NIGHTSHIFT.
booting · wang_wei.terminal
NIGHTSHIFT.
späť na blog
gdprprávneslovensko[4 min read]

GDPR pre váš web v 2026 — čo skutočne potrebujete (a čo je zbytočné)

·by NIGHTSHIFT

title: "GDPR pre váš web v 2026 — čo skutočne potrebujete (a čo je zbytočné)" description: "Praktický prehľad GDPR povinností pre slovenské weby v 2026. Cookie lišta, privacy policy, Google Analytics a čo ÚOOÚ reálne pokutuje — bez nafukovania." date: "2026-03-18" tags: ["gdpr", "právne", "slovensko"]

Existuje celé odvetvie ľudí, ktorí zarábajú na tom, že vás strašia GDPR. Pokuta 20 miliónov eur, koniec biznisu, väzenie. Realita pre slovenský e-shop alebo firemný web je trochu iná. Pozrime sa na to, čo zákon naozaj vyžaduje — a čo vám agentúry predávajú len preto, lebo vedia, že sa bojíte.

Čo GDPR vlastne vyžaduje od bežného webu

Nariadenie GDPR spolu so slovenským zákonom č. 18/2018 Z. z. platí pre každý web, ktorý spracúva osobné údaje návštevníkov. To znamená: analytika, kontaktný formulár, newsletter — všetko to sú osobné údaje.

Základné povinnosti pre štandardný slovenský firemný web:

  • Mať informačnú povinnosť — zrozumiteľne informovať, aké údaje zbieráte, prečo, ako dlho a kde.
  • Mať právny základ na každé spracúvanie (súhlas, oprávnený záujem, zmluva).
  • Umožniť výkon práv dotknutých osôb — prístup, vymazanie, opravu údajov.
  • Zabezpečiť technické a organizačné opatrenia — rozumný hosting, zálohy, prístupové práva.

Čo väčšina bežných webov nepotrebuje: poverenca pre ochranu osobných údajov (DPO), záznamy o spracovateľských činnostiach vo formáte 40-stránkového dokumentu, posúdenie vplyvu na ochranu údajov (DPIA). To sú povinnosti pre nemocnice, banky a veľké e-shopy s citlivými dátami — nie pre firemný prezentačný web s kontaktným formulárom.

Cookie lišta — čo stačí a čo je zbytočný cirkus

Ochrana osobných údajov web si v roku 2026 stále vyžaduje opt-in model. To znamená, že pred uložením nepovinných cookies musíte mať súhlas — nie len oznámenie.

Čo musí cookie lišta slovensko obsahovať:

  • Tlačidlo "Prijať všetky" aj "Odmietnuť všetky" — obe viditeľné na prvej vrstve bannera.
  • Žiadne predzaškrtnuté políčka. Nikdy.
  • Tlačidlo "Nastavenia" pre granulárne nastavenie.
  • Popis kategórií cookies a ich účelu.

Čo nepotrebujete: 47 kategórií cookies. Banner, ktorý zaberá celú obrazovku. Právnický text v 8pt fonte, ktorý nikto nečíta.

Technické a funkčné cookies (prihlásenie, košík) súhlas nepotrebujú — sú nevyhnutné na fungovanie webu. Analytické a marketingové áno.

Privacy policy — čo v nej musí byť

Informačná povinnosť podľa článku 13 GDPR nie je voliteľná. Privacy policy slovensko musí obsahovať:

  • Kto ste (názov, sídlo, IČO).
  • Aké kategórie osobných údajov spracúvate.
  • Na aký účel a na akom právnom základe.
  • Ako dlho ich uchovávate.
  • Komu ich odovzdávate (Google, Mailchimp, hosting provider...).
  • Práva dotknutej osoby a kontakt na vás.
  • Právo podať sťažnosť na ÚOOÚ.

Čo je zbytočné: 15 strán generovania textu z cookie-generator.io, ktorý nikto nečítal a vy sami netušíte, čo tam je.

Google Analytics a Consent Mode — stav v 2026

Google Analytics 4 nie je zo zákona zakázaný, ale nie je ani automaticky v súlade s GDPR. Podmienky pre legálne použitie:

  1. Consent Mode V2 — povinný od marca 2024 pre všetky weby targeting EEA. Implementujte ho cez vašu CMP (Cookiebot, Complianz, CookieYes...).
  2. Blokovanie GA skriptu pred udelením súhlasu — analytics_storage musí byť denied ako default.
  3. Zmluva o spracovaní údajov (DPA) s Googlom — podpísať v Google Analytics Admin paneli. Zadarmo, trvá 2 minúty.
  4. IP anonymizácia — GA4 ju robí automaticky, ale overte si to v nastaveniach dátového streamu.

Čo ÚOOÚ reálne pokutuje (a čo nie)

Úrad na ochranu osobných údajov SR (ÚOOÚ) je slovenský dozorný orgán. Niekoľko faktov:

  • Slovensko patrí medzi krajiny s najnižšími priemernými pokutami v EÚ — priemer sa pohybuje okolo 2 000 €.
  • Najvyššia známa pokuta ÚOOÚ bola 50 000 € udelená Sociálnej poisťovni za porušenie bezpečnosti.
  • Rozhodnutia ÚOOÚ nie sú verejne publikované — úrad vydáva len anonymizované súhrny.
  • Kontrolný plán ÚOOÚ sa sústreďuje na: schengenské systémy, drogérie, autoškoly, reštaurácie pod kamerovým systémom.

Bežný firemný web bez závažného úniku dát alebo sťažnosti od konkrétnej osoby nie je prioritou ÚOOÚ. To neznamená, že GDPR ignorujte — ale neplatíte za 12-hodinovú právnu analýzu vášho kontaktného formulára.

Praktický checklist pre slovenský firemný web

Povinné minimum:

  • [ ] Privacy policy / zásady ochrany osobných údajov na webe
  • [ ] Cookie banner s "Prijať" aj "Odmietnuť" na prvej vrstve
  • [ ] Žiadne predzaškrtnuté políčka v cookie banneri
  • [ ] Google Analytics blokovaný pred súhlasom (Consent Mode V2)
  • [ ] DPA zmluva podpísaná s Googlom v GA4 admin
  • [ ] Kontaktný formulár — jasné info, čo robíte s dátami
  • [ ] Newsletter — double opt-in, možnosť odhlásenia

Ak máte e-shop:

  • [ ] Záznamy o spracovateľských činnostiach (jednoduchá tabuľka stačí)
  • [ ] Zmluvy so spracovateľmi (hosting, email marketing, platobná brána)
  • [ ] Postup pri bezpečnostnom incidente (do 72 hodín hlásiť ÚOOÚ)

Čo pravdepodobne nepotrebujete:

  • Poverenca (DPO) — ak nespracúvate citlivé dáta vo veľkom
  • DPIA — ak nemáte vysokorizikové spracúvanie
  • Platená cookie platforma za 200 €/mesiac, ak máte 500 návštevníkov/mesiac

GDPR pre firmy nie je rocket science. Je to hlavne zdravý rozum aplikovaný na dáta ľudí. Buďte transparentní, nepýtajte si viac, ako potrebujete, a nespoliehajte sa na to, že nikto nepodá sťažnosť. Zvyšok je právnický marketing.

Potrebujete GDPR audit webu alebo nastaviť cookie consent správne? Ozvite sa.