GDPR checklist pre majiteľov webov: praktický návod, čo musíš mať v poriadku

GDPR (General Data Protection Regulation) patrí medzi najprísnejšie a zároveň najkomplexnejšie pravidlá ochrany osobných údajov. Ak spracúvaš osobné údaje obyvateľov EÚ – či už prevádzkuješ malý blog, e‑shop alebo SaaS – GDPR sa ťa týka bez ohľadu na to, kde máš firmu alebo servery.

Riziko nie je len reputačné. V prípade nedodržania môžu pokuty dosiahnuť až 20 miliónov € alebo 4 % z celosvetového ročného obratu (podľa toho, čo je vyššie). Okrem pokút môžu úrady nariadiť aj obmedzenie spracúvania, zákaz spracúvania alebo vymazanie dát.

Čo je GDPR a na koho sa vzťahuje

GDPR je nariadenie EÚ účinné od 25. mája 2018, ktoré nastavuje pravidlá, ako organizácie môžu zbierať, používať, ukladať a zdieľať osobné údaje. Platí pre firmy v EÚ aj mimo nej – rozhodujúce je, či spracúvaš osobné údaje ľudí v EÚ.

Najprv si ujasni rolu: controller vs. processor

V praxi sa veľa problémov začína tým, že si firma nesprávne určí, či je Data Controller (prevádzkovateľ) alebo Data Processor (sprostredkovateľ). Môžeš byť aj oboje – napríklad keď spracúvaš dáta vlastných zákazníkov (controller), ale zároveň hostuješ alebo spracúvaš dáta pre iného klienta (processor).

• Data Controllers: určujú „prečo“ a „ako“ sa osobné údaje spracúvajú. Nesú hlavnú zodpovednosť za súlad s GDPR.
• Data Processors: spracúvajú osobné údaje v mene controllera. Musia mať primerané technické a organizačné opatrenia.
• Data Subjects: dotknuté osoby – ľudia, ktorých údaje spracúvaš. GDPR chráni ich práva.

7 princípov GDPR, ktoré sa ti budú vracať v každom audite

Skôr než začneš „odškrtávať“, oplatí sa držať v hlave princípy, podľa ktorých sa posudzuje prakticky všetko:

1. Zákonnosť, spravodlivosť a transparentnosť: spracúvaj údaje legálne a jasne informuj, čo s nimi robíš.
2. Obmedzenie účelu: zbieraj údaje len na konkrétne a legitímne účely.
3. Minimalizácia údajov: zbieraj len minimum, ktoré naozaj potrebuješ.
4. Správnosť: údaje musia byť presné a aktualizované.
5. Obmedzenie uchovávania: nesmieš držať údaje dlhšie, než je potrebné.
6. Integrita a dôvernosť: chráň údaje pred neoprávneným prístupom primeranými bezpečnostnými opatreniami.
7. Zodpovednosť (accountability): musíš vedieť preukázať, že GDPR dodržiavaš.

Kompletný GDPR compliance checklist

Nižšie je checklist rozdelený do oblastí. Pri každom bode je uvedené, či sa typicky týka controllera, processora alebo oboch – a je pripojený aj relevantný článok GDPR, ktorý sa v praxi používa ako opora pri auditoch.

1) Dáta (inventúra, toky, dokumentácia)

Máš zoznam všetkých typov osobných údajov, zdroj, účel, zdieľanie a dobu uchovávania

Platí pre: Data Controller, Data Processor

Potrebné je mať prehľad „čo presne držíš“ – reálne typy údajov (napr. meno, adresa, rodné číslo/ID, e‑mail, IP adresa podľa kontextu), odkiaľ sa berú, komu ich poskytuješ, na aký účel ich spracúvaš a ako dlho ich uchovávaš.

Reference: GDPR Article 30 – Records of processing activities

Máš zoznam miest, kde osobné údaje ukladáš, a vieš popísať tok dát medzi nimi

Platí pre: Data Controller, Data Processor

Nie je to len databáza typu MySQL/PostgreSQL. Započítaj aj offline úložiská (papier, exporty, CSV v zdieľanom disku, logy, helpdesk). Zmysel je vedieť vysvetliť, kadiaľ dáta tečú – od formulára, cez CRM, e‑mailing, analytiku až po zálohy.

