Nemôžete vyplniť toto pole
Domov / Novinky 2026 / GDPR: čo musíte mať hotové v roku 2026

GDPR: čo musíte mať hotové v roku 2026

GDPR má už nejaký ten rok, ale úprimne. V praxi to stále vyzerá tak, že veľa firiem má „GDPR hotové“ len na papieri. Niekde visí v pätičke webu generická politika, niekde sa podpísalo pár dokumentov, niekde sa zaviedla jedna smernica a tým to skončilo.

Lenže rok 2026 je taký bod, kedy sa vám toto môže vypomstiť. Nie preto, že GDPR zrazu začne platiť. Ono platí. Ale preto, že sa mení realita okolo.

Viac kontrol. Viac sťažností od ľudí. Viac automatizácie v marketingu. Viac prepojených systémov. Viac dodávateľov. Viac umelej inteligencie. A hlavne. Úrady už dnes nechcú počuť, že „máme to v šanóne“. Chcú vidieť, že to žijete.

Tento článok je praktický zoznam toho, čo by ste mali mať do roku 2026 naozaj hotové. Nie pekne pomenované. Hotové.

Pre koho to celé je

Ak ste:

  • majiteľ malej firmy a máte web, newsletter, CRM, fakturáciu
  • e-shop, aj malý, aj väčší
  • agentúra, čo spracúva dáta klientov
  • SaaS alebo aplikácia
  • HR firma alebo ktokoľvek, kto spracúva CVčka
  • poskytovateľ služieb, čo má databázu zákazníkov

tak to čítate správne.

A áno, aj keď máte „len pár kontaktov“. GDPR sa nepýta, koľko ich je. Pýta sa, či to robíte správne.

1. Mapu spracúvania osobných údajov. Reálne, nie z Word šablóny

Prvá vec, ktorú by ste mali mať. A ktorú nemá prekvapivo veľa firiem.

Musíte vedieť:

  • aké osobné údaje spracúvate (meno, email, IP, objednávky, platby, identifikátory zariadení, cookies, logy)
  • na aké účely (objednávka, zákaznícka podpora, marketing, analytika, bezpečnosť, HR)
  • na akom právnom základe (zmluva, zákonná povinnosť, oprávnený záujem, súhlas)
  • komu ich posúvate (účtovník, dopravca, platobná brána, mailing, hosting, chat nástroj)
  • ako dlho ich držíte
  • kde sú uložené (EU, mimo EU, cloud)

V GDPR jazyku sa to volá záznamy o spracovateľských činnostiach. V praxi je to vaša mapa.

A tá mapa musí sedieť s realitou. Nie že v dokumente je Mailchimp, ale vy používate Brevo. Nie že uvádzate „uchovávame 1

2. Právne základy. Najčastejšia chyba je „všetko na súhlas“

Súhlas je fajn, ale je to najkrehkejší základ.

Do 2026 by ste mali mať vyčistené, že:

  • objednávka a dodanie služby ide na zmluvu, nie súhlas
  • faktúry a účtovníctvo ide na zákonnú povinnosť
  • základná bezpečnosť, antifraud, logy často ide na oprávnený záujem (ale treba to vedieť obhájiť)
  • newsletter marketing typicky súhlas, alebo soft opt-in kde je to dovolené (napr. pre existujúcich zákazníkov pri splnení podmienok)
  • remarketing a reklamné cookies spravidla súhlas, a reálne udelený, nie „lebo banner“

V roku 2026 už nebude výhovorka, že „cookie lišta to vyriešila“. Nie. Cookie lišta je len UI. Právny základ je vaša zodpovednosť.

K tomu patrí aj to, že máte spravené testy oprávneného záujmu (LIA) tam, kde ich používate. Nie všade. Ale tam, kde sa na to hráte.

3. Transparentnosť. Vaše informácie musia byť čitateľné, nie právnické

Ľudia (a úrady) riešia, či ste transparentní. Či to vedia pochopiť.

