Kontrolní seznam souladu s GDPR 2026: 15 kroků, které musí každý web splnit
Soulad s GDPR není jednorázový projekt — je to průběžná praxe. Předpisy se vyvíjejí, váš web se mění a přidávají se nové nástroje. Tento kontrolní seznam vám dává 15 konkrétních kroků k ověření a udržení souladu s GDPR v roce 2026, ať už začínáte od nuly nebo auditujete stávající nastavení.
15bodový kontrolní seznam
1. Nainstalujte certifikovanou CMP
Vaše platforma pro správu souhlasů musí být certifikována Googlem a registrována u IAB Europe. To zajišťuje soulad s Consent Mode V2 i TCF 2.3.
2. Proveďte audit všech souborů cookie a sledovacích nástrojů
Prohledejte svůj web pro každý soubor cookie, pixel, SDK a položku lokálního úložiště. Klasifikujte každý jako nezbytně nutný, analytický nebo reklamní. Odstraňte vše, co nemůžete odůvodnit.
3. Nakonfigurujte svůj banner pro souhlas
Zajistěte stejná tlačítka Přijmout/Odmítnout, jasný jazyk v rodném jazyce návštěvníka a žádná předem zaškrtnutá pole. Banner se musí zobrazit před spuštěním jakéhokoli nezbytného sledování.
4. Nastavte výchozí souhlas na Odepřeno
Pro návštěvníky z EHP musí být všechny nezbytné kategorie souhlasů ve výchozím nastavení odepřeny. Bez souhlasu mohou být spuštěny pouze nezbytně nutné soubory cookie.
5. Zveřejněte zásady ochrany osobních údajů
Vaše zásady ochrany osobních údajů musí vysvětlovat, jaké údaje shromažďujete, proč, právní základ, kdo je dostává, doby uchovávání a jak mohou uživatelé uplatňovat svá práva.
6. Zveřejněte zásady používání souborů cookie
Uveďte seznam každého souboru cookie, jeho účel, dobu trvání a zda se jedná o soubor první nebo třetí strany. Propojte to ze svého banneru pro souhlas.
7. Aktivujte Google Consent Mode V2
Nakonfigurujte Pokročilý režim tak, aby se značky Google spouštěly v omezeném režimu před souhlasem a poté přepnuly na plné sledování po souhlasu.
8. Aktivujte IAB TCF 2.3
Pokud provozujete programatickou reklamu, vaše CMP musí generovat platné řetězce TC. Ověřte pomocí validačního nástroje TCF od IAB.
9. Podepište smlouvy o zpracování údajů
Každá třetí strana, která přijímá osobní údaje z vašeho webu, potřebuje DPA. Google, Meta, poskytovatelé analytiky, e-mailové platformy — všichni.
10. Udržujte záznamy o činnostech zpracování
Zdokumentujte každou operaci zpracování dat: jaká data, jaký účel, jaký právní základ, jací příjemci, jaká doba uchovávání.
11. Implementujte práva subjektů údajů
Nastavte procesy pro žádosti o přístup, žádosti o výmaz, přenositelnost dat a námitky. Reagujte do 30 dnů.
12. Nakonfigurujte uchovávání dat
Neuchovávejte osobní údaje déle, než je nutné. Nastavte doby uchovávání v Google Analytics, vašem CRM, e-mailové platformě a databázích.
13. Zabezpečte svá data
HTTPS všude, šifrované databáze, řízení přístupu, pravidelné bezpečnostní audity. Porušení ochrany dat musí být hlášeno vašemu dozorovému úřadu do 72 hodin.
14. Proškolte svůj tým
Každý, kdo pracuje s osobními údaji — marketing, prodej, podpora, inženýrství — potřebuje školení GDPR. Zdokumentujte školení.
15. Naplánujte pravidelné audity
Čtvrtletně kontrolujte soulad. Nové soubory cookie se objeví, když přidáte nástroje. Zásady je třeba aktualizovat. Míry souhlasu je třeba sledovat.
Náklady na nesoulad
- Pokuty: Až 20 milionů eur nebo 4 % z globálního ročního obratu
- Reputace: Porušení ochrany dat a pokuty jsou veřejné — zákazníci si toho všimnou
- Příjmy: Neplatný souhlas znamená ztrátu příjmů z reklamy a nespolehlivá data
FlexyConsent automaticky pokrývá kroky 1–8
- CMP certifikovaná Googlem + registrovaná u IAB Europe
- Automatické skenování a klasifikace souborů cookie
- Consent Mode V2 + TCF 2.3 integrované
- 43+ jazyků s automatickou detekcí
- Výchozí odepření pro návštěvníky z EHP
- Záznamy o souhlasu s časovými razítky jako důkaz
- Od €0/měsíc — v souladu od prvního dne