GDPR není jen formalita. Firmy v ČR platí pokuty — průměrně desetitisíce až statisíce korun, a ve větších případech výrazně více. ÚOOÚ kontroly zesílily a nejčastějším terčem nejsou velké korporace, ale střední firmy s webem, který nasbíral data bez řádného souhlasu. Špatná nebo chybějící cookie lišta, formulář bez informovaného souhlasu, přeposílání dat do Analytics bez opt-inu — to jsou porušení, která jsou viditelná každému, kdo váš web navštíví.
Tento průvodce projde konkrétně, co váš web musí splňovat, jaké nástroje existují a kde firmy nejčastěji chybují.
Koho se GDPR týká
Jednoduše: každého, kdo má web dostupný z EU a sbírá jakákoliv osobní data. Osobní data nejsou jen jméno a email. Jsou to i IP adresy (sbírá je Google Analytics), cookie identifikátory, telefonní čísla, adresy. Pokud máte kontaktní formulář, newsletter nebo jen Google Analytics — GDPR se vás týká.
Nemůžete se vymlouvat na to, že jste malá firma. Nařízení platí bez výjimky pro firmy zpracovávající data osob z EU, bez ohledu na velikost. Rozdíl je jen v tom, jak přísně se sankce uplatňují — menší firmy dostávají nižší pokuty, ale dostávají je.
Cookie lišta: co musí splňovat
Cookie lišta, která říká jen "Tento web používá cookies. Kliknutím souhlasíte." s jedním tlačítkem OK, není legální. Takový souhlas není platný, protože uživatel neměl možnost odmítnout.
Platná cookie lišta v roce 2025 musí splňovat několik podmínek. Uživatel musí mít stejně viditelnou možnost odmítnout jako přijmout — tlačítko "Odmítnout vše" musí být vedle "Přijmout vše", ne schované dvě kliknutí v nastavení. Souhlas musí být granulární: uživatel musí mít možnost přijmout jen nezbytné cookies a odmítnout analytické a marketingové. A cookies se nesmí načítat před udělením souhlasu — to je nejčastější technická chyba.
Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. Pasivní souhlas (pokračování v procházení webu = souhlas) není platný od roku 2020.
Souhlas musí být obnovitelný — uživatel musí mít možnost kdykoliv změnit svá nastavení. Odkaz na správu souhlasů proto musí být dostupný z footeru.
Čtyři kategorie cookies
Nezbytné cookies nevyžadují souhlas — jsou nutné pro fungování webu (přihlášení, košík, jazykové preference). Tyto vždy běží.
Analytické cookies (Google Analytics, Hotjar, Matomo) vyžadují souhlas. Sbírají data o chování návštěvníků a pomáhají webu zlepšovat výkon — ale z pohledu GDPR jsou nepovinné.
Marketingové cookies (Facebook Pixel, Google Ads remarketing, LinkedIn Insight Tag) vyžadují souhlas. Slouží k cílenému inzerování na základě chování uživatele napříč weby.
Funkční cookies (live chat, personalizace obsahu, zapamatování jazyka nad rámec nutnosti) — také vyžadují souhlas, pokud sbírají osobní data nebo sledují chování.
Důležité: toto nejsou jen technické kategorie. Musíte uživateli srozumitelně vysvětlit, co každá kategorie dělá, a nechat ho rozhodnout. "Analytické cookies pomáhají nám pochopit, jak návštěvníci web používají" je dostatečné vysvětlení. "Cookies třetích stran" bez dalšího kontextu není.
Google Analytics 4 a GDPR: Consent Mode
GA4 má specifický problém: základní nastavení odesílá data při načtení stránky, bez ohledu na souhlas uživatele. Správné řešení existuje ve dvou variantách.
Google Consent Mode je funkce GA4, která přizpůsobuje chování sledování na základě stavu souhlasu. Při odmítnutí analytických cookies GA4 nepošle identifikátory uživatele, ale může posílat anonymizované "ping" zprávy pro modelování — toto je diskutabilní z pohledu GDPR a závisí na konfiguraci.
Nejbezpečnější přístup: GA4 tracking kód se načte podmíněně, pouze pokud uživatel udělí souhlas s analytickými cookies. Většina správce consent (Cookiebot, CookieYes) toto zvládá automaticky.
