Proč auditovat webovou stránku
Webová stránka je pro většinu firem hlavním digitálním kontaktním bodem se zákazníky — a současně místem, kde dochází k rozsáhlému zpracování osobních údajů. Od cookies přes kontaktní formuláře až po analytické nástroje, každá interakce návštěvníka s webem generuje data, která spadají pod ochranu GDPR.
Přesto mnoho firem svůj web z pohledu ochrany osobních údajů nikdy systematicky neauditovalo. Nedostatky na webu jsou přitom snadno odhalitelné — stačí web navštívit, a proto jsou častým cílem kontrol dozorových úřadů i stížností jednotlivců.
Klíčové oblasti GDPR auditu webu
1. Cookies a sledovací technologie
Správné nakládání s cookies je jednou z nejkritičtějších oblastí. Zkontrolujte následující:
- Cookie banner — zobrazuje se před načtením jakýchkoli neesenciálních cookies? Obsahuje jasnou možnost „Odmítnout vše" stejně prominentně jako „Přijmout vše"?
- Technická implementace — jsou neesenciální cookies skutečně blokované do udělení souhlasu, nebo se načítají před interakcí uživatele s bannerem?
- Kategorizace cookies — jsou cookies správně rozděleny na nezbytné, analytické, funkční a marketingové?
- Třetí strany — máte přehled o všech cookies třetích stran (Google Analytics, Facebook Pixel, Hotjar apod.) a smluvní pokrytí?
2. Informační povinnost
Zásady ochrany osobních údajů (privacy policy) musí být:
- Snadno dostupné z každé stránky webu.
- Srozumitelné a transparentní — psané jasným jazykem bez právního žargonu.
- Kompletní — obsahující všechny informace požadované články 13 a 14 GDPR.
- Aktuální — odpovídající skutečnému stavu zpracování osobních údajů na webu.
3. Formuláře a sběr dat
Zkontrolujte všechny formuláře na webu — kontaktní, registrační, objednávkové, newsletterové:
- Sbíráte pouze údaje nezbytné pro daný účel (minimalizace dat)?
- U newsletterů používáte mechanismus double opt-in?
- Jsou souhlasy odděleny od jiných prohlášení (oddělený checkbox pro marketing)?
- Informujete uživatele o zpracování přímo u formuláře?
4. Zabezpečení webu
Technické zabezpečení webu je součástí povinnosti přijmout přiměřená bezpečnostní opatření podle článku 32 GDPR:
- Je web přístupný výhradně přes HTTPS s platným certifikátem?
- Jsou formuláře chráněny proti CSRF a XSS útokům?
- Je CMS a všechny pluginy aktuální?
- Jsou zálohy šifrovány a pravidelně testovány?
5. Služby třetích stran
Zmapujte všechny externí služby integrované na webu a ověřte, zda máte pro každou z nich odpovídající smluvní zajištění — zpracovatelskou smlouvu, standardní smluvní doložky pro přenosy mimo EU a aktualizovanou informaci v privacy policy.
Automatizovaný audit jako efektivní řešení
Ruční kontrola všech výše uvedených bodů je časově náročná a náchylná k chybám. Moderní přístup využívá automatizované nástroje pro GDPR audit webu, které dokáží rychle identifikovat nedostatky v oblasti cookies, sledovacích skriptů, formulářů i zabezpečení. Služba GDPR24 nabízí automatizovaný audit webových stránek, který vám během několika minut poskytne přehled o stavu souladu vašeho webu s GDPR a konkrétní doporučení pro nápravu zjištěných nedostatků.
Pravidelný audit webu by měl být součástí každoročního GDPR compliance programu. Webové technologie se rychle mění a s každou aktualizací nebo přidáním nové funkce mohou vznikat nové body zpracování osobních údajů, které je potřeba ošetřit.
GDPR24 tým
Specialisté na ochranu osobních údajů