Blog

GDPR na webu školy a školky: praktický průvodce pro ředitele

GDPR se ve školách dost často vnímá jako papírování navíc. Přitom většina povinností, které se webu školy přímo dotýkají, se dá shrnout do několika jasných pravidel. Tenhle článek je jejich přehled — co musí být na webu, kdo je odpovědný, a kde se školy nejčastěji sekají.

Autor: Martin Uhlíř, webproskolu.cz Publikováno: 28. 5. 2026 Délka čtení: ~9 minut

Stručně

  • Právní základ: škola zpracovává osobní údaje hlavně na základě zákonné povinnosti, ne souhlasu.
  • DPO: každá škola jako orgán veřejné moci musí mít pověřence — i malá vesnická školka.
  • Web: povinně zveřejnit zásady zpracování OÚ s kontaktem na DPO.
  • Cookies: pokud jen technické, cookie lišta není nutná. Google Analytics = opt-in povinný.
  • Fotky: na propagaci vždy souhlas. Skupinové záběry z akce jsou šedá zóna.
  • Kontroly 2026: ÚOOÚ se letos zaměřuje na informační povinnost — mějte dokumenty aktuální.
Zdroje: Tento průvodce vychází výhradně z veřejných stanovisek ÚOOÚ, MŠMT, edu.gov.cz a primárních zákonů. Nejde o právní poradenství — složitější situace (zvláště u soukromých škol nebo nestandardního zpracování) konzultujte s odborníkem.

Základní logika: souhlas školy skoro nepotřebují

Největší nedorozumění kolem GDPR ve školách: ředitelé si myslí, že musí od rodičů žáků žádat souhlas se zpracováním osobních údajů. MŠMT to formuluje přesně: „zpracování osobních údajů na základě souhlasu je v prostředí škol zcela okrajové."

Pro evidenci žáků, docházku, hodnocení nebo školní matriku má škola zákonný podklad přímo ve školském zákoně č. 561/2004 Sb. Právní základ je přímo v GDPR: buď jako plnění zákonné povinnosti (čl. 6 písm. c), nebo jako plnění úkolu ve veřejném zájmu (čl. 6 písm. e).

Souhlas nastupuje pouze tam, kde zákonný základ chybí: fotografie pro propagaci školy, newsletter pro rodiče, publikace výsledků dítěte v externích galeriích. Tam souhlas musíte mít.

Pověřenec pro ochranu osobních údajů (DPO)

Dle čl. 37 odst. 1 písm. a) GDPR musí každá škola jako orgán veřejné moci jmenovat DPO. Bez výjimky pro velikost — platí to pro velkou základní školu ve městě i pro malotřídní školku na vesnici.

Několik věcí, které se s DPO pojí a jsou v praxi méně jasné:

  • DPO nejmenuje zřizovatel, ale ředitel školy jako správce údajů. Obce a kraje ale mohou centrálně zajistit DPO pro své příspěvkové organizace (čl. 37 odst. 2 GDPR).
  • Jeden DPO může pokrývat více škol současně — sdílený DPO je běžné a zákonné řešení.
  • DPO není odpovědný za dodržování GDPR. Odpovídá vždy škola jako správce — DPO je poradní a monitorovací funkce.
  • DPO nemusí být právník. Potřebuje znalost GDPR, IT bezpečnosti a školské legislativy. Může jít o externistu nebo interního zaměstnance; při výkonu své funkce ale nesmí dostávat pokyny a nesmí být ve střetu zájmů (čl. 38 GDPR).
Soukromé školy: Situace není zcela jednoznačná. Soukromá škola se soukromoprávním zřizovatelem pravděpodobně nesplňuje kritéria orgánu veřejné moci ve smyslu čl. 37 GDPR, pokud jí zákon neukládá rozhodovat o právech fyzických osob. Zákonná povinnost jmenovat DPO pak závisí na splnění ostatních podmínek (rozsáhlé zpracování, zvláštní kategorie údajů). Naprostá většina právních výkladů ale DPO soukromým školám doporučuje. Tato oblast nemá autoritativní stanovisko ÚOOÚ — konzultujte s odborníkem.

