GDPR checklist pro majitele webů: praktický a kompletní tahák (včetně WordPressu)

GDPR (General Data Protection Regulation) patří mezi nejtvrdší a zároveň nejucelenější pravidla ochrany soukromí na světě. A není to téma jen pro korporáty: i malý blog, e‑shop nebo SaaS projekt řeší osobní údaje (třeba e‑mail, IP adresu, fakturační údaje, identifikátory cookies). Jakmile zpracováváš osobní údaje osob v EU, GDPR se tě týká – i když firmu provozuješ mimo EU.

Riziko není jen teoretické. Za porušení pravidel mohou padat pokuty až do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu (podle toho, co je vyšší). Vedle pokut mohou úřady nařídit omezení zpracování, výmaz dat nebo i zákaz určitých operací s daty.

Co přesně je GDPR (a kdy se tě týká)

GDPR je evropské nařízení o ochraně osobních údajů účinné od 25. května 2018. Definuje pravidla pro to, jak organizace osobní údaje sbírají, používají, ukládají a sdílí. Platí nejen pro subjekty usazené v EU, ale i pro ty mimo EU, pokud zpracovávají osobní údaje rezidentů EU.

Nejdřív si ujasni roli: Controller vs. Processor

V praxi se hodně věcí láme na tom, jestli jsi Data Controller (správce) nebo Data Processor (zpracovatel). A klidně můžeš být obojí – typicky u SaaS, kdy pro vlastní marketing vystupuješ jako správce, ale pro zákazníka zpracováváš data jako zpracovatel.

• Data Controllers (správci): určují, proč a jak se osobní údaje zpracovávají. Nesou hlavní odpovědnost za soulad s GDPR.
• Data Processors (zpracovatelé): třetí strany, které zpracovávají data pro správce (např. hosting, e‑mailing, analytika, helpdesk). Musí mít odpovídající technická a organizační opatření.
• Data Subjects (subjekty údajů): fyzické osoby, jejichž údaje zpracováváš. GDPR chrání jejich práva.

7 principů GDPR, které se propisují do všeho

1. Zákonnost, korektnost a transparentnost: zpracovávej legálně a srozumitelně vysvětli, co s daty děláš.
2. Účelové omezení (purpose limitation): sbírej data jen pro konkrétní legitimní účely.
3. Minimalizace dat: ber jen minimum, které opravdu potřebuješ.
4. Přesnost: udržuj data aktuální a opravitelné.
5. Omezení uložení (storage limitation): neukládej déle, než je nutné.
6. Integrita a důvěrnost: chraň data před neoprávněným přístupem vhodnými opatřeními.
7. Odpovědnost (accountability): musíš být schopný doložit, že pravidla dodržuješ.

Kompletní GDPR compliance checklist (pro weby a online služby)

Níže je checklist rozdělený do oblastí. U každého bodu uvádím, na koho typicky dopadá (Data Controller, Data Processor) a přidávám přesné odkazy na články GDPR, protože při auditu je to často to první, co se řeší.

Data

1) Máš seznam všech typů osobních údajů, jejich zdroj, sdílení, účel a dobu uchování

Platí pro: Data Controller, Data Processor

Jde o praktický inventář toho, jaké „sloupce“ osobních údajů držíš (např. jméno, adresa, e‑mail, rodné číslo, identifikátory zařízení), odkud se berou, komu je předáváš, proč je potřebuješ a jak dlouho je držíš.

Reference: GDPR Article 30 – Records of processing activities

2) Máš seznam míst, kde osobní údaje ukládáš, a popsané datové toky

Platí pro: Data Controller, Data Processor

Nejde jen o databáze (třeba MySQL), ale i o offline úložiště (papír, exporty, lokální soubory). Důležité jsou i vazby: odkud kam data tečou (web → CRM → e‑mailing → účetnictví atd.).

Reference: GDPR Article 30 – Records of processing activities

3) Máš veřejně dostupné Privacy Policy, které popisuje procesy kolem osobních údajů

Platí pro: Data Controller, Data Processor

Privacy Policy by mělo pokrývat, jak data zpracováváš, a ideálně obsahovat (nebo odkazovat na) typy osobních údajů, které držíš, a kde se nachází.