Do 2026 upracte:

  • zásady ochrany osobných údajov na webe
  • informácie pri zbere údajov (pri formulári, v appke, v objednávke)
  • samostatné info pre newsletter a marketing
  • info pre uchádzačov o zamestnanie
  • interné info pre zamestnancov, ak spracúvate ich dáta (dochádzka, kamerový systém)

A skúste si to prečítať ako zákazník. Ak z toho nič nemáte, je to problém.

Praktická vec. Dajte si tam:

  • účely spracúvania v bodoch
  • právne základy
  • kategórie príjemcov
  • prenosy mimo EÚ (ak sú)
  • doby uchovávania (aspoň logicky)
  • práva dotknutých osôb a ako ich uplatniť (email, formulár)
  • info o automatizovanom rozhodovaní, ak ho robíte (scoring, fraud, personalizácia)

A prosím. Nepíšte „môžeme údaje spracúvať na akýkoľvek účel“. To nie je transparentnosť. To je pozvánka na problém.

4. Súhlasy a cookies. Musí fungovať evidencia, nie len tlačidlo

V roku 2026 je už štandard, že:

  • viete preukázať, kto a kedy dal súhlas (a s čím)
  • viete preukázať, kto ho odvolal
  • súhlas je oddelený od iných vecí (nie „ak chceš nakúpiť, musíš súhlasiť s marketingom“)
  • cookies sa nenačítajú skôr, než používateľ súhlasí (pri marketingu a často aj pri niektorých analytikách)

Čo musíte mať nastavené:

  • CMP alebo cookie riešenie, ktoré naozaj blokuje skripty do súhlasu
  • kategórie cookies a jasné účely
  • log súhlasov (aspoň na úrovni CMP)
  • prepojenie so systémami tretích strán, ak to CMP podporuje

A teraz realita. Veľa webov má banner, ale GA, Meta Pixel a ďalšie veci bežia hneď. To je zlé.

5. Zmluvy so spracovateľmi. DPA a reťazec dodávateľov

Máte účtovníka? Hosting? CRM? Emailing? Externú agentúru? Call centrum? Cloud?

Potrebujete:

  • uzavreté zmluvy o spracúvaní osobných údajov (DPA) tam, kde je dodávateľ spracovateľ
  • jasno, kto je prevádzkovateľ a kto spracovateľ (a niekedy spoločný prevádzkovateľ)
  • zoznam spracovateľov a subdodávateľov, aspoň v rámci toho, čo viete ovplyvniť
  • pri prenose mimo EHP: právny mechanizmus (typicky SCC) a posúdenie rizík (TIA) ak je relevantné

Tu sa to často láme pri amerických nástrojoch. A nie, nie je to automaticky zakázané. Ale musíte to mať ošetrené a vedieť, prečo si myslíte, že je to ok.

Do 2026 by ste mali mať spravený minimálne „dodávateľský GDPR audit“:

  • kto má prístup k dátam
  • kde sú dáta uložené
  • aké bezpečnostné opatrenia deklarujú
  • či vám vedia pomôcť pri incidente a pri právach dotknutých osôb

6. Bezpečnosť. Technické a organizačné opatrenia, ktoré nie sú len frázy

GDPR nie je len o papieroch. Je aj o tom, či chránite dáta.

Do 2026 by som očakával minimálne:

  • MFA na emaily, CRM, adminy, cloud
  • správa prístupov (kto má prístup, prečo, a keď odíde, tak sa mu to vypne)
  • šifrovanie notebookov a mobilov (aspoň tam, kde sú dáta)
  • zálohy a test obnovy (áno, test)
  • aktualizácie a patching proces
  • oddelené účty, žiadne „shared login“
  • logovanie prístupov tam, kde to dáva zmysel
  • školenie ľudí na phishing a úniky, aspoň raz ročne a pri nástupe

Ak máte citlivejšie dáta alebo väčší objem, pridáva sa:

  • segmentácia sietí
  • SIEM alebo monitoring
  • penetračné testy
  • pravidlá pre vývoj (secure SDLC)
  • šifrovanie dát v databáze podľa rizika

Nie je to o tom mať všetko. Je to o tom, vedieť obhájiť primeranosť.

