Ochrana osobních údajů už není volitelnou vrstvou digitálního ekosystému; je to povinná disciplína, která přímo ovlivňuje rozpočty, reputaci instituce i právní udržitelnost. GDPR se vztahuje na každou organizaci usazenou v EU — i na ty, které odjinud poskytují služby obyvatelům EU nebo sledují jejich chování. Univerzity patří mezi nejcitlivější subjekty nařízení: údaje studentů, uchazečů, akademiků, absolventů a návštěvníků se shromažďují a zpracovávají každý den.

Tento článek se zabývá tím, co GDPR od webu konkrétně vyžaduje, jaké strukturální výhody přináší Drupal do procesu zajišťování souladu, jaké klíčové moduly se přitom používají a jaké praktické kroky implementace jsou navrženy speciálně pro univerzitní weby.

Co GDPR od webu skutečně vyžaduje?

GDPR je rozsáhlé nařízení, ale praktické povinnosti, které webu ukládá, se dají shrnout do jasně vymezené sady. Institucionální web musí správně zvládnout přinejmenším těchto sedm oblastí:

  • Transparentnost a informační povinnost: Všude, kde se shromažďují osobní údaje (formuláře, cookies, registrace účtu), musí být návštěvníci jasně informováni o tom, jaké údaje se zpracovávají, proč, na jakém právním základě, jak dlouho a s kým se sdílejí. Toto právo upravují články 12–13.
  • Výslovný souhlas: Nepovinné cookies, marketingová oprávnění a zpracování zvláštních kategorií údajů vyžadují souhlas, který je svobodný, informovaný a prokazatelný. Předem zaškrtnutá políčka nejsou platným souhlasem — to je od rozsudku SDEU ve věci Planet49 vyřešená otázka.
  • Minimalizace údajů: Shromažďovat lze pouze osobní údaje nezbytně nutné pro deklarovaný účel. Sbírat data „pro případ, že se budou hodit" je porušením článku 5.
  • Práva subjektů údajů: Web musí poskytovat technický základ pro žádosti o přístup, opravu, výmaz (právo být zapomenut, článek 17) a přenositelnost (článek 20).
  • Mezinárodní předávání údajů: Předávání osobních údajů mimo EU/EHP vyžaduje platný právní mechanismus — rozhodnutí o odpovídající ochraně, standardní smluvní doložky nebo výslovný souhlas (kapitola V). To je důležitější, než si většina institucí uvědomuje: analytický skript nebo CRM hostované v USA už představují přeshraniční předání.
  • Zabezpečení údajů: Musí být vedeny záznamy o činnostech zpracování (článek 30) a zavedeno šifrování, řízení přístupu, auditní logování a pravidelné bezpečnostní testy (článek 32).
  • Ohlašování porušení zabezpečení: Při zjištění porušení zabezpečení údajů musí být příslušný dozorový úřad vyrozuměn do 72 hodin (článek 33); pokud je riziko pro dotčené osoby vysoké, musí být informovány i ony.

Splnění těchto povinností nikdy není otázkou instalace jediného modulu. Volba CMS, architektura obsahu, správa formulářů, strategie cookies, uživatelská oprávnění i organizační procesy — to vše je součástí celkového obrazu souladu. Právě zde nabízí Drupal přirozené výhody na několika vrstvách současně.

Cena nesouladu: pokuty a rizikový profil univerzit

Náklady na soulad jsou skromné ve srovnání s cenou nedbalosti. GDPR definuje dvě úrovně správních pokut:

ÚroveňZahrnujeMaximální pokuta
Nižší úroveň (čl. 83 odst. 4)Povinnosti zabezpečení, záznamy o zpracování, ohlašování porušení, ochrana údajů již od návrhu10 mil. € nebo 2 % celosvětového ročního obratu, podle toho, která částka je vyšší
Vyšší úroveň (čl. 83 odst. 5)Základní zásady zpracování, právní základ, souhlas, práva subjektů údajů, mezinárodní předávání20 mil. € nebo 4 % celosvětového ročního obratu, podle toho, která částka je vyšší

Veřejné univerzity nejsou výjimkou: evropské dozorové úřady opakovaně pokutovaly vzdělávací instituce za protiprávní zpracování, nedostatečná bezpečnostní opatření a chyby v souhlasech.

Univerzity spadají jednoznačně do vysoce rizikové kategorie kvůli obrovské rozmanitosti údajů, které zpracovávají: údaje uchazečů (čísla dokladů, výsledky zkoušek, lékařské zprávy), studijní záznamy, personální spisy zaměstnanců, historie výpůjček v knihovně, záznamy o vstupech do areálu a kontaktní seznamy absolventů — to vše koexistuje v jediné instituci, přičemž velká část údajů patří nezletilým nebo spadá do zvláštních kategorií, jako jsou údaje o zdravotním stavu. S rostoucí rozmanitostí dat roste i plocha možného úniku — a právě proto nelze soulad nikdy zredukovat na jediný formulář nebo jedinou stránku se zásadami.