Reference: GDPR Article 30 – Records of processing activities

4) V Privacy Policy uvádíš právní titul (lawful basis), proč data zpracováváš

Platí pro: Data Controller

Musí být jasné, na jakém právním základě data zpracováváš – například plnění smlouvy.

Reference: GDPR Article 6 – Lawfulness of processing

Accountability & management

5) Máš jmenovaného Data Protection Officer (DPO), pokud je to povinné

Platí pro: Data Controller, Data Processor

DPO (pověřenec pro ochranu osobních údajů) je povinný jen ve třech situacích:

1. Zpracování provádí orgán veřejné moci nebo veřejný subjekt (mimo soudy, pokud jednají v soudní pravomoci).
2. Hlavní činnosti vyžadují pravidelné a systematické monitorování subjektů údajů ve velkém rozsahu (dle povahy/rozsahu/účelu).
3. Hlavní činnosti spočívají ve zpracování ve velkém rozsahu zvláštních kategorií údajů (citlivá data) dle Article 9 a osobních údajů o odsouzeních a trestných činech dle Article 10.

Pokud DPO potřebuješ, měl by mít znalost GDPR pravidel i interních procesů práce s osobními údaji.

Reference: GDPR Article 37 – Designation of the data protection officer

6) Zvyšuješ povědomí u decision makerů o GDPR pravidlech

Platí pro: Data Controller, Data Processor

Klíčoví lidé (včetně těch, kdo rozhodují o produktech, marketingu a nákupech nástrojů) musí mít aktuální přehled o pravidlech ochrany dat.

Reference: GDPR Article 25 – Data protection by design and by default

7) Technická bezpečnost je aktuální

Platí pro: Data Controller, Data Processor

U SaaS typicky pomáhá jet podle security checklistů, aby byla implementovaná odpovídající technická opatření.

Reference: GDPR Article 25 – Data protection by design and by default

8) Školíš zaměstnance (data protection awareness)

Platí pro: Data Processor

Hodně incidentů vzniká „přes člověka“ – někdo s přístupem do interních systémů nevědomky pomůže útočníkovi. Školení a interní postupy jsou součást ochrany.

Reference: GDPR Article 25 – Data protection by design and by default

9) Máš seznam sub‑processors a zmiňuješ je v Privacy Policy

Platí pro: Data Processor

Pokud využíváš sub‑processory (další dodavatele, kteří pro tebe zpracovávají data), musí o tom zákazníci vědět a souhlasit s tím přijetím Privacy Policy.

Reference: GDPR Article 28 – Processor

10) Pokud působíš mimo EU, máš zástupce v EU

Platí pro: Data Controller, Data Processor

Když máš firmu mimo EU, ale sbíráš data občanů EU, měl bys mít jmenovaného zástupce v některém členském státě. Úřady ho musí být schopné kontaktovat kvůli záležitostem zpracování.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Incidenty (data breaches) hlásíš úřadu i dotčeným lidem

Platí pro: Data Controller, Data Processor

Porušení zabezpečení osobních údajů se hlásí do 72 hodin místnímu dozorovému úřadu. V oznámení typicky uvádíš, jaká data unikla, jaké jsou dopady a jaká protiopatření jsi zavedl. Pokud uniklá data nebyla šifrovaná, máš obvykle povinnost informovat i dotčené subjekty údajů.

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Se všemi Processory, kterým předáváš data, máš smlouvu

Platí pro: Data Controller

Smlouva má obsahovat explicitní instrukce pro ukládání/zpracování dat. Má popisovat předmět a dobu zpracování, povahu a účel zpracování, typ osobních údajů a kategorie subjektů údajů, plus povinnosti a práva správce. Typicky sem spadá třeba smlouva s hostingem. Stejné požadavky platí i tehdy, když processor zapojí sub‑processora.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

Nová práva (praktická vymahatelnost na webu)

13) Uživatelé si umí jednoduše vyžádat přístup ke svým datům

Platí pro: Data Controller, Data Processor

Měl by existovat jasný proces, jak vyřizuješ žádosti o přístup (DSAR).

Reference: GDPR Article 15 – Right of access by the data subject

14) Uživatelé si umí jednoduše opravit/aktualizovat údaje

Platí pro: Data Controller, Data Processor

Potřebuješ mechanismus, kterým lze opravit nepřesná data.