7. Retencia. Doby uchovávania, mazanie, anonymizácia. Toto je fakt diera

Väčšina firiem dáta nemaže. Lebo sa to „možno raz zíde“.

Lenže v GDPR musíte vedieť povedať:

  • ako dlho údaje potrebujete
  • prečo
  • čo urobíte potom (vymažete, anonymizujete, archivujete na zákonný účel)

Do 2026 si nastavte:

  • retenčné lehoty pre zákaznícke dáta, marketing, logy, support, HR
  • automatizované mazanie tam, kde to ide (CRM, emailing, helpdesk)
  • proces manuálneho mazania, keď automatika nejde
  • evidenciu výnimiek (napr. spor, reklamácia, právne nároky)

A hlavne. Ak niekomu sľubujete, že dáta vymažete, tak ich vymažte. Aj z kópií tam, kde je to primerané, alebo aspoň zabezpečte, že sa už ďalej nepoužijú.

8. Práva dotknutých osôb. Musíte to vedieť vybaviť rýchlo a bez paniky

Ľudia majú právo:

  • na prístup k údajom
  • na opravu
  • na výmaz
  • na obmedzenie
  • na prenosnosť
  • namietať (hlavne pri oprávnenom záujme a pri priamom marketingu)
  • odvolať súhlas

Do 2026 potrebujete:

  • jednoduchý kontakt (email alebo formulár)
  • interný postup, kto to rieši a v akom čase
  • schopnosť vyhľadať údaje naprieč systémami (tu sa hodí tá mapa z bodu 1)
  • šablóny odpovedí a logovanie žiadostí
  • overenie identity žiadateľa, primerane, nie šialene

A áno, máte lehotu spravidla 1 mesiac. Niekedy sa dá predĺžiť, ale to nie je plán. To je výnimka.

9. Incidenty a úniky. 72 hodín je brutálne krátko

Keď dôjde k porušeniu ochrany osobných údajov, máte povinnosti:

  • posúdiť riziko
  • zdokumentovať incident
  • prípadne nahlásiť dozornému orgánu do 72 hodín
  • prípadne informovať dotknuté osoby

Do 2026 by ste mali mať:

  • incident response plán (kto čo robí, komu sa volá, kde sa zapisuje)
  • internú „horúcu linku“ alebo aspoň jasné pravidlo, kam ľudia hlásia problém
  • šablónu zápisu incidentu (čas, rozsah, dotknuté dáta, opatrenia)
  • kontakt na IT, právnika, DPO ak ho máte
  • pripravené komunikačné šablóny

A prosím vás. Incident nie je len hackerský útok. Je to aj:

  • poslaný email nesprávnej osobe
  • zdieľaný Google Drive dokument „anyone with link“
  • stratený notebook
  • zle nastavené práva v CRM
  • export zákazníkov do excelu a potom to odíde niekam

10. DPIA. Keď robíte rizikové spracúvania, potrebujete posúdenie vplyvu

Nie každá firma musí robiť DPIA. Ale ak máte vyššie riziko, typicky:

  • rozsiahle monitorovanie správania (tracking, profilovanie)
  • spracúvanie citlivých údajov vo veľkom
  • systematické hodnotenie, scoring, automatizované rozhodovanie
  • kamerové systémy vo väčšom rozsahu
  • nové technológie, ktoré zásadne menia riziko

tak DPIA by ste mali mať.

Do 2026 si aspoň položte otázku: robíme niečo, čo by DPIA vyžadovalo? Ak áno, urobte ju. A urobte ju skôr, než to spustíte. DPIA po nasadení je taká… no. Lepšie ako nič, ale stále zle.

