1. Základní povinné informace: identifikace provozovatele a kontakty
Každý firemní web by měl být jednoznačně dohledatelný z hlediska toho, kdo za něj odpovídá. U českých firem je minimum jasná identifikace provozovatele: obchodní firma nebo jméno, IČO, sídlo, případně DIČ, pokud je firma plátcem DPH. U živnostníků je vhodné uvést také místo podnikání a zápis v živnostenském rejstříku, pokud je relevantní.
Tyto údaje patří nejčastěji do stránky Kontakt a zároveň do patičky webu. Z pohledu důvěryhodnosti je to důležité i pro SEO a konverze: návštěvník rychle ověří, zda firma existuje, a vyhledávače vnímají transparentnost jako součást E-E-A-T signálů. Pokud web nabízí služby, měly by být snadno dohledatelné i kontaktní kanály, například telefon, e-mail, datová schránka a případně provozní doba.
- Co uvést: název firmy, IČO, sídlo, DIČ, kontaktní e-mail, telefon
- Kam umístit: patička, stránka Kontakt, obchodní podmínky
- Praktický tip: stejné údaje používejte konzistentně i v Google Business Profile, na fakturách a ve firemních profilech
2. GDPR na webu: osobní údaje, formuláře a právní základ zpracování
Největší část webových povinností dnes souvisí s GDPR a související úpravou ochrany osobních údajů. Jakmile web sbírá údaje přes kontaktní formulář, newsletter, registraci účtu, objednávku nebo analytické a marketingové nástroje, vstupujete do role správce osobních údajů. Nestačí pouze mít „nějaký“ text o ochraně soukromí; dokumentace musí odpovídat tomu, co web skutečně dělá.
V praxi musí být na webu nebo snadno dostupné informace o tom, jaké údaje sbíráte, proč je zpracováváte, na jakém právním základě, jak dlouho je uchováváte a komu je předáváte. Pokud používáte služby jako Google Analytics 4, Meta Pixel, Mailchimp, SmartEmailing, CRM nebo rezervační systémy, je potřeba tyto nástroje v zásadách uvést. U formulářů je navíc vhodné mít pod jednotlivými poli krátké vysvětlení, proč data potřebujete.
U kontaktního formuláře je typická chyba, že se sbírá zbytečně moc údajů. Z hlediska minimalizace dat by měl formulář chtít jen to, co je skutečně nutné. Pokud prodáváte služby, často stačí jméno, e-mail, telefon a zpráva. Rodné číslo, datum narození nebo adresa bez jasného důvodu jsou zbytečné riziko. U newsletteru musí být souhlas oddělený od obchodních podmínek a nesmí být předem zaškrtnutý.
- Musíte mít: zásady zpracování osobních údajů, přehled účelů zpracování, doby uchování, práv subjektů údajů
- U formulářů: informační text pod formulářem, odkaz na zásady, účel sběru dat
- U newsletteru: oddělený souhlas, možnost odhlášení v každém e-mailu
- U analytiky: ošetřit cookies a souhlas, pokud nástroje nejsou čistě nezbytné
3. Cookies, lišta souhlasu a technické nastavení měření
Cookies nejsou jen „lišta dole na stránce“. Správně nastavený cookie management je kombinace právního textu, technického řešení a přesného rozdělení kategorií souborů cookies. V české praxi se často chybuje tím, že web zobrazí banner, ale marketingové skripty se načítají ještě před udělením souhlasu. To je problém zejména u reklamních a analytických nástrojů.
Pokud používáte Google Tag Manager, je vhodné implementovat Consent Mode v2 a přesně řídit spouštění tagů podle souhlasu. U menších webů může stačit kvalitní cookie lišta s možností odmítnout vše stejně snadno jako přijmout vše. Z pohledu legislativy i UX je důležité, aby uživatel měl skutečnou volbu, ne jen formální tlačítko „OK“.
Prakticky doporučuji projít web pomocí nástrojů jako Cookiebot Scanner, OneTrust, CookieYes nebo ručně přes DevTools a zkontrolovat, které cookies se ukládají před souhlasem. U českých webů bývá problém i s embedded obsahem: YouTube videa, mapy, chat widgety nebo Facebook pluginy často spouštějí cizí cookies hned po načtení stránky. To je potřeba řešit zástupným obrázkem nebo režimem bez cookies.
- Před souhlasem nesmí běžet: marketingové, remarketingové a většina analytických skriptů
- Po souhlasu: lze spustit GA4, Meta Pixel, Hotjar a další nástroje podle zvolených kategorií
- Kontrola: Chrome DevTools, Tag Assistant, Cookiebot Scanner, OneTrust
- UX pravidlo: odmítnutí musí být stejně snadné jako přijetí
4. Obchodní podmínky, reklamace a povinnosti e-shopu
Pokud web prodává zboží nebo služby online, vstupují do hry další povinnosti podle občanského zákoníku a pravidel ochrany spotřebitele. U e-shopu nejsou obchodní podmínky jen formalita, ale dokument, který musí přesně popisovat proces objednávky, doručení, platby, odstoupení od smlouvy, reklamace a odpovědnost za vady. U služeb je zase důležité vymezit, kdy vzniká smluvní vztah, jak probíhá fakturace a co se děje při zrušení termínu.
