Nakupujete online? GDPR vám dává víc práv, než si myslíte
České e-shopy musí podle GDPR respektovat sedm klíčových práv zákazníků — od přístupu k osobním údajům přes právo na výmaz až po podání stížnosti u Úřadu pro ochranu osobních údajů (ÚOOÚ). Na odpověď mají měsíc a nesmí si za to účtovat poplatek.
Aktualizováno 21. dubna 2026 — doplněna data z výroční zprávy ÚOOÚ za rok 2025, informace o chystaném zákoně o digitální ekonomice a doporučení EDPB k povinné registraci v e-shopech.
Rok 2025 přinesl rekord: ÚOOÚ obdržel 3 854 podnětů a stížností — nárůst o 68 % oproti roku 2024 a nejvyšší číslo od účinnosti GDPR. Úřad pravomocně uložil 7 pokut v celkové výši 14,67 milionu korun. A v roce 2024 přišla historická pokuta 351 milionů korun pro společnost Avast za prodej dat o historii prohlížení 100 milionů zařízení. Čísla ukazují jasný trend: Češi si stěžují víc a úřad pokutuje přísněji.
Přesto Česká obchodní inspekce (ČOI) zjistila závady u 80 % kontrolovaných e-shopů — nejčastěji v obchodních a reklamačních podmínkách. Jeden e-shop dostal pokutu přibližně 8 milionů korun za to, že k potvrzení objednávky přikládal nabídky třetích stran bez souhlasu zákazníka. A to je jen špička ledovce.
Co je GDPR a jak funguje v Česku
GDPR (General Data Protection Regulation) je nařízení Evropské unie 2016/679 platné od 25. května 2018, které chrání osobní údaje občanů. V Česku ho doplňuje zákon č. 110/2019 Sb. o zpracování osobních údajů a dozor vykonává ÚOOÚ.
Představte si GDPR jako „základní listinu práv" pro vaše osobní údaje v digitálním světě. Evropská unie ho přijala v roce 2016 a platit začalo v květnu 2018 — od té doby musí každý e-shop, banka i sociální síť dodržovat jednotná pravidla pro nakládání s vašimi daty.
V Česku GDPR doplňuje adaptační zákon č. 110/2019 Sb. o zpracování osobních údajů. Dozorovým úřadem je ÚOOÚ se sídlem v Praze. Maximální pokuta za porušení? Až 20 milionů EUR (přibližně 500 milionů Kč) nebo 4 % celosvětového ročního obratu firmy — podle toho, co je vyšší. Za méně závažná procesní porušení hrozí až 10 milionů EUR nebo 2 % obratu.
Důležitý detail: když si v e-shopu objednáte zboží, obchod nepotřebuje váš souhlas se zpracováním údajů nutných pro vyřízení objednávky. Zpracovává je na základě plnění smlouvy. Souhlas ale potřebuje pro marketingová sdělení a analytické cookies — a právě tady e-shopy nejčastěji chybují.
V listopadu 2025 navíc EU přijala nařízení 2025/2518, které zpřesňuje pravidla přeshraničního vymáhání GDPR. Pro jednoduché případy zavádí lhůtu 12 měsíců, pro složitější 15 měsíců. Cíl: stížnosti na zahraniční e-shopy se budou řešit rychleji a jednotněji napříč celou EU.
Sedm práv, která máte jako zákazník e-shopu
GDPR garantuje zákazníkům e-shopů sedm konkrétních práv: přístup k údajům, opravu, výmaz, omezení zpracování, přenositelnost dat, námitku proti zpracování a podání stížnosti u ÚOOÚ. E-shop musí na žádost odpovědět do jednoho měsíce, bezplatně.
1. Právo na přístup k údajům (čl. 15 GDPR) — Můžete si od e-shopu vyžádat kompletní kopii všech dat, která o vás uchovává. Jméno, adresu, historii objednávek, ale i to, jaké cookies o vás sbírá a komu data předává. E-shop musí odpovědět do měsíce.
2. Právo na opravu (čl. 16) — Změnili jste adresu nebo telefonní číslo? E-shop musí chybné údaje opravit bez zbytečného odkladu.
3. Právo na výmaz — „právo být zapomenut" (čl. 17) — Můžete požádat o smazání svého účtu a všech osobních údajů. Ale pozor: e-shop může odmítnout smazání fakturačních dat, protože zákon o účetnictví vyžaduje archivaci účetních dokladů po dobu 10 let. Marketingová data ale musí smazat okamžitě.
