Nakupujete online? GDPR vám dává víc práv, než si myslíte
České e-shopy musí podle GDPR respektovat sedm klíčových práv zákazníků — od přístupu k osobním údajům přes právo na výmaz až po podání stížnosti u Úřadu pro ochranu osobních údajů (ÚOOÚ). Na odpověď mají měsíc a nesmí si za to účtovat poplatek.
Úřad pro ochranu osobních údajů (ÚOOÚ) udělil od roku 2018 do konce roku 2021 celkem 122 pokut za porušení GDPR v celkové výši 10,68 milionu korun. Průměrná pokuta přitom vzrostla z 69 000 Kč na 150 000 Kč v roce 2021. A v roce 2024 přišla rekordní pokuta 351 milionů korun pro společnost Avast za prodej dat o historii prohlížení 100 milionů zařízení. Čísla ukazují jasný trend: úřad pokutuje víc a přísněji.
Přesto Česká obchodní inspekce (ČOI) zjistila závady u 80 % kontrolovaných e-shopů — nejčastěji v obchodních a reklamačních podmínkách. Jeden e-shop dostal pokutu přibližně 8 milionů korun za to, že k potvrzení objednávky přikládal nabídky třetích stran bez souhlasu zákazníka. A to je jen špička ledovce.
Co je GDPR a jak funguje v Česku
GDPR (General Data Protection Regulation) je nařízení Evropské unie 2016/679 platné od 25. května 2018, které chrání osobní údaje občanů. V Česku ho doplňuje zákon č. 110/2019 Sb. o zpracování osobních údajů a dozor vykonává ÚOOÚ.
Představte si GDPR jako „základní listinu práv" pro vaše osobní údaje v digitálním světě. Evropská unie ho přijala v roce 2016 a platit začalo v květnu 2018 — od té doby musí každý e-shop, banka i sociální síť dodržovat jednotná pravidla pro nakládání s vašimi daty.
V Česku GDPR doplňuje adaptační zákon č. 110/2019 Sb. o zpracování osobních údajů. Dozorovým úřadem je ÚOOÚ se sídlem v Praze. Maximální pokuta za porušení? Až 20 milionů EUR (přibližně 500 milionů Kč) nebo 4 % celosvětového ročního obratu firmy — podle toho, co je vyšší. Za méně závažná procesní porušení hrozí až 10 milionů EUR nebo 2 % obratu.
Důležitý detail: když si v e-shopu objednáte zboží, obchod nepotřebuje váš souhlas se zpracováním údajů nutných pro vyřízení objednávky. Zpracovává je na základě plnění smlouvy. Souhlas ale potřebuje pro marketingová sdělení a analytické cookies — a právě tady e-shopy nejčastěji chybují.
Sedm práv, která máte jako zákazník e-shopu
GDPR garantuje zákazníkům e-shopů sedm konkrétních práv: přístup k údajům, opravu, výmaz, omezení zpracování, přenositelnost dat, námitku proti zpracování a podání stížnosti u ÚOOÚ. E-shop musí na žádost odpovědět do jednoho měsíce, bezplatně.
1. Právo na přístup k údajům (čl. 15 GDPR) — Můžete si od e-shopu vyžádat kompletní kopii všech dat, která o vás uchovává. Jméno, adresu, historii objednávek, ale i to, jaké cookies o vás sbírá a komu data předává. E-shop musí odpovědět do měsíce.
2. Právo na opravu (čl. 16) — Změnili jste adresu nebo telefonní číslo? E-shop musí chybné údaje opravit bez zbytečného odkladu.
3. Právo na výmaz — „právo být zapomenut" (čl. 17) — Můžete požádat o smazání svého účtu a všech osobních údajů. Ale pozor: e-shop může odmítnout smazání fakturačních dat, protože zákon o účetnictví vyžaduje archivaci účetních dokladů po dobu 10 let. Marketingová data ale musí smazat okamžitě.
4. Právo na omezení zpracování (čl. 18) — Pokud namítáte přesnost svých dat, e-shop je nesmí dál zpracovávat, dokud spor nevyřeší. Data „zmrazí" — nepoužívá je, ale ani nemaže.
5. Právo na přenositelnost (čl. 20) — Můžete si stáhnout historii nákupů a další data ve strojově čitelném formátu (CSV, JSON) a předat je jinému správci. V praxi je toto právo málo využívané — chybí interoperabilita mezi systémy e-shopů. Na Internet Governance Forum v roce 2019 bylo dokonce označeno za „neproveditelné" v současné podobě.
6. Právo na námitku (čl. 21) — Odmítnete zasílání newsletterů? E-shop musí okamžitě přestat. Žádné „odhlášení do 30 dnů" — námitka platí hned.
