Bezpečný web pro EU: co je potřeba pro legální provoz v EU
Jednoduchý průvodce, který vás ochrání před pokutami
Proč se to týká KAŽDÉHO, kdo pracuje se zákazníky z EU?
Nezáleží na tom, kde je vaše společnost registrována — pokud váš web navštěvují obyvatelé Evropské unie, pokud jejich údaje sbíráte nebo jim prodáváte produkty/služby, jste povinni dodržovat:
Kontrolní orgány, které mohou udělit pokutu:
- GDPR (Obecné nařízení o ochraně osobních údajů) — základní zákon o ochraně soukromí
- Směrnici ePrivacy — pravidla pro elektronickou komunikaci (cookies, newslettery)
- Spotřebitelské právo EU — pokud prodáváte zboží či služby
Kontrolní orgány, které mohou udělit pokutu:
- Národní úřady pro ochranu osobních údajů (DPA) — každý stát EU má svůj vlastní
- Orgány na ochranu spotřebitele
- Daňové a obchodní inspekce
1. Cookie lišta — ne jen „OK“
Co je potřeba:
Co JE ZAKÁZÁNO:
- Banner se zobrazí při PRVNÍ návštěvě
- Možnost odmítnout stejně snadno jako souhlasit
- Podrobné informace o tom, k čemu jednotlivé typy cookies slouží
- Samostatná nastavení pro: nezbytné, analytické, reklamní cookies
- Uchovávání záznamů o souhlasu každého uživatele
Co JE ZAKÁZÁNO:
- „Pokračováním v používání webu souhlasíte“ — to NENÍ souhlas!
- Předem zaškrtnuté volby
- Ukládání sledovacích cookies před udělením souhlasu
2. Zásady ochrany osobních údajů — vaše „disertace“ podle GDPR
Povinné části:
Důležité: Pište lidsky, ne úřednickým jazykem!
- Kdo jste — název, kontakty, registrační údaje
- Co shromažďujete — jméno, email, IP, platební údaje atd.
- Proč to shromažďujete — konkrétní účely (vyřízení objednávky, newsletter)
- Na jakém právním základě — souhlas, smlouva, oprávněný zájem
- Komu údaje předáváte — všechny služby: hosting, CRM, analytika
- Jak dlouho údaje uchováváte — konkrétní lhůty nebo kritéria
- Práva uživatelů — jak odstranit data, získat kopii, podat stížnost
- Přenos dat mimo EU — pokud používáte služby v USA apod.
Důležité: Pište lidsky, ne úřednickým jazykem!
3. Právní informace v patičce — vaše vizitka
Minimum, které musí být na KAŽDÉM webu:
Plus odkazy na:
Proč se kontroluje: Absence těchto údajů = nedostatek transparentnosti pro spotřebitele.
- Kompletní název společnosti
- Sídlo
- Registrační číslo
- VAT/IČ DPH (pokud existuje)
- Email pro právní dotazy
Plus odkazy na:
- Zásady ochrany osobních údajů
- Pravidla používání cookies
- Obchodní podmínky (pokud prodáváte)
- Kontakty
Proč se kontroluje: Absence těchto údajů = nedostatek transparentnosti pro spotřebitele.
4. Pro e-shopy — další požadavky
Povinné stránky:
Na každé produktové stránce:
- Obchodní podmínky — co, jak, za kolik, lhůty
- Informace o právu na odstoupení — 14denní lhůta pro vrácení při online prodeji
- Postup pro řešení stížností — kam a jak reklamovat
- Další poplatky — doprava, balné, příplatky
Na každé produktové stránce:
- Jasná cena včetně daní
- Doručovací lhůty
- Kdo je prodávající (obchodní subjekt)
5. Technická bezpečnost — nejen pro IT specialisty
SSL certifikát (HTTPS)
Každý formulář, který shromažďuje údaje (jméno, email atd.), musí mít:
Minimalizace údajů
Pro pokročilé:
- Web musí používat zabezpečené připojení (https://). To šifruje data a je základním požadavkem.
Každý formulář, který shromažďuje údaje (jméno, email atd.), musí mít:
- Samostatné, NE předem zaškrtnuté pole pro souhlas
- Vedle pole text s odkazem na Zásady ochrany osobních údajů (například: „Souhlasím se zpracováním osobních údajů v souladu se [Zásadami ochrany osobních údajů].“ Slova „Zásady ochrany osobních údajů“ musí být aktivní odkaz přímo na dokument.)
Minimalizace údajů
- Nežádejte zbytečné informace. Pouze ty, které jsou nutné pro danou akci (např. pro newsletter stačí email).
Pro pokročilé:
- DPA smlouvy — Uzavřete dohody se všemi službami třetích stran (hosting, CRM, newsletter), které zpracovávají údaje vašich uživatelů.
- RoPA (záznamy o činnostech zpracování) — Interní dokument evidující, jaké údaje, proč a jak zpracováváte. Může být vyžádán regulátorem.