Reference: GDPR Article 30 – Records of processing activities

Máš verejne dostupné zásady ochrany osobných údajov (Privacy Policy) a pokrývajú celý životný cyklus dát

Platí pre: Data Controller, Data Processor

Privacy Policy má popísať všetky procesy spojené so spracúvaním osobných údajov. Dokument by mal obsahovať (alebo aspoň odkazovať na) typy údajov, ktoré držíš, a kde ich držíš.

Reference: GDPR Article 30 – Records of processing activities

V Privacy Policy máš uvedený právny základ, prečo údaje spracúvaš

Platí pre: Data Controller

Nestačí napísať, že „spracúvame údaje“. Potrebuješ uviesť právny dôvod (lawful basis), napríklad plnenie zmluvy.

Reference: GDPR Article 6 – Lawfulness of processing

2) Zodpovednosť a riadenie (accountability & management)

Máš určenú zodpovednú osobu / DPO, ak to tvoja situácia vyžaduje

Platí pre: Data Controller, Data Processor

Data Protection Officer (DPO) je povinný len v troch scenároch:

1. Spracúvanie vykonáva orgán verejnej moci alebo verejný subjekt, okrem súdov pri výkone ich súdnej právomoci.
2. Hlavné činnosti spočívajú v spracovateľských operáciách, ktoré vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
3. Hlavné činnosti spočívajú vo veľkoplošnom spracúvaní osobitných kategórií údajov (citlivé údaje) podľa Article 9 a osobných údajov týkajúcich sa odsúdení za trestné činy a priestupky podľa Article 10.

Ak DPO potrebuješ, musí rozumieť GDPR usmerneniam a zároveň mať prehľad o interných procesoch, kde sa osobné údaje používajú.

Reference: GDPR Article 37 – Designation of the data protection officer

Decision makeri vedia, čo GDPR vyžaduje (a ich vedomosti sú aktuálne)

Platí pre: Data Controller, Data Processor

Kľúčoví ľudia musia mať aktuálne znalosti o ochrane údajov. V praxi to znamená pravidelný refresh a jasné pravidlá „kto môže rozhodnúť o čom“ (napr. zavedenie nového trackingu, nový newsletter tool, nové integračné webhooky).

Reference: GDPR Article 25 – Data protection by design and by default

Technické zabezpečenie je aktuálne a primerané

Platí pre: Data Controller, Data Processor

Najmä pri SaaS je rozumné začať security checklistami a mať pod kontrolou základné technické opatrenia (hardening, patchovanie, prístupy, logging).

Reference: GDPR Article 25 – Data protection by design and by default

Tím je vyškolený na ochranu údajov (najmä ak si processor)

Platí pre: Data Processor

Veľa incidentov vzniká tým, že niekto s prístupom k interným systémom naletí sociálnemu inžinierstvu alebo spraví „nevinnú“ chybu. Školenie má byť praktické: phishing, práca s exportmi, zdieľanie prístupov, práca s ticketmi obsahujúcimi osobné údaje.

Reference: GDPR Article 25 – Data protection by design and by default

Máš zoznam sub-processors a Privacy Policy ich používanie explicitne spomína

Platí pre: Data Processor

Ak využívaš ďalších dodávateľov, ktorí spracúvajú dáta (sub-processors), zákazník o tom musí vedieť a súhlasiť s tým tým, že akceptuje tvoje zásady.

Reference: GDPR Article 28 – Processor

Ak si mimo EÚ, máš určeného zástupcu v EÚ

Platí pre: Data Controller, Data Processor

Ak podnikáš mimo EÚ a zbieraš dáta občanov EÚ, potrebuješ určiť zástupcu v niektorom členskom štáte. Tento zástupca rieši otázky súvisiace so spracúvaním a musí byť kontaktovateľný aj lokálnym úradom.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

Incidenty (data breaches) vieš nahlasovať úradu aj dotknutým osobám

Platí pre: Data Controller, Data Processor

Únik osobných údajov musíš nahlásiť príslušnému dozornému orgánu do 72 hodín. V hlásení má byť jasné, aké dáta unikli, aké sú dôsledky a aké protiopatrenia si prijal. Ak dáta neboli šifrované, typicky musíš incident oznámiť aj dotknutým osobám (data subjects).