7. Právo podat stížnost u ÚOOÚ (čl. 77) — Pokud e-shop nereaguje do jednoho měsíce nebo vaši žádost odmítne bez právního důvodu, můžete podat stížnost na webu uoou.gov.cz. Úřad má pravomoc zahájit kontrolu a uložit pokutu.
| Právo | Článek GDPR | Praktický příklad |
|---|---|---|
| Přístup k údajům | čl. 15 | Zákazník si vyžádá kopii všech dat, která o něm e-shop uchovává |
| Oprava údajů | čl. 16 | Zákazník požádá o opravu chybné adresy nebo telefonního čísla |
| Výmaz (právo být zapomenut) | čl. 17 | Zákazník požádá o smazání účtu — e-shop smaže marketingová data, fakturační ponechá 10 let |
| Omezení zpracování | čl. 18 | Zákazník namítá přesnost dat — e-shop je nesmí zpracovávat do vyřešení |
| Přenositelnost | čl. 20 | Zákazník si stáhne historii nákupů ve strojově čitelném formátu (CSV/JSON) |
| Námitka | čl. 21 | Zákazník odmítne zasílání newsletterů — e-shop musí okamžitě přestat |
| Stížnost u ÚOOÚ | čl. 77 | Zákazník podá stížnost na uoou.gov.cz, pokud e-shop nereaguje do 1 měsíce |
Kde e-shopy nejčastěji chybují
České e-shopy nejčastěji porušují GDPR v oblasti cookies lišt, nevyžádaných obchodních sdělení a netransparentního zpracování dat. ÚOOÚ v roce 2023 udělil pokuty za cookies porušení v celkové výši 4,443 milionu korun.
ÚOOÚ dlouhodobě považuje hodnotící dotazníky e-shopů — ty e-maily „Ohodnoťte svůj nákup", které přicházejí po každé objednávce — za obchodní sdělení ve smyslu zákona č. 480/2004 Sb. o některých službách informační společnosti. Proč? Protože minimálně nepřímo podporují podnikatelskou činnost e-shopu. Proto je úřad zařadil do kontrolního plánu na rok 2026.
Další problém jsou cookies lišty. Znáte to: obrovské tlačítko „Přijmout vše" a malý, šedý odkaz „Nastavení". Tyto takzvané dark patterns manipulují uživatele k souhlasu, který by jinak nedali. ÚOOÚ za cookies porušení v roce 2023 udělil pokuty v celkové výši 4,443 milionu korun.
A pak je tu narušení zabezpečení. Pokud dojde k úniku vašich osobních údajů, e-shop musí incident ohlásit ÚOOÚ do 72 hodin podle článku 33 GDPR. Pokud porušení představuje vysoké riziko pro vaše práva, musí informovat přímo vás. Ne každý e-shop to dělá.
Jak svá práva uplatnit — praktický postup
Pro uplatnění GDPR práv stačí poslat e-shopu písemnou žádost — e-mailem nebo přes kontaktní formulář. E-shop musí odpovědět do jednoho měsíce bezplatně. Pokud nereaguje, podejte stížnost na uoou.gov.cz.
Postup je jednodušší, než byste čekali. Napište e-shopu e-mail nebo použijte kontaktní formulář. Žádost nemusí mít žádnou zvláštní formu — stačí jasně uvést, co požadujete. Například: „Na základě článku 15 GDPR žádám o přístup ke všem osobním údajům, které o mně zpracováváte, a o informaci, komu je předáváte."
- Identifikujte správce údajů — v obchodních podmínkách e-shopu najdete IČO a kontakt na pověřence pro ochranu osobních údajů (DPO), pokud ho má.
- Odešlete písemnou žádost e-mailem nebo přes kontaktní formulář — uveďte konkrétní článek GDPR a co požadujete.
- Vyčkejte na odpověď — e-shop má 30 dnů. Ve složitých případech může lhůtu prodloužit o další 2 měsíce, ale musí vás o tom informovat.
- Pokud e-shop nereaguje nebo žádost neoprávněně odmítne, podejte stížnost u ÚOOÚ na webu uoou.gov.cz.
Důležité: e-shop vám nesmí účtovat poplatek za vyřízení žádosti. Výjimkou jsou zjevně nedůvodné nebo opakované žádosti — tam může účtovat přiměřený poplatek nebo žádost odmítnout.
