Nemôžete vyplniť toto pole
Domov / Novinky 2026 / Informačná povinnosť

Informačná povinnosť

Ak máte web, e-shop, ambulanciu, firmu s kamerovým systémom, posielate newsletter alebo len zbierate kontakty cez formulár, tak spracúvate osobné údaje. A hneď na začiatku prichádza jedna z najčastejšie podceňovaných povinností podľa GDPR: informačná povinnosť.

Ako odborník a poradca pre GDPR to vidím opakovane. Organizácia má zmluvy, bezpečnostné opatrenia, niekedy aj záznamy o spracovateľských činnostiach, ale „to najviditeľnejšie“ smerom k ľuďom chýba alebo je neúplné. Výsledok je jednoduchý: riziko pokuty, sťažností a hlavne strata dôvery.

V tomto článku vám zrozumiteľne vysvetlím:

  • čo je informačná povinnosť,
  • kedy ju musíte splniť,
  • aké informácie sú povinné,
  • ako to urobiť prakticky (web, cookies, formuláre, offline),
  • na čo si dať pozor, aby informácie neboli len „papierovo“, ale naozaj v súlade s GDPR.

Čo je informačná povinnosť a prečo na nej GDPR stojí

Informačná povinnosť znamená, že dotknutú osobu musíte vopred (alebo v zákonných lehotách) informovať, ako budete spracúvať jej osobné údaje.

GDPR tým sleduje jednu základnú hodnotu: transparentnosť. Ľudia majú vedieť:

  • kto ich údaje spracúva,
  • prečo,
  • na akom právnom základe,
  • ako dlho,
  • komu ich poskytnete,
  • aké majú práva a ako ich uplatnia.

Prakticky: nestačí mať spracovanie „legálne“. Musí byť aj zrozumiteľne vysvetlené.

Kedy musíte informácie poskytnúť (priame vs. nepriame získanie údajov)

GDPR rozlišuje dve situácie:

1) Údaje získavate priamo od osoby

Typicky:

  • kontaktný formulár,
  • objednávka v e-shope,
  • registrácia účtu,
  • prihlásenie na newsletter,
  • žiadosť o cenovú ponuku,
  • papierový formulár na recepcii.

Kedy informovať: najneskôr v čase získania osobných údajov.

Inými slovami: keď človek zadáva údaje, už vtedy musí mať možnosť sa dozvedieť, čo sa s nimi bude diať.

2) Údaje získavate nepriamo (z iného zdroja)

Napríklad:

  • získate kontakt od obchodného partnera,
  • pracujete s databázou z verejných zdrojov,
  • dostanete údaje od sprostredkovateľa,
  • využijete leady od tretej strany.

Kedy informovať:

  • do jedného mesiaca od získania údajov, alebo
  • pri prvom kontakte s osobou, alebo
  • pri prvom poskytnutí údajov inému príjemcovi (ak k tomu dôjde skôr).

Toto je častá chyba v B2B: firma si povie „veď je to pracovný kontakt“. Aj pracovný e-mail môže byť osobný údaj. A informačná povinnosť tým nezmizne.

Čo presne musíte uviesť: povinné náležitosti podľa GDPR

Nižšie je praktický zoznam toho, čo musí byť v informáciách (najčastejšie v dokumente „Zásady ochrany osobných údajov“ alebo „Informácie o spracúvaní osobných údajov“).

1) Kto údaje spracúva (identita a kontakt prevádzkovateľa)

Uveďte:

  • názov firmy/organizácie,
  • sídlo,
  • IČO (odporúčané),
  • kontakt (e-mail, telefón, adresa),
  • prípadne kontaktný bod pre GDPR otázky.

Ak máte zástupcu v EÚ (typicky mimo EÚ subjekty), uveďte aj jeho údaje.

2) Kontaktné údaje zodpovednej osoby (DPO), ak je určená

Ak máte určenú zodpovednú osobu, uveďte:

  • meno alebo aspoň funkčný kontakt,
  • e-mail/telefón.

Pozor: ak DPO nemáte a nemáte povinnosť ju určiť, nič „nevymýšľajte“. Častá prax je dať do politiky „DPO: info@firma.sk“, hoci DPO formálne neexistuje. To je riziko.