4. Právo na omezení zpracování (čl. 18) — Pokud namítáte přesnost svých dat, e-shop je nesmí dál zpracovávat, dokud spor nevyřeší. Data „zmrazí" — nepoužívá je, ale ani nemaže.
5. Právo na přenositelnost (čl. 20) — Můžete si stáhnout historii nákupů a další data ve strojově čitelném formátu (CSV, JSON) a předat je jinému správci. V praxi je toto právo málo využívané — chybí interoperabilita mezi systémy e-shopů.
6. Právo na námitku (čl. 21) — Odmítnete zasílání newsletterů? E-shop musí okamžitě přestat. Žádné „odhlášení do 30 dnů" — námitka platí hned.
7. Právo podat stížnost u ÚOOÚ (čl. 77) — Pokud e-shop nereaguje do jednoho měsíce nebo vaši žádost odmítne bez právního důvodu, můžete podat stížnost na webu uoou.gov.cz. Úřad má pravomoc zahájit kontrolu a uložit pokutu.
| Právo | Článek GDPR | Praktický příklad |
|---|---|---|
| Přístup k údajům | čl. 15 | Zákazník si vyžádá kopii všech dat, která o něm e-shop uchovává |
| Oprava údajů | čl. 16 | Zákazník požádá o opravu chybné adresy nebo telefonního čísla |
| Výmaz (právo být zapomenut) | čl. 17 | Zákazník požádá o smazání účtu — e-shop smaže marketingová data, fakturační ponechá 10 let |
| Omezení zpracování | čl. 18 | Zákazník namítá přesnost dat — e-shop je nesmí zpracovávat do vyřešení |
| Přenositelnost | čl. 20 | Zákazník si stáhne historii nákupů ve strojově čitelném formátu (CSV/JSON) |
| Námitka | čl. 21 | Zákazník odmítne zasílání newsletterů — e-shop musí okamžitě přestat |
| Stížnost u ÚOOÚ | čl. 77 | Zákazník podá stížnost na uoou.gov.cz, pokud e-shop nereaguje do 1 měsíce |
Novinka 2025: musí vás e-shop nutit k registraci?
Evropský sbor pro ochranu osobních údajů (EDPB) v prosinci 2025 přijal Doporučení 2/2025, podle kterých by e-shopy měly umožnit nákup bez registrace. Povinné vytvoření účtu je ospravedlnitelné jen ve výjimečných případech, například u předplatného.
Znáte to: chcete si koupit jednu věc a e-shop vás nutí založit účet. Zadáte jméno, heslo, potvrdíte e-mail — a obchod má další datový záznam, který bude zpracovávat roky. EDPB v Doporučení 2/2025 říká jasně: u jednorázového nákupu má e-shop sbírat jen data potřebná k vyřízení objednávky, aniž by vyžadoval registraci.
V praxi to znamená, že e-shopy by měly nabídnout možnost „nákupu bez registrace" (guest checkout). Povinný účet je podle EDPB ospravedlnitelný jen tam, kde to povaha služby vyžaduje — třeba u předplatného nebo exkluzivních nabídek vázaných na členství. Doporučení zatím není právně závazné, ale dozorové úřady včetně ÚOOÚ se jím budou řídit při posuzování stížností.
Kde e-shopy nejčastěji chybují
České e-shopy nejčastěji porušují GDPR v oblasti cookies lišt, nevyžádaných obchodních sdělení a netransparentního zpracování dat. ÚOOÚ v roce 2023 udělil pokuty za cookies porušení v celkové výši 4,443 milionu korun.
ÚOOÚ dlouhodobě považuje hodnotící dotazníky e-shopů — ty e-maily „Ohodnoťte svůj nákup", které přicházejí po každé objednávce — za obchodní sdělení ve smyslu zákona č. 480/2004 Sb. o některých službách informační společnosti. Proč? Protože minimálně nepřímo podporují podnikatelskou činnost e-shopu. Proto je úřad zařadil do kontrolního plánu na rok 2026.
Další problém jsou cookies lišty. Znáte to: obrovské tlačítko „Přijmout vše" a malý, šedý odkaz „Nastavení". Tyto takzvané dark patterns manipulují uživatele k souhlasu, který by jinak nedali. ÚOOÚ za cookies porušení v roce 2023 udělil pokuty v celkové výši 4,443 milionu korun. A trend pokračuje — v roce 2025 úřad obdržel rekordních 3 854 stížností, z nichž značná část mířila právě na nevyžádaná obchodní sdělení.
