Evropské unie, které od května 2018 zásadně změnilo pravidla pro zpracování osobních údajů. Pokud podnikáte online – ať už provozujete e-shop, firemní web nebo mobilní aplikaci – týká se vás. V tomto podrobném průvodci vám vysvětlíme vše, co potřebujete vědět: od základních principů přes praktické kroky až po reálné případy z české a evropské praxe.

Co je GDPR a proč vzniklo?

GDPR (česky Obecné nařízení o ochraně osobních údajů, plným názvem Nařízení Evropského parlamentu a Rady (EU) 2016/679) je právní rámec EU, který stanoví pravidla pro sběr, zpracování a uchovávání osobních údajů občanů EU. Nahradilo zastaralou směrnici 95/46/ES z roku 1995, která nevyhovovala digitální době – v době jejího vzniku neexistovaly sociální sítě, chytré telefony ani cloudové služby.

Hlavním cílem GDPR je dát lidem kontrolu nad jejich osobními údaji a sjednotit pravidla pro firmy působící v EU. Před GDPR měl každý členský stát vlastní legislativu, což vytvářelo nepřehledný právní rámec. Firmy podnikající ve více zemích EU musely dodržovat desítky různých zákonů. GDPR tuto roztříštěnost odstranilo a vytvořilo jednotný standard.

V České republice GDPR doplňuje zákon č. 110/2019 Sb., o zpracování osobních údajů (adaptační zákon), který upravuje specifické české podmínky – například věkovou hranici pro souhlas dětí (15 let) nebo pravomoci Úřadu pro ochranu osobních údajů (ÚOOÚ).

Koho se GDPR týká?

GDPR se vztahuje na:

  • Všechny firmy se sídlem v EU – bez ohledu na velikost, od jednočlenné s.r.o. po nadnárodní korporaci
  • Firmy mimo EU, které zpracovávají údaje občanů EU – takzvaný extrateritoriální dosah
  • Jakoukoliv organizaci, která sbírá osobní údaje – včetně neziskových organizací, škol, nemocnic nebo sportovních klubů
  • Zpracovatele údajů – tedy firmy, které zpracovávají data jménem jiné organizace (např. poskytovatelé hostingu, e-mailové platformy)

V praxi to znamená, že pokud máte web s návštěvníky z EU a používáte cookies, analytiku nebo kontaktní formuláře, GDPR se vás týká. A nemusíte být ani velká firma – i živnostník s jednoduchým webem, který sbírá e-mailové adresy pro newsletter, spadá pod GDPR.

Správce vs. zpracovatel – jaký je rozdíl?

GDPR rozlišuje dvě klíčové role:

  • Správce (controller) – ten, kdo určuje účely a prostředky zpracování osobních údajů. Typicky je to vlastník webu nebo firmy.
  • Zpracovatel (processor) – ten, kdo zpracovává údaje jménem správce. Například poskytovatel e-mailového marketingu, cloudový hosting nebo účetní firma.

Pokud jako e-shop sbíráte údaje zákazníků a používáte k rozesílání e-mailů službu třetí strany, jste správcem a e-mailová služba je zpracovatelem. Mezi správcem a zpracovatelem musí existovat písemná smlouva o zpracování osobních údajů (tzv. DPA – Data Processing Agreement).

Co jsou osobní údaje podle GDPR?

Osobní údaj je jakákoliv informace, která se vztahuje k identifikované nebo identifikovatelné fyzické osobě. GDPR má velmi širokou definici – osobním údajem není jen jméno a příjmení, ale i:

  • E-mailová adresa (i firemní, pokud obsahuje jméno)
  • IP adresa
  • Cookie identifikátory a device fingerprint
  • Lokační data (GPS souřadnice)
  • Identifikátory v sociálních sítích
  • Fotografické a biometrické údaje
  • Údaje o zdravotním stavu

Zvláštní kategorii tvoří tzv. citlivé osobní údaje – údaje o rasovém původu, politických názorech, náboženství, členství v odborech, zdravotním stavu, sexuální orientaci nebo biometrické a genetické údaje. Tyto údaje mají přísnější režim ochrany a jejich zpracování je ve výchozím stavu zakázáno s výjimkou specifických situací.

