GDPR a cookie lišta nejsou totéž. Samotný banner na cookies nestačí, pokud web sbírá osobní údaje přes formulář, analytiku nebo reklamní nástroje. Níže najdete přehled toho, co musí mít firemní web v roce 2026, aby nebyl zbytečně právní riziko.

Tady je praktický přehled toho, co váš web musí mít.

1. Zásady zpracování osobních údajů (Privacy Policy)

Povinné pro každý web, který sbírá jakákoliv osobní data. A skoro každý web nějaká sbírá — i jen IP adresu přes analytiku nebo e-mail z kontaktního formuláře.

Musí obsahovat:

  • Kdo jste a jak vás kontaktovat (správce osobních údajů)
  • Jaké údaje sbíráte a proč
  • Jak dlouho údaje uchováváte
  • Zda předáváte data třetím stranám (Google Analytics, Mailchimp, Facebook Pixel…)
  • Jaká jsou práva subjektů (přístup, oprava, výmaz, přenositelnost)
  • Kontakt na pověřence pro ochranu osobních údajů (pokud ho máte — většina malých firem ho mít nemusí)

Kde to umístit: Odkaz v patičce webu, viditelně dostupný z každé stránky.

Pozor na: Generické šablony stažené z internetu, které neodpovídají vaší konkrétní situaci. Právní text musí popisovat, co vy skutečně děláte s daty.

2. Cookie lišta — ale správně

Cookie lišta není jen estetický prvek. Slouží k získání informovaného souhlasu uživatele s ukládáním cookies, které nejsou nezbytně nutné pro provoz webu.

Která cookies souhlas nepotřebují

  • Technické cookies nezbytné pro fungování webu (přihlášení, košík, jazyk)
  • Cookies sloužící k bezpečnosti

Která cookies souhlas vyžadují

  • Analytické cookies (Google Analytics, Matomo bez anonymizace)
  • Marketingové a remarketingové cookies (Facebook Pixel, Google Ads)
  • Personalizační cookies
  1. Jasný popis toho, k čemu cookies slouží — ne jen „používáme cookies”
  2. Skutečnou volbu — tlačítko „Přijmout vše” A tlačítko „Odmítnout vše” (nebo „Jen nezbytné”) musí být stejně výrazné. Skrývání odmítnutí do malého textu je v rozporu s GDPR.
  3. Granulární nastavení — ideálně možnost přijmout jen analytiku bez marketingu
  4. Možnost souhlas odvolat — kdykoli, stejně snadno, jako byl udělen

Nejčastější chyba: Předvolené zaškrtnuté políčko u analytiky nebo marketingu. To není platný souhlas.

Doporučená řešení

  • Cookiebot nebo CookieYes — placené, ale GDPR-ready out of the box
  • Complianz pro WordPress
  • Vlastní implementace pro statické weby (Astro, Next.js) — jednodušší, ale musíte znát co děláte

3. Kontaktní formulář a zpracování dat

Každý kontaktní formulář sbírá osobní údaje. Musíte:

  • Uvést, k čemu data použijete (odpověď na dotaz, přidání do newsletteru…)
  • Přidat checkbox se souhlasem se zpracováním osobních údajů — pokud data používáte k něčemu víc než jen k odpovědi na dotaz
  • Nestačí odkaz na Privacy Policy — uživatel musí aktivně potvrdit souhlas

Prakticky: Pod formulář přidejte text jako: „Odesláním souhlasíte se zpracováním osobních údajů za účelem odpovědi na váš dotaz. [Zásady ochrany osobních údajů]“

4. Povinné identifikační údaje

Zákon č. 634/1992 Sb. o ochraně spotřebitele a zákon o elektronickém obchodu vyžadují, aby byl provozovatel webu identifikovatelný. To platí pro každého, kdo provozuje web za účelem podnikání.

Musí být viditelně uvedeno:

  • Obchodní firma nebo jméno a příjmení
  • Sídlo nebo místo podnikání
  • IČO (a DIČ pokud jste plátce DPH)
  • Kontakt — e-mail, případně telefon

Tyto informace patří do patičky nebo na stránku „Kontakt”. Samotný kontaktní formulář bez dalších údajů nestačí.

5. Google Analytics a GDPR

Google Analytics (GA4) sbírá osobní údaje a přenáší je na servery mimo EU. Bez správného nastavení je jeho použití v rozporu s GDPR.

Co je třeba:

  • Aktivovat anonymizaci IP adres (v GA4 je výchozí, ale ověřte)
  • Nepřenášet data před udělením souhlasu — aktivovat cookies GA4 až po kliknutí na „Přijmout”
  • Zmínit Google Analytics v Privacy Policy jako zpracovatele dat
  • Podepsat DPA (Data Processing Agreement) s Googlem — v GA4 v nastavení účtu

Alternativa: Matomo hostované na vlastním serveru — data zůstávají v EU, není potřeba souhlas pro základní analytiku (s anonymizací IP).

Shrnutí: co zkontrolovat na svém webu

PožadavekPovinné
Privacy PolicyAno
Cookie lišta s reálnou volbouAno (pokud používáte analytiku nebo marketing)
Identifikační údaje provozovateleAno
Souhlas u kontaktního formulářeZáleží na použití dat
DPA s Google AnalyticsAno

Nejste si jistí, jestli váš web splňuje požadavky? Napište mi — jako součást technického auditu se podívám i na základní právní náležitosti a upozorním na nejzjevnější problémy.