6. Práva uživatelů — ne jen text, ale skutečné mechanismy
Uživatel musí snadno:
Tip: Vytvořte speciální formulář nebo email pro tyto žádosti.
- Získat kopii všech svých údajů
- Požádat o opravu
- Smazat účet a veškeré údaje („právo být zapomenut“)
- Odvolat souhlas s newsletterem
- Podat stížnost k dozorovému orgánu
Tip: Vytvořte speciální formulář nebo email pro tyto žádosti.
7. Kolik stojí nedodržení? Cena chyb v číslech
Nedodržení požadavků EU může váš byznys velmi prodražit. Zde jsou sankce za nejčastější porušení:
Neexistující nebo nesprávný cookie banner
Absence nebo neúplné Zásady ochrany osobních údajů
Skryté nebo nepravdivé právní údaje (název, adresa, registrační číslo)
Porušení práv uživatelů (např. nevymazání údajů na žádost nebo neposkytnutí kopie)
Únik osobních údajů (porušení bezpečnosti)
Pro e-shopy: absence informace o právu na vrácení
Absence HTTPS šifrování
Neexistující nebo nesprávný cookie banner
- Potenciální pokuta: až 20 mil. EUR nebo 4 % celosvětového ročního obratu (bere se vyšší částka).
- Kdo pokutuje: Národní úřad pro ochranu osobních údajů (DPA) v zemi, kde bylo porušení zjištěno.
Absence nebo neúplné Zásady ochrany osobních údajů
- Potenciální pokuta: až 10 mil. EUR nebo 2 % celosvětového ročního obratu.
- Kdo pokutuje: Národní DPA.
Skryté nebo nepravdivé právní údaje (název, adresa, registrační číslo)
- Potenciální pokuta: až 5 % ročního obratu, případně zákaz působení na trhu EU.
- Kdo pokutuje: Orgány na ochranu spotřebitele nebo obchodní inspekce.
Porušení práv uživatelů (např. nevymazání údajů na žádost nebo neposkytnutí kopie)
- Potenciální pokuta: až 20 mil. EUR nebo 4 % ročního obratu.
- Kdo pokutuje: Národní DPA.
Únik osobních údajů (porušení bezpečnosti)
- Potenciální pokuta: až 20 mil. EUR nebo 4 % ročního obratu.
- Kdo pokutuje: Národní DPA. Možné jsou i žaloby postižených uživatelů.
Pro e-shopy: absence informace o právu na vrácení
- Potenciální následky: vysoké pokuty plus povinnost vrátit peníze všem zákazníkům, kteří chtějí využít svého práva.
- Kdo pokutuje: Orgány na ochranu spotřebitele.
Absence HTTPS šifrování
- Potenciální následky: moderní prohlížeče označí web jako „nezabezpečený“, což výrazně snižuje důvěru i konverze. Regulační orgány vydávají varování a následné pokuty, v krajním případě může být přístup na web z EU zablokován.
8. Užitečné odkazy (oficiální zdroje)
O GDPR a ochraně údajů:
O ePrivacy a cookies:
O právech spotřebitelů:
- Plné znění GDPR
- Mapa regulátorů EU — kdo je ve vaší zemi
- Pokyny EDPB — vysvětlení složitých otázek
O ePrivacy a cookies:
O právech spotřebitelů:
- Your Europe — Business — pravidla pro podnikání v EU
- EU Consumer Law
9. Závěr: není to byrokracie, ale konkurenční výhoda
Web, který splňuje požadavky EU:
Pokud byly informace užitečné — podělte se s kolegy!
- Vzbudí větší důvěru — uživatelé vidí vaši transparentnost
- Snižuje rizika — žádné neočekávané pokuty
- Funguje efektivněji — sbíráte pouze nezbytná data
- Otevírá vám trh 450 milionů spotřebitelů — bez právních překážek
Pokud byly informace užitečné — podělte se s kolegy!
Dárek: rychlý checklist 7 kroků k bezpečnému webu
- Podívejte se do adresního řádku: je tam symbol zámku a funguje web přes https://?
- Zkontrolujte patičku webu: je tam uveden název společnosti, adresa a registrační číslo?
- Aktualizujte cookie lištu: uživatel musí mít možnost jednoduše odmítnout nepotřebné cookies.
- Upravte Zásady ochrany osobních údajů: napište je srozumitelně a uveďte všechny povinné informace.
- Pokud provozujete e-shop: přidejte obchodní podmínky a informaci o právu na odstoupení.
- Vytvořte pohodlný formulář pro uživatelské žádosti: například pro smazání nebo opravu údajů.
- Zkontrolujte všechny formuláře na webu: souhlas se zpracováním údajů musí uživatel zaškrtnout ručně, ne automaticky.
Tento článek má informativní charakter.
Pro získání právního poradenství se obraťte na odborníka na právo EU.
Aktualizováno: 08.12.2025 | Marketingová agentura — iuntsevich.cz
Pro získání právního poradenství se obraťte na odborníka na právo EU.