Strukturální výhody Drupalu pro soulad s GDPR

Drupal je od svých počátků postaven na zabezpečení, granulárních oprávněních a auditovatelnosti. Tato architektura mění soulad s GDPR z „práce navíc" na přirozenou vlastnost systému. Silné stránky Drupalu na tomto poli:

  • Jemně odstupňovaný systém oprávnění: Který typ obsahu, které pole a které uživatelské údaje smí kdo zobrazit či upravit, se spravuje na základě rolí. Princip „need-to-know" — klíčová součást zabezpečení údajů podle článku 32 — je zabudován přímo v architektuře.
  • Šifrování a bezpečná správa relací: Moderní jádro Drupalu ukládá hesla uživatelů silným jednosměrným hašováním (bcrypt přes nativní PHP password API) a relační tokeny spravuje pomocí bezpečných atributů cookies. Vynucení HTTPS na celém webu je jednoduché.
  • Správa formulářů a obsahu: S modulem Webform lze u každého pole formuláře nakonfigurovat definovaný účel, dobu uchování a doprovodný text souhlasu. Odeslané formuláře se spravují jako samostatná datová entita — hromadné mazání a export jsou k dispozici v základu.
  • Vícejazyčnost v jádru: Informační texty, zásady cookies a texty souhlasů lze spravovat ve více než 100 jazycích. Pro univerzity přijímající zahraniční studenty je tak udržování paralelních právních textů v každém cílovém jazyce prakticky proveditelné.
  • Disciplinovaný bezpečnostní proces: Drupal Security Team zveřejňuje zranitelnosti standardizovaným postupem (bezpečnostní upozornění, PSA, sémantické verzování). Tato disciplína přímo podporuje povinnost „technických a organizačních opatření" podle článku 32.
  • Logování a auditní stopa: Modul Database Logging (dblog) zaznamenává akce uživatelů, pokusy o přihlášení a změny dat — integritu logů, na níž závisí audity i vyšetřování porušení zabezpečení.

Tyto strukturální přednosti nejsou náhoda: právě kvůli nim běží na Drupalu některé z institucí zpracovávajících nejcitlivější data na světě — Bílý dům, NASA, Evropská komise, australská platforma GovCMS a zhruba tři čtvrtiny ze 100 nejlepších univerzit světa.

Moduly Drupalu používané pro soulad s GDPR

Ekosystém Drupalu nabízí vyzrálé moduly podporující soulad s GDPR. Žádný z nich sám o sobě instituci „v souladu" neučiní — ale správná kombinace pokryje většinu technických požadavků.

ModulCo děláTypické použití
EU Cookie ComplianceCookie lišta, správa výslovného souhlasu, oprávnění podle kategorií, evidence souhlasůPovinnost cookies dle ePrivacy/GDPR, nakonfigurovaná v logice opt-in
Klaro Cookie ConsentOdlehčená správa souhlasů se silnou kontrolou skriptů třetích stranAlternativa pro týmy upřednostňující výkon
COOKiESSpráva cookies zaměřená na přístupnost se silnou integrací třetích stranWeby veřejného sektoru a univerzit, kde je klíčový soulad s WCAG
GDPR (sada contrib modulů)Inventář dat, právo na výmaz, žádosti o přístup, export dat, anonymizaceTechnický protějšek práv subjektů údajů; GDPR štítkování polí
WebformSběr dat formuláři, políčka souhlasu, správa odeslaných datIntegrace informačních textů do přihlašovacích, registračních a kontaktních formulářů
Login SecurityZabezpečení přihlašování, ochrana proti útokům hrubou silou, omezení IPTechnické opatření přímo odpovídající povinnosti zabezpečení dle článku 32
Password PolicySilná pravidla hesel, pravidelná obměnaPovinná bezpečnostní vrstva pro účty administrátorů a editorů

Kritický bod při výběru modulů: moduly pro souhlas s cookies dokážou kontrolovat pouze to, co je na ně napojeno. Skripty třetích stran jako Google Analytics, Meta Pixel nebo Hotjar musí být na úrovni kódu odloženy, dokud není souhlas skutečně udělen. EU Cookie Compliance nabízí přesně pro tuto kontrolu JavaScriptovou funkci hasAgreed(); při špatné konfiguraci se lišta sice zobrazí, ale neautorizované cookies se přesto spustí — což dozorové úřady hodnotí jako porušení, nikoli formalitu.

