GDPR na firemním webu v roce 2025: Praktický průvodce pro živnostníky a malé firmy

20. 8. 2025 | Nezařazené

Sedm let s GDPR a pořád nevíte, co vlastně máte na svém webu dodržovat? Nebo si myslíte, že máte vše vyřešené, ale čtete o pokutách v řádu milionů a začínáte mít pochybnosti? V tomto praktickém průvodci vám ukážu, jak se s GDPR na firemním webu vypořádat jednoduše a efektivně.

Co se změnilo za 7 let s GDPR

GDPR platí už od května 2018. S přibývající léty přicházejí praktické zkušenosti. Co se ukázalo? Velká část živnostníků a malých firem si zbytečně komplikuje život:

• Žádají souhlasy, i když je nepotřebují.
• Na webu mají složité právnické texty místo lidsky srozumitelných informací.
• A bojí se používat vlastní zdravý rozum.

POZOR NA POKUTY: Je vidět, že ÚOOÚ postupně přitvrzuje. Pokuta 351 milionů korun pro Avast nebo rekordní pokuta téměř 8 milionů za spam ukazují, že s ochranou osobních údajů to úřad myslí vážně.

Nejčastější chyby malých firem:

• Žádají souhlas tam, kde stačí jiný právní důvod.
• Píšou nesrozumitelné právnické texty.
• Neví, jak dlouho mohou data uchovávat.
• Nemají správně nastavené formuláře.
• Ignorují povinnost informovat o zpracování.

Právní tituly: kdy nepotřebujete souhlas

Tady je to nejdůležitější: ve většině případů na webu souhlas nepotřebujete! GDPR nabízí několik jiných právních důvodů, které jsou často vhodnější než souhlas. Proč? Protože souhlas je kdykoli odvolatelný, zatímco jiné právní tituly nikoliv.

Plnění smlouvy

Pokud potřebujete osobní údaje k vyřízení objednávky nebo závazné poptávky, máte automaticky právo je sbírat. Souhlas nepotřebujete.

Příklady:

• Objednávka v e-shopu (jméno, adresa, telefon, e-mail)
• Fakturační údaje (povinné dle daňových předpisů)
• Rezervace služby s pevným termínem

Budoucí plnění smlouvy

Sbíráte údaje k přípravě cenové nabídky nebo jednání o budoucí smlouvě? Opět souhlas nepotřebujete.

Příklady:

• Kontaktní formulář na firemním webu
• Poptávka služeb nebo výrobků
• Žádost o konzultaci

Oprávněný zájem

Můžete posílat newslettery svým stávajícím zákazníkům bez jejich souhlasu. Musíte jim ale umožnit snadné odhlášení.

POZOR: Toto platí pouze pro zákazníky, se kterými už obchodujete. Pro nové kontakty musíte mít souhlas!

Právní povinnost

Vše, co musíte uchovávat ze zákona, sbíráte oprávněně.

Příklady:

• Fakturační údaje (daňové předpisy)
• Záruční listy (občanský zákoník)

Účely zpracování: buďte konkrétní

Ke každému právnímu titulu musíte uvést, k čemu data používáte. Účel musí být konkrétní a srozumitelný. Zapomeňte na obecné fráze typu pro marketingové účely.

Špatně: Zpracování pro obchodní účely

Správně: Zaslání cenové nabídky na váš dotaz

Další příklady správných účelů:

• Vyřízení vaší objednávky a dodání zboží
• Zaslání newsletteru s novinkami z našeho oboru
• Vystavení faktury a daňového dokladu
• Zodpovězení vašeho dotazu

Doba zpracování: jak dlouho data uchovávat

GDPR říká přiměřeně dlouho. Co to znamená v praxi? Zamyslete se, jak dlouho skutečně data potřebujete, a stanovte si realistickou dobu.

Praktická doporučení:

• Kontaktní formuláře: 1–4 týdny (doba na odpověď)
• Nezávazné poptávky: 1–3 měsíce (vyřízení + follow-up)
• E-shop objednávky: dle zákonných povinností (faktury 10 let, záruky 2 roky a více)
• Newslettery: do odhlášení, nebo např. 3 roky s možností obnovení souhlasu
• PDF knížky za e-mail: 1–2 týdny (doba na odeslání + statistiky)

TIP: Nastavte si automatické mazání dat. Většina moderních nástrojů to umí.

Kdy žádat souhlas a jak ho správně formulovat

Souhlas potřebujete hlavně v těchto případech:

• Newsletter pro nové kontakty (ne zákazníky)
• Marketing třetích stran
• Předávání dat jiným firmám (mimo zpracovatele)
• Sledování pro remarketing

Požadavky na souhlas

Musí být:

• Jednoznačný – jasné ano
• Svobodný – bez nátlaku nebo podmiňování
• Informovaný – víte, k čemu dáváte souhlas
• Konkrétní – ne obecný souhlas na vše

Double opt-in: kdy je nutný

Pro newslettery velmi doporučuji použít double opt-in. Jak to funguje?

1. Uživatel vyplní e-mail.
2. Dostane potvrzovací e-mail.
3. Teprve po kliknutí je přihlášený.

TIP: Přihlaste se pod tímto článkem k odběru upozornění na mé články a projdete si celým procesem sami.

Proč? Chrání vás před:

• Překlepem v e-mailu
• Záměrným přihlášením cizí adresy
• Tvrzením „já jsem se nepřihlašoval“

Podmiňování souhlasu: co je zakázané

Poskytnutí služby nesmíte podmínit souhlasem se zpracováním, pokud tento souhlas není nezbytný k poskytnutí služby.

Příklad problému: PDF knížka za povinný souhlas s newsletterem.

