GDPR a cookies na webe — čo naozaj treba

V skratke

Ak máte firemný web s kontaktným formulárom, potrebujete stránku Zásady ochrany súkromia. Ak používate Google Analytics alebo akúkoľvek sledovaciu analytiku, potrebujete aj cookie lištu so súhlasom — nie len oznamom. Väčšina malých firemných webov nepotrebuje nič zložitejšie ako tieto dve veci. Bez strašenia, bez drahého právnika — v tomto článku sa dozviete, čo presne a prečo.

---

Čo je vlastne GDPR a vzťahuje sa na mňa?

Krátka odpoveď: Áno, vzťahuje sa na každú firmu v EÚ — vrátane živnostníka s jednoduchou webstránkou.

GDPR (z anglického „General Data Protection Regulation”, po slovensky nariadenie o ochrane osobných údajov) je európsky zákon platný od mája 2018. Hovorí jednu základnú vec: keď zbieraš od ľudí osobné údaje (meno, e-mail, telefón, IP adresu), musíš im povedať, prečo to robíš, ako dlho ich budeš mať a či ich niekomu posielaš.

Na váš firemný web sa GDPR vzťahuje hneď, ako na ňom je:

• kontaktný formulár (zbiera meno a e-mail),
• Google Analytics alebo iná analytika (zbiera IP adresy a správanie návštevníkov),
• Facebook Pixel alebo remarketingové kódy,
• online obchod (e-shop).

Inými slovami: ak ste netechnický web so statickými informáciami a bez formulárov, GDPR sa vás takmer netýka. Ale to je dnes veľmi málo firemných webov.

---

Musí mať každý web cookie lištu?

Krátka odpoveď: Nie každý — záleží na tom, aké cookies (malé textové súbory, ktoré web ukladá do prehliadača) na webe používate.

Cookies sa delia do skupín:

Typ cookies	Príklady	Treba súhlas?
Nevyhnutné	Prihlasovanie, košík, bezpečnostné	Nie
Funkčné	Zapamätanie jazyka, preferencií	Väčšinou nie
Analytické	Google Analytics 4, Plausible	Áno
Marketingové	Facebook Pixel, Google Ads remarketing	Áno

Ak váš web nepoužíva analytiku ani reklamy — iba kontaktný formulár a základné informácie — cookie lištu nepotrebujete. Stačí stránka Zásady ochrany súkromia s vysvetlením, čo robíte s kontaktnými údajmi.

Akonáhle ale pridáte Google Analytics (čo má väčšina firemných webov), cookie lišta so súhlasom je povinná.

---

Čo je to vlastne „súhlas s cookies” a čo musí spĺňať?

Krátka odpoveď: Súhlas musí byť slobodný, konkrétny a jednoznačný — používateľ musí mať možnosť cookies odmietnuť rovnako ľahko, ako ich prijať.

Toto je bod, kde firmy najčastejšie robia chyby. Platný súhlas (z právneho hľadiska sa nazýva „informovaný súhlas dotknutej osoby”) musí splniť niekoľko podmienok:

• Dobrovoľnosť — nikto nesmie byť nútený súhlasiť, aby mohol web používať.
• Jednoznačnosť — nestačí, ak návštevník web ďalej používa = súhlasí. Musí aktívne kliknúť na „Prijať”.
• Rovnaká dostupnosť odmietnutia — tlačidlo „Odmietnuť” musí byť rovnako viditeľné a rovnako jednoduché ako „Prijať”. Schovať odmietnutie do troch klikov nie je v poriadku.
• Predvolene nezakliknuté — políčka v cookie lište nesmú byť vopred zaškrtnuté.
• Odvolateľnosť — návštevník musí mať možnosť súhlas kedykoľvek zmeniť.

Najjednoduchšie riešenie pre malý firemný web je niektorý z bezplatných alebo lacných cookie managerov (napr. CookieYes, Cookiebot, Cookie Script) — tieto nástroje vám celú lištu postavia správne a vy len nastavíte farby a texty.

---

Čo musí obsahovať stránka Zásady ochrany súkromia?

Krátka odpoveď: Kto ste, aké údaje zbieraš, na čo ich používaš, kto k nim má prístup a ako ich návštevník môže dať zmazať.