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

S každým processorom, ktorému odovzdávaš dáta, máš zmluvu (DPA) s jasnými pokynmi

Platí pre: Data Controller

Zmluva má obsahovať explicitné pokyny k ukladaniu a spracúvaniu dát: predmet a trvanie spracúvania, povahu a účel spracúvania, typy osobných údajov, kategórie dotknutých osôb a povinnosti/práva controllera.

Typický príklad je hosting. Rovnaké požiadavky platia aj vtedy, keď processor zapojí sub-processora, aby mu pomohol plniť spracovateľské činnosti pre controllera.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

3) Nové práva používateľov (praktické procesy, nie len text na webe)

Používateľ vie jednoducho požiadať o prístup k svojim údajom

Platí pre: Data Controller, Data Processor

Musíš mať jasný proces, ako vybavuješ žiadosti o prístup (access requests) – kto ich prijíma, ako overuješ identitu, kde údaje nájdeš a v akom formáte ich poskytneš.

Reference: GDPR Article 15 – Right of access by the data subject

Používateľ vie svoje údaje opraviť a udržiavať presné

Platí pre: Data Controller, Data Processor

Potrebný je mechanizmus na opravu nepresných údajov – typicky self‑service profil alebo jasný support proces.

Reference: GDPR Article 16 – Right to rectification

Údaje, ktoré už nepotrebuješ, sa automaticky mažú

Platí pre: Data Controller, Data Processor

Mazanie by malo byť automatizované. Napríklad ak zákazník neobnoví zmluvu, dáta by nemali zostať uložené „navždy len pre istotu“.

Reference: GDPR Article 5 – Principles relating to processing of personal data

Používateľ vie jednoducho požiadať o vymazanie (right to be forgotten)

Platí pre: Data Controller, Data Processor

Implementuj proces na vybavenie žiadostí o vymazanie. Dôležité je, aby si vedel zmazať dáta naprieč systémami (produkčná DB, CRM, helpdesk, marketing nástroje, exporty), a zároveň vedel vysvetliť prípadné zákonné výnimky.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

Používateľ vie požiadať o obmedzenie spracúvania

Platí pre: Data Controller, Data Processor

Dotknutá osoba má právo obmedziť spracúvanie – napríklad kým preveríš spornú správnosť údajov.

Reference: GDPR Article 18 – Right to restriction of processing

Používateľ vie požiadať o prenositeľnosť údajov (data portability)

Platí pre: Data Controller, Data Processor

Prenositeľnosť znamená, že vieš poskytnúť údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte – a to buď priamo osobe, alebo tretej strane.

Reference: GDPR Article 20 – Right to data portability

Používateľ vie namietať proti profilovaniu a automatizovanému rozhodovaniu

Platí pre: Data Controller

Toto riešiš vtedy, ak robíš profilovanie alebo automatizované rozhodovanie, ktoré môže mať dopad na človeka (napr. rozhodovanie o ponuke, prístupe, cene).

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

4) Súhlas (consent) – keď na ňom stojí spracúvanie

Súhlas je dobrovoľný, konkrétny, informovaný a odvolateľný

Platí pre: Data Controller

Ak spracúvanie stojí na súhlase, používateľ musí mať jasný prístup k informáciám (link na Privacy Policy) a súhlas musí byť daný aktívnym úkonom. Predzaškrtnuté checkboxy nie sú prípustné.

Reference: GDPR Article 7 – Conditions for consent

Privacy Policy je napísaná jasne a zrozumiteľne

Platí pre: Data Controller

Text nesmie skrývať zámer a má byť napísaný jednoducho. Ak poskytuješ služby deťom, musí byť zrozumiteľný aj pre ne – inak sa môže stať, že súhlas bude spochybniteľný.

Reference: GDPR Article 7.2 – Conditions for consent

Odvolanie súhlasu je rovnako jednoduché ako jeho udelenie

Platí pre: Data Controller

Používateľ nesmie mať pocit, že odhlásiť sa je „zložitejšie než prihlásiť sa“.