Základní principy GDPR

GDPR stojí na šesti základních principech, které musí každá organizace při zpracování osobních údajů dodržovat. Pojďme se na každý z nich podívat podrobněji:

1. Zákonnost, korektnost a transparentnost – Musíte mít právní důvod (tzv. právní základ) pro zpracování údajů a informovat uživatele srozumitelně o tom, co s jejich daty děláte. Informace nesmí být skryté v nekonečných právnických textech – musí být přístupné běžnému člověku.

2. Účelové omezení – Data smíte sbírat pouze pro konkrétní, výslovně vyjádřené a legitimní účely. Pokud sbíráte e-mail pro doručení objednávky, nesmíte ho bez dalšího souhlasu použít pro marketingové kampaně.

3. Minimalizace údajů – Sbírejte pouze data, která skutečně potřebujete pro daný účel. Pokud provozujete newsletter, nepotřebujete znát datum narození ani adresu bydliště odběratele.

4. Přesnost – Údaje musí být aktuální a přesné. Musíte umožnit subjektům údajů opravit nesprávné informace.

5. Omezení uložení – Data nesmíte uchovávat déle, než je nutné pro daný účel. Měli byste mít stanovenou retenční politiku – například údaje z kontaktního formuláře smazat po vyřízení dotazu.

6. Integrita a důvěrnost – Musíte zajistit odpovídající technické a organizační zabezpečení dat proti neoprávněnému přístupu, ztrátě nebo zničení. To zahrnuje šifrování, přístupová práva, zálohování a pravidelné bezpečnostní audity.

Právní základy zpracování

GDPR definuje šest právních základů, na jejichž základě můžete osobní údaje zpracovávat:

  1. Souhlas – subjekt údajů vyjádřil souhlas se zpracováním (typicky pro marketingové cookies)
  2. Plnění smlouvy – zpracování je nezbytné pro splnění smlouvy (např. doručovací adresa pro e-shop)
  3. Právní povinnost – zpracování vyžaduje zákon (např. uchování faktur po zákonnou dobu)
  4. Životně důležitý zájem – ochrana života subjektu údajů
  5. Veřejný zájem – zpracování je nezbytné pro splnění úkolu ve veřejném zájmu
  6. Oprávněný zájem – správce má legitimní zájem, který nepřevažuje nad právy subjektu údajů (např. základní analytika návštěvnosti)

V kontextu webů a cookies je nejčastějším právním základem souhlas – zejména pro analytické a marketingové cookies. Nezbytné cookies (přihlášení, košík) spadají pod oprávněný zájem nebo plnění smlouvy a souhlas nevyžadují.

Práva subjektů údajů

GDPR přiznává občanům EU rozsáhlá práva ohledně jejich osobních údajů. Jako správce musíte být schopni tato práva naplnit:

  • Právo na přístup – uživatel má právo vědět, jaké údaje o něm zpracováváte, a získat jejich kopii
  • Právo na opravu – možnost nechat opravit nepřesné údaje
  • Právo na výmaz (právo být zapomenut) – uživatel může požádat o smazání svých údajů, pokud pro jejich uchovávání neexistuje právní důvod
  • Právo na omezení zpracování – uživatel může požádat o omezení způsobu, jakým se jeho údaje zpracovávají
  • Právo na přenositelnost – uživatel má právo získat svá data ve strojově čitelném formátu a přenést je k jinému správci
  • Právo vznést námitku – uživatel může namítat zpracování založené na oprávněném zájmu
  • Právo nebýt předmětem automatizovaného rozhodování – ochrana před rozhodnutími založenými výhradně na automatizovaném zpracování včetně profilování

Na žádost subjektu údajů musíte reagovat bez zbytečného odkladu, nejpozději do jednoho měsíce. V komplexních případech lze lhůtu prodloužit o další dva měsíce, ale o prodloužení musíte subjekt informovat.

Jaké pokuty hrozí za porušení GDPR?

GDPR zavádí dvě úrovně pokut:

Až 10 milionů EUR nebo 2 % celosvětového ročního obratu za méně závažná porušení (chybějící záznamy o zpracování, nenahlášení incidentu).