3) Účely spracúvania

Účely musia byť konkrétne, nie vágne. Príklady:

  • vybavenie objednávky a doručenie tovaru,
  • správa používateľského účtu,
  • vybavovanie dopytov,
  • zasielanie newslettera,
  • marketing na sociálnych sieťach,
  • zabezpečenie priestorov kamerovým systémom,
  • účtovníctvo a plnenie zákonných povinností.

4) Právny základ spracúvania

Ku každému účelu patrí právny základ, napríklad:

  • plnenie zmluvy,
  • plnenie zákonnej povinnosti,
  • oprávnený záujem,
  • súhlas,
  • ochrana životne dôležitých záujmov (zriedkavé),
  • verejná moc/verejný záujem (najmä verejný sektor).

Dôležité: nesprávne zvolený právny základ je jedna z najdrahších chýb. Ak napríklad posielate marketing bez súhlasu, musíte mať jasne odôvodnený oprávnený záujem a zároveň umožniť jednoduchý opt-out. V mnohých prípadoch je však bezpečnejšie pracovať so súhlasom, najmä pri cookies a niektorých formách online marketingu.

5) Oprávnené záujmy (ak sa na ne spoliehate)

Ak je právny základ „oprávnený záujem“, musíte ho pomenovať. Napríklad:

  • ochrana majetku a bezpečnosť (kamera),
  • prevencia podvodov,
  • základná marketingová komunikácia s existujúcimi zákazníkmi.

Odporúčam mať k tomu aj interné posúdenie (LIA). Do informácií dávate stručné vysvetlenie.

6) Príjemcovia alebo kategórie príjemcov

Uveďte, komu údaje poskytujete. Typicky:

  • kuriérske spoločnosti,
  • poskytovateľ e-shop platformy,
  • hosting a správa servera,
  • účtovník,
  • poskytovateľ e-mailingu,
  • IT podpora,
  • právne služby.

Môžete uviesť konkrétnych príjemcov alebo kategórie. Dôležité je, aby to nebolo „nikomu“ a potom v realite posielate údaje tretím stranám.

7) Prenosy do tretích krajín a záruky

Ak používate nástroje mimo EÚ/EHP (časté pri marketingu, analytike, cloude), musíte uviesť:

  • že dochádza k prenosu do tretej krajiny alebo medzinárodnej organizácie,
  • aké sú záruky (napr. rozhodnutie o primeranosti, štandardné zmluvné doložky),
  • prípadne informáciu o tom, ako získať kópiu záruk alebo kde sú dostupné.

Tu sa často lámu cookies a analytické nástroje. Nestačí len napísať „používame Google“. Treba popísať prenosy a právny rámec.

8) Doba uchovávania alebo kritériá na jej určenie

Ľudia majú vedieť, ako dlho údaje držíte:

  • „po dobu trvania zmluvy a následne X rokov“,
  • „do odvolania súhlasu“,
  • „po dobu vybavenia žiadosti a následne X dní/mesiacov“,
  • „kamerové záznamy 15 dní“ (príklad, vždy podľa odôvodnenia).

Ak neviete presnú dobu, uvediete kritériá.

9) Práva dotknutej osoby

Musíte jasne uviesť práva, najmä:

  • právo na prístup,
  • opravu,
  • vymazanie,
  • obmedzenie spracúvania,
  • prenosnosť údajov,
  • namietať (najmä pri oprávnenom záujme a priamom marketingu).

A prakticky: ako ich uplatniť (kam napísať, čo uviesť v žiadosti).

10) Právo odvolať súhlas (ak je relevantný)

Ak spracúvate na základe súhlasu, musíte povedať:

  • že súhlas je možné kedykoľvek odvolať,
  • že odvolanie nemá vplyv na zákonnosť spracúvania pred odvolaním,
  • ako odvolanie spraviť (odkaz, e-mail, nastavenia účtu, cookie lišta).

11) Právo podať sťažnosť dozornému orgánu

Na Slovensku je to Úrad na ochranu osobných údajov SR. Uveďte, že osoba má právo podať sťažnosť, ideálne aj s odkazom na web úradu.

12) Zákonná alebo zmluvná povinnosť poskytnúť údaje a následky neposkytnutia

Ak sú údaje potrebné napríklad na uzatvorenie zmluvy alebo splnenie zákona, napíšte:

  • ktoré údaje sú povinné,
  • prečo,
  • čo sa stane, ak ich osoba neposkytne (napr. nemožno dodať tovar, nemožno vybaviť reklamáciu).

