GDPR pro e-shopy: Co musíte splnit a jak na to

GDPR platí od května 2018. Uplynulo osm let — a přesto většina českých e-shopů stále nesplňuje všechny požadavky. Některé nemají Privacy Policy vůbec. Jiné mají zkopírovaný anglický dokument, který neodpovídá české legislativě. A mnohé stále používají cookie lišty, které neumožňují cookies odmítnout.

Přitom důsledky nejsou jen teoretické. Úřad pro ochranu osobních údajů (ÚOOÚ) aktivně kontroluje a pokutuje. Česká obchodní inspekce (ČOI) prověřuje obchodní podmínky. A zákazníci jsou rok od roku citlivější na to, jak e-shopy nakládají s jejich daty.

Tento článek je kompletní průvodce GDPR pro české e-shopy v roce 2026. Reflektuje aktuální novely i praxi dozorových úřadů. Dozvíte se, jaké máte povinnosti, jaké dokumenty potřebujete, jakých chyb se vyvarovat a jak dosáhnout GDPR compliance za jediný den. Pokud provozujete e-shop na Shoptetu, WooCommerce nebo jakékoliv jiné platformě — tento článek je pro vás.

Zajímá vás obecný přehled všech povinných dokumentů pro weby? Přečtěte si náš článek Jaké dokumenty potřebuje váš web v roce 2026.

1. Co je GDPR a proč se vás týká

GDPR (General Data Protection Regulation) je nařízení Evropské unie č. 2016/679, které od 25. května 2018 jednotně upravuje ochranu osobních údajů v celé EU. V České republice je doplněno zákonem č. 110/2019 Sb. o zpracování osobních údajů, který upřesňuje některé aspekty pro český právní rámec.

Pokud provozujete e-shop, GDPR se vás týká. Bez výjimky. Proč? Protože při každé objednávce zpracováváte osobní údaje zákazníků:

• Jméno a příjmení — identifikace kupujícího
• E-mailová adresa — potvrzení objednávky, komunikace
• Doručovací adresa — odeslání zboží
• Telefonní číslo — kontakt od dopravce
• Platební údaje — zpracování platby
• IP adresa a cookies — analytika, marketing

Každý z těchto bodů představuje zpracování osobních údajů ve smyslu GDPR. Není přitom rozhodující, jak velký váš e-shop je. I malý e-shop s 10 objednávkami měsíčně musí GDPR dodržovat — nařízení nerozlišuje podle velikosti.

GDPR definuje dvě klíčové role: správce (controller) a zpracovatel (processor). Jako provozovatel e-shopu jste správcem osobních údajů — rozhodujete o účelech a prostředcích zpracování. Vaši dodavatelé (dopravci, platební brány, e-mail marketing nástroje) jsou zpracovatelé.

Toto rozlišení je důležité, protože z něj vyplývají vaše povinnosti — a těch je více, než si většina e-shopařů uvědomuje.

2. Sedm klíčových povinností e-shopu podle GDPR

GDPR ukládá e-shopům celou řadu povinností. Projdeme si sedm nejdůležitějších — u každé vysvětlíme, co konkrétně musíte udělat.

1. Informační povinnost (čl. 13, 14 GDPR)

Musíte zákazníkům srozumitelně sdělit, jaká data sbíráte, proč je sbíráte, jak dlouho je uchováváte a komu je předáváte. Toto se realizuje prostřednictvím Privacy Policy (Zásady ochrany osobních údajů). Dokument musí být snadno dostupný — typicky v patičce webu — a napsaný srozumitelným jazykem.

2. Právní základ zpracování (čl. 6 GDPR)

Každé zpracování osobních údajů musí mít právní základ. Pro e-shopy jsou relevantní zejména tři:

• Plnění smlouvy — zpracování dat nutné pro vyřízení objednávky (jméno, adresa, e-mail)
• Oprávněný zájem — prevence podvodů, základní analytika
• Souhlas — marketing, newsletter, remarketingové cookies

Častou chybou je spoléhání se na souhlas tam, kde stačí plnění smlouvy — a naopak absence souhlasu tam, kde je povinný (typicky u marketingu).

3. Souhlas s cookies (ePrivacy, zákon č. 127/2005 Sb.)

Od novely zákona o elektronických komunikacích z roku 2022 platí v ČR povinnost získat aktivní souhlas uživatele před uložením analytických a marketingových cookies. Pouhá informační cookie lišta nestačí — musíte umožnit cookies skutečně odmítnout. A potřebujete Cookie Policy jako samostatný dokument.