Až 20 milionů EUR nebo 4 % celosvětového ročního obratu za závažná porušení (zpracování bez právního základu, porušení práv subjektů údajů).

Vždy se uplatní vyšší z obou částek. Dozorové úřady při stanovení výše pokuty zvažují řadu faktorů: závažnost porušení, dobu trvání, počet dotčených osob, míru spolupráce firmy a zda firma z porušení profitovala.

Reálné případy pokut

Podívejme se na několik příkladů, které ilustrují, jak dozorové úřady GDPR vymáhají:

  • Meta (Facebook) – 1,2 miliardy EUR (2023) – irský DPC udělil dosud nejvyšší pokutu za nelegální přenos osobních údajů do USA
  • Amazon – 746 milionů EUR (2021) – lucemburský úřad potrestal Amazon za netransparentní cílení reklamy
  • Google – 150 milionů EUR (2022) – francouzský CNIL pokutoval Google za to, že tlačítko pro odmítnutí cookies nebylo dostatečně viditelné
  • H&M – 35 milionů EUR (2020) – hamburský úřad potrestal firmu za nelegální sledování zaměstnanců

V České republice ÚOOÚ dosud uděloval spíše nižší pokuty (řádově statisíce až jednotky milionů korun), ale trendem je zpřísňování. V roce 2023 ÚOOÚ udělil pokutu 6 milionů Kč společnosti za rozesílání nevyžádaných obchodních sdělení. Pro menší firmy i taková částka může být likvidační.

GDPR a cookies – co to znamená v praxi?

Oblast cookies je jednou z nejviditelnějších oblastí GDPR pro běžné provozovatele webů. Pravidla pro cookies vycházejí jak z GDPR, tak z ePrivacy směrnice (směrnice 2002/58/ES), kterou v ČR implementuje zákon č. 127/2005 Sb., o elektronických komunikacích.

V praxi to znamená:

  • Nezbytné cookies (přihlášení, košík, bezpečnost) – lze ukládat bez souhlasu, ale musíte o nich informovat
  • Analytické cookies (Google Analytics, Hotjar) – vyžadují předchozí souhlas uživatele
  • Marketingové cookies (Facebook Pixel, Google Ads, remarketing) – vyžadují předchozí souhlas uživatele
  • Funkční cookies (jazykové preference, A/B testy) – obvykle vyžadují souhlas

Klíčové je, že cookies vyžadující souhlas nesmí být aktivovány před udělením souhlasu. Pokud váš web při prvním načtení okamžitě spustí Google Analytics nebo Facebook Pixel, porušujete GDPR, i když máte cookie banner.

Jak zajistit GDPR compliance krok za krokem

Pro většinu webů a firem doporučujeme následující postup:

Krok 1: Zmapujte svá data

Proveďte audit zpracování osobních údajů. Zjistěte, jaká data sbíráte, kde jsou uložená, kdo k nim má přístup a jak dlouho je uchováváte. Zmapujte všechny cookies na svém webu – k tomu můžete využít automatický skener v Consentio.

Krok 2: Vytvořte potřebné dokumenty

Připravte si:

  • Zásady ochrany osobních údajů (privacy policy)
  • Zásady používání cookies (cookie policy) – Consentio umí vygenerovat automaticky
  • Záznamy o činnostech zpracování (povinné pro firmy s více než 250 zaměstnanci nebo při pravidelném zpracování citlivých údajů)
  • Smlouvy o zpracování osobních údajů se zpracovateli (DPA)

Krok 3: Implementujte cookie lištu

Nasaďte funkční cookie banner, který:

  • Blokuje cookies do získání souhlasu
  • Umožňuje granulární výběr kategorií
  • Podporuje Google Consent Mode v2
  • Ukládá doklady o souhlasech
  • Umožňuje snadné odvolání souhlasu

Krok 4: Zabezpečte data

Zajistěte technické a organizační opatření: šifrování přenosů (HTTPS), silná hesla, dvoufaktorové ověření, pravidelné aktualizace softwaru a zálohování dat.

Krok 5: Nastavte procesy

Připravte se na vyřizování žádostí subjektů údajů a na nahlašování bezpečnostních incidentů. Incident musíte nahlásit ÚOOÚ do 72 hodin od zjištění.