13) Automatizované rozhodovanie a profilovanie (ak existuje)

Ak robíte automatizované rozhodovanie vrátane profilovania s právnymi alebo podobne významnými účinkami, musíte to uviesť a vysvetliť:

  • logiku,
  • význam,
  • predpokladané dôsledky.

V praxi veľa organizácií profilovanie nerobí v zmysle GDPR prísnej definície, ale ak používate pokročilé reklamné systémy, personalizáciu alebo scoring, oplatí sa to posúdiť.

Ako majú informácie vyzerať: stručne, zrozumiteľne a prístupne

GDPR nežiada, aby ste napísali 10 strán právničiny. Žiada, aby informácie boli:

  • stručné (bez balastu),
  • transparentné (nič neskrývať),
  • zrozumiteľné (bežný človek tomu rozumie),
  • ľahko dostupné (nie schované),
  • v jazyku, ktorému cieľová skupina rozumie.

Z praxe odporúčam:

  • vrstvený prístup: krátke zhrnutie + detailná verzia,
  • krátke vety, jasné nadpisy, zoznamy,
  • minimum interných skratiek.

Praktické príklady: web, formuláre a cookies

Informačná povinnosť na webe (privacy policy)

Najčastejší spôsob je publikovať dokument na webe, napríklad:

  • „Ochrana osobných údajov“
  • „Zásady ochrany osobných údajov“
  • „Informácie o spracúvaní osobných údajov“

Dajte odkaz do pätičky webu, k formulárom a všade, kde zbierate údaje.

Formuláre (kontaktný, dopyt, registrácia)

Pri formulári odporúčam:

  • krátku informáciu priamo pri tlačidle odoslania,
  • odkaz na detailné zásady,
  • ak ide o súhlas (napr. newsletter), samostatný checkbox bez predzaškrtnutia.

Príklad logiky:

  • Dopyt: právny základ môže byť predzmluvný vzťah alebo oprávnený záujem.
  • Newsletter: spravidla súhlas (a jednoduché odhlásenie).

Cookies a „komfortné prehliadanie“

Pri cookies je dôležité oddeliť:

  • nevyhnutné cookies (na funkčnosť),
  • analytické cookies (analýza návštevnosti a zlepšovanie webu),
  • marketingové cookies (reklama a remarketing).

Ak používate cookies na analýzu návštevnosti a zlepšovanie webu alebo na marketing, väčšinou potrebujete:

  • jasné informácie, čo sa zbiera a prečo,
  • správne nastavený súhlasový mechanizmus (cookie lišta),
  • možnosť súhlas odmietnuť a neskôr zmeniť.

Len text „Cookies používame pre vaše pohodlie“ nestačí. Je to síce bežná veta, ale bez konkrétností je informačne slabá.

Kde organizácie najčastejšie robia chyby

Z praxe pri kontrolách a auditoch sa opakujú najmä tieto problémy:

  1. Chýba právny základ ku konkrétnemu účelu alebo je uvedený nesprávne.
  2. Neuvádzajú sa príjemcovia (pritom sa údaje posielajú kuriérom, e-mailingovej službe, hostingu).
  3. Prenosy mimo EÚ sú ignorované alebo opísané nejasne.
  4. Doba uchovávania je „po dobu nevyhnutnú“ bez vysvetlenia, čo to znamená.
  5. Práva osôb sú skopírované ako zo zákona, ale chýba praktický postup uplatnenia.
  6. Cookies: lišta existuje, ale nesprávne. Napríklad nie je možné odmietnuť, alebo sa cookies ukladajú ešte pred súhlasom.
  7. Informácie sú ťažko dostupné alebo napísané tak, že im bežný človek nerozumie.

Ako splniť informačnú povinnosť v praxi (krátky postup)

Ak to chcete spraviť poriadne a bez chaosu, postupujte takto:

  1. Spíšte účely spracúvania (čo robíte s údajmi v celej organizácii).
  2. Ku každému účelu určte kategórie údajov, právny základ, doby uchovávania, príjemcov.
  3. Overte, či máte sprostredkovateľské zmluvy tam, kde treba (hosting, účtovníctvo, e-mailing).
  4. Skontrolujte prenosy do tretích krajín a nastavte záruky.
  5. Napíšte informácie v ľudskej slovenčine, ideálne v štruktúre podľa bodov vyššie.
  6. Zverejnite a prepojte ich na miestach zberu údajov (web, formuláre, papierové tlačivá).
  7. Pravidelne aktualizujte: pri zmene procesov, dodávateľov, nástrojov, legislatívy.