Nejčastější problém je chybějící nebo neúplná informace o právu spotřebitele odstoupit od smlouvy do 14 dnů u distančního prodeje. E-shop musí také jasně uvést náklady na dopravu, způsob platby, celkovou cenu včetně daní a poplatků. Pokud jsou na webu akční ceny, sleva by měla být uváděna transparentně a v souladu s pravidly pro informování o nejnižší ceně za posledních 30 dnů u zlevněného zboží.
Z technického hlediska je vhodné mít obchodní podmínky propojené v košíku, u objednávkového formuláře i v patičce. U objednávky musí uživatel aktivně potvrdit, že se s nimi seznámil. Pokud prodáváte digitální obsah nebo služby poskytované před uplynutím lhůty pro odstoupení, musí být souhlas formulován velmi přesně, jinak můžete mít problém s vratkami.
- E-shop musí mít: obchodní podmínky, reklamační řád, informace o odstoupení od smlouvy
- Na stránce produktu: jasná cena, dostupnost, doprava, platební metody
- V košíku: souhlas s obchodními podmínkami a potvrzení objednávky
- U digitálních produktů: ošetřit okamžik plnění a souhlas se ztrátou práva na odstoupení, pokud je to relevantní
5. Přístupnost webu, bezpečnost a technická odpovědnost provozovatele
Legislativa se netýká jen textů a souhlasů, ale i samotné dostupnosti a bezpečnosti webu. Přístupnost je stále důležitější, zejména u veřejných institucí a subjektů, které mají širší společenský dopad. I u běžného firemního webu je ale dobrá praxe držet se standardů WCAG 2.1 AA: kontrast textu, klávesnicová ovladatelnost, alternativní texty u obrázků, správná struktura nadpisů a čitelné formuláře.
Bezpečnost je další oblast, kterou nelze podceňovat. Web by měl běžet na HTTPS, mít aktuální CMS, pluginy a šablony, dvoufaktorové ověření administrátorů a pravidelné zálohy. U WordPressu je vhodné hlídat i oprávnění uživatelů, logování změn a ochranu přihlašovací stránky. U firemních webů bývá častý problém starý plugin pro formuláře nebo sdílený hosting bez oddělených práv, což zvyšuje riziko úniku dat.
Z hlediska provozu doporučuji minimálně měsíční kontrolu aktualizací, týdenní automatické zálohy a test obnovy. Pokud web zpracovává citlivější data nebo má vyšší návštěvnost, vyplatí se bezpečnostní skener typu Wordfence, Sucuri nebo monitoring přes UptimeRobot. Právní odpovědnost provozovatele totiž nekončí u zveřejnění dokumentů; pokud dojde k úniku dat nebo výpadku služby, je důležité prokázat, že byla přijata přiměřená technická a organizační opatření.
- Přístupnost: kontrast, alt texty, klávesnice, popisky formulářů, struktura nadpisů
- Bezpečnost: HTTPS, aktualizace CMS, 2FA, zálohy, omezení přístupů
- Nástroje: Lighthouse, axe DevTools, WAVE, Wordfence, UptimeRobot
- Pravidlo praxe: web bez údržby je časovaná bomba i z právního hlediska
6. Co si zkontrolovat před spuštěním webu nebo při auditu
Nejlepší způsob, jak snížit právní riziko, je pravidelný audit. Před spuštěním nového webu nebo po větší úpravě doporučuji projít alespoň deset oblastí: identifikace provozovatele, kontakty, zásady ochrany osobních údajů, cookies, obchodní podmínky, reklamační proces, formuláře, souhlasy, přístupnost a zabezpečení. U větších webů je vhodné přidat i kontrolu všech externích integrací, protože právě ty často způsobují skryté problémy.
V praxi se osvědčuje jednoduchý checklist v Tabulkách Google nebo v Notionu, kde má každá položka vlastní stav: splněno, nutná úprava, čeká na právní kontrolu. Technický tým pak vidí, co je potřeba nasadit, obsahový tým upraví texty a právník nebo specialista na GDPR potvrdí finální verzi. U složitějších webů je dobré audit opakovat po každé změně cookies, formulářů, CRM nebo marketingového stacku.
Firemní web, který splňuje legislativu, není jen „bezpečnější“. Obvykle také lépe konvertuje, budí větší důvěru a méně často se vrací kvůli sporům, reklamací nebo stížnostem. Když jsou informace jasné, formuláře úsporné a souhlasy transparentní, uživatelé se rozhodují rychleji a provozovatel má lepší pozici i při případné kontrole nebo reklamaci.
