Soulad s GDPR pro e-shop: 10 kroků

← Blog Zaklady GDPR E-commerce
10 min čtení
Aktualizováno: 9. dubna 2026
WebLegal Team

Free · No signup · Results in 30 seconds

Soulad s GDPR není pro e-shopy v roce 2026 volitelný: je to právní povinnost podpořená pokutami až 20 milionů eur nebo 4 % ročního celosvětového obratu (článek 83 GDPR). Přesto značná část e-shopů stále nesplňuje všechny požadavky. Dobrá zpráva je, že se strukturovaným přístupem je dosažení souladu zcela proveditelné, a to i pro malé firmy. Tento průvodce poskytuje konkrétní akční plán v 10 krocích. Začněte tím, že si svůj web zdarma naskenujete naším skenerem souladu s GDPR a zjistíte, kde stojíte.

Proč je strukturovaný akční plán nezbytný

Soulad s GDPR je mnohem víc než publikování zásad ochrany osobních údajů na webu. Zahrnuje komplexní přístup pokrývající sběr dat, ukládání, zabezpečení, práva uživatelů a vztahy s třetími stranami. Bez plánu firmy řeší tato témata nahodile a zanechávají mezery, které se mohou při regulačním auditu ukázat jako nákladné.

Strukturovaný plán vám pomůže upřednostnit akce, zdokumentovat váš přístup (což samo o sobě představuje důkaz dobré víry) a zajistit, že nic nebude opomenuto.

10 kroků k souladu s GDPR

Krok 1: Zmapujte své činnosti zpracování dat

Prvním krokem je provést důkladný inventář všech osobních údajů, které vaše firma shromažďuje. Pro e-shop to typicky zahrnuje: objednávková data (jméno, adresa, e-mail, telefon), platební data (zpracovávaná vaším platebním procesorem), data o prohlížení (cookies, IP adresy), data zákaznických účtů a marketingová data (odběr newsletteru, historie nákupů).

Pro každou činnost zpracování identifikujte: jaká data se sbírají, od koho, za jakým účelem, jak dlouho se uchovávají a kdo k nim má přístup. Toto mapování tvoří základ celé vaší strategie souladu.

Krok 2: Identifikujte právní základ pro každé zpracování

GDPR vyžaduje, aby každá činnost zpracování dat spočívala na platném právním základě (článek 6). Nejčastější v e-commerce jsou:

  • Smlouva: pro data nezbytná k plnění objednávky (jméno, doručovací adresa, potvrzovací e-mail).
  • Souhlas: pro nezbytné cookies, newslettery, e-mail marketing.
  • Oprávněný zájem: pro prevenci podvodů, anonymizované statistiky.
  • Právní povinnost: pro uchovávání faktur (daňové požadavky).

Každé zpracování musí být spojeno s konkrétním právním základem. Pokud se opíráte o souhlas, musí být svobodně udělený, konkrétní, informovaný a jednoznačný.

Krok 3: Vypracujte nebo aktualizujte zásady ochrany osobních údajů

Zásady ochrany osobních údajů jsou ústředním prvkem vašeho souladu s GDPR. Články 13 a 14 GDPR uvádějí povinné informace: identita správce dat, účely a právní základy, příjemci dat, doby uchovávání, práva jednotlivců a kontaktní údaje DPO (pokud je relevantní).

Tento dokument musí být sepsán v jasném a přístupném jazyce. Vyvarujte se zbytečného právního žargonu. Kompletní průvodce najdete v článku o povinných zásadách ochrany osobních údajů a pokutách.

Krok 4: Implementujte vyhovující zásady cookies

Cookie banner se stal nezbytným prvkem každého webu. Váš web musí informovat uživatele o používaných cookies, získat souhlas před nasazením nezbytných cookies a umožnit uživatelům odmítnout stejně snadno jako přijmout.

V praxi by měl váš banner nabízet tlačítka „Přijmout” a „Odmítnout” se stejnou velikostí a viditelností. Analytické a reklamní cookies nesmí být nastaveny před udělením souhlasu. Kompletní průvodce najdete v článku o pravidlech a sankcích pro zásady cookies. Pro rychlé nasazení vyhovujícího banneru vyzkoušejte náš bezplatný GDPR cookie banner.

Krok 5: Vytvořte podmínky užití a obchodní podmínky

Podmínky užití a obchodní podmínky jsou základní smluvní dokumenty pro každý e-shop. Podmínky užití upravují, jak návštěvníci interagují s vaším webem, zatímco obchodní podmínky regulují obchodní vztah se zákazníky (ceny, dodání, vrácení, záruky).

Tyto dokumenty musí být konzistentní s vašimi zásadami ochrany osobních údajů a zásadami cookies. Kompletní přehled najdete v průvodci 4 základními právními dokumenty pro každý e-shop.

Krok 6: Zaveďte záznamy o činnostech zpracování

Článek 30 GDPR vyžaduje vedení záznamů o činnostech zpracování. Tento registr dokumentuje všechny vaše operace zpracování dat: účely, kategorie dat a subjektů údajů, příjemce, přenosy mimo EU, doby uchovávání a bezpečnostní opatření.

Tento registr nemusí být složitý. Pro malé a střední firmy může postačit dobře strukturovaný tabulkový procesor. Klíčem je udržovat ho aktuální a mít k dispozici pro případ auditu.

Krok 7: Zabezpečte osobní údaje

Článek 32 GDPR vyžaduje přiměřená technická a organizační opatření k zajištění bezpečnosti dat. Pro e-shop to znamená minimálně:

  • Šifrování HTTPS na celém webu (nejen na platebních stránkách).
  • Silná hesla pro administrátorské i zákaznické účty.
  • Pravidelné aktualizace vašeho CMS, pluginů a závislostí.
  • Šifrované zálohy s otestovaným plánem obnovy.
  • Řízení přístupu omezené na ty, kdo ho skutečně potřebují.

Zdokumentujte svá bezpečnostní opatření: tato dokumentace je neocenitelná v případě auditu nebo incidentu.

Krok 8: Zaručte práva jednotlivců

GDPR přiznává jednotlivcům několik práv nad jejich daty (články 15 až 22): právo na přístup, opravu, výmaz, přenositelnost, námitku a omezení zpracování. Váš web musí poskytnout jednoduchý způsob uplatnění těchto práv.

V praxi zřiďte vyhrazenou e-mailovou adresu (např. dpo@vasweb.cz) nebo specifický kontaktní formulář. Na jakoukoli žádost máte měsíc na odpověď. Proškolte svůj tým v řešení těchto žádostí a dokumentujte každou odpověď.

Krok 9: Řiďte přenosy dat mimo EU

Pokud používáte služby hostované mimo Evropskou unii (cloudový hosting, analytické nástroje, e-mailové služby), musíte tyto přenosy řídit v souladu s kapitolou V GDPR. Rámec EU-US Data Privacy Framework usnadňuje přenosy certifikovaným americkým společnostem, ale musíte ověřit status certifikace každého poskytovatele.

Identifikujte všechny své subdodavatele zpracování a