4. Zpracovatelské smlouvy (čl. 28 GDPR)

S každým dodavatelem, který za vás zpracovává osobní údaje zákazníků, musíte mít uzavřenou zpracovatelskou smlouvu (Data Processing Agreement). Typicky se jedná o:

• Dopravce (Zásilkovna, PPL, Česká pošta)
• Platební brány (GoPay, Comgate, Stripe)
• E-mail marketing nástroje (Mailchimp, Ecomail)
• Analytické nástroje (Google Analytics)
• Hosting a e-shopová platforma (Shoptet, Upgates)

Bez těchto smluv porušujete GDPR, i když máte perfektní Privacy Policy.

5. Práva subjektů údajů (čl. 15–22 GDPR)

Vaši zákazníci mají právo požádat o přístup ke svým datům, jejich opravu, výmaz (právo být zapomenut), přenositelnost dat k jinému správci a námitku proti zpracování. Musíte mít zavedený proces, jak tyto žádosti vyřizovat — a to do 30 dnů.

6. Evidence zpracovatelských činností (čl. 30 GDPR)

Většina e-shopů je povinna vést interní záznamy o zpracovatelských činnostech. Jedná se o dokument, který popisuje všechny účely zpracování, kategorie údajů, příjemce a doby uchovávání. Výjimka se vztahuje pouze na podniky s méně než 250 zaměstnanci, pokud zpracování nepředstavuje riziko — ale e-shopy zpracovávají data pravidelně, takže tato výjimka většinou neplatí.

7. Hlášení bezpečnostních incidentů (čl. 33–34 GDPR)

Pokud dojde k úniku nebo ztrátě osobních údajů (např. hacknutí databáze zákazníků), musíte incident nahlásit ÚOOÚ do 72 hodin. Pokud incident představuje vysoké riziko pro zákazníky, musíte informovat i je. Mít připravený postup pro řešení incidentů je tedy nutností.

Začněte s Privacy Policy — základem GDPR compliance
AI generátor Pravoid vytvoří Privacy Policy přesně pro váš e-shop za 60 sekund. V češtině, v souladu s aktuální legislativou.
Vygenerovat Privacy Policy zdarma →

3. Jaké dokumenty e-shop potřebuje pro GDPR compliance

GDPR compliance není jen o jednom dokumentu. Pro úplné pokrytí potřebuje každý český e-shop sadu právních dokumentů, které spolu souvisejí a vzájemně se doplňují.

Privacy Policy (Zásady ochrany osobních údajů)

Klíčový dokument, který musí obsahovat všechny náležitosti dle čl. 13 GDPR — identifikaci správce, účely zpracování, právní základy, příjemce údajů, doby uchovávání a práva subjektů údajů. Generická šablona stažená z internetu nestačí — dokument musí přesně odpovídat tomu, jaká data váš konkrétní e-shop sbírá a jak je zpracovává.

Podívejte se na příklad: Privacy Policy pro Shoptet e-shop.

Cookie Policy (Zásady používání cookies)

Od roku 2022 je Cookie Policy povinná jako samostatný dokument — nestačí mít informace o cookies zakomponované do Privacy Policy. Dokument musí obsahovat seznam všech cookies, jejich účel, dobu platnosti, třetí strany a právní základ. Cookie lišta na webu pak odkazuje právě na tento dokument.

Příklad: Cookie Policy pro Shoptet e-shop.

Obchodní podmínky

Obchodní podmínky samy o sobě nejsou dokumentem GDPR, ale úzce s ním souvisejí. Musí obsahovat informační povinnost o zpracování osobních údajů v kontextu nákupu — a musí být v souladu se zákonem o ochraně spotřebitele, který prošel novelou. Zastaralé obchodní podmínky mohou být problém nejen pro ČOI, ale i z pohledu GDPR.

Příklad: Obchodní podmínky pro Shoptet.

Souhlas se zpracováním osobních údajů

Formuláře a checkboxy pro získání souhlasu musí být jasné, jednoznačné a oddělené od ostatních podmínek. Souhlas s marketingem nesmí být podmínkou nákupu. A musí být stejně snadné souhlas odvolat, jako ho udělit.

Kompletní balíček dokumentů pro e-shopy najdete na stránce Právní dokumenty pro e-shop.

Vygenerujte kompletní balíček GDPR dokumentů pro váš e-shop
Privacy Policy, Cookie Policy i obchodní podmínky — vše na jednom místě, přizpůsobené vašemu e-shopu.
Vygenerovat dokumenty zdarma →

4. Nejčastější chyby českých e-shopů

Na základě analýzy stovek českých e-shopů jsme identifikovali šest nejčastějších GDPR chyb. Zkontrolujte, jestli se vás některá netýká.