11. Marketing v roku 2026. Segmentácia, personalizácia, automatizácie

Marketing je dnes celý o dátach. A celé GDPR sa v marketingu láme na dvoch veciach:

  • či máte správny právny základ
  • či viete preukázať, čo sa stalo

Do 2026 by ste mali mať poriadok v:

  • newsletter databáze (zdroj kontaktu, súhlas, odhlásenia)
  • double opt-in alebo iný spôsob, ako viete preukázať súhlas (odporúčané)
  • automatizáciách (welcome série, abandoned cart, winback) a právny základ pre ne
  • prepojeniach (CRM -> ads platformy, offline conversions)
  • publiku a remarketingu

A nezabudnite na jednu vec. Ak niekto namieta proti priamemu marketingu, je to stopka. Bez diskusie.

12. AI a GDPR. V roku 2026 to nebude okrajová téma

Veľa firiem už dnes používa AI nástroje na:

  • zákaznícku podporu (chatbot)
  • analýzu ticketov a emailov
  • prepis hovorov
  • scoring leadov
  • generovanie obsahu s použitím reálnych zákazníckych dát
  • vyhľadávanie v interných dokumentoch

Do 2026 si ustrážte hlavne:

  • či do AI nástroja neposielate osobné údaje bez právneho základu a bez zmluvného ošetrenia
  • či dáta nepoužíva poskytovateľ na tréning, ak to nechcete
  • kde sa dáta spracúvajú (lokalita, subdodávatelia)
  • minimalizáciu údajov (posielať len to, čo treba)
  • nastavenie retention v AI nástroji, ak existuje
  • transparentnosť voči ľuďom (ak je relevantné, že komunikujú s botom alebo prebieha profilovanie)

A ak robíte automatizované rozhodovanie s právnym alebo podobne významným účinkom, tam sa pravidlá sprísňujú. To už je zóna, kde sa oplatí mať právnika, a často aj DPIA.

13. Dokumentácia. Nie papier pre papier, ale dôkaz, že máte kontrolu

Do 2026 by ste mali vedieť vytiahnuť, keď príde otázka alebo kontrola:

  • záznamy o spracovateľských činnostiach (ROPA)
  • zásady ochrany osobných údajov
  • cookie dokumentáciu a evidenciu súhlasov (aspoň v rozsahu)
  • zmluvy so spracovateľmi (DPA)
  • interné smernice (prístupy, incidenty, retention)
  • školenia (kedy, kto absolvoval)
  • záznamy o žiadostiach dotknutých osôb
  • záznamy o incidentoch (aj o tých malých)

Nie je cieľ mať 200 strán. Cieľ je vedieť preukázať, že riadite riziko.

14. Kedy potrebujete DPO a kedy nie

DPO, zodpovedná osoba, nie je povinná pre každého.

Ale do 2026 si to vyhodnoťte, či:

  • ste orgán verejnej moci (tam je to často jasné)
  • robíte rozsiahle pravidelné monitorovanie osôb
  • spracúvate vo veľkom osobitné kategórie údajov (zdravie, biometria, atď.)
  • jadro vašej činnosti je v spracúvaní, ktoré je rizikové

Ak nemáte DPO, neznamená to, že nemáte zodpovednosť. Len nemáte túto konkrétnu rolu.

Prakticky. Aj malá firma môže mať niekoho, kto je „GDPR owner“. Človek, ktorý drží mapu, dodávateľov, incidenty, žiadosti. Bez toho sa to rozpadne.

Rýchly checklist: čo mať hotové do 2026

Ak chcete rýchly prehľad, tak:

  • aktuálna mapa spracúvania a ROPA, sedí so systémami
  • nastavené právne základy, a LIA tam, kde treba
  • transparentné informácie pre ľudí (web, formuláre, HR)
  • funkčné cookie consent riešenie, ktoré reálne blokuje skripty
  • evidencia súhlasov a odvolaní
  • DPA so spracovateľmi, kontrola subdodávateľov a prenosov mimo EHP
  • primerané bezpečnostné opatrenia (MFA, prístupy, zálohy, školenia)
  • retention a mazanie nastavené v praxi, nie len v dokumente
  • proces na práva dotknutých osôb, šablóny, logovanie
  • incident plán, záznamy, schopnosť reagovať do 72 hodín
  • DPIA, ak robíte rizikové spracúvania
  • pravidlá pre AI nástroje a posielanie dát do nich
  • dokumentácia, ktorá je použiteľná a aktuálna

