Weby obce, škol, školek bez HTTPS: právní riziko a zbytečný průšvih

Michal
|
3.2.2026
Tvorba webových stránek

Kde je napsáno, že musíme mít SSL?

Často to není jedna věta typu „instituce musí mít HTTPS“. Povinnost plyne z toho, že:

  • přes web zpracováváte osobní údaje (už jen jméno + e-mail z formuláře), a tím se na vás vztahuje GDPR,

  • GDPR vyžaduje, abyste osobní údaje zpracovávali způsobem, který zajišťuje odpovídající bezpečnost – tedy mimo jiné důvěrnost a integritu.

Když to řeknu laicky: pokud lidem umožňujete posílat údaje přes web, máte povinnost udělat to tak, aby to nešlo snadno odposlouchávat nebo měnit po cestě.

Co konkrétně porušujete, když web běží bez HTTPS

1) Zásadu „integrity a důvěrnosti“

GDPR říká, že osobní údaje mají být zpracovávány způsobem, který zajišťuje jejich odpovídající bezpečnost – včetně ochrany proti neoprávněnému přístupu a proti ztrátě důvěrnosti.

Web bez HTTPS je problém proto, že komunikace může být:

  • odposlechnutá (např. údaje z formuláře),

  • po cestě změněná (podvržený obsah, vložený škodlivý kód),

  • zneužitá k podvodu (návštěvník dostane jinou verzi stránky, než jste publikovali).

2) Povinnost „přijmout vhodná technická opatření“

GDPR (čl. 32) ukládá správcům a zpracovatelům zavést odpovídající technická a organizační opatření podle rizik. Mezi příklady výslovně řadí i šifrování osobních údajů.

HTTPS je v praxi základní forma šifrování přenosu mezi návštěvníkem a webem. Pokud ho nemáte, těžko obhájíte, že jste u webových formulářů udělali „minimum“.

Co hrozí, když HTTPS nemáte 

1) Bezpečnostní incident a povinnosti „do 72 hodin“

Pokud dojde k úniku nebo zneužití údajů, může jít o „porušení zabezpečení osobních údajů“ (data breach). GDPR pak typicky ukládá:

  • oznámit incident dozorovému úřadu bez zbytečného odkladu a pokud možno do 72 hodin (pokud je pravděpodobné riziko),

  • a v některých případech informovat i dotčené osoby (když je pravděpodobné vysoké riziko).

Tohle je přesně ten scénář, kdy se z „banální technické věci“ stává nepříjemná administrativa, krizová komunikace a reputační problém.

2) Úřad může nařídit nápravu

GDPR dává dozorovému úřadu široké nápravné pravomoci – může udělit napomenutí, nařídit uvedení do souladu, omezit zpracování atd. V ČR navíc platí, že může Úřad v určitých případech upustit od uložení správního trestu, to ale neznamená „máte klid“ – porušení zůstává porušením. Existuje i konkrétní informace od Úřadu pro ochranu osobních údajů, že v praxi může dojít k porušení, ale pokutu nelze uložit kvůli české právní úpravě – jinými slovy: povinnosti zůstávají.

3) Okamžitá ztráta důvěry veřejnosti

Google Chrome a další prohlížeče už roky tlačí na to, aby weby přešly na HTTPS. Nezabezpečené weby (HTTP) jsou označované jako „Not secure / Nezabezpečené“. U instituce je tohle extrémně citlivé: občan nebo rodič se často rozhodne během dvou vteřin. Prostě web neotevře.

Co tím instituce reálně riskuje

  • že data z formulářů budou odposlechnutá nebo zneužitá,

  • že návštěvník uvidí podvržený obsah (a vy o tom ani nebudete vědět),

  • že z toho bude incident s oznamovací povinností a dohledovým šetřením,

  • že dozorový úřad uloží nápravná opatření (a budete to muset řešit „teď hned“),

  • a že lidé ztratí důvěru, protože prohlížeč váš web označí jako nezabezpečený.

Kam dál:

Proč musí mít web HTTPS (SSL) a proč je web bez něj nebezpečný

HTTP místo HTTPS: tři důvody, proč přicházíte o lidi i o Google

uživatelský obsah - vždy jako první článek!!!

Témata

Tvorba webových stránek

Tvorba eshopu

SEO - Google a Seznam

Internetový Marketing

Další informace

Kompletní web a eshop Bez starostí

Zásady ochrany osobních údajů

Spravovat cookies

O nás

© Magazín O webu

© Ostravski - Tvorba webových stránek Ostrava

© Hapra - Tvorba webových stránek Praha

owebu@owebu.cz | +420 608 611 883