Každý firemný web potrebuje samostatnú stránku (väčšinou dostupnú z pätičky) s týmito informáciami:

1. Prevádzkovateľ — vaše meno/firma, IČO, kontaktné údaje.
2. Aké osobné údaje zbieraš — napr. meno, e-mail z formulára; IP adresa cez analytiku.
3. Právny základ spracúvania — súhlas (formulár), oprávnený záujem (analytika), zmluva (objednávky).
4. Účel — prečo údaje máš (odpovedám na dopyt, meriam návštevnosť…).
5. Komu ich posielaš — napr. Google Analytics = Google LLC v USA, e-mailový systém.
6. Ako dlho ich máš — napr. kontakty z formulára 1 rok, pokiaľ neuzavrieme spoluprácu.
7. Práva dotknutej osoby — právo na prístup, opravu, vymazanie, prenosnosť, namietanie.
8. Kontakt pre uplatnenie práv — e-mail alebo formulár.

Nemusí to byť 10-stranový dokument. Pre malý firemný web postačí dve až tri A4 písané zrozumiteľným jazykom. Šablóny nájdete zadarmo napríklad na webe Úradu na ochranu osobných údajov SR (dataprotection.gov.sk).

Na webe Code Witcher nájdete príklad, ako môže takáto stránka vyzerať: Zásady ochrany súkromia.

---

Najčastejšie mýty o GDPR a cookies

Počas práce na firemných weboch narážame stále na tie isté omyly. Tu sú tie najrozšírenejšie:

„Mám malú firmu, mňa sa to netýka.” Netýka sa vás pokuta milióna eur, ktorá padá na veľké korporácie. Ale základné povinnosti (zásady ochrany súkromia, súhlas s cookies) platia pre každého, kto spracúva osobné údaje — teda aj pre živnostníka s kontaktným formulárom.

„Stačí pridať lištu s oznamom a tlačidlom Zatvoriť.” Nestačí. Lišta, ktorá len oznamuje používanie cookies bez možnosti ich odmietnuť, nie je platný súhlas. Potrebujete vždy jasné tlačidlá Prijať a Odmietnuť.

„Cookie lištu vidím všade, tak to musím mať tiež.” Nie nutne. Ak váš web nepoužíva sledovacie cookies, lišta nie je povinná. Majte ju len ak naozaj potrebujete — zbytočná lišta len otravuje návštevníkov.

„Postačí skopírovaný text zásad z iného webu.” Nie, zásady musia odrážať, čo naozaj robíte vy — aké nástroje používate, komu posielate údaje, ako dlho ich máte. Skopírovaný text, ktorý nereflektuje vašu realitu, je horšie ako žiadny text.

„GDPR rieši môj webhostingár automaticky.” Webhostingár môže byť váš spracovateľ (má uzavretú zmluvu o spracovaní), ale zodpovednosť za dodržiavanie GDPR je vždy na prevádzkovateľovi webu — teda na vás.

---

Praktický GDPR checklist pre firemný web

Prejdite si tento zoznam a odškrtnite, čo máte. Ak niečo chýba, viete, čo riešiť ako prvé:

• Stránka Zásady ochrany súkromia — existuje a je dostupná z pätičky webu
• Zásady sú aktuálne — odrážajú, aké nástroje reálne používate (analytika, formuláre, chat)
• Cookie lišta — máte ju, ak na webe bežia sledovacie/analytické cookies
• Lišta má tlačidlá Prijať aj Odmietnuť — odmietnutie nie je schované
• Analytika sa načíta len po súhlase — Google Analytics nebeží pre tých, čo odmietli
• Kontaktný formulár má oznam — pod formulárom je veta o spracovaní osobných údajov + odkaz na zásady
• Zmluva so spracovateľmi — ak používate cloudové nástroje (Google, Mailchimp…), musíte mať uzatvorené „Data Processing Agreement” (zmluvu o spracúvaní osobných údajov)
• Prístupový kontakt pre práva — na stránke zásad je e-mail, kam môže návštevník zaslať žiadosť o výmaz údajov

Väčšina malých firemných webov potrebuje vyriešiť prvých päť bodov. Zvyšok je relevantný najmä pri e-shopoch alebo weboch s registráciou.