Zkopírovaná anglická Privacy Policy

Překvapivě mnoho e-shopů má Privacy Policy zkopírovanou z anglického webu — někdy dokonce nepřeloženou. Takový dokument neodpovídá české legislativě, neodkazuje na správné zákony (zákon č. 110/2019 Sb.) a neobsahuje konkrétní informace o vašem zpracování. Pro ÚOOÚ je to prakticky totéž jako žádná Privacy Policy.

Cookie lišta bez možnosti odmítnout

Stále se setkáváme s cookie lištami, které nabízejí pouze tlačítko „Souhlasím" nebo „OK". To je porušení ePrivacy směrnice i českého zákona. Uživatel musí mít možnost analytické a marketingové cookies skutečně odmítnout — a to stejně snadno, jako je přijmout. Tlačítko „Odmítnout" musí být stejně výrazné jako „Přijmout".

Předvyplněný souhlas s marketingem

Checkbox pro souhlas s marketingovými e-maily nesmí být předvyplněný. Článek 7 GDPR jasně říká, že souhlas musí být svobodný, konkrétní, informovaný a jednoznačný — předem zaškrtnuté políčko tyto podmínky nesplňuje. Navíc souhlas s marketingem nesmí být podmínkou dokončení objednávky.

Chybějící zpracovatelské smlouvy

Většina e-shopů používá služby třetích stran — GoPay pro platby, Zásilkovnu pro dopravu, Mailchimp nebo Ecomail pro e-mail marketing. S každou z těchto služeb musíte mít zpracovatelskou smlouvu dle čl. 28 GDPR. Dobrou zprávou je, že většina velkých poskytovatelů má zpracovatelské smlouvy připravené — stačí je podepsat nebo akceptovat v nastavení účtu.

Zastaralé obchodní podmínky

Zákon o ochraně spotřebitele prošel novelami, které se dotýkají e-shopů. Obchodní podmínky vytvořené před několika lety nemusí reflektovat aktuální požadavky — například na informování o mimosoudním řešení sporů, odkaz na ODR platformu nebo správné poučení o právu na odstoupení od smlouvy.

Absence mechanismu pro výmaz dat

Zákazník vám napíše e-mail s žádostí o výmaz svých osobních údajů. Víte, jak na to reagovat? Víte, kde všude jsou jeho data uložena? Pokud nemáte zavedený proces pro vyřizování žádostí subjektů údajů, porušujete články 15–22 GDPR. Žádost musíte vyřídit do 30 dnů — a musíte být schopni data vymazat ze všech systémů, kde je uchováváte.

5. Pokuty a sankce — co reálně hrozí

GDPR stanoví maximální pokuty, které jsou na první pohled astronomické: až 20 milionů EUR (cca 500 milionů Kč) nebo 4 % celosvětového ročního obratu — podle toho, co je vyšší. Tyto částky míří primárně na velké korporace. Ale co reálně hrozí českému e-shopu?

Pokuty od ÚOOÚ v praxi

Úřad pro ochranu osobních údajů (ÚOOÚ) ukládá českým malým a středním podnikům pokuty řádově v desítkách až stovkách tisíc korun. Nejčastějšími důvody jsou rozesílání nevyžádaných obchodních sdělení (spam), chybějící informační povinnost (Privacy Policy) a zpracování dat bez právního základu.

ÚOOÚ každoročně řeší stovky podnětů a stížností. V posledních letech se zaměřuje zejména na e-shopy a online služby — tedy přesně na segment, kde se pohybujete. Pokuty nejsou jen symbolické — pro malý e-shop může pokuta 200 000 Kč znamenat existenční problém.

Kontroly ČOI

Česká obchodní inspekce kontroluje e-shopy z pohledu zákona o ochraně spotřebitele. Kontroluje obchodní podmínky, správné poučení o právu na odstoupení od smlouvy, reklamační řád a informace o mimosoudním řešení sporů. Pokuty od ČOI se pohybují v řádu desítek až stovek tisíc korun a ČOI provádí pravidelné plošné kontroly.

Reputační riziko

Kromě pokut existuje i riziko, které se těžko vyčísluje — ztráta důvěry zákazníků. Spotřebitelé jsou stále citlivější na ochranu soukromí. Web bez Privacy Policy, s podezřelou cookie lištou nebo s předvyplněným souhlasem budí nedůvěru. Zejména u e-shopů, kde zákazníci zadávají platební údaje a osobní informace, může chybějící dokumentace přímo snižovat konverze.

