Co je GDPR a jak souvisí se zabezpečením webu?

GDPR je evropské nařízení o ochraně osobních údajů. Pokud web pracuje s osobními daty, musí je nejen sbírat zákonně, ale také je technicky zabezpečit.

Co je vlastně GDPR?

GDPR (General Data Protection Regulation) je právní rámec platný v celé Evropské unii od roku 2018. Upravuje, jak lze shromažďovat, zpracovávat a uchovávat osobní údaje.

Osobní údaj je jakákoli informace, podle které lze identifikovat konkrétní osobu — například:

• jméno a příjmení
• e-mailová adresa
• telefonní číslo
• IP adresa
• identifikátory cookies

Co GDPR vyžaduje od webu?

Majitel webu musí splnit dvě základní roviny:

Právní rovina

• mít právní důvod ke zpracování údajů
• informovat uživatele (zásady ochrany osobních údajů)
• získat souhlas tam, kde je vyžadován (např. marketingové cookies)

Technická rovina

• zabezpečit přenos dat (HTTPS)
• omezit přístupy do administrace
• chránit databázi před únikem
• pravidelně aktualizovat software

Pozor: GDPR není jen o cookie liště. Je i o skutečném zabezpečení systému.

Proč je zabezpečení klíčové?

Článek 32 GDPR ukládá povinnost přijmout „vhodná technická a organizační opatření“. To znamená například:

• šifrování dat
• pseudonymizaci
• zálohování
• omezení přístupů podle role

Pokud dojde k úniku dat kvůli zanedbané bezpečnosti, může to být považováno za porušení GDPR.

Stačí mít SSL a je to vyřešené?

Ne. SSL řeší pouze přenos dat. GDPR řeší celý životní cyklus osobních údajů — od jejich sběru až po výmaz.

Co to znamená pro běžný firemní web?

Pokud máte kontaktní formulář, newsletter nebo analytické nástroje, pracujete s osobními údaji. Minimální standard by měl zahrnovat:

• HTTPS přesměrování
• aktuální CMS a pluginy
• silná hesla a dvoufaktorové ověření
• zálohování
• jasné zásady ochrany osobních údajů

Tip: GDPR je proces, ne jednorázový checkbox.