Reference: GDPR Article 7.3 – Conditions for consent

Pri spracúvaní údajov detí overuješ vek a vyžaduješ súhlas zákonného zástupcu

Platí pre: Data Controller

Pri deťoch mladších ako 16 rokov musíš zabezpečiť súhlas zákonného zástupcu. Ak sa súhlas dáva cez web, mal by si sa rozumne pokúsiť overiť, že ho naozaj dal rodič/zástupca (a nie dieťa).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

Pri aktualizácii Privacy Policy informuješ existujúcich zákazníkov

Platí pre: Data Controller

Napríklad e‑mailom oznámiš, že sa zásady menia, a ľudskou rečou vysvetlíš, čo sa zmenilo.

Reference: GDPR Article 7 – Conditions for consent

5) Follow-up: pravidelné revízie

Pravidelne reviduješ politiky, ich efektívnosť a zmeny v krajinách, kam tečú dáta

Platí pre: Data Controller

GDPR compliance sa časom rozpadne, ak nerobíš pravidelnú údržbu: zmeny v procesoch, nové nástroje, zmeny v spracúvaní a aj to, kam sa dáta prenášajú (najmä mimo EÚ).

Reference: GDPR Article 25 – Data protection by design and by default

6) Špeciálne prípady

Vieš, kedy musíš robiť DPIA pri vysokorizikovom spracúvaní

Platí pre: Data Controller

DPIA (Data Protection Impact Assessment) sa typicky rieši pri veľkoplošnom spracúvaní, profilovaní a ďalších činnostiach s vysokým rizikom pre práva a slobody ľudí. Ak do tejto kategórie spadáš, DPIA nie je „nice to have“, ale očakávaný krok.

Reference: GDPR Article 35 – Data protection impact assessment

Prenos dát mimo EÚ robíš len do krajín s primeranou ochranou (alebo používaš SCC/BCR)

Platí pre: Data Controller, Data Processor

Ak posielaš dáta mimo EÚ, v Privacy Policy má byť takéto cezhraničné prúdenie dát priznané. Pri prenosoch do krajín bez primeranosti (non-adequate) sa používajú Standard Contractual Clauses (SCCs) alebo Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Práva dotknutých osôb (User Rights / Data Subject Rights) – čo musíš vedieť pokryť

Nižšie sú práva, ktoré má každá dotknutá osoba (data subject). Aj keď ako vývojár často riešiš najmä technickú implementáciu, tieto body sa premietajú do procesov podpory, exportov, mazania aj do textov na webe.

Právo na transparentné informácie

Controller má prijať primerané opatrenia, aby poskytol informácie o spracúvaní stručne, transparentne, zrozumiteľne a ľahko prístupne, jasným a jednoduchým jazykom – zvlášť, ak sú informácie určené dieťaťu. Informácie majú byť poskytnuté písomne alebo inými prostriedkami vrátane elektronických.

Reference: GDPR Article 12

Právo na informácie pri priamom zbere osobných údajov

Ak zbieraš údaje priamo od človeka (napr. cez formulár), musí dostať aspoň tieto informácie:

1. Identita a kontaktné údaje controllera
2. Kontaktné údaje DPO (ak je relevantné)
3. Účely spracúvania a právny základ
4. Oprávnené záujmy controllera (ak sú relevantné)
5. Príjemcovia alebo kategórie príjemcov osobných údajov
6. Informácie o prenosoch do tretích krajín

Reference: GDPR Article 13

Právo na informácie pri nepriamom zbere osobných údajov

Ak údaje nezískavaš priamo od človeka (napr. ich dostaneš od partnera), musíš poskytnúť podobný balík informácií, vrátane kategórií dotknutých údajov a zdroja.

Reference: GDPR Article 14

Právo na prístup (access)

Človek má právo získať potvrdenie, či sa jeho údaje spracúvajú, a prístup k informáciám vrátane:

• účely spracúvania
• kategórie osobných údajov
• príjemcovia, ktorým boli alebo budú údaje sprístupnené
• predpokladaná doba uchovávania
• existencia práv na opravu, vymazanie, obmedzenie a namietanie
• právo podať sťažnosť dozornému orgánu
• informácie o zdroji údajov (ak neboli získané priamo)
• existencia automatizovaného rozhodovania vrátane profilovania

Reference: GDPR Article 15

Právo na opravu (rectification)

Dotknutá osoba má právo bez zbytočného odkladu opraviť nepresné údaje a doplniť neúplné údaje.