Negativní recenze typu „tento e-shop nemá ani obchodní podmínky" se šíří rychle a poškozují vaši značku dlouhodobě.

Nečekejte na kontrolu — zajistěte si GDPR compliance ještě dnes
Generování dokumentů zabere 60 sekund. Řešení pokuty od ÚOOÚ zabere měsíce.
Zajistit GDPR compliance →

6. Jak na GDPR compliance za jeden den

GDPR compliance nemusí být složité. Pokud postupujete systematicky, zvládnete základy za jediný den. Zde je šest kroků, které vás dovedou k cíli.

Krok 1: Vygenerujte Privacy Policy

Začněte tím nejdůležitějším — Privacy Policy. Na pravoid.com/generator odpovíte na několik otázek o svém e-shopu (jaká data sbíráte, jaké nástroje používáte, kdo je vaším dodavatelem) a AI generátor vytvoří dokument přesně pro vás. V češtině, v souladu s aktuální legislativou.

Krok 2: Vygenerujte Cookie Policy a nastavte cookie consent

Druhý krok je Cookie Policy a správné nastavení cookie lišty. Cookie Policy vygenerujete opět na Pravoid. Pro cookie consent doporučujeme nástroje jako Cookiebot nebo CookieYes, které umožňují skutečné odmítnutí cookies a kategorizaci souhlasu.

Krok 3: Aktualizujte obchodní podmínky

Zkontrolujte, zda vaše obchodní podmínky odpovídají aktuální legislativě. Pokud jsou starší než rok, s vysokou pravděpodobností potřebují aktualizaci. Na Pravoid můžete vygenerovat nové obchodní podmínky přizpůsobené vašemu typu e-shopu.

Krok 4: Zkontrolujte zpracovatelské smlouvy

Projděte si seznam všech služeb, kterým předáváte data zákazníků. U každé ověřte, zda máte uzavřenou zpracovatelskou smlouvu. Většina velkých poskytovatelů (Shoptet, GoPay, Zásilkovna, Mailchimp) má DPA připravené — často je stačí akceptovat v administraci účtu.

Krok 5: Nastavte proces pro žádosti subjektů údajů

Připravte si interní postup pro případ, kdy zákazník požádá o přístup ke svým datům, jejich výmaz nebo opravu. Stačí jednoduchý dokument popisující, kdo žádost přijme, jak ji vyhodnotí a jak zajistí výmaz dat ze všech systémů. Na žádost musíte reagovat do 30 dnů.

Krok 6: Zvažte průběžnou compliance s Pravoid Guard

GDPR compliance není jednorázová záležitost. Legislativa se vyvíjí, přidáváte nové nástroje, měníte dodavatele. Pravoid Guard automaticky sleduje změny v legislativě a aktualizuje vaše dokumenty — takže máte jistotu, že jsou vždy v souladu s aktuálním právním rámcem.

Závěr

GDPR není jednorázový úkol, který splníte a zapomenete. Je to průběžný proces, který vyžaduje pravidelnou pozornost. Legislativa se vyvíjí — novely zákonů, nová rozhodnutí ÚOOÚ, změny v interpretaci pravidel. Váš e-shop se také mění — přidáváte nové platební metody, marketingové nástroje, analytiku.

Klíčové je začít. Nemít Privacy Policy v roce 2026 je jako nemít EET pokladnu v roce 2018 — riskujete zbytečnou pokutu a ztrátu důvěry zákazníků. A díky nástrojům jako Pravoid to není složité ani drahé.

Pokud si chcete přečíst podrobněji o jednotlivých dokumentech, doporučujeme náš článek Jaké dokumenty potřebuje váš web v roce 2026, kde najdete kompletní checklist pro všechny typy webů.

Nevíte, jestli váš e-shop splňuje GDPR?
Zkontrolujte svůj web zdarma pomocí našeho GDPR Quick-Check nástroje. Zadejte URL a za 10 sekund zjistíte, co vám chybí.
Zkontrolovat web zdarma →

Zajistěte si GDPR compliance pro váš e-shop ještě dnes

Privacy Policy, Cookie Policy, obchodní podmínky — vše na jednom místě, přizpůsobené vašemu e-shopu, v souladu s českou legislativou 2026.

Vygenerovat dokumenty zdarma na pravoid.com →

Chcete průběžnou compliance? Zjistěte více o Pravoid Guard →