PDF knížky a e-booky za e-mail v roce 2025

Oblíbené PDF knížky za e-mail jsou s GDPR problematické. Máte ale několik legálních řešení:

Varianta 1: Přímé stažení

Nejjednodušší řešení. Žádný e-mail, žádný souhlas. Prostě nabídnete knížku ke stažení.

Varianta 2: E-mail jen pro doručení

Nabídku formulujete jako zaslání PDF knížky na e-mail. O souhlas požádáte prostým sdělením ve smyslu Odesláním souhlasíte se zasláním PDF knížky na e-mail. Tento souhlas se však nevztahuje na zasílání newsletterů a dalších e-mailů.

Varianta 3: Kombinace s newsletterem

Do formuláře k informaci o tom, že uživatel souhlasí se zasláním PDF knížky, přidáte nezaškrtnuté pole s textem (například) Chci také dostávat upozornění na nové články e-mailem. Zaškrtnutí tohoto pole je dobrovolné a nesmí být zaškrtnuté předem.

TIP: Já to řeším tak, že o souhlas se zasíláním e-mailových upozornění na články žádám až v e-mailu s knížkou.

Varianta 4: Zpoplatnění s bezplatnou variantou

Knihu nabídnete takto: PDF knížka stojí 50 Kč. Registrovaní členové ji mají zdarma. Chytrá právní klička, ale nejspíš funguje.

Varianta 5: Zájem o knihu je zájem o službu

Setkal jsem se už s názorem, že zájem o PDF knížku = zájem o odběr služby. A tedy se použije právní titul Budoucí plnění smlouvy, případně Oprávněný zájem. Tento přístup ale důrazně doporučuji probrat s právníkem. Při případné námitce ze strany ÚOOÚ to bude vy, kdo bude tento přístup muset obhájit.

Formuláře v praxi: informování a konkrétní příklady

Ve formulářích vždy informujte o zpracování osobních údajů. Nemusíte psát dlouhé texty přímo do formuláře, ale musíte:

• Uvést základní informaci o tom, že zpracováváte osobní údaje.
• Odkázat na podrobné zásady zpracování.

Kontaktní formulář

Právní titul: Budoucí plnění smlouvy

Informování: Odesláním souhlasíte se zpracováním osobních údajů pro zodpovězení vašeho dotazu. Více informací »

Souhlas: Nepotřebujete

Newsletter

Právní titul: Souhlas

Informování: Musíte informovat o všech podstatných údajích

Souhlas: Povinný, nejlépe s double opt-in.

Objednávka v e-shopu

Právní titul: Plnění smlouvy + oprávněný zájem

Informování: Základní informace + odkaz na zásady zpracování

Souhlas: Nepotřebujete, ale v každém e-mailu musí být možnost se odhlásit

Recenze a komentáře

Záleží na situaci:

• Zákazníci e-shopu: Oprávněný zájem (recenze pomáhají ostatním)
• Návštěvníci webu: Minimálně informovat o zpracování osobních údajů po odeslání, nebo vyžádat souhlas
• Anonymní komentáře: Pokud nevyžadujete identifikaci, žádný problém

Zásady ochrany osobních údajů: co musí obsahovat

Každý web musí mít stránku s informacemi o ochraně osobních údajů. Napište ji lidsky, ne právnicky! Co má dokument obsahovat?

Správce

• Název firmy/jméno živnostníka
• Adresa
• E-mail a telefon
• IČO

Pro každé zpracování uveďte:

• Jaké údaje sbíráte
• Proč je sbíráte (účel)
• Na základě čeho (právní titul)
• Jak dlouho je uchováváte
• Komu je předáváte (zpracovatelé, třetí strany)

Práva návštěvníků

• Přístup k údajům
• Oprava nesprávných údajů
• Výmaz (právo být zapomenut)
• Přenositelnost dat
• Námitka proti zpracování
• Odvolání souhlasu
• Stížnost u ÚOOÚ

TIP: Podívejte se na příklad zásad – jsou psané lidsky a srozumitelně.

Praktické tipy pro rok 2025

Zde jsou mé tipy:

• Nejste-li si čímkoliv jisti, projděte si svou stránku Zásady ochrany osobních údajů a zkontrolujte, zda nic nechybí a vše odpovídá realitě (například právní tituly, doba zpracování, zpracovatelé údajů…). A jsou texty psané lidsky a srozumitelné?
• Máte ve všech formulářích informace o zpracování údajů a odkaz na stránku zásad?
• Máte vyřešené automatické mazání údajů po době, kterou uvádíte na stránce zásad?
• Zkontrolujte také, zda nežádáte souhlas zbytečně, nebo vám naopak někde nechybí.
• Máte nastavený double opt-in u newsletterů?
• Umíte řešit žádost o výmaz osobních údajů a jste schopni takové osobní údaje všude smazat?
• Umíte dokázat, že jste dostali souhlas a máte jej někde archivovaný?

Závěrem

GDPR na firemním webu není raketová věda. Stačí dodržet několik základních pravidel:

• Informujte lidsky a srozumitelně o zpracování údajů.
• Využívejte jiné právní tituly než souhlas (plnění smlouvy, oprávněný zájem).
• Žádejte souhlas jen tam, kde je nutný (newslettery, marketing).
• Stanovte si reálné doby uchovávání dat.
• Mějte aktuální zásady ochrany osobních údajů.

Kdy zvážit odborníka (právníka):

• Máte složitější e-shop s tisíci zákazníky.
• Sbíráte citlivé údaje (zdravotní, biometrické).
• Předáváte data do zahraničí.
• Už jste dostali stížnost nebo kontrolu.

Pamatujte si, že GDPR je o zdravém rozumu a respektu k lidem. Postupujte proto transparentně a poctivě.