GDPR Průvodce

Kompletní průvodce GDPR
pro české weby

Zjistěte, co GDPR požaduje, jak správně zpracovávat Cookies a jak se vyhnout vysokým pokutám. Aktualizováno pro rok 2025.

Začít zdarma s Consentio Zobrazit checklist

Co je GDPR a proč se vás týká?

GDPR (General Data Protection Regulation) je nařízení EU o ochraně Osobní údaje, které vstoupilo v platnost 25. května 2018.

Než v květnu 2018 vstoupilo GDPR v platnost, ochrana osobních údajů v EU se řídila zastaralou směrnicí 95/46/ES z roku 1995. Internet se od té doby zásadně změnil — od sociálních sítí přes e-commerce po cloud computing. GDPR bylo odpovědí EU na potřebu moderní regulace, která chrání práva občanů v digitálním věku.

GDPR se vztahuje na jakékoli zpracování osobních údajů občanů EU, ať už provozovatel sídlí kdekoli na světě. To znamená, že i malý český e-shop musí splňovat stejná pravidla jako velká nadnárodní korporace. Klíčové datum je 25. května 2018, kdy GDPR nabylo účinnosti ve všech členských státech EU.

Globální dosah

GDPR se vztahuje na všechny weby, které zpracovávají data občanů EU - bez ohledu na to, kde sídlí.

Vysoké pokuty

Za porušení hrozí pokuty až 20 milionů EUR nebo 4% celosvětového ročního obratu společnosti.

Práva uživatelů

Uživatelé mají právo na přístup, opravu, vymazání a přenositelnost svých osobních údajů. Každý Subjekt údajů může tato práva uplatnit.

6 klíčových principů GDPR

Každé zpracování osobních údajů musí respektovat těchto šest základních principů.

Zákonnost, korektnost, transparentnost

Údaje musí být zpracovávány zákonně, korektně a transparentně vůči subjektu údajů.

Účelové omezení

Údaje smí být shromažďovány pouze pro stanovené, výslovně vyjádřené a legitimní účely.

Minimalizace údajů

Zpracovávané údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah.

Přesnost

Osobní údaje musí být přesné a v případě potřeby aktualizované.

Omezení uložení

Údaje smí být uchovávány pouze po dobu nezbytnou pro daný účel zpracování.

Integrita a důvěrnost

Údaje musí být zabezpečeny proti neoprávněnému přístupu, ztrátě nebo zničení.

Kategorie cookies podle ePrivacy

Směrnice ePrivacy, známá jako „zákon o cookies", rozlišuje cookies podle účelu. Každá kategorie má jiné požadavky na souhlas.

Nezbytné cookies

Nutné pro základní fungování webu — přihlášení, nákupní košík, bezpečnost. Nevyžadují souhlas.

Souhlas: Není vyžadován

Funkční cookies

Ukládají uživatelské preference jako jazyk, měnu nebo velikost písma.

Souhlas: Vyžadován

Analytické cookies

Měří návštěvnost a chování uživatelů (Google Analytics, Hotjar, Clarity).

Souhlas: Vyžadován

Marketingové cookies

Sledují uživatele napříč weby pro cílenou reklamu (Facebook Pixel, Google Ads).

Souhlas: Vždy vyžadován

Jak vypadá platný souhlas s cookies?

Rozhodnutí Soudního dvora EU ve věci Planet49 (2019) stanovilo jasná kritéria pro platný souhlas.

Svobodný — uživatel nesmí být nucen souhlasit
Konkrétní — pro každý účel zpracování zvlášť
Informovaný — uživatel ví, k čemu souhlas dává
Jednoznačný — vyžaduje aktivní akci (kliknutí)
Opt-in — ne předvyplněné zaškrtávátko
Snadno odvolatelný — odvolání musí být stejně snadné jako udělení
Prokazatelný — správce musí být schopen doložit souhlas

Zakázané praktiky

Předem zaškrtnutá políčka (pre-ticked boxes)
Cookie walls — podmínění přístupu k obsahu souhlasem
Scrollování stránky jako souhlas
Ukládání cookies před udělením souhlasu

GDPR Checklist pro váš web

Zkontrolujte, zda váš web splňuje všechny požadavky GDPR.

Cookie lišta s možností odmítnout všechny cookies
Informace o typech cookies a jejich účelech
Možnost změnit preference kdykoliv
Záznam o udělení souhlasu (proof of consent)
Blokování cookies před udělením souhlasu
Podpora Google Consent Mode v2
Pravidelná aktualizace seznamu cookies
Zásady ochrany osobních údajů

Začít s Consentio zdarma

GDPR Compliant

GDPR pokuty a reálné případy

GDPR zavádí dvě úrovně pokut podle závažnosti porušení.