Anonymizace IP je v GA4 zapnuta defaultně (na rozdíl od starého UA, kde ji bylo nutné aktivovat). To je jeden z mála výchozích nastavení, který jde správným směrem.
Nástroje pro správu cookies
Implementovat cookie consent ručně je zbytečně složité. Existují hotové nástroje:
Cookiebot je nejrozšířenější řešení v ČR a EU. Automaticky skenuje web, identifikuje cookies a generuje consent banner splňující GDPR, ePrivacy a CCPA. Bezplatný plán pro jeden web do 50 subpages, placené plány od přibližně 150 Kč měsíčně. Nevýhoda: vyšší cena u větších webů.
CookieYes je alternativa s podobnou funkcionalitou. Nabízí více šablonových designů. Cena nižší než Cookiebot u základních plánů.
Termly je americký nástroj, oblíbený zejména u anglicky psaných webů. Generuje i privacy policy a terms of service. Vhodné, pokud potřebujete celý compliance balík v jednom.
Complianz je plugin pro WordPress s dobrým nastavením pro českou legislativu. Oblíbený u WordPress vývojářů, protože se integruje přímo do administrace.
Cookied.io je český nástroj s českou podporou — výhoda, pokud potřebujete poradenství v češtině.
Jakýkoliv z těchto nástrojů správně implementovaný splní zákonné požadavky. Klíčové je správně nakonfigurovat, které skripty patří do které kategorie, a otestovat, že se skripty skutečně nenačítají před souhlasem.
Zásady zpracování osobních údajů
Každý web musí mít veřejně dostupné zásady ochrany osobních údajů (Privacy Policy). Nestačí zkopírovat šablonu z internetu a dosadit název firmy — zásady musí odpovídat skutečnosti na vašem webu.
Co musí zásady obsahovat:
- Kdo je správce osobních údajů (IČO, sídlo, kontaktní email)
- Jaká data sbíráte a k jakým účelům
- Na jakém právním základě data zpracováváte (souhlas, plnění smlouvy, oprávněný zájem)
- Jak dlouho data uchováváte
- Komu data předáváte (Google, Meta, newsletter platforma, účetní software)
- Jaká práva mají uživatelé: právo na přístup, opravu, výmaz, přenositelnost, omezení zpracování
- Jak uplatnit tato práva (email nebo formulář)
- Zda dochází k automatizovanému rozhodování nebo profilování
- Kontakt na pověřence pro ochranu osobních údajů (povinné jen pro určité organizace)
Stránka musí být dostupná z footeru webu a odkazovaná z cookie lišty. Nestačí ji napsat jednou — pokud změníte nástroje nebo způsob zpracování dat (přidáte HubSpot, nový chat, jiný email provider), musíte ji aktualizovat.
Kontaktní formuláře a newslettery
Při sběru emailu přes kontaktní formulář nebo newsletter musí být jasně uvedeno, proč email sbíráte a co s ním budete dělat. Souhlas se zasíláním newsletteru nesmí být automaticky zaškrtnutý checkbox — uživatel musí aktivně zaškrtnout souhlas sám.
U kontaktního formuláře, kde sbíráte jen email pro zodpovězení dotazu, je právním základem plnění smlouvy nebo oprávněný zájem — ne souhlas. To znamená, že nepotřebujete checkbox pro zpracování dat, ale musíte odkázat na zásady zpracování dat.
Pokud chcete zároveň přihlásit uživatele do newsletteru, to je oddělený souhlas a musí být oddělený checkbox.
Double opt-in není povinný ze GDPR, ale je doporučený pro newslettery. Potvrzovací email ověřuje, že adresu zadal majitel — chrání vás před importováním cizích emailů bez souhlasu.
Jak dlouho uchovávat data z formulářů? Pravidlo: ne déle, než je nutné pro daný účel. Poptávky, které se nevyvinuly ve spolupráci, nemusíte uchovávat déle než rok. Naopak obchodní korespondenci, která je součástí smluvního vztahu, archivujte podle zákonných požadavků (obvykle 5-10 let pro účetní doklady).
Fonts, CDN a třetí strany, které zapomínáte
Google Fonts načítané přímo z Google serverů odesílají IP adresu návštěvníka Googlu bez souhlasu. Německé soudy toto v roce 2022 označily za porušení GDPR. Správné řešení: stáhněte fonty a hostujte je lokálně na svém serveru.
