GDPR a cookies pro e-shop v roce 2026

30. 4. 2026 | Ing. Tomáš Hojgr, MBA, LL.M. | majitel

GDPR (General Data Protection Regulation, česky obecné nařízení o ochraně osobních údajů) u e-shopu není jen stránka „Ochrana osobních údajů“. Týká se objednávek, zákaznických účtů, plateb, dopravy, reklamací, newsletterů, měření, remarketingu, hostingu, ERP (enterprise resource planning), účetnictví a podpory.

ÚOOÚ (Úřad pro ochranu osobních údajů) v části Informace pro e-shopy uvádí, že provoz internetového obchodu znamená zpracování osobních údajů zákazníků a spadá pod GDPR. U cookies ÚOOÚ na stránce Cookies vysvětluje, že technické cookies nezbytné pro provoz webu nevyžadují souhlas, zatímco marketingové, analytické nebo obdobné cookies souhlas typicky vyžadují.

Jaká data e-shop běžně zpracovává

Běžný e-shop pracuje zejména s:

identifikačními údaji zákazníka,
kontaktními údaji,
doručovací adresou,
fakturačními údaji,
historií objednávek,
platebními údaji v rozsahu, který e-shop skutečně vidí,
reklamacemi a vratkami,
komunikací se zákaznickou podporou,
cookies a online identifikátory,
marketingovými souhlasy nebo odhlášeními.

Ke každému účelu musí e-shop vědět, proč data zpracovává, na jakém právním základě, jak dlouho je uchovává a komu je předává.

Zpracovatelé

ÚOOÚ v informacích pro e-shopy upozorňuje i na vztah správce a zpracovatele podle GDPR. Pro e-shop jsou zpracovateli typicky hosting, vývojář, provozovatel e-shopové platformy, e-mailingový nástroj, helpdesk, analytický nástroj nebo externí účetní systém, pokud pracují s osobními údaji podle pokynů e-shopu.

Prakticky zkontrolujte, zda máte zpracovatelské smlouvy nebo odpovídající dodatky alespoň u hlavních dodavatelů, kteří s daty zákazníků přicházejí do styku.

Informační povinnost

Zásady zpracování osobních údajů musí být pro zákazníka srozumitelné. Nemají jen vyjmenovat GDPR články, ale vysvětlit:

kdo je správce,
jaké údaje e-shop zpracovává,
za jakým účelem,
na jakém právním základě,
jak dlouho,
komu údaje předává,
jaká má zákazník práva,
jak může kontaktovat e-shop nebo pověřence, pokud je jmenován.

ÚOOÚ uvádí, že běžný provoz e-shopu sám o sobě obvykle nevede k povinnosti jmenovat pověřence, ale u velkých nebo specifických zpracování se situace může lišit.

Cookies

Technické cookies potřebné pro košík, přihlášení nebo bezpečnost lze používat bez souhlasu. Analytické a marketingové cookies obvykle vyžadují předchozí souhlas. Souhlas musí být svobodný, konkrétní, informovaný a odvolatelný.

V praxi to znamená:

nespouštět marketingové skripty před souhlasem,
rozlišit kategorie cookies,
umožnit odmítnutí stejně použitelně jako přijetí,
umožnit pozdější změnu nastavení,
evidovat stav souhlasu,
sladit cookie lištu s reálně nasazenými skripty.

ÚOOÚ už dříve upozorňoval na problematické praktiky u cookies, včetně situací, kdy nelze pouhé prohlížení webu považovat za souhlas.

Bezpečnost

E-shop musí přiměřeně zabezpečit osobní údaje. Pro technický tým to znamená hlavně:

používat HTTPS (zabezpečený komunikační protokol),
řídit administrátorská oprávnění,
logovat přístupy do administrace,
mít silná hesla a ideálně vícefaktorové ověření,
aktualizovat systém a pluginy,
omezit exporty dat,
mít zálohy a plán obnovy,
řešit přístupy dodavatelů.

Bezpečnost není jen IT (informační technologie) téma. Pokud zákaznická podpora posílá exporty objednávek přes běžný e-mail nebo sdílené tabulky, vzniká riziko i mimo samotný e-shop.

Checklist

Má e-shop aktuální informace o zpracování osobních údajů?
Jsou jasně odděleny účely objednávka, účet, reklamace, marketing a analytika?
Máte smlouvy se zpracovateli?
Spouští se marketingové cookies až po souhlasu?
Lze souhlas odmítnout a později změnit?
Jsou administrátorská oprávnění omezená podle rolí?
Existuje proces pro žádosti zákazníků podle GDPR?

Zdroje

Potřebujete technicky nastavit cookies a souhlasy?

Pomůžeme sladit cookie lištu, analytiku, marketingové skripty a evidenci souhlasů s reálným provozem e-shopu.

Nastavit cookies