---

Koľko to stojí a musím na to mať právnika?

Krátka odpoveď: Pre väčšinu malých firemných webov to zvládnete bez právnika za cenu niekoľkých hodín vašeho času plus prípadne drobný mesačný poplatok za cookie manager.

Orientačné náklady:

Čo riešiš	Cena	Poznámka
Stránka Zásady ochrany súkromia	0 €	Šablóna zadarmo + úprava podľa vašej situácie
Cookie manager (CookieYes, Cookie Script)	0–10 €/mesiac	Bezplatné verzie pre malé weby stačia
Právna konzultácia	80–200 €/hod.	Odporúčam len pri e-shopoch alebo pri zbere citlivých údajov
GDPR audit webu	200–500 €	Pre väčšie weby s viacerými formulármi a nástrojmi

Pre typický firemný web (pár stránok, kontaktný formulár, Google Analytics) viete základy zvládnuť za jedno sobotné dopoludnie. Ak si nie ste istí, 1-2 hodiny konzultácie s právnikom špecializovaným na GDPR sú dostatočné a nestoja majetok.

---

Čo sa stane, ak to nemám?

Úprimne: pre malú firmu s firemným webom je priama pokuta od Úradu na ochranu osobných údajov SR nepravdepodobná, pokiaľ nepríde priama sťažnosť. Úrad väčšinou rieši väčšie hráčov a systematické porušenia.

Praktickejší dôvod, prečo to mať v poriadku:

• Dôvera zákazníkov — stránka zásad a správna cookie lišta signalizujú, že firma pracuje seriózne.
• Reklamné platformy — Google Ads a Meta Ads vyžadujú správne nastavenie cookie súhlasu pre remarketing. Bez toho remarketing jednoducho nefunguje.
• Biznis partneri — väčšie firmy pred spoluprácou kontrolujú, či partner dodržiava GDPR.

---

Súvisí GDPR s tým, ako je web postavený?

Áno, čiastočne. Niektoré technické rozhodnutia pri tvorbe webu priamo ovplyvňujú, koľko osobných údajov zbieraš a ako ľahko viete GDPR splniť:

• Statický web vs. WordPress — statický web bez pluginov zbiera minimum údajov; WordPress s desiatkami pluginov je oveľa zložitejší na audit.
• Vlastný hosting vs. cloudový — záleží, kde sú servery a s kým máte zmluvu o spracúvaní.
• Analytika bez cookies — nástroje ako Plausible alebo Fathom (a čiastočne aj Umami) fungujú bez cookies a nepotrebujú súhlas pre základné meranie návštevnosti.

Ak plánujete nový firemný web alebo prerábku, tieto rozhodnutia sa oplatí riešiť dopredu — je oveľa jednoduchšie postaviť web s ohľadom na GDPR od začiatku, ako ho neskôr opravovať.

Ak sa chcete pozrieť, čo celkovo musí dobrý firemný web obsahovať, prečítajte si náš článok čo musí firemný web obsahovať. A ak riešite aj širšiu bezpečnosť webu, pozrite si aj bezpečnosť firemného webu.

---

Zhrnutie: čo konkrétne urobiť

Ak ste si po prečítaní tohto článku stále nie celkom istí, kde začať — tu je návod v troch krokoch:

1. Zistite, čo váš web reálne používa — prezrite si, aké skripty a nástroje na ňom bežia (analytika, chat, mapy, formuláre).
2. Podľa toho nastavte cookie lištu — ak máte analytiku, pridajte cookie manager (CookieYes, Cookie Script) a nastavte ho správne.
3. Napíšte alebo aktualizujte Zásady ochrany súkromia — pridajte ich do pätičky webu.

To je pre väčšinu malých firemných webov skutočne všetko. Netreba GDPR nadhodnocovať ani sa ho báť — ide o základnú korektnosť voči vašim návštevníkom.

Ak staviate nový web a chcete mať istotu, že bude od začiatku v poriadku, pozrite si, čo tvorba firemného webu zahŕňa a koľko stojí.