Prečo sa oplatí byť transparentný aj nad rámec minima

GDPR je v tomto logické. Keď ľudia chápu, čo robíte s ich údajmi, menej sa boja a menej podávajú sťažnosti. Transparentnosť nie je len „splnenie povinnosti“. Je to aj reputačná poistka.

Ak používate cookies na komfortné prehliadanie, analýzu návštevnosti a zlepšovanie webu, povedzte to jasne. Ak posielate newsletter, vysvetlite frekvenciu a obsah. Ak máte kameru, označte priestor a vysvetlite lehotu uchovania.

Zhrnutie

Informačná povinnosť je povinnosť informovať ľudí o spracúvaní ich osobných údajov jasne, včas a zrozumiteľne. Musíte uviesť najmä identitu prevádzkovateľa, účely a právne základy, príjemcov, prenosy do tretích krajín, dobu uchovávania, práva dotknutých osôb, možnosť odvolať súhlas, právo podať sťažnosť a informáciu o tom, či je poskytnutie údajov povinné.

Ak si nie ste istí, či vaše texty a nastavenia (najmä cookies) skutočne spĺňajú GDPR, oplatí sa urobiť krátku revíziu. V praxi to býva jedna z najrýchlejších úprav, ktorá výrazne zníži riziká.

Často kladené otázky

Čo je informačná povinnosť podľa GDPR a prečo je dôležitá?

Informačná povinnosť znamená, že dotknutú osobu musíte vopred alebo v zákonných lehotách informovať o spracovaní jej osobných údajov. Je to základná hodnota GDPR – transparentnosť. Ľudia musia vedieť, kto ich údaje spracúva, prečo, na akom právnom základe, ako dlho, komu ich poskytnete a aké majú práva.

Kedy musím poskytnúť informácie o spracovaní osobných údajov?

Ak získavate údaje priamo od osoby (napríklad cez formulár alebo objednávku), musíte ju informovať najneskôr v čase získania údajov. Ak údaje získavate nepriamo (napríklad od obchodného partnera alebo z verejných zdrojov), informácie musíte poskytnúť do jedného mesiaca od získania údajov, pri prvom kontakte s osobou alebo pri prvom poskytnutí údajov inému príjemcovi.

Aké informácie musia byť súčasťou informačnej povinnosti podľa GDPR?

Musíte uviesť identitu a kontaktné údaje prevádzkovateľa (názov firmy, sídlo, IČO, e-mail, telefón), účel a právny základ spracovania, dobu uchovávania údajov, príjemcov údajov a práva dotknutej osoby vrátane spôsobu ich uplatnenia.

Ako zabezpečiť, aby informačné povinnosti boli v súlade s GDPR a nie len „papierové“?

Informácie musia byť zrozumiteľné a ľahko dostupné pre dotknuté osoby. Na webe by mali byť jasne viditeľné v sekcii ochrany osobných údajov alebo pri formulároch. Pri offline spracovaní by mali byť k dispozícii tlačené materiály alebo iné vhodné spôsoby komunikácie. Dôležité je pravidelne aktualizovať tieto informácie podľa aktuálnych spracovateľských aktivít.

Platí informačná povinnosť aj pre pracovné kontakty v B2B prostredí?

Áno, aj pracovný e-mail môže byť osobným údajom a naň sa vzťahuje GDPR. Preto musí firma splniť informačnú povinnosť aj pri takýchto kontaktoch – napríklad informovať zamestnancov obchodného partnera o spracovaní ich údajov.

Ako prakticky implementovať informačnú povinnosť na webe a pri online formulároch?

Na webe sa odporúča mať dokument „Zásady ochrany osobných údajov“ alebo „Informácie o spracovaní osobných údajov“, ktorý je ľahko dostupný. Pri online formulároch by mala byť viditeľná krátka informácia alebo odkaz na tieto zásady ešte pred odoslaním údajov. Tiež je potrebné zabezpečiť súhlas so spracovaním tam, kde je to relevantné.

Predchádzajúci článok

Čo potrebujete nájsť?