Reference: GDPR Article 16

Právo na vymazanie (right to be forgotten)

Vymazanie musíš umožniť, ak nastane niektorá z týchto situácií:

1. Údaje už nie sú potrebné na pôvodný účel.
2. Osoba odvolá súhlas a neexistuje iný právny základ spracúvania.
3. Osoba namieta spracúvanie a neexistujú nadradené legitímne dôvody.
4. Údaje boli spracúvané nezákonne.
5. Údaje musia byť vymazané kvôli splneniu právnej povinnosti.
6. Údaje boli získané v súvislosti so službami informačnej spoločnosti ponúknutými dieťaťu.

Reference: GDPR Article 17

Právo na obmedzenie spracúvania

Obmedzenie spracúvania sa uplatní, keď:

1. Osoba spochybní správnosť údajov (na čas potrebný na overenie).
2. Spracúvanie je nezákonné a osoba nesúhlasí s vymazaním.
3. Controller už údaje nepotrebuje, ale osoba ich potrebuje na právne nároky.
4. Osoba namietala spracúvanie, kým sa overí oprávnenosť dôvodov.

Reference: GDPR Article 18

Právo byť informovaný o oprave, vymazaní alebo obmedzení u príjemcov

Controller má oznámiť opravu, vymazanie alebo obmedzenie spracúvania každému príjemcovi, ktorému boli údaje poskytnuté – pokiaľ to nie je nemožné alebo by to nevyžadovalo neprimerané úsilie.

Reference: GDPR Article 19

Právo na prenositeľnosť údajov

Osoba má právo dostať svoje údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť ich k inému controllerovi bez prekážok.

Reference: GDPR Article 20

Právo namietať

Osoba môže z dôvodov súvisiacich s jej konkrétnou situáciou kedykoľvek namietať spracúvanie založené na oprávnených záujmoch alebo verejnom záujme – vrátane profilovania.

Reference: GDPR Article 21

Právo nebyť predmetom výlučne automatizovaného rozhodovania

Osoba má právo nebyť predmetom rozhodnutia založeného výlučne na automatizovanom spracúvaní (vrátane profilovania), ak má právne účinky alebo na ňu podobne významne vplýva.

Reference: GDPR Article 22

Praktické implementačné kroky pre web (od security po marketing)

1) Zabezpeč web (minimum, ktoré by malo byť samozrejmosťou)

• Nainštaluj SSL certifikát a používaj HTTPS, aby sa šifroval prenos dát medzi webom a serverom.
• Používaj silné heslá pre všetky admin účty.
• Pri spracúvaní platieb pridaj extra ochranu pre prácu s platobnými údajmi.
• Použi CDN poskytovateľa, ktorý pomáha s ochranou proti DDoS útokom.
• Nasaď anti-virus (resp. primerané anti-malware opatrenia) na prevenciu neoprávneného prístupu.
• Minimalizuj zber dát – zbieraj iba to, čo je naozaj potrebné.
• Pred uložením údaje pseudonymizuj alebo anonymizuj, ak to dáva zmysel a je to možné.
• Rob zálohy do viacerých bezpečných lokalít.
• Nastav mazanie dát, keď už nie sú potrebné.

2) Cookie consent banner (správne, nie len „aby niečo bolo“)

Ak používaš na webe nevyhnutné vs. nevyhnutné (non-essential) cookies, pri tých nevyhnutných to býva o oprávnenom záujme / technickej potrebe, ale pri marketingových a analytických často potrebuješ výslovný súhlas pred aktiváciou.

Cookie banner musí spĺňať tieto požiadavky:

• Blokovať cookies do udelenia súhlasu: načítaj iba nevyhnutné cookies, kým používateľ neopt‑in.
• Jednoduchý a jasný jazyk: vysvetli, aké cookies používaš a prečo.
• Rovnocenné tlačidlá prijať/odmietnuť: neukrývaj odmietnutie.
• Granulárne voľby: umožni vybrať kategórie cookies.
• Možnosť odvolať súhlas: používateľ musí vedieť neskôr zmeniť preferencie.
• Záznam o súhlase: ukladaj voľby s časovou pečiatkou (timestamp), aby si vedel preukázať súlad.

