Každý prevádzkovateľ webu v EÚ musí dodržiavať pravidlá ochrany osobných údajov. Tento sprievodca vysvetľuje konkrétne povinnosti, dôsledky porušenia a ako ich správne splniť.
Podľa § 109 zákona č. 452/2021 Z.z. nesmú byť analytické, marketingové ani preferenčné cookies nastavené skôr, ako používateľ aktívne potvrdí súhlas. Nestačí len informovať — súhlas musí byť slobodný, konkrétny a jednoznačný. Predvolene zaškrtnuté políčka alebo pokračovanie v prehliadaní NESTAČÍ.
Výnimku tvoria striktne nevyhnutné cookies: session ID, CSRF token, košík e-shopu, prihlásenie. Tieto môžete nastaviť bez súhlasu, ale musíte ich uviesť v zásadách cookies a vysvetliť ich účel.
Čl. 13–14 GDPR vyžaduje transparentné informovanie o každom type cookie: názov, účel, doba uchovávania, poskytovateľ (tretia strana), právny základ spracovania. Dokument musí byť ľahko dostupný (link v pätičke stránky).
Odvolanie súhlasu musí byť rovnako jednoduché ako jeho udelenie. Implementujte prístupný odkaz na zmenu preferencií cookies — napríklad cez plovúcu ikonu alebo link v pätičke.
Google (Francúzsko, CNIL) — 150 mil. €
Tlačidlo "Odmietnuť všetky" bolo ťažšie dostupné ako "Prijať všetky". Porušenie princípu rovnako jednoduchého odmietnutia.
Meta (Írsko, DPC) — 390 mil. €
Neplatný právny základ pre spracovanie (súhlas bol schovany v podmienkach použitia, nie vyjadrený explicitne).
Slovenská republika — ÚOOÚ
Úrad na ochranu osobných údajov SR môže ukladať pokuty, vydávať napomenutia a nariadiť zastavenie spracovania. Kontroly sú čoraz časťejšie.
Prečo audit upozorňuje
Cookie bez Secure môže byť odoslaná aj cez nezabezpečené HTTP spojenie, kde ju útočník môže zachytiť (man-in-the-middle útok).
Ako opraviť
Na serveri nastavte atribút Secure pri každej cookie. Napr. v PHP: setcookie("name", "value", ["secure" => true]); V Node.js/Express: res.cookie("name", "value", { secure: true });
Prečo audit upozorňuje
Session cookies prístupné z JavaScriptu môžu byť odcudzené XSS (Cross-Site Scripting) útokom. Útočník vloží škodlivý skript, ktorý prečíta document.cookie a odošle session ID na vzdialený server.
Ako opraviť
Nastavte HttpOnly na session, autentifikačné a CSRF cookies. Napr. v Express: res.cookie("session", id, { httpOnly: true }); Platobné a autentifikačné cookies by VŽDY mali mať HttpOnly.
Prečo audit upozorňuje
Cookies bez SameSite=Lax/Strict môžu byť odosielané v cross-site požiadavkách, čo umožňuje CSRF (Cross-Site Request Forgery) útoky — útočník prinúti prehliadač odoslať požiadavku s cookies obete.
Ako opraviť
Nastavte SameSite=Lax (dobré pre väčšinu prípadov) alebo Strict (prísnejšie, môže narušiť niektoré flows). SameSite=None vyžaduje zároveň Secure a je vhodné len pre cross-site scenáre (napr. iframe embeds).
Prečo audit upozorňuje
Vysoký počet tretích strán (>5) zvyšuje riziko úniku dát, zhoršuje výkon stránky a komplikuje GDPR compliance (každá tretia strana môže byť spracovateľom, s ktorým treba DPA zmluvu).
Ako opraviť
Auditujte každú tretiu stranu: je naozaj potrebná? Zvážte self-hosting (napr. Google Fonts lokálne), náhradu (napr. Matomo namiesto Google Analytics) alebo úplné odstránenie nepotrebných trackerov.
Každý prevádzkovateľ (okrem firiem s menej ako 250 zamestnancami pri nízkorizikových spracovaniach) musí viesť interný register. Pre cookies to znamená: záznamy o tom, aké cookies používate, za akým účelom, s akým právnym základom, ako dlho a kto k nim má prístup. Súhrnný prehľad cookies z auditu priamo použijete ako podklad pre ROPA.
Každá tretia strana, ktorá spracúva osobné údaje v mene vašej firmy (Google Analytics, Hotjar, Meta Pixel, e-mailové nástroje atď.), je spracovateľom. Musíte s ňou mať uzatvorenú Data Processing Agreement. Väčšina veľkých poskytovateľov ponúka DPA priamo vo svojich podmienkach (Google: admin.google.com/terms/apps/1, Meta: facebook.com/legal/terms/dataprocessing).
Používanie Google Analytics, Meta Pixel alebo iných amerických služieb znamená prenos osobných údajov do USA. Po rozsudku Schrems II (2020) musíte zabezpečiť vhodné záruky — štandardné zmluvné doložky (SCC) alebo využívať len poskytovateľov s adequacy decision (napr. cez EU-US Data Privacy Framework od 2023). Alternatívou je self-hosted riešenie (Matomo, Plausible).
Automatizovaný GDPR audit odhalí konkrétne problémy na vašej stránke — marketingové cookies pred súhlasom, chýbajúce bezpečnostné atribúty a zoznam všetkých tretích strán.
Spustiť audit