Reference: GDPR Article 16 – Right to rectification

15) Automaticky mažeš data, která už nepotřebuješ

Platí pro: Data Controller, Data Processor

Mazání by nemělo být ruční rituál jednou za rok. Příklad: automaticky odstranit data zákazníků, kteří neobnovili smlouvu.

Reference: GDPR Article 5 – Principles relating to processing of personal data

16) Uživatelé si umí jednoduše vyžádat výmaz (right to be forgotten)

Platí pro: Data Controller, Data Processor

Musíš mít proces pro žádosti o výmaz.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Uživatelé si umí vyžádat omezení zpracování

Platí pro: Data Controller, Data Processor

Uživatelé mají právo omezit, jak data zpracováváš.

Reference: GDPR Article 18 – Right to restriction of processing

18) Uživatelé si umí vyžádat předání dat (data portability)

Platí pro: Data Controller, Data Processor

Přenositelnost znamená dodat data ve strukturovaném, běžně používaném, strojově čitelném formátu – uživateli nebo třetí straně.

Reference: GDPR Article 20 – Right to data portability

19) Uživatelé mohou snadno vznést námitku proti profilování / automatizovanému rozhodování

Platí pro: Data Controller

Týká se jen případů, kdy děláš profilování nebo automatizované rozhodování, které může mít na člověka dopad.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

Souhlas (Consent)

20) Pokud jedeš na souhlas, musí být svobodný, konkrétní, informovaný a odvolatelný

Platí pro: Data Controller

Když na webu sbíráš osobní údaje na základě souhlasu, musí být viditelně dostupná Privacy Policy a musí být jasné, že uživatel souhlasí s podmínkami. Souhlas vyžaduje aktivní úkon – předzaškrtnuté checkboxy jsou nepřípustné.

Reference: GDPR Article 7 – Conditions for consent

21) Privacy Policy je napsané jasně a srozumitelně

Platí pro: Data Controller

Text nesmí skrývat záměr, má být jednoduchý a pochopitelný. U služeb pro děti má být pochopitelný i jim (co nejvíc plain language). Pokud tohle nesplníš, může to zneplatnit souhlas / dohodu.

Reference: GDPR Article 7.2 – Conditions for consent

22) Odvolání souhlasu je stejně snadné jako jeho udělení

Platí pro: Data Controller

Uživatel by neměl absolvovat složitější cestu, než když souhlas dával.

Reference: GDPR Article 7.3 – Conditions for consent

23) U dětských dat ověřuješ věk a řešíš souhlas zákonného zástupce

Platí pro: Data Controller

U dětí mladších 16 let musíš zajistit souhlas zákonného zástupce. Pokud se souhlas dává přes web, měl bys se rozumně pokusit ověřit, že ho opravdu dává zástupce (a ne dítě).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Při aktualizaci Privacy Policy informuješ stávající zákazníky

Platí pro: Data Controller

Typicky e‑mailem dopředu s jednoduchým vysvětlením, co se změnilo.

Reference: GDPR Article 7 – Conditions for consent

Follow‑up (pravidelné revize)

25) Pravidelně reviduješ politiky a změny v tom, kam data tečou

Platí pro: Data Controller

Nejde jen o „jednou nastavit a hotovo“. Kontroluj změny procesů, efektivitu opatření a také změny ve státech, do kterých data posíláš (a jejich režim ochrany).

Reference: GDPR Article 25 – Data protection by design and by default

Speciální případy

26) Víš, kdy musíš udělat DPIA (Data Protection Impact Assessment)

Platí pro: Data Controller

DPIA je na místě u vysoce rizikových zpracování – typicky velký rozsah, profilování a další činnosti s vysokým rizikem pro práva a svobody lidí.

Reference: GDPR Article 35 – Data protection impact assessment

27) Data mimo EU posíláš jen tam, kde je odpovídající ochrana (nebo máš SCC/BCR)

Platí pro: Data Controller, Data Processor

Přenosy mimo EU musíš mít ošetřené a tyto přeshraniční toky také uvádět v Privacy Policy. Pro země bez odpovídající ochrany se typicky používají Standard Contractual Clauses (SCCs) nebo Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Práva uživatelů (Data Subject Rights) – co musíš umět obsloužit

GDPR dává lidem, jejichž data zpracováváš, konkrétní práva. Z implementačního pohledu je důležité, aby bylo jasné: (1) jak žádost přijmeš, (2) jak ověříš identitu, (3) jak data dohledáš napříč systémy, (4) jak to celé zdokumentuješ.