Vývoj GDPR pokut v ČR
ÚOOÚ pokutuje porušení GDPR čím dál přísněji. Průměrná pokuta vzrostla z 65 000 Kč v roce 2018 na 150 000 Kč v roce 2021. V roce 2024 padla rekordní pokuta 351 milionů korun. Česko je s kumulativními pokutami 305 milionů Kč na 13. místě v EU.
| Rok | Počet pokut | Celková výše | Průměrná pokuta |
|---|---|---|---|
| 2018 | 18 | 1 173 000 Kč | 65 167 Kč |
| 2019 | 33 | 1 435 000 Kč | 43 485 Kč |
| 2020 | 30 | 2 080 000 Kč | 69 333 Kč |
| 2021 | 40 | 5 996 000 Kč | 149 900 Kč |
| 2024 | — | rekordní pokuta 351 mil. Kč (Avast) | — |
Zdroj: ÚOOÚ / DLA Piper GDPR Fines Survey
V celé Evropské unii bylo za rok 2024 uděleno pokut za GDPR v celkové výši 1,2 miliardy EUR — v přepočtu přibližně 30,2 miliardy korun. Česko je s kumulativními pokutami 305 milionů Kč od roku 2018 na 13. místě mezi členskými státy EU.
Trend je jasný: počet pokut i jejich průměrná výše rostou. E-shopy, které GDPR stále berou na lehkou váhu, riskují čím dál víc.
Co přináší rok 2026 — kontroly ÚOOÚ a AI Act
ÚOOÚ v kontrolním plánu na rok 2026 cílí na dlužnické registry, hodnotící dotazníky e-shopů a transparentnost zpracování údajů. Současně v srpnu 2026 vstoupí v účinnost většina ustanovení AI Actu, který společně s GDPR vytvoří nový právní rámec pro AI v e-commerce.
Kontrolní plán ÚOOÚ na rok 2026 zahrnuje tři klíčové oblasti: dlužnické registry (BRKI, NRKI, SOLUS), hodnotící dotazníky e-shopů a celoevropskou koordinovanou kontrolní akci zaměřenou na transparentnost informační povinnosti podle článků 13 a 14 GDPR. Tu koordinuje Evropský sbor pro ochranu osobních údajů (EDPB) napříč celou EU.
Zároveň ÚOOÚ v roce 2026 přiznává sníženou kontrolní kapacitu kvůli novým agendám z dalších datových regulací EU. Paradoxně — právě v roce, kdy přibývají nové povinnosti z AI Actu, má úřad méně kapacit na kontroly těch stávajících.
Většina ustanovení AI Actu (nařízení EU o umělé inteligenci) vstoupí v účinnost v srpnu 2026. Pro e-shopy to znamená nová pravidla pro automatizované rozhodování a profilování zákazníků — například personalizované ceny nebo automatické hodnocení kreditního rizika. GDPR a AI Act společně vytvoří přísnější rámec pro využívání dat v online obchodě.
Zkoušeli jste někdy požádat e-shop o přístup ke svým datům nebo o jejich výmaz? Jak rychle a ochotně reagoval?
Často kladené otázky
Musí e-shop smazat moje data, když o to požádám?
E-shop musí smazat vaše marketingová data a údaje, které nepotřebuje. Fakturační údaje ale může ponechat až 10 let kvůli zákonné povinnosti archivace účetních dokladů podle zákona o účetnictví. Právo na výmaz podle GDPR má tedy své limity.
Může mi e-shop posílat hodnotící dotazníky bez souhlasu?
ÚOOÚ považuje hodnotící dotazníky za obchodní sdělení ve smyslu zákona č. 480/2004 Sb., protože nepřímo podporují podnikatelskou činnost. Bez vašeho výslovného souhlasu je e-shop posílat nesmí — a ÚOOÚ tuto oblast kontroluje v rámci plánu na rok 2026.
Jak poznám, že e-shop porušuje GDPR?
Nejčastější signály: cookies lišta bez možnosti odmítnout, nevyžádané marketingové e-maily, nemožnost smazat účet, nebo chybějící informace o zpracování osobních údajů v obchodních podmínkách. Pokud e-shop nereaguje na vaši žádost do 30 dnů, porušuje GDPR automaticky.
Kolik stojí podání stížnosti u ÚOOÚ?
Podání stížnosti u ÚOOÚ je zcela bezplatné. Stížnost můžete podat elektronicky přes datovou schránku, e-mailem s elektronickým podpisem, nebo poštou. Formulář najdete na webu uoou.gov.cz.
Co je právo na přenositelnost dat a jak ho využít?
Právo na přenositelnost podle článku 20 GDPR znamená, že si můžete od e-shopu vyžádat svá data ve strojově čitelném formátu (CSV, JSON) a přenést je k jinému poskytovateli. V praxi je ale toto právo zatím málo využívané, protože mezi e-shopy chybí technická interoperabilita.
Hrozí mi něco, když e-shop moje data zneužije?
Pokud dojde k narušení zabezpečení vašich osobních údajů, e-shop musí incident ohlásit ÚOOÚ do 72 hodin. Pokud představuje vysoké riziko, musí informovat přímo vás. Máte právo na náhradu škody — a e-shopu hrozí pokuta až 20 milionů EUR nebo 4 % celosvětového obratu.
Komentáře
Sdílejte svůj pohled na toto téma.