Častá nedorozumění o GDPR

Kolem GDPR koluje řada mýtů. Pojďme si některé vyvrátit:

  • „GDPR se týká jen velkých firem" – Není pravda. GDPR se vztahuje na jakoukoliv organizaci, která zpracovává osobní údaje občanů EU, bez ohledu na velikost.
  • „Stačí mít cookie banner" – Cookie banner je jen špička ledovce. GDPR vyžaduje komplexní přístup k ochraně dat.
  • „Souhlas se dá získat předvyplněným checkboxem" – Souhlas musí být aktivní akce uživatele. Předvyplněné checkboxy jsou výslovně zakázány.
  • „Pokud nemám sídlo v EU, GDPR se mě netýká" – Pokud nabízíte zboží nebo služby občanům EU, GDPR se na vás vztahuje.
  • „Oprávněný zájem mohu použít na cokoliv" – Oprávněný zájem vyžaduje balanční test a nelze ho použít jako univerzální výmluvu.

GDPR v kontextu české legislativy

V České republice GDPR doplňuje několik národních předpisů:

  • Zákon č. 110/2019 Sb. – adaptační zákon k GDPR, upravuje specifické české podmínky
  • Zákon č. 127/2005 Sb. – o elektronických komunikacích, implementuje ePrivacy směrnici (pravidla pro cookies)
  • Zákon č. 480/2004 Sb. – o některých službách informační společnosti (obchodní sdělení, spam)

Dozorový úřad – ÚOOÚ (Úřad pro ochranu osobních údajů) – sídlí v Praze a přijímá stížnosti občanů, provádí kontroly a uděluje pokuty. Na webu uoou.gov.cz najdete řadu praktických doporučení a stanovisek.

DPO – Pověřenec pro ochranu osobních údajů

Některé organizace mají povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). Tato povinnost se týká:

  • Orgánů veřejné moci a veřejných subjektů
  • Organizací, jejichž hlavní činností je pravidelné a systematické monitorování subjektů údajů ve velkém měřítku
  • Organizací zpracovávajících ve velkém měřítku citlivé osobní údaje

Pro většinu malých a středních firem DPO povinný není, ale jeho jmenování může být dobrou praxí – zejména pokud zpracováváte větší objemy osobních údajů.

GDPR a budoucnost – co nás čeká?

Legislativa ochrany osobních údajů se neustále vyvíjí. Mezi klíčové trendy patří:

  • ePrivacy Regulation – připravované nařízení EU, které nahradí zastaralou ePrivacy směrnici a přinese specifičtější pravidla pro cookies a elektronickou komunikaci
  • AI Act – nařízení EU o umělé inteligenci, které přináší další požadavky na transparentnost a ochranu dat v kontextu AI systémů
  • Digital Markets Act (DMA) – ovlivňuje velké platformy (Google, Meta, Apple) a nepřímo se dotýká i pravidel pro cookies a consent
  • Přísnější vymáhání – dozorové úřady po celé EU zpřísňují kontroly a zvyšují pokuty

Být v souladu s GDPR není jen otázka vyhnutí se pokutám – je to základ důvěry vašich zákazníků a konkurenční výhoda na trhu.

Praktický checklist GDPR compliance

Na závěr vám nabízíme přehledný kontrolní seznam:

  1. Zmapovali jste všechna zpracování osobních údajů
  2. Máte právní základ pro každé zpracování
  3. Máte aktuální privacy policy a cookie policy
  4. Cookie banner blokuje nepovinné cookies do souhlasu
  5. Podporujete Google Consent Mode v2
  6. Máte smlouvy (DPA) se všemi zpracovateli
  7. Umíte vyřizovat žádosti subjektů údajů do 30 dnů
  8. Máte nastavený proces hlášení incidentů (72 hodin)
  9. Data jsou adekvátně zabezpečena
  10. Pravidelně provádíte revizi a aktualizaci

S Consentio vyřešíte cookies compliance za 5 minut – jeden řádek kódu a máte plně funkční cookie lištu s podporou Google Consent Mode v2, automatickým skenováním cookies a generováním cookie policy. Začněte zdarma a mějte klid, že váš web je v souladu s GDPR.