A pak je tu narušení zabezpečení. Pokud dojde k úniku vašich osobních údajů, e-shop musí incident ohlásit ÚOOÚ do 72 hodin podle článku 33 GDPR. Pokud porušení představuje vysoké riziko pro vaše práva, musí informovat přímo vás. V roce 2025 ÚOOÚ obdržel 392 takových oznámení — opět nejvíce od účinnosti GDPR (v roce 2024 jich bylo 336). Ne každý e-shop oznamovací povinnost plní.
Jak svá práva uplatnit — praktický postup
Pro uplatnění GDPR práv stačí poslat e-shopu písemnou žádost — e-mailem nebo přes kontaktní formulář. Žádost nemusí mít zvláštní formu, stačí uvést konkrétní článek GDPR a co požadujete. E-shop musí odpovědět do jednoho měsíce bezplatně. Pokud nereaguje, podejte stížnost u ÚOOÚ na webu uoou.gov.cz.
Postup je jednodušší, než byste čekali. Napište e-shopu e-mail nebo použijte kontaktní formulář. Žádost nemusí mít žádnou zvláštní formu — stačí jasně uvést, co požadujete. Například: „Na základě článku 15 GDPR žádám o přístup ke všem osobním údajům, které o mně zpracováváte, a o informaci, komu je předáváte."
- Identifikujte správce údajů — v obchodních podmínkách e-shopu najdete IČO a kontakt na pověřence pro ochranu osobních údajů (DPO), pokud ho má.
- Odešlete písemnou žádost e-mailem nebo přes kontaktní formulář — uveďte konkrétní článek GDPR a co požadujete.
- Vyčkejte na odpověď — e-shop má 30 dnů. Ve složitých případech může lhůtu prodloužit o další 2 měsíce, ale musí vás o tom informovat.
- Pokud e-shop nereaguje nebo žádost neoprávněně odmítne, podejte stížnost u ÚOOÚ na webu uoou.gov.cz.
Důležité: e-shop vám nesmí účtovat poplatek za vyřízení žádosti. Výjimkou jsou zjevně nedůvodné nebo opakované žádosti — tam může účtovat přiměřený poplatek nebo žádost odmítnout.
Vývoj GDPR pokut v ČR
ÚOOÚ pokutuje porušení GDPR čím dál přísněji. V roce 2025 pravomocně uložil 7 pokut v celkové výši 14,67 milionu korun. V roce 2024 padla rekordní pokuta 351 milionů korun pro Avast. Kumulativní pokuty celosvětově přesáhly 7,1 miliardy EUR.
| Rok | Počet pokut | Celková výše | Průměrná pokuta |
|---|---|---|---|
| 2018 | 18 | 1 173 000 Kč | 65 167 Kč |
| 2019 | 33 | 1 435 000 Kč | 43 485 Kč |
| 2020 | 30 | 2 080 000 Kč | 69 333 Kč |
| 2021 | 40 | 5 996 000 Kč | 149 900 Kč |
| 2024 | — | rekordní pokuta 351 mil. Kč (Avast) | — |
| 2025 | 7 | 14 671 000 Kč | 2 096 000 Kč |
Zdroj: ÚOOÚ výroční zprávy / DLA Piper GDPR Fines Survey
V celé Evropské unii kumulativní GDPR pokuty od roku 2018 přesáhly 7,1 miliardy EUR (přibližně 178 miliard Kč) podle průzkumu DLA Piper z ledna 2026. Za samotný rok 2025 bylo celosvětově uděleno pokut za přibližně 1,2 miliardy EUR. Více než 60 % celkové sumy připadá na období od ledna 2023.
V Česku je trend odlišný: počet pokut kolísá, ale jejich výše roste. Průměrná pokuta ÚOOÚ v roce 2025 dosáhla přes 2 miliony korun — třináctkrát víc než průměr v roce 2018. A rekordní pokuta 351 milionů korun pro Avast z roku 2024 ukazuje, že úřad je připraven sahat i po maximálních sankcích.
Co přináší rok 2026 — nový zákon, kontroly ÚOOÚ a AI Act
V roce 2026 nahradí zákon č. 480/2004 Sb. nový zákon o digitální ekonomice se zpřísněnými pravidly pro marketing. ÚOOÚ cílí na hodnotící dotazníky e-shopů a transparentnost. V srpnu 2026 vstoupí v účinnost většina ustanovení AI Actu.