3) Revízia formulárov na webe

Každý formulár, ktorý zbiera osobné údaje (kontakt, objednávka, registrácia, dopyt), má mať GDPR-friendly UX aj texty:

• Krátke privacy vyhlásenie, prečo údaje potrebuješ.
• Nezaškrtnutý checkbox pre súhlas (ak ide o spracúvanie na základe súhlasu).
• Samostatný opt‑in pre marketing (oddelené od súhlasu s vybavením dopytu).
• Odkaz na Privacy Policy.
• Jasný, jednoduchý jazyk.

4) Súhlas pre marketingové e‑maily

• Použi iba clear opt‑in: nezaškrtnutý checkbox špecificky pre e‑mailový súhlas.
• Implementuj double opt‑in: potvrdenie prihlásenia cez e‑mail.
• Udržiavaj záznamy o súhlase: dátum, čas, spôsob a účel.
• Do každého e‑mailu daj viditeľný unsubscribe link (ideálne na jedno kliknutie).
• Odhlásenia spracúvaj rýchlo – ideálne do 24 hodín.

5) Pripravenosť na únik dát (data breach)

• Nahlás incident dozornému orgánu do 72 hodín.
• Ak je vysoké riziko pre práva dotknutých osôb, informuj aj používateľov.
• Všetko zdokumentuj (accountability).
• Uprav interné postupy a opatrenia, aby sa incident neopakoval.

WordPress špecifiká: čo si postrážiť na typickom webe

Pri WordPress weboch sa GDPR láme hlavne na pluginoch a integráciách. Technicky môžeš mať peknú Privacy Policy, ale ak plugin potichu posiela dáta tretej strane, je problém.

• Udržiavaj WordPress core, témy a pluginy aktualizované.
• Používaj kontaktné formuláre, ktoré podporujú consent checkboxy.
• Nainštaluj a správne nastav cookie consent riešenie (vrátane blokovania do súhlasu).
• Používaj GDPR-compliant analytiku (najmä z pohľadu cookies a prenosov).
• Skontroluj, ako jednotlivé pluginy zbierajú dáta (formuláre, logy, embedded služby).
• Implementuj funkcie na export a vymazanie používateľských dát.

Pokuty a ďalšie dôsledky

GDPR rozlišuje dve úrovne pokút:

• Nižšia úroveň porušenia: až 10 miliónov € alebo 2 % z celosvetového ročného obratu.
• Vyššia úroveň porušenia: až 20 miliónov € alebo 4 % z celosvetového ročného obratu.

Okrem finančných sankcií môžu úrady napríklad vydať varovanie, dočasne alebo trvalo zakázať spracúvanie, nariadiť vymazanie dát alebo obmedziť prenosy dát.

FAQ (najčastejšie otázky)

Čo je GDPR compliance checklist?

Je to zoznam konkrétnych krokov, ktoré potrebuješ spraviť, aby si spĺňal požiadavky GDPR. Pomáha nájsť slabé miesta v procesoch ochrany osobných údajov a systematicky ich opraviť.

Kto je zodpovedný za GDPR compliance?

Primárnu zodpovednosť má data controller (typicky majiteľ webu alebo firma). Aj data processor má však vlastné povinnosti a musí zaviesť technické a organizačné opatrenia.

Platí GDPR aj pre firmy v USA?

Áno – ak spracúvaš osobné údaje ľudí z EÚ, GDPR sa uplatňuje bez ohľadu na to, kde je firma registrovaná.

Aká je maximálna pokuta za nedodržanie?

Až 20 miliónov € alebo 4 % z celosvetového ročného obratu (podľa toho, čo je vyššie).

Potrebujem cookie banner?

Áno, ak používaš nevyhnutné cookies (napr. marketingové alebo analytické) a máš návštevníkov z EÚ. Vtedy musíš získať súhlas pred ich aktiváciou.

Potrebujem Data Protection Officer (DPO)?

Len vtedy, ak: (1) si orgán verejnej moci, (2) tvoje hlavné činnosti zahŕňajú rozsiahle a systematické monitorovanie ľudí, alebo (3) spracúvaš citlivé údaje vo veľkom rozsahu.