Nižší úroveň

Až 10 milionů EUR nebo 2 % celosvětového ročního obratu za porušení povinností správce, zpracovatele nebo certifikačního subjektu.

Vyšší úroveň

Až 20 milionů EUR nebo 4 % celosvětového ročního obratu za porušení základních principů zpracování, práv subjektů údajů nebo přenosu údajů do třetích zemí.

Amazon (Lucembursko) — 746 mil. EUR za porušení pravidel zpracování osobních údajů (2021)

Google (Francie, CNIL) — 50 mil. EUR za nedostatečnou transparentnost a souhlas (2019)

H&M (Německo) — 35 mil. EUR za neoprávněné sledování zaměstnanců (2020)

British Airways (UK, ICO) — 22 mil. GBP za únik dat 400 000 zákazníků (2020)

ÚOOÚ (Česko) — přes 100 pokut ročně, nejčastěji za nevyžádaný marketing a nedostatečné zabezpečení

Práva uživatelů podle GDPR

GDPR garantuje osm základních práv každému, jehož osobní údaje jsou zpracovávány.

Právo na informace

Správce musí informovat o zpracování, účelu a právech (čl. 13-14).

Právo na přístup

Právo získat kopii svých zpracovávaných údajů (čl. 15).

Právo na opravu

Právo na opravu nepřesných osobních údajů (čl. 16).

Právo na výmaz

Právo na vymazání údajů za určitých podmínek — „právo být zapomenut" (čl. 17).

Právo na omezení

Právo na omezení zpracování, např. při sporu o přesnost údajů (čl. 18).

Právo na přenositelnost

Právo získat údaje ve strojově čitelném formátu a přenést je (čl. 20).

Právo vznést námitku

Právo namítat proti zpracování na základě oprávněného zájmu (čl. 21).

Právo nebýt předmětem automatizovaného rozhodování

Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování (čl. 22).

Často kladené dotazy

Co je GDPR a proč je důležité?

GDPR (General Data Protection Regulation) je nařízení Evropské unie o ochraně osobních údajů. Platné od roku 2018, týká se všech webů, které zpracovávají data občanů EU. Za porušení hrozí pokuty až 20 milionů EUR nebo 4% globálního obratu.

Potřebuji cookie lištu na svém webu?

Ano, pokud používáte cookies pro analytické, marketingové nebo jiné účely kromě těch nezbytně nutných. GDPR vyžaduje informovaný souhlas před uložením těchto cookies.

Jak získat platný souhlas s cookies?

Platný souhlas musí být: 1) Svobodný - uživatel musí mít možnost odmítnout, 2) Konkrétní - pro každý účel zvlášť, 3) Informovaný - uživatel musí vědět, k čemu souhlas dává, 4) Jednoznačný - aktivní akce, ne předvyplněná zaškrtávátka.

Co je to ePrivacy směrnice?

ePrivacy směrnice doplňuje GDPR a specificky upravuje používání cookies a podobných technologií. Vyžaduje souhlas před uložením jakýchkoli cookies kromě těch, které jsou nezbytné pro fungování webu.

Jak dlouho mám uchovávat záznamy o souhlasech?

GDPR vyžaduje prokazatelnost souhlasu, proto doporučujeme uchovávat záznamy minimálně po dobu zpracování dat, ideálně 3-5 let. Consentio automaticky uchovává všechny záznamy.

Co je to ePrivacy směrnice a jak souvisí s cookies?

Směrnice ePrivacy (2002/58/ES), známá jako „zákon o cookies", doplňuje GDPR a specificky upravuje používání cookies a podobných technologií. Článek 5(3) vyžaduje souhlas před uložením jakýchkoli cookies kromě nezbytných. Plánované nařízení ePrivacy by mělo tuto směrnici nahradit a dále zpřísnit pravidla.

Jaké jsou zakázané praktiky při získávání souhlasu s cookies?

GDPR a rozhodnutí Planet49 zakazují: 1) Předem zaškrtnutá políčka — souhlas musí být aktivní, 2) Cookie walls — podmínění přístupu k obsahu souhlasem, 3) Scrollování = souhlas — posouvání stránky není platný souhlas, 4) Ukládání cookies před souhlasem — cookies nesmí být uloženy před udělením souhlasu.

Jak se GDPR vztahuje konkrétně na české weby?

GDPR se uplatňuje přímo v České republice jako nařízení EU. Dozorovým orgánem je Úřad pro ochranu osobních údajů (ÚOOÚ). ÚOOÚ může udělovat pokuty a provádí kontroly dodržování GDPR. V roce 2023 uložil přes 100 pokut, nejčastěji za nevyžádaný marketing a nedostatečné zabezpečení dat.

Vyřešte cookies dnes.
Spěte klidně zítra.

Vyzkoušet zdarma

5 minut k implementaci

Kompletní průvodce GDPRpro české weby