Podobný problém mají: CDN načítající JavaScript z externích serverů (jQuery z jquery.com, Bootstrap z cdnjs.com), embedded YouTube videa (načítají trackovací cookies bez souhlasu — řešení: privacy-enhanced mode youtube-nocookie.com), embedded mapy (Google Maps načítají cookies — řešte consent gatewayem nebo alternativou).
Mapbox a OpenStreetMap jsou alternativy k Google Maps bez GDPR problémů. Pokud potřebujete Google Maps, zabalte je do "kliknutím pro zobrazení mapy" obalové komponenty.
Datové úniky a oznamovací povinnost
GDPR zavazuje správce dat hlásit závažné bezpečnostní incidenty (datové úniky) ÚOOÚ do 72 hodin od jejich zjištění. Pokud únik pravděpodobně ohrožuje práva a svobody fyzických osob, musíte informovat i dotčené osoby.
Co je "závažný únik"? Neoprávněný přístup k databázi zákazníků, ztráta notebooku s nešifrovanými daty, kompromitace emailového účtu s citlivou korespondencí, vymazání dat bez zálohy.
Hlásit nemusíte: úniky dat, které s vysokou pravděpodobností nepovedou k riziku pro práva osob (například ztráta vizitky se jménem a pracovním emailem).
Neohlášení závažného úniku je samostatné porušení GDPR s pokutami až do 10 milionů EUR nebo 2 % celosvětového ročního obratu.
Nejčastější chyby, které ÚOOÚ kontroluje
Cookies se načítají před souhlasem — technicky nejrozšířenější porušení. Google Analytics běží okamžitě při načtení stránky, i bez souhlasu uživatele. Správné řešení: Analytics skript se načte až po udělení souhlasu s analytickými cookies.
Cookie lišta bez tlačítka "Odmítnout" — banner, který nabízí jen "Přijmout" nebo "Nastavení", přičemž odmítnutí je skryté v nastavení dvě kliknutí dál, nesplňuje požadavek na rovnocenné možnosti.
Zastaralé nebo chybějící zásady zpracování dat — přidali jste HubSpot, nový email nástroj nebo integraci s Facebookem a zapomněli aktualizovat dokumenty.
Předvyplněné checkboxy souhlasu — checkbox pro souhlas s newsletterem nebo marketingem nesmí být defaultně zaškrtnutý.
Absence souhlasů ve formulářích — kontaktní formuláře bez odkazu na zásady zpracování dat nebo bez informace, co se s daty stane.
Nevhodná délka uchovávání — uchovávání emailů a dat poptávek bez omezení, i po letech bez aktivity.
Jak zkontrolovat, kde váš web stojí
Projděte web přes Cookiebot scanner nebo podobný nástroj — bezplatně vám ukáže, jaké cookies váš web načítá a zda jsou správně kategorizovány.
Otevřete web v incognito okně a zkontrolujte, zda se cookie banner zobrazí před jakýmkoliv tracking skriptem. V Chrome DevTools (záložka Network) uvidíte, zda se GA4 nebo Facebook Pixel načítají před udělením souhlasu.
Zkuste kliknout "Odmítnout" a ověřte, že analytics ve vašem Search Console nebo Analytics přestane zaznamenávat vaši session — ale toto je nepřímý test, Google nemusí každou session zachytit okamžitě.
Projděte svůj web jako nový návštěvník: kde se odevzdávají data? Kontaktní formulář, newsletter přihlášení, chat, registrace. U každého zkontrolujte: je jasné, co se s daty stane? Je tam odkaz na zásady? Je souhlas s marketingem oddělený?
Praktický checklist
- Cookie lišta s rovnocennými tlačítky Přijmout / Odmítnout
- Granulární souhlas (nezbytné / analytické / marketingové)
- Žádné skripty nenačítají před souhlasem
- Zásady zpracování dat v footeru (aktuální, odpovídají realitě)
- Lokálně hostované fonty (ne z Google Fonts CDN)
- Formuláře s odkazem na zásady a oddělený souhlas s newsletterem
- Double opt-in pro newsletter
- Jasná lhůta uchovávání dat
- Odkaz na správu souhlasů v footeru
V Appitect implementujeme GDPR compliance jako součást každého projektu — cookie consent, zásady zpracování dat, správné nastavení Analytics s Consent Mode, lokálně hostované fonty. Pokud si nejste jisti, zda váš web splňuje požadavky, ozvěte se.

