GDPR platí od roku 2018 – a přesto mnoho webů stále není zcela v souladu. Napomínání, pokuty a stížnosti u úřadů na ochranu dat neubývají. Ukazujeme, které chyby se vyskytují nejčastěji a jak je odstranit.
Chyba 1: Cookie banner bez skutečné možnosti volby
Cookie banner, který nabízí pouze "Přijmout", není právně platný souhlas. Uživatelé musí mít možnost stejně snadno odmítnout neesenciální cookies, jako je přijmout. Předem zaškrtnuté checkboxy také nejsou přípustné. Dbejte na to, aby váš cookie banner zobrazoval jasnou možnost odmítnutí na viditelném místě.
Chyba 2: Google Fonts přímo integrovány
Google Fonts, které jsou načítány přímo přes servery Google, přenášejí IP adresu návštěvníka na servery Google v USA. To je od rozsudku LG München I z roku 2022 známé riziko ručení. Řešení: Hostovat fonty lokálně a dodávat je z vlastního serveru.
Chyba 3: Zastaralé nebo neúplné prohlášení o ochraně dat
Generické prohlášení o ochraně dat, které nepopisuje skutečně používané nástroje a služby, nechrání. Kdo používá Google Analytics, Facebook Pixel, Intercom nebo jiné služby třetích stran, musí je kompletně uvést v prohlášení – včetně právního základu a zemí příjemců.
Chyba 4: Kontaktní formuláře bez upozornění na zpracování dat
Každý kontaktní formulář, který zpracovává osobní údaje, potřebuje dobře viditelné upozornění na to, jak jsou tato data používána. Samotný odkaz na prohlášení o ochraně dat často nestačí – upozornění musí být kontextové a srozumitelné.
Chyba 5: Chybí smlouva o zpracování osobních údajů
Kdo využívá externí služby, které zpracovávají osobní údaje na základě pověření (např. newsletterové nástroje, poskytovatelé hostingu, CRM systémy), musí s těmito poskytovateli uzavřít smlouvu o zpracování osobních údajů. Bez této smlouvy není předávání dat zákonné.
Co můžete udělat teď
1. Zkontrolujte svůj cookie banner na skutečnou možnost odmítnutí
2. Načítejte Google Fonts a ikony z lokálních serverů
3. Aktualizujte své prohlášení o ochraně dat se všemi používanými službami
4. Přidejte upozornění na ochranu dat ke každému formuláři
5. Uzavřete smlouvu o zpracování osobních údajů se všemi relevantními poskytovateli
Soulad s GDPR není jednorázový stav, ale nepřetržitý proces. Každá nová služba, každý nový plugin znamená potenciálně novou potřebu objasnění. Roční audit ochrany dat pomáhá udržet přehled.