Největší změna pro e-shopy: zákon o digitální ekonomice nahradí stávající zákon č. 480/2004 Sb. o některých službách informační společnosti. Nová úprava zavádí dvouletý limit — pokud e-shop zákazníkovi neposlal obchodní sdělení déle než dva roky od posledního kontaktu, nemůže mu ho poslat znovu bez nového souhlasu. Sankce za spam se zvyšují až na 20 milionů EUR nebo 4 % celosvětového obratu. Poslanecká sněmovna návrh projednává od března 2026.
Kontrolní plán ÚOOÚ na rok 2026 zahrnuje tři klíčové oblasti: dlužnické registry (BRKI, NRKI, SOLUS), hodnotící dotazníky e-shopů a celoevropskou koordinovanou kontrolní akci zaměřenou na transparentnost informační povinnosti podle článků 13 a 14 GDPR. Tu koordinuje Evropský sbor pro ochranu osobních údajů (EDPB) napříč celou EU.
Zároveň ÚOOÚ v roce 2026 přiznává sníženou kontrolní kapacitu kvůli novým agendám z dalších datových regulací EU. Paradoxně — právě v roce, kdy přibývají nové povinnosti z AI Actu, má úřad méně kapacit na kontroly těch stávajících.
Většina ustanovení AI Actu (nařízení EU o umělé inteligenci) vstoupí v účinnost 2. srpna 2026. Pro e-shopy to znamená nová pravidla pro automatizované rozhodování a profilování zákazníků — například personalizované ceny nebo automatické hodnocení kreditního rizika. GDPR a AI Act společně vytvoří přísnější rámec pro využívání dat v online obchodě.
Zkoušeli jste někdy požádat e-shop o přístup ke svým datům nebo o jejich výmaz? Jak rychle a ochotně reagoval?
Často kladené otázky
Musí e-shop smazat moje data, když o to požádám?
E-shop musí smazat vaše marketingová data a údaje, které nepotřebuje. Fakturační údaje ale může ponechat až 10 let kvůli zákonné povinnosti archivace účetních dokladů podle zákona o účetnictví. Právo na výmaz osobních údajů podle GDPR má tedy své limity.
Může mi e-shop posílat hodnotící dotazníky bez souhlasu?
ÚOOÚ považuje hodnotící dotazníky za obchodní sdělení ve smyslu zákona č. 480/2004 Sb., protože nepřímo podporují podnikatelskou činnost. Bez vašeho výslovného souhlasu je e-shop posílat nesmí — a ÚOOÚ tuto oblast kontroluje v rámci plánu na rok 2026.
Jak poznám, že e-shop porušuje GDPR?
Nejčastější signály: cookies lišta bez možnosti odmítnout, nevyžádané marketingové e-maily, nemožnost smazat účet, nebo chybějící informace o zpracování osobních údajů v obchodních podmínkách. Pokud e-shop nereaguje na vaši žádost do 30 dnů, porušuje GDPR automaticky.
Kolik stojí podání stížnosti u ÚOOÚ?
Podání stížnosti u ÚOOÚ je zcela bezplatné. Stížnost můžete podat elektronicky přes datovou schránku, e-mailem s elektronickým podpisem, nebo poštou. Formulář najdete na webu uoou.gov.cz.
Musí mě e-shop nechat nakoupit bez registrace?
EDPB v Doporučení 2/2025 z prosince 2025 říká, že e-shopy by měly umožnit nákup bez vytvoření účtu (guest checkout). Povinná registrace je ospravedlnitelná jen výjimečně, například u předplatného. Doporučení zatím není právně závazné, ale ÚOOÚ se jím bude řídit při posuzování stížností na ochranu osobních údajů.
Co je právo na přenositelnost dat a jak ho využít?
Právo na přenositelnost podle článku 20 GDPR znamená, že si můžete od e-shopu vyžádat svá data ve strojově čitelném formátu (CSV, JSON) a přenést je k jinému poskytovateli. V praxi je ale toto právo zatím málo využívané, protože mezi e-shopy chybí technická interoperabilita.
Hrozí mi něco, když e-shop moje data zneužije?
Pokud dojde k narušení zabezpečení vašich osobních údajů, e-shop musí incident ohlásit ÚOOÚ do 72 hodin. V roce 2025 ÚOOÚ obdržel 392 takových oznámení. Máte právo na náhradu škody — a e-shopu hrozí pokuta až 20 milionů EUR nebo 4 % celosvětového obratu.
Komentáře
Sdílejte svůj pohled na toto téma.