Aktualizováno: 08.12.2025 | Marketingová agentura — iuntsevich.cz
Autor: Valentin iuntsevich ( linkedin )
Zakladatel marketingové agentury iuntsevich.cz
Sdílet článek
Ohodnoťte článek
Pokuty, kterým se dalo vyhnout
Riziko: až 20 mil. € nebo 4 % obratu.
Příklady:- Google (Francie) — 150 mil. € za nemožnost odmítnout cookies stejně snadno jako je přijmout.
- Facebook (Francie) — 60 mil. € za stejné porušení.
- Malý obchod ve Španělsku — 35 000 € za ukládání analytických cookies před udělením souhlasu.
Jak se vyhnout: Banner s možností odmítnout všechny neesenciální cookies, logování souhlasů, zobrazení na všech stránkách.
Riziko: až 10 mil. € nebo 2 % obratu.
Příklady:
Jak se vyhnout: Podrobně popsat, kdo a proč údaje sbírá, na jakém právním základě, komu se předávají, dobu uchování a práva uživatelů.
Příklady:
- The Economist (Francie) — 500 000 € za neúplné informace o zpracování údajů.
- Lokální e-shop (Itálie) — 6 000 € za chybějící sekci o právech uživatelů.
Jak se vyhnout: Podrobně popsat, kdo a proč údaje sbírá, na jakém právním základě, komu se předávají, dobu uchování a práva uživatelů.
Riziko: pokuty od stovek do desítek tisíc eur.
Příklady:
Jak se vyhnout: Uvést úplný název firmy, právní adresu, registrační číslo, VAT (pokud existuje), kontakt pro právní dotazy.
Příklady:
- Obchod v Německu — 5 000 € za chybějící Impressum.
- Restaurace v Rakousku — 3 500 € za nesprávnou právní adresu na webu.
- Služba v Česku — 20 000 Kč (~800 €) za chybějící IČO a kontakty.
Jak se vyhnout: Uvést úplný název firmy, právní adresu, registrační číslo, VAT (pokud existuje), kontakt pro právní dotazy.
Riziko: až 20 mil. € nebo 4 % obratu.
Příklady:
Jak se vyhnout: Vytvořit přehledný formulář nebo email pro žádosti, odpovídat do 1 měsíce, logovat všechny podané žádosti.
Příklady:
- TikTok (Irsko) — 345 mil. € za porušení práv dětí.
- A1 Telecom (Rakousko) — 18 mil. € za nesprávné vyřizování žádostí.
- Malý e-shop (Slovinsko) — 3 200 € za ignorování žádosti o výmaz údajů.
Jak se vyhnout: Vytvořit přehledný formulář nebo email pro žádosti, odpovídat do 1 měsíce, logovat všechny podané žádosti.
Riziko: až 20 mil. € nebo 4 % obratu.
Příklady:
Jak se vyhnout: HTTPS na celém webu, bezpečné formuláře, minimalizace sbíraných údajů, smlouvy se službami třetích stran.
Příklady:
- British Airways — 22 mil. £ za únik údajů 706 000 zákazníků.
- Malý podnik v Polsku — 5 000 € za únik dat v důsledku chybějícího šifrování.
Jak se vyhnout: HTTPS na celém webu, bezpečné formuláře, minimalizace sbíraných údajů, smlouvy se službami třetích stran.
Riziko: pokuta + povinnost vrátit peníze všem zákazníkům.
Příklady:
Jak se vyhnout: Zveřejnit obchodní podmínky, právo na odstoupení, způsoby a lhůty přímo před dokončením objednávky.
Příklady:
- Online obchod s obuví (Německo) — 12 000 € za chybějící informaci o právu odstoupit do 14 dnů.
- Web s kosmetikou (Česko) — 50 000 Kč (~2 000 €) + povinnost přepracovat podmínky vrácení.
Jak se vyhnout: Zveřejnit obchodní podmínky, právo na odstoupení, způsoby a lhůty přímo před dokončením objednávky.
Riziko: varování regulátorů a možné pokuty.
Příklady:
Jak se vyhnout: Zapnout HTTPS na všech stránkách, zkontrolovat formuláře a platební procesy.
Příklady:
- Finanční služba (Nizozemsko) — pokuta 20 000 € za chybějící HTTPS.
- Online obchod (Španělsko) — 1 500 € za zpracování objednávek bez šifrování.
Jak se vyhnout: Zapnout HTTPS na všech stránkách, zkontrolovat formuláře a platební procesy.
Většině pokut lze předejít jednoduchými kroky, jako jsou:
Investice do legality webu je pojištěním proti finančním ztrátám a zároveň zvyšuje důvěru zákazníků.
- správně nastavený cookie banner s možností odmítnutí,
- úplné a srozumitelné Zásady ochrany osobních údajů,
- přesné právní informace v patičce webu,
- formulář pro uživatelské žádosti,
- HTTPS a bezpečné formuláře,
- jasné informace o vrácení zboží u e-shopů.
Investice do legality webu je pojištěním proti finančním ztrátám a zároveň zvyšuje důvěru zákazníků.