Dekódování GDPR: Komplexní přehled
Obecné nařízení o ochraně osobních údajů (GDPR) je nejvlivnějším zákonem o ochraně soukromí na světě. Přijaté EU v roce 2018 změnilo způsob, jakým firmy po celém světě nakládají s osobními údaji. Se stupňujícím se vymáháním v roce 2026 zde najdete vše, co potřebujete vědět.
Co je GDPR?
GDPR je komplexní zákon o ochraně údajů, který dává obyvatelům EU kontrolu nad jejich osobními údaji. Vztahuje se na jakoukoli organizaci — kdekoli na světě — která zpracovává údaje obyvatel EU. Nařízení se týká sběru, ukládání, zpracování a sdílení dat.
Klíčové zásady GDPR
- Zákonnost, korektnost a transparentnost: Data musí být zpracovávána zákonně a transparentně.
- Účelové omezení: Data lze shromažďovat pouze pro stanovené, legitimní účely.
- Minimalizace dat: Shromažďujte pouze striktně nezbytná data.
- Přesnost: Osobní údaje musí být udržovány přesné a aktuální.
- Omezení uložení: Data by neměla být uchovávána déle, než je nutné.
- Integrita a důvěrnost: Data musí být zpracovávána bezpečně.
- Odpovědnost: Organizace musí proaktivně prokazovat soulad s předpisy.
Na koho se GDPR vztahuje?
GDPR se vztahuje na jakoukoli organizaci, která zpracovává osobní údaje fyzických osob v EU, bez ohledu na sídlo organizace. To zahrnuje společnosti v USA, Asii nebo kdekoli jinde, které mají zákazníky, návštěvníky webových stránek nebo zaměstnance z EU.
Individuální práva podle GDPR
- Právo na přístup: Uživatelé mohou požádat o kopii svých dat.
- Právo na opravu: Uživatelé mohou opravit nepřesné údaje.
- Právo na výmaz: "Právo být zapomenut".
- Právo na přenositelnost dat: Uživatelé mohou přenést svá data k jiné službě.
- Právo vznést námitku: Uživatelé mohou vznést námitku proti určitým typům zpracování.
- Právo na omezení zpracování: Uživatelé mohou omezit způsob, jakým jsou jejich data využívána.
Sankce za nesoulad s předpisy
Za porušení GDPR hrozí pokuty až 20 milionů EUR nebo 4 % ročního globálního obratu, podle toho, která částka je vyšší. Od roku 2018 regulátoři uložili přes 4,5 miliardy EUR pokut — přičemž velké technologické společnosti dostaly některé z největších sankcí. Vymáhání se v letech 2025–2026 výrazně zrychlilo, přičemž národní úřady pro ochranu osobních údajů zvyšují četnost i výši sankcí.
GDPR a Akt o digitálních trzích (DMA)
Od roku 2024 Akt EU o digitálních trzích funguje společně s GDPR při regulaci způsobu, jakým velké platformy nakládají s uživatelskými daty. DMA vyžaduje, aby určení "strážci brány" (jako Google, Apple a Meta) získali výslovný souhlas před kombinováním uživatelských dat napříč službami. To má přímé dopady na způsob, jakým je souhlas shromažďován a předáván v reklamním dodavatelském řetězci.
GDPR a cookies: Role správy souhlasu
Podle GDPR a Směrnice o ePrivacy musí webové stránky získat výslovný souhlas před umístěním nepodstatných cookies. To znamená, že vyhovující banner pro cookies není volitelný — je zákonným požadavkem. Klíčové aspekty zahrnují:
- Nepodstatné cookies (analytika, marketing, reklama) musí být blokovány, dokud uživatel nedá výslovný souhlas
- Souhlas musí být udělen dobrovolně — žádná předem zaškrtnutá políčka ani cookie walls vynucující přijetí
- Uživatelé musí být schopni souhlas odvolat stejně snadno, jako ho udělili
- Záznamy o souhlasu musí být uloženy a dostupné pro audit
Google Consent Mode V2 a GDPR
Od března 2024 Google vyžaduje, aby webové stránky zobrazující reklamy v Evropském hospodářském prostoru (EHP) používaly Google Certified CMP a implementovaly Consent Mode V2. Tato integrace zajišťuje, že signály souhlasu jsou řádně předávány službám Google, což umožňuje vyhovující zobrazování reklam při zachování měřicích schopností prostřednictvím modelování šetrného k soukromí.
IAB TCF 2.3 a soulad s GDPR
Transparentní a souhlasový rámec IAB (TCF) verze 2.3 poskytuje standardizovaný způsob shromažďování a předávání souhlasu v celém ekosystému digitální reklamy. Používání CMP kompatibilního s TCF 2.3, jako je FlexyConsent, zajišťuje, že signály souhlasu jsou správně formátovány a předávány všem reklamním dodavatelům v dodavatelském řetězci.
Jak dosáhnout souladu s GDPR v roce 2026
- Proveďte audit aktivit shromažďování a zpracování dat
- Implementujte Google Certified CMP jako FlexyConsent
- Zajistěte, aby váš CMP podporoval IAB TCF 2.3 a Google Consent Mode V2
- Vytvořte jasné, přístupné zásady ochrany soukromí a cookies
- Umožněte žádosti o přístup subjektů údajů (DSAR)
- Zaškolte svůj tým v oblasti odpovědností za ochranu dat
- Jmenujte pověřence pro ochranu osobních údajů (DPO), pokud je to vyžadováno
- Implementujte postupy pro oznamování porušení zabezpečení dat (pravidlo 72 hodin)
- Provádějte pravidelná posouzení dopadu na ochranu dat (DPIA)