Záver, taký normálny

GDPR sa dá robiť tak, že vás to otravuje. Alebo tak, že vám to dáva poriadok v dátach, procesoch, bezpečnosti. A potom už to nie je „compliance“, je to zdravý systém.

Rok 2026 berte ako deadline pre upratanie reality. Nie pre tvorbu nových PDF.

Ak neviete, kde začať, začnite mapou spracúvania. Bez nej nevyriešite nič ďalšie. A keď tú mapu máte, zrazu vidíte, čo je kritické, čo je len kozmetika, a čo sa dá spraviť za jedno popoludnie.

A to je presne to, čo chcete. Mať to hotové. Nie len „nejako“.

Často kladené otázky

Čo znamená mať GDPR 'hotové' naozaj a nie len na papieri?

Mať GDPR 'hotové' naozaj znamená, že vaša firma aktívne žije a dodržiava pravidlá GDPR v praxi. Nie je to len o tom, že máte politiku súkromia na webe alebo podpísané dokumenty, ale o skutočnej implementácii procesov, ktoré zabezpečujú správne spracovanie osobných údajov, pravidelné kontroly a transparentnosť voči zákazníkom.

Pre koho je tento praktický zoznam GDPR povinností určený?

Tento zoznam je určený pre majiteľov malých aj väčších firiem s webom, newsletterom, CRM, fakturáciou, e-shopmi, agentúrami spracúvajúcimi dáta klientov, SaaS spoločnosti, HR firmy alebo kohokoľvek, kto spracúva osobné údaje ako napríklad CVčka či databázu zákazníkov. GDPR sa totiž nevzťahuje na počet kontaktov, ale na správne spracovanie údajov.

Čo je mapa spracúvania osobných údajov a prečo je dôležitá?

Mapa spracúvania osobných údajov je detailný záznam o tom, aké osobné údaje spracúvate, na aké účely, na akom právnom základe, komu ich posielate, ako dlho ich uchovávate a kde sú uložené. Táto mapa musí byť presná a zodpovedať realite vašej firmy. Je to základný nástroj pre splnenie požiadaviek GDPR a preukázanie súladu pri kontrolách.

Aké sú najčastejšie chyby pri výbere právnych základov spracovania údajov?

Najčastejšou chybou je používanie súhlasu ako právneho základu pre všetko. Do roku 2026 by ste mali mať jasne rozlíšené právne základy: objednávky a služby na základe zmluvy; faktúry a účtovníctvo na zákonnej povinnosti; bezpečnosť a antifraud často na oprávnenom záujme; newsletter marketing typicky na súhlase alebo soft opt-in; remarketing a reklamné cookies zvyčajne na reálnom udelenom súhlase.

Prečo nebude v roku 2026 stačiť len cookie lišta ako ochrana údajov?

V roku 2026 už nebude stačiť argumentovať tým, že cookie lišta vyriešila všetko. Cookie lišta je iba používateľské rozhranie (UI) – právny základ spracovania údajov musíte zabezpečiť vy ako prevádzkovateľ. To znamená mať správne nastavené právne základy vrátane testov oprávneného záujmu tam, kde ich používate.

Ako zabezpečiť transparentnosť informácií podľa GDPR?

Transparentnosť znamená poskytovať informácie o spracovaní osobných údajov jasne a čitateľne bez zbytočných právnických výrazov. Ľudia aj úrady očakávajú jednoduché vysvetlenie toho, čo robíte s ich údajmi a prečo. Preto by ste mali mať svoje politiky a oznámenia napísané zrozumiteľným jazykom priamo pre svojich zákazníkov.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?