Středa, 10. června 2026
Aktuálně
Podnikání

GDPR pro firmy: co v roce 2026 opravdu musíte mít

GDPR platí od roku 2018, ale mnohé malé firmy stále nemají základní dokumentaci v pořádku. Přehled povinností a minimální standard, který chrání před pokutami.

Autor: tichys 31. března 2026 2 min čtení
Reklama – Sklik 728×90

Obecné nařízení o ochraně osobních údajů (GDPR) je v platnosti již šest let, ale Úřad pro ochranu osobních údajů (ÚOOÚ) stále dostává stovky stížností ročně na firmy s nedostatečnou ochranou dat. V roce 2026 se kontroly zpřísnily a pokuty pro malé firmy dosahují desetitisíců až statisíců korun.

Co GDPR vyžaduje od každé firmy

Základní povinnosti: 1) Informační povinnost – zákazníci musí vědět, jaká data sbíráte, proč, jak dlouho a kdo k nim má přístup (typicky realizováno přes Zásady zpracování osobních údajů na webu). 2) Právní základ zpracování – každé zpracování dat musí mít právní základ (souhlas, smlouva, oprávněný zájem atd.). 3) Evidence zpracování (čl. 30) – interní rejstřík operací zpracování pro firmy s 250+ zaměstnanci, ale doporučeno i pro menší.

Cookies a e-commerce: nejčastější problémy

Web s analytickými cookies (Google Analytics, Facebook Pixel) bez cookie banneru s možností odmítnout je přestupkem – a ÚOOÚ ho aktivně kontroluje. Cookie souhlas musí být aktivní (ne předkřižovaná políčka), specifický (ne „souhlasím se vším“) a odvolatelný. Pro e-shopy: při odeslání objednávky není souhlas s marketingovou komunikací automatický.

Minimum pro malou firmu bez DPO

Firmy bez povinnosti jmenovat DPO (pověřence pro ochranu dat) potřebují minimum: Zásady zpracování osobních údajů (2–4 stránky textu, dostupné na webu), funkční cookie banner, pracovní smlouvy s doložkou o mlčenlivosti, bezpečnostní opatření (šifrování hesel, omezení přístupu k datům) a postup pro případ bezpečnostního incidentu.

  • Maximální pokuta GDPR: 20 mil. EUR nebo 4 % globálního obratu
  • Průměrná pokuta ÚOOÚ (malé firmy): 10 000–500 000 Kč
  • Cookie banner: analytika Google/Meta vyžaduje aktivní souhlas
  • DPO povinný: pro firmy zpracovávající ve velkém měřítku nebo citlivá data
  • Hlášení incidentu: do 72 hodin od zjištění bezpečnostního narušení

GDPR není byrokratická formalita – je to zákonná povinnost s reálnými pokutami. Základní dokumentace (zásady zpracování, cookie souhlas, pracovní doložky) zvládne připravit každá firma za jeden den, ideálně s pomocí právníka specializujícího se na ochranu dat. Preventivní investice 5 000–15 000 Kč se vyplatí oproti riziku pokuty.

Reklama – Sklik 728×90

Mohlo by vás zajímat