GDPR a webové stránky: Co musíte splnit v roce 2026

GDPR platí od roku 2018, ale stále ho mnoho webů porušuje. Pokuty mohou být až 20 milionů EUR. Tady je praktický přehled toho, co musíte mít na svém webu.

Co je GDPR?

GDPR (General Data Protection Regulation) je evropský zákon o ochraně osobních údajů. Platí pro každou firmu, která zpracovává osobní údaje občanů EU — tedy pro každou firmu s webem.

Osobní údaje jsou veškeré informace, na základě kterých lze identifikovat konkrétní osobu:

• Jméno a příjmení
• Email
• Telefonní číslo
• IP adresa
• Cookies

Cookie lišta — povinnost č. 1

Od roku 2022 je v ČR povinný aktivní souhlas s cookies (opt-in). To znamená:

Co musíte mít:

• Cookie lištu, která se zobrazí při první návštěvě
• Možnost odmítnout cookies (ne jen „Souhlasím")
• Rozdělení na kategorie (nezbytné, analytické, marketingové)
• Nezbytné cookies mohou běžet bez souhlasu
• Analytické a marketingové cookies NESMÍ běžet před souhlasem

Co nesmíte:

• ❌ Předem zaškrtnuté checkboxy
• ❌ „Cookie wall" — podmínit přístup na web souhlasem
• ❌ Skrýt tlačítko „Odmítnout"
• ❌ Spouštět Google Analytics před souhlasem

Jak implementovat správně:

1. Použijte cookie consent řešení (CookieYes, Cookiebot, vlastní)
2. Google Consent Mode v2 — propojí souhlas s GA4 a Google Ads
3. Uchovávejte záznamy o souhlasech

Kontaktní formuláře

Každý formulář, který sbírá osobní údaje, musí splňovat:

• Checkbox souhlasu — „Souhlasím se zpracováním osobních údajů" (nesmí být předvyplněný)
• Odkaz na zásady ochrany osobních údajů — u checkboxu
• Účel zpracování — jasně řekněte, proč data sbíráte
• Minimalizace dat — nežádejte víc, než potřebujete

Příklad správného checkboxu:

☐ Souhlasím se zpracováním osobních údajů za účelem odpovědi na mou poptávku. Více v Zásadách ochrany osobních údajů.

Newsletter / email marketing

Pokud sbíráte emaily pro newsletter, platí přísnější pravidla:

• Double opt-in — potvrzovací email před přidáním do seznamu
• Jasný popis — co bude odběratel dostávat a jak často
• Odhlášení — v každém emailu musí být odkaz na odhlášení
• Evidence souhlasů — musíte umět prokázat, kdy a jak souhlas vznikl

Zásady ochrany osobních údajů

Každý web musí mít stránku „Zásady ochrany osobních údajů" (Privacy Policy) s těmito informacemi:

1. Kdo jste — identifikace správce údajů (IČO, sídlo)
2. Jaké údaje sbíráte — jméno, email, telefon, cookies...
3. Proč je sbíráte — účel zpracování
4. Jak dlouho je uchováváte — konkrétní doba
5. Kdo k nim má přístup — třetí strany (Google, hosting...)
6. Práva subjektů — právo na přístup, výmaz, přenositelnost
7. Kontakt na DPO — pokud máte pověřence pro ochranu údajů

Google Analytics a GDPR

Google Analytics 4 (GA4) sbírá osobní údaje (IP adresa, cookies). Proto:

1. Nespouštějte GA4 před souhlasem s analytickými cookies
2. Aktivujte anonymizaci IP v GA4
3. Nastavte Google Consent Mode v2
4. Omezte dobu uchovávání dat (14 měsíců max.)
5. Uzavřete s Googlem smlouvu o zpracování údajů (DPA)

Nejčastější GDPR chyby na webech

1. Žádná cookie lišta — nebo jen informační banner bez možnosti odmítnutí
2. GA běží před souhlasem — porušení i se zbytkem
3. Chybí zásady ochrany — povinná stránka
4. Předvyplněné souhlasy — nezákonné
5. Žádné DPA se třetími stranami — Google, Mailchimp, hosting
6. Chybí SSL — data se posílají nezašifrovaně

Jaké hrozí pokuty?

Porušení	Maximální pokuta
Chybějící cookie consent	Do 20 mil. EUR
Spam emaily bez souhlasu	Do 10 mil. EUR
Chybějící privacy policy	Do 20 mil. EUR
Únik osobních dat	Do 20 mil. EUR

V praxi ÚOOÚ (Úřad pro ochranu osobních údajů) uděluje pokuty v řádu desítek až stovek tisíc Kč. Ale trend je rostoucí.

GDPR checklist pro váš web

• Cookie lišta s opt-in (odmítnutí i přijmutí)
• GA4 se spouští až po souhlasu
• Formuláře mají checkbox souhlasu
• Stránka „Zásady ochrany osobních údajů"
• Newsletter s double opt-in
• SSL certifikát (HTTPS)
• DPA se třetími stranami

---

Všechny weby od Weblyx mají GDPR vyřešené — cookie consent, formuláře i zásady ochrany. Spočítejte si cenu.