Web právně správně: Povinné údaje na webu

Chystáte-li nový web, jsou právní otázky pravděpodobně to poslední, čím byste se chtěli zabývat. Splněním zákonných náležitostí ale předcházíte případné pokutě ze strany úřadů a je dobré tuto část při spuštění webu nepodcenit.

Náležitosti uvedené v článku se týkají webů, na kterých představujete svou firmu či nabízíte služby, a týkají se vás, pokud podnikáte v České republice. Osobní či „hobby“ webové stránky žádné povinné identifikační údaje obsahovat nemusí.

Odmítnutí odpovědnosti: Tento článek není možné brát jako právní poradenství. Byť čerpám ze zdrojů napsaných právníky a níže uvedené informace jsou dle mého nejlepšího vědomí pravdivé, jsem webdesignérka, nikoli právnička. Článek vychází z mých zkušeností a informací z níže uvedených zdrojů. Pro velice podrobný návod napsaný advokátkou doporučuji pětidílný seriál Podnikání na internetu a právo od Marie Chvajové Staňkové, publikovaný na portálu GDPR.cz.

Proč se tím vůbec zabývat aneb co vám hrozí

Stručně řečeno: pokuta.

V praxi se můžete setkat s kontrolou od dvou státních orgánů – Úřadu pro ochranu osobních údajů (ÚOOÚ) a České obchodní inspekce (ČOI). První instituci budou zajímat věci týkající se ochrany osobních údajů (včetně nařízení GDPR), tedy jak nakládáte s osobními údaji, které vám uživatelé poskytnou například tím, že vám pošlou e-mail s poptávkou. „Čojka“ se zaměřuje hlavně na e-shopy a prodejní weby a kontroluje například, zda obsahují obchodní podmínky.

Oba zmíněné orgány uvádějí, že weby prověřují zejména na základě podnětů od uživatelů. Troufám si tedy říct, že pravděpodobnost kontroly malých prezentačních webů nebude příliš vysoká – i přesto bych ale velice doporučovala všechny zákonné náležitosti na webu uvádět. Jak si hned povíme, není to žádná věda.

Co musí obsahovat web, aby byl „právně správně“?

Povinné informace se dělí na několik typů s tím, že čím jsou webové stránky komplexnější, tím více právních informací bude nutné doplnit. Jednostránkový prezentační web není to samé, co velký e-shop s uživatelskými účty a platební bránou. Jiné údaje budou také uvádět OSVČ, malé firmy, nebo třeba velké akciové společnosti.

1. Základní identifikační údaje

Pokud podnikáte a máte web (na kterém představujete své služby), musíte na něm uvádět následující údaje. A to i když je web pouhou vizitkou a nic na něm přímo neprodáváte.

1. Jméno podnikatele nebo název společnosti. Fyzická osoba (OSVČ) uvádí jméno a příjmení, právnická osoba název (obchodní firmu).
2. Sídlo nebo místo podnikání (u fyzické osoby).
3. IČO.
4. Pokud je společnost zapsaná v obchodním rejstříku, pak informace o zápisu (včetně spisové značky). Například „Společnost je zapsána v obchodním rejstříku vedeném u Městského soudu v Praze, oddílu C, vložce 1234”.
5. Pokud jsou společnost či podnikatel zapsáni v jiném veřejném rejstříku (nejčastěji živnostenském), pak informace o tomto zápisu. Například „Podnikatelka je zapsána v živnostenském rejstříku MČ Praha 6”.

DIČ se uvádět nemusí.

Specifické případy – spotřebitelé, akciové společnosti

Pokud jsou vašimi klienty spotřebitelé (fyzické osoby bez IČO, tj. „běžní lidé”), je potřeba uvést informace o subjektu mimosoudního řešení spotřebitelských sporů, a to i když přímo přes web neprodáváte. Nejčastěji se bude jednat o ČOI.

Společnosti s ručením omezením mohou uvádět další údaje (například údaj o základním kapitálu), akciové společnosti pak některé dokumenty z valné hromady. Více informací k těmto (složitějším) případům najdete v článku advokátky Moniky Bakešové.

Nepodnikám… ale nabízím na webu služby

Co když na webu nabízíte služby, přestože nepodnikáte? Může se jednat o příležitostný přivýdělek nebo případy, kdy vyrovnání řešíte přes dohody a smlouvy. V takovém případě doporučuji pro jistotu uvést alespoň jméno, příjmení a místo, kde službu provozujete.

Pohybujete se ale na tenkém ledě, protože podnikatel je ten, kdo nějakou činnost provozuje soustavně za účelem dosažení zisku. Pokud máte web, na kterém inzerujete své služby a vyzýváte potenciální klienty, aby vás kontaktovali, těžko se vám bude dokazovat, že se jedná pouze o nahodilé aktivity.

A co kontaktní informace? E-mail a telefonní číslo?

Na webu musíte uvést způsob, který zákazníkovi umožní kontaktovat vás a efektivně s vámi komunikovat. Může to ale být třeba jen e-mailová adresa. Pokud své telefonní číslo nemáte k dispozici pro uzavírání obchodů, uvádět jej nemusíte.

2. Informace o zpracování osobních údajů (GDPR)

Jakmile na webu vyzýváte návštěvníky, aby vás kontaktovali – například kontaktním formulářem, ale třeba i jen větou „Neváhejte se nám ozvat!“ – dáváte jim možnost poskytnout vám své osobní údaje. To je například e-mailová adresa, ze které vám pošlou poptávku. V tu chvíli musíte na web umístit i informace o tom, jak s těmito osobními údaji naložíte – buď na samostatné stránce, v  dokumentu ke stažení, nebo jako součást obchodních podmínek, pokud je na webu uvádíte (viz níže).

Zásady zpracování osobních údajů

Tento dokument se nejčastěji nachází na samostatné stránce nebo v PDF souboru umístěném na webu. Musí obsahovat následující:

1. Kdo je správcem osobních údajů. Většinou to bude společnost či podnikatel, který web provozuje. Je nutné uvést i kontaktní informace.
2. Jaké osobní údaje budou získávány. Nejčastěji se bude jednat o jméno, příjmení, e-mailovou adresu, telefon atd.
3. Proč osobní údaje potřebujete a odkaz na zákon, který zpracování povoluje. Typicky proto, abyste mohli klientovi poskytnout poptávané služby. Zpracování dat vám povoluje nařízení GDPR.
4. Jak dlouho budou osobní údaje uloženy. Například „maximálně po dobu 3 měsíců“, „po dobu poskytování služeb, nejdéle 10 let od posledního poskytnutí služby“.
5. Ke komu se údaje dostanou a zda se dostanou mimo EU. To se může týkat například externího fakturačního systému, služby pro rozesílání newsletterů nebo cloudového úložiště.
6. Jaká má uživatel práva a kde si může stěžovat. Práva upravuje nařízení GDPR, stížnosti se podávají u již zmíněného Úřadu na ochranu osobních údajů.

Checkboxy u kontaktních formulářů

U kontaktních formulářů bývá často políčko, které je potřeba zaškrtnout, aby bylo zprávu možné odeslat. Zaškrtnutím uživatel potvrzuje, že si informace o zpracování osobních údajů přečetl a souhlasí s nimi. Příslušný popisek může znít například takto: „Odesláním tohoto formuláře potvrzujete, že jste se seznámil/a s informacemi o zpracování osobních údajů.”

Je checkbox u základního kontaktního formuláře nutný? Za mě ne – vycházím z článku, který napsali UX designér a právnička (a z kontaktních formulářů na jejich vlastních webech). Pokud ale chcete mít stoprocentní jistotu, dejte ho tam.

Souhlas s dalším zpracováním osobních údajů

Pozor! Pokud chcete získané osobní údaje využít k marketingovým účelům (například je přidat do seznamu zájemců o newsletter, předat je agentuře, která pro vás připravuje marketingovou strategii atd.), je potřeba od uživatele získat navíc ještě výslovný souhlas s touto konkrétní aktivitou.

3. Souhlas se zpracováním souborů cookies

Cookies jsou malé textové soubory, které se při návštěvě webu ukládají do vašeho prohlížeče. Obsahují informace o vaší návštěvě na dané stránce – například o tom, jaký preferujete jazyk, případně o dalších uživatelských předvolbách. Existují tři základní varianty cookies: funkční, analytické a marketingové.

• Funkční (technické) cookies slouží ke správnému zobrazení webu. Mohou zahrnovat i bezpečnostní cookies, který web pomáhají chránit před napadením.
• Analytické cookies vám umožňují analyzovat návštěvnost webu. Využívají je nástroje typu Google Analytics nebo Hotjar, které sledují aktivitu na vašich stránkách.
• Marketingové cookies vám umožňují nabízet návštěvníkovi webu relevantní reklamu, případně zjišťují, za jakých podmínek se z něj stane platící zákazník. Pozor, marketingové cookies ukládají i vložené mapy (Google Maps) nebo externí videa (YouTube).

V případě, že na webu používáte pouze funkční cookies, stačí o tom uživatele jen informovat, nemusíte získávat jeho souhlas. Použít můžete například následující formulaci:

„Tento web používá pouze funkční soubory cookies (nutné k jeho správnému zobrazení).”

Analytické a marketingové cookies můžete ukládat jen se souhlasem uživatele. Proto na vás na webech (zejména těch v Evropské unii, kde platí nařízení GDPR) vyskakují cookies lišty. Pokud tedy sledujete návštěvnost webu nebo zobrazujete reklamy, budete potřebovat i souhlas se zpracováním souborů cookies. Máte-li na webu obchodní podmínky (viz níže), může být souhlas se zpracováním cookies jejich součástí.

Na webu se musí vyskytovat seznam cookies a jejich rozdělení podle typu. Většina pluginů pro cookie lišty toto umí zobrazit automaticky. Musíte také dát uživateli možnost cookies jednoduše odmítnout – a to hned na první úrovni cookie lišty.

4. Obchodní podmínky

Pokud máte na webu prodejní formulář nebo přímo e-shop, dáváte návštěvníkům možnost uzavřít s vámi nákupem smlouvu. Proto potřebujete na webu uvádět i obchodní podmínky, aby si je zákazník mohl před nákupem přečíst. Přikládejte je také v PDF k e-mailu potvrzujícímu objednávku.

Obchodní podmínky musí ze zákona obsahovat řadu informací, zvlášť pokud jsou vašimi zákazníky spotřebitelé („běžní lidé”, nikoli firmy). V rámci povinných informací pro spotřebitele musíte například uvádět možnost odstoupení od smlouvy, informaci o mimosoudním řešení sporů, cenu zboží včetně dodatečných nákladů (poštovné, balné atd.) nebo platební a dodací podmínky. Tento výčet rozhodně není vyčerpávající a velice doporučuji nechat si v tomto případě připravit obchodní podmínky na míru.

Mnoho návštěvníků pravděpodobně souhlas s obchodními podmínkami při nákupu jen bez čtení odklikne (známe to všichni…). Ve chvíli, kdy se však dostanete do jakékoli rozepře, rychle se k nim vrátí – a v té chvíli bude záležet na každé formulaci.

5. Reklamační řád

Reklamační řád může být k dispozici v samostatném dokumentu nebo jako součást obchodních podmínek. Uvádět ho potřebujete ve chvíli, kdy na webu něco prodáváte (typicky máte e-shop). Měl by obsahovat potřebné informace k reklamování vámi nabízeného zboží či služby podle podmínek stanovených v zákoně, a opět se jedná o dokument, který byste měli minimálně zkonzultovat s odborníkem.

6. Popisky a informace

U některých typů obsahu na webu je nutné splnit specifické podmínky. Týká se to zejména e-shopů, ale povinnost se může vztahovat i na prezentační weby.

AI – chatboty a obsah generovaný AI

AI Act, evropský zákon o AI, dělí AI systémy do čtyř kategorií podle rizika. Většina chatbotů na webech (například zákaznická podpora, informační a vzdělávací asistenti…) spadá do kategorie Omezeně rizikové systémy. Různé požadavky a nařízení se však vztahují hlavně na poskytovatele AI modelu – pokud si nainstalujete chatbot na web, jste jeho provozovatelé (a návštěvníci vašeho webu jsou uživatelé). Jen tedy zkontrolujte, že váš chatbot návštěvníka jasně informuje, že komunikuje se systémem umělé inteligence, nikoli s živým člověkem.

Od srpna 2026 budou mít poskytovatelé AI modelů povinnost označit generovaný foto, video a audio obsah jako umělý. Půjde ale o okem neviditelné označení, čitelné pouze pro stroje. Uživatelé ponesou zodpovědnost za viditelné označení umělého obsahu ve chvíli, kdy se jedná o tzv. „deepfake”, tedy vizuální či audio obsah (fotografie, videa, zvukové nahrávky…), jehož cílem je působit opravdově.

Texty musí být označené jako generované AI pouze tehdy, týkají-li se oblasti veřejného zájmu, neprošly žádnou redakční úpravou a není pod nimi podepsaná fyzická nebo právnická osoba. Textů na firemních a podnikatelských webech se to tedy z 99 % netýká.

Zkontrolujte také, zda váš web neběží na platformě, která by vyžadovala označování AI obsahu v obchodních podmínkách. Pak jej označit musíte na základě smluvního vztahu s danou platformou (má to tak například řada sociálních sítí).

Prodejní weby a e-shopy

Produkty a služby musí být správně označené a popsané. Z tlačítka potvrzujícího objednávku musí být jasné, že zákazníkovi vzniká povinnost k platbě – častá textace je například „Koupit”, „Zaplatit”, „Objednat s povinností platby”. A pokud je na produkt sleva, je nutné uvádět i nejnižší cenu za posledních 30 dní před slevou.

Od roku 2024 také platí povinnost uvádět, zda a jak jsou ověřovány spotřebitelské recenze. Není nutné recenze ověřovat, musíte však uvést, jestli to děláte (a jakým způsobem).

Shrnutí: Co musí obsahovat webové stránky

Pokud si to tedy shrneme, dokumenty, které budete potřebovat, určuje rozsah a funkce vašeho webu.

1. Prezentační web s kontaktními údaji

• Základní identifikační údaje
• Informace o zpracování osobních údajů (GDPR)
• Označení specifického obsahu generovaného AI (deepfakes)
• Informace o ne/ověřování spotřebitelských recenzí

2. Prezentační web, kde sledujete návštěvnost

• Základní identifikační údaje
• Informace o zpracování osobních údajů (GDPR)
• Označení specifického obsahu generovaného AI (deepfakes)
• Informace o ne/ověřování spotřebitelských recenzí
• Souhlas se zpracováním souborů cookies

2. Prodejní web či e-shop

• Základní identifikační údaje
• Informace o zpracování osobních údajů (GDPR)
• Označení specifického obsahu generovaného AI (deepfakes)
• Informace o ne/ověřování spotřebitelských recenzí
• Souhlas se zpracováním souborů cookies
• Obchodní podmínky
• Reklamační řád
• Správné popisy produktů/služeb, zejména, pokud jsou vašimi zákazníky spotřebitelé

Kde získat právní dokumenty k webu

Už tedy víte, co všechno budete pro svůj web potřebovat, aby splňoval příslušné právní náležitosti. Jenže kde všechny ty dokumenty sehnat? Existuje několik možností.

1. Necháte si dokumenty zpracovat od právníka

Z hlediska kvality je toto nejlepší cesta a doporučuji ji všema deseti, zvlášť v případě obchodních podmínek. Je však také samozřejmě nejdražší. Například obchodní podmínky mohou, v závislosti na složitosti případu, stát 5 000–30 000 Kč.

Sama jsem tento krok udělala také a nechala si zpracovat právní dokumenty od advokátní kanceláře (Právo na volné noze).

2. Koupíte si vzor připravený advokátní kanceláří působící v ČR a sami si ho upravíte

Taková zlatá střední cesta, která vás vyjde na 200–1 000 Kč, podle toho, kolik dokumentů budete potřebovat. Populární je například portál Legito, kde si můžete upravený dokument nechat i zkontrolovat. Toto je dobrá varianta pro dočasné řešení, než budete mít k dispozici dokumenty na míru.

3. Použijete volně stažitelný vzor nebo si dokumenty napíšete sami

Občas je rozpočet omezený a rozhodnete se vytvořit si dokumenty sami. Inspirovat se můžete existujícími texty, ideálně na webech advokátů, kde je vysoká pravděpodobnost, že budou právně správně.

Pokud máte web postavený na WordPressu, řada pluginů nabízí generování souhlasu s cookies i  souhlasu se zpracováním osobních údajů automaticky a v některých případech je dokonce i udržuje aktuální.

Vždy se při psaní textů pouze inspirujte, nikdy nekopírujte. Nebuďte jako nejmenovaná firma, kterou zažalovala konkurenční společnost za okopírování obchodních podmínek. Daná firma se jimi totiž inspirovala tak hluboce, že v nich dokonce nechala jméno, sídlo a další údaje původního podnikatele…

Kam s tím?

Předpisy neuvádí konkrétní místo, kde uvádět všechny výše zmíněné údaje. Jen by měly být jednoduše dostupné. V praxi se odkazy na ně dávají nejčastěji do patičky webu, případně na stránku s kontakty. Za sebe doporučuji patičku – stalo se mi, že někdo „nemohl na webu najít podmínky”, protože je po letmém pohledu na patičku přestal být ochoten hledat kdekoli jinde.

Rychlé řešení pro malé prezentační weby

Zatím jsem se nesetkala s klientem, který by měl při tvorbě webu všechny výše uvedené dokumenty připravené (s výjimkou advokátní kanceláře, samozřejmě). Obecně je ale – z mé zkušenosti – řešení právních náležitostí webu něco, co většina podnikatelů odkládá. Aby nás tedy absence těchto dokumentů při spuštění webu nebrzdila, připravuji u jednoduchých prezentačních (a neprodejních) webů dočasnou stránku nazvanou „Cookies a GDPR” s následujícím textem:

Pokrývají tyto dvě věty veškeré právní náležitosti webu? V žádném případě. Ale do doby, než se vám podaří potřebné dokumenty dodat, poslouží přinejmenším jako ukázka dobré vůle.