Kroky implementace pro univerzitní weby

Uvedení univerzitního webu na Drupalu do souladu s GDPR je nejlepší naplánovat v sedmi etapách. Tyto kroky pokrývají nejen technickou, ale i administrativní a organizační rovinu.

  • Sestavte inventář dat: Které stránky, které formuláře a které integrace shromažďují jaké osobní údaje? Přihlášky uchazečů, profily akademických pracovníků, členství v knihovně, registrace na akce a odběry newsletteru se evidují jeden po druhém.
  • Připravte informační texty: Identita správce, účel zpracování, právní základ, doba uchování a práva subjektů údajů se uvádějí samostatně u každého místa sběru. Jediná obecná „zásada ochrany osobních údajů" nestačí — text u přihlašovacího formuláře se liší od textu u odběru newsletteru.
  • Nastavte cookies jako opt-in: Vše nad rámec nezbytně nutných cookies (analytika, marketing, sociální sítě) musí zůstat neaktivní, dokud není udělen souhlas. Na straně Drupalu to řeší EU Cookie Compliance, Klaro nebo COOKiES — ale i samotné integrace Google Analytics a Meta Pixelu musí být podmíněny přes hasAgreed() nebo ekvivalent.
  • Přidejte do formulářů políčka výslovného souhlasu: S Webformem dostane každý přihlašovací, registrační i kontaktní formulář vlastní políčko souhlasu. Žádná předem zaškrtnutá políčka; souhlas se zaznamenává prokazatelným způsobem.
  • Zaveďte proces pro práva subjektů údajů: Definuje se jediný kontaktní kanál, například [email protected], žádostní formulář a interní postup vyřizování pro žádosti o přístup, opravu, výmaz a přenositelnost. Sada modulů GDPR pro Drupal tento proces technicky podporuje.
  • Veďte záznamy o činnostech zpracování: Článek 30 ukládá správcům povinnost vést aktuální záznamy o tom, co se zpracovává, proč a s jakými zárukami — revidované alespoň jednou ročně a připravené pro dozorový úřad. Instituce splňující kritéria článku 37 musí navíc jmenovat pověřence pro ochranu osobních údajů.
  • Připravte proces ohlašování porušení zabezpečení: Dozorový úřad musí být vyrozuměn do 72 hodin od zjištění porušení. Dodržení této lhůty vyžaduje předem definované řízení incidentů, kontrolu logů a interní komunikační protokoly — nikoli improvizaci pod tlakem.

Často kladené otázky k souladu s GDPR v Drupalu

Ne. Nejčastější chybou je zobrazit cookie lištu a zároveň už při načtení stránky spouštět Google Analytics a Meta Pixel. Lišta je viditelná, ale neautorizovaný sběr dat už začal — evropské dozorové úřady to výslovně hodnotí jako porušení. Správná implementace odkládá všechny nepovinné cookies a skripty třetích stran na úrovni kódu, dokud uživatel aktivně nesouhlasí — pomocí funkce hasAgreed() modulu EU Cookie Compliance nebo mechanismu blokování skriptů v Klaru.

Jak by měly být podle GDPR spravovány přihlašovací formuláře studentů?

Přihlašovací formuláře jsou nejrizikovějším místem sběru dat na univerzitě, protože pokrývají velmi široké spektrum údajů: čísla dokladů, data narození, zdravotní informace, výsledky zkoušek. Platí tři pravidla. Za prvé: sbírá se pouze to, co přijímací řízení nezbytně vyžaduje — žádná pole „pro jistotu". Za druhé: informační text patří na začátek formuláře a samostatné, nezaškrtnuté políčko souhlasu na jeho konec. Za třetí: předem se definuje, jak dlouho se odeslaná data uchovávají, kdo je smí vidět a jak dlouho se uchovávají zamítnuté přihlášky před smazáním. Webform a sada modulů GDPR pro Drupal poskytují technický protějšek všech tří pravidel.

Jak se řeší soulad s GDPR v multisite instalacích Drupalu?

V multisite architektuře se každý dílčí web technicky chová jako samostatná entita — což přináší výhodu i odpovědnost zároveň. Výhoda: každý fakultní web spravuje vlastní datovou oblast a může uplatňovat vlastní obsahové zásady. Odpovědnost: napříč všemi weby musí platit konzistentní standard souladu. Praktickým přístupem je společný základ souladu — jednotný modul pro souhlas s cookies, centrální bloková struktura pro informační texty, jeden celoinstituční kontaktní kanál — zatímco každý dílčí web konfiguruje pouze detaily specifické pro své vlastní formuláře. Centrální IT tým tak udržuje jednotnou linii souladu napříč celou multisite instalací a fakulty si zachovávají svou obsahovou autonomii.

Poslední aktualizace: 06.07.2026 22:46