Right to transparent information

Správce má přijmout vhodná opatření a poskytnout informace o zpracování stručně, transparentně, srozumitelně a snadno dostupně, jasným a jednoduchým jazykem – obzvlášť pokud je informace určená dítěti. Informace mají být poskytnuté písemně nebo jinými prostředky, včetně elektronických, pokud je to vhodné.

Reference: GDPR Article 12

Right to receive specific information when personal data are collected directly

Pokud data sbíráš přímo od člověka, musí dostat konkrétní informace, včetně:

1. Totožnost a kontaktní údaje správce
2. Kontaktní údaje DPO (pokud se uplatní)
3. Účely zpracování a právní základ
4. Oprávněné zájmy správce (pokud se uplatní)
5. Příjemci nebo kategorie příjemců osobních údajů
6. Informace o předávání do třetích zemí

Reference: GDPR Article 13

Right to receive specific information when personal data are not collected directly

Pokud data získáš z jiných zdrojů než přímo od subjektu údajů, musíš poskytnout obdobné informace, včetně kategorií dotčených osobních údajů a zdroje dat.

Reference: GDPR Article 14

Right of access

Uživatel má právo získat potvrzení, zda jeho data zpracováváš, a také přístup k informacím:

• účely zpracování
• kategorie dotčených osobních údajů
• příjemci, kterým data byla nebo budou zpřístupněna
• plánovaná doba uchování
• existence práv na opravu, výmaz, omezení a námitku
• právo podat stížnost u dozorového úřadu
• informace o zdroji dat (pokud nebyla získána od subjektu)
• existence automatizovaného rozhodování včetně profilování

Reference: GDPR Article 15

Right to rectification

Právo na opravu nepřesných údajů bez zbytečného odkladu a doplnění neúplných údajů.

Reference: GDPR Article 16

Right to erasure (“right to be forgotten”)

Právo na výmaz nastupuje zejména, když:

1. Data už nejsou potřebná pro původní účel.
2. Odvoláš souhlas a neexistuje jiný právní důvod ke zpracování.
3. Vznesl(a) jsi námitku a neexistují převažující oprávněné důvody.
4. Data byla zpracována protiprávně.
5. Data se musí vymazat kvůli splnění právní povinnosti.
6. Data byla získána v souvislosti se službami informační společnosti nabídnutými dítěti.

Reference: GDPR Article 17

Right to restriction of processing

Právo na omezení zpracování typicky nastává, když:

1. Rozporuješ přesnost dat (na dobu ověření).
2. Zpracování je protiprávní a místo výmazu chceš omezení.
3. Správce data už nepotřebuje, ale ty je potřebuješ pro právní nároky.
4. Vznesl(a) jsi námitku a čeká se na ověření oprávněných důvodů.

Reference: GDPR Article 18

Right to be notified regarding rectification, erasure, or restriction

Správce má oznámit opravu, výmaz nebo omezení každému příjemci, kterému byly údaje zpřístupněny – pokud to není nemožné nebo nepřiměřeně náročné.

Reference: GDPR Article 19

Right to data portability

Právo získat osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci bez překážek.

Reference: GDPR Article 20

Right to object

Právo vznést námitku kdykoliv (s ohledem na konkrétní situaci) proti zpracování založenému na oprávněných zájmech nebo veřejném zájmu, včetně profilování.

Reference: GDPR Article 21

Right not to be subject to automated decision-making

Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování (včetně profilování), které má právní účinky nebo podobně významně ovlivňuje.

Reference: GDPR Article 22

Praktické implementační kroky (co na webu reálně udělat)

1) Zabezpeč web a infrastrukturu

• Nainstaluj SSL certifikát (HTTPS), aby se data šifrovala mezi webem a serverem.
• Používej silná hesla pro všechny admin účty.
• Přidej extra ochranu pro zpracování platebních informací.
• Použij CDN poskytovatele, který pomáhá chránit proti DDoS útokům.
• Nasaď anti‑virus software pro prevenci neoprávněného přístupu.
• Minimalizuj sběr dat – sbírej jen to, co je nutné.
• Před uložením data pseudonymizuj nebo anonymizuj, pokud to dává smysl.
• Dělej zálohy do více bezpečných lokací.
• Maž data, jakmile už nejsou potřeba.

2) Přidej cookie consent banner (a udělej ho správně)

Pokud používáš ne‑nezbytné cookies, potřebuješ explicitní souhlas před jejich aktivací.

Cookie banner musí splnit:

• Blokovat cookies do udělení souhlasu: načíst jen nezbytné cookies, dokud uživatel neodsouhlasí.
• Jednoduchý a jasný jazyk: vysvětlit, jaké cookies používáš a proč.
• Rovnocenné volby Accept/Reject: neukrývat odmítnutí.
• Granulární volby: možnost vybrat konkrétní kategorie cookies.
• Možnost odvolání souhlasu: jednoduchá změna preferencí později.
• Evidence souhlasu: ukládat volby včetně časové značky, aby šly doložit.

3) Zkontroluj formuláře na webu

Každý formulář, který sbírá osobní údaje, musí být nastavený tak, aby byl v souladu s GDPR:

• Přidej privacy statement: proč data potřebuješ.
• Použij nezaškrtnutý checkbox pro souhlas (pokud je souhlas právní základ).
• Pro marketing dej oddělený opt‑in (zvlášť souhlas).
• Odkazuj na Privacy Policy.
• Piš jasně a jednoduše.

4) Získej souhlas pro marketingové e‑maily

• Používej jen clear opt‑in: nezaškrtnutý checkbox přímo pro e‑mailový souhlas.
• Zaveď double opt‑in: potvrzení registrace přes e‑mail.
• Udržuj záznamy o souhlasu: datum, čas, metoda, účel.
• Do každého e‑mailu dej viditelný unsubscribe link: ideálně na jeden klik.
• Odhlášení zpracuj rychle: ideálně do 24 hodin.

5) Připrav se na incidenty (data breach)

• Oznám dozorovému úřadu do 72 hodin.
• Informuj dotčené uživatele, pokud existuje vysoké riziko pro jejich práva.
• Všechno zdokumentuj (accountability).
• Aktualizuj postupy a politiky tak, aby se situace neopakovala.

WordPress specifika: na co si dát pozor

Pokud provozuješ web na WordPressu, GDPR se dotýká hlavně pluginů, témat a toho, jak pracují s cookies a formuláři. Praktický baseline:

• Udržuj WordPress core, témata a pluginy aktuální.
• Používej kontaktní formuláře, které umí GDPR consent checkboxy.
• Nainstaluj funkční řešení pro cookie consent.
• Používej GDPR‑compliant analytics (a hlídej, jaké cookies a identifikátory používá).
• Reviduj, jak pluginy sbírají data (kde, proč, komu je posílají).
• Implementuj funkce pro export a výmaz uživatelských dat.

Sankce za porušení GDPR (pokuty i další opatření)

GDPR rozlišuje dvě úrovně pokut:

• Nižší úroveň porušení: až 10 milionů EUR nebo 2 % celosvětového ročního obratu.
• Vyšší úroveň porušení: až 20 milionů EUR nebo 4 % celosvětového ročního obratu.

Kromě pokut může dozorový úřad také:

• udělit varování
• dočasně nebo trvale zakázat zpracování
• nařídit výmaz dat
• omezit mezinárodní přenosy dat

FAQ

What is a GDPR compliance checklist?

GDPR compliance checklist je seznam kroků, které je potřeba udělat, abys byl v souladu s GDPR. Pomáhá odhalit slabá místa v ochraně dat a naplánovat nápravu.

Who is responsible for GDPR compliance?

Primárně data controller (typicky majitel webu nebo firma). Povinnosti ale mají i data processors.

Does GDPR apply to US businesses?

Ano, pokud zpracovávají osobní údaje rezidentů EU – bez ohledu na to, kde firma sídlí.

What is the maximum penalty for non-compliance?

Až 20 milionů EUR nebo 4 % ročního celosvětového obratu (podle toho, co je vyšší).

Do I need a cookie banner?

Ano, pokud web používá jakékoliv ne‑nezbytné cookies a má návštěvníky z EU.

Do I need a Data Protection Officer?

Jen pokud: (1) jsi orgán veřejné moci, (2) hlavní činnost vyžaduje velkoobjemové, systematické monitorování lidí, nebo (3) ve velkém zpracováváš citlivá data.