Co musí být na webu školy v oblasti GDPR

Dle čl. 13 GDPR musí škola na webu zveřejnit dokument „Zásady zpracování osobních údajů" (nebo „Informace o zpracování OÚ"). Musí obsahovat:

  • účely zpracování a jejich právní základy
  • identifikaci správce (název školy, adresa, IČO)
  • kontakt na DPO — musí být veřejně přístupný (čl. 37 odst. 7 GDPR)
  • kategorie subjektů údajů a příjemce
  • dobu uchování osobních údajů
  • práva subjektů: přístup, oprava, výmaz, omezení, přenositelnost, námitka, právo stěžovat si u ÚOOÚ

Typické umístění: sekce „Ochrana osobních údajů" nebo odkaz v patičce webu na stránku ochrany osobních údajů. Dokument musí odpovídat skutečné praxi školy — nestačí stáhnout vzor a nevyplnit konkrétní agendy zpracování.

Proč je to důležité právě teď

EDPB (Evropský sbor pro ochranu osobních údajů) vyhlásil koordinovanou kontrolní akci pro rok 2026 zaměřenou na informační povinnost dle čl. 12–14 GDPR. ÚOOÚ bude prověřovat, zda správci — včetně škol — transparentně a srozumitelně informují o zpracování osobních údajů. Pokud jsou vaše zásady zpracování zastaralé nebo vágní, je čas je aktualizovat.

Zaměstnanci na webu: co jde bez souhlasu a co ne

Jméno, titul, pracovní e-mail a pracovní telefon zaměstnance smí škola zveřejnit na webu bez jeho souhlasu. Právní základ je oprávněný zájem školy (čl. 6 odst. 1 písm. f) GDPR). Zaměstnanec musí být o zveřejnění informován dle čl. 13 GDPR.

Portrétní fotografie zaměstnance je jiná kategorie — přesahuje rámec oprávněného zájmu a vyžaduje jeho předchozí odvolatelný souhlas. Po odvolání souhlasu musí foto ze stránek školy zmizet.

Kontaktní formulář na webu školy

Formulář zpracovává osobní údaje — jméno, e-mail, obsah zprávy. Web musí v blízkosti formuláře nebo přímo v něm informovat, k čemu se údaje použijí, kdo je správcem a jak dlouho se uchovávají. Odkaz na zásady zpracování OÚ s políčkem pro potvrzení je běžný a funkční způsob.

Z hlediska cookies: samotný formulář žádnou trackingovou cookie nepotřebuje. Pokud web jinak nepoužívá analytiku ani marketing a formulář využívá pouze CSRF token (bezpečnostní technická cookie), cookie lišta není nutná.

Cookies v kostce pro školní web

Od 1. 1. 2022 platí v ČR povinnost „předchozího prokazatelného aktivního souhlasu" pro netechnické cookies — novela zákona č. 127/2005 Sb. (ZEK) č. 374/2021 Sb. Detailněji to rozebíráme v článku Cookies a souhlas na webu školy.

Zkrácené pravidlo pro školní web:

Typ cookies Příklady Souhlas potřeba?
Technické (funkční) Session, CSRF token, přihlášení Ne
Analytické Google Analytics, Matomo (plné) Ano — opt-in
Marketingové Facebook Pixel, Google Ads Ano — opt-in

Web s pouze technickými cookies cookie lištu mít nemusí — ale zásady cookies musí být přístupné, typicky odkazem v patičce na stránku zásad cookies.

Pokud web používá Google Analytics: cookie lišta s opt-in je povinná. Tlačítka „přijmout" a „odmítnout" musí mít stejnou vizuální váhu — zvýraznění jen tlačítka pro přijetí (tmavé vs. šedé) je zakázaný manipulativní vzor. ÚOOÚ za to v roce 2023 uděloval pokuty soukromým subjektům; nejvyšší pravomocná pokuta dosáhla 898 000 Kč.

Fotografie dětí na webu školy

Fotografie na webu školy se řídí nejen GDPR, ale také občanským zákoníkem (§ 84–90 OZ) — ochrana osobnosti a podobizna. Podrobně to rozebíráme v článku Fotografie dětí na webu školy: kdy stačí zákon a kdy potřebujete souhlas.

Zde je přehled toho nejdůležitějšího:

Situace Souhlas potřeba?
Skupinová fotka z výletu (zpravodajský účel, bez jmen) Šedá zóna — zákon výjimku umožňuje, ÚOOÚ souhlas doporučuje
Detail tváře konkrétního dítěte na webu Souhlas zákonného zástupce doporučen
Foto pro propagaci školy Souhlas povinný
Foto na sociálních sítích Souhlas povinný (sítě umožňují profilování)
Foto + jméno žáka ze školní matriky Souhlas povinný

Souhlas se vždy uděluje samostatně pro každý typ použití: web školy, sociální sítě, tištěné materiály — nelze sloučit do jednoho zaškrtávacího políčka. Souhlas zákonného zástupce musí explicitně uvádět dobu platnosti a poučení o právu odvolat ho kdykoliv.

Odvolání souhlasu: ze webu a sociálních sítí foto odstraňte neprodleně. Tištěné materiály (kroniky, letáky) měnit nemusíte, ale nové bez tohoto dítěte tisknout nelze.

Nejčastější chyby školních webů v oblasti GDPR

  • Zásady zpracování chybí nebo jsou kopírované bez přizpůsobení. Vzorový dokument stažený z internetu, ve kterém jsou stále jiné jméno školy a jiné agendy zpracování, nesplňuje informační povinnost.
  • Kontakt na DPO není na webu. Čl. 37 odst. 7 GDPR vyžaduje, aby byl kontakt na DPO zveřejněn — nejčastěji v sekci Ochrana osobních údajů.
  • Google Analytics bez cookie lišty. Přítomnost analytického nástroje bez opt-in mechanismu je porušení ZEK platné od 1. 1. 2022.
  • Fotografie dětí na webu nebo Facebooku bez souhlasu rodičů. Škola to dává do pořádku zpravidla až po stížnosti rodiče.
  • Formulář bez informace o zpracování OÚ. Políčko pro GDPR souhlas nestačí — musí být přístupná informace o tom, co se s údaji děje a jak dlouho se uchovávají.
  • Foto zaměstnanců bez jejich souhlasu. Jméno a pracovní kontakt nepotřebují souhlas, portrét ano.

Co veřejné škole nehrozí — a co hrozí soukromé

Veřejné školy jako orgány veřejné moci a veřejné subjekty nepodléhají pokutám ÚOOÚ (§ 62 odst. 5 zákona č. 110/2019 Sb.) — místo pokut dostávají nápravná opatření s lhůtou k nápravě. To ale neznamená, že se porušení nereší. V roce 2023 ÚOOÚ auditoval i veřejný sektor a vydával nápravné příkazy ministerstvům i krajům.

Soukromá škola jako soukromoprávní subjekt pokutu dostat může. Maximální sazby jsou shodné s ostatními subjekty.

Další průvodci z GDPR clusteru: Podrobný návod na cookies a cookie lištu pro školní web najdete v Cookies a souhlas na webu školy. Pravidla pro fotografie dětí rozebíráme v Fotografie dětí na webu školy: kdy stačí zákon a kdy potřebujete souhlas. Co dalšího zákon od školního webu vyžaduje: Povinné informace školního webu.

Nejste si jisti, co na webu školy chybí?

Uděláme bezplatný audit vašeho webu — zkontrolujeme přístupnost, povinné informace i základní GDPR nastavení. Výsledek dostanete do dvou dnů. Pracujeme Po–Pá 9–19, ozveme se týž den.

Chci bezplatný audit webu

Nebo poptejte web pro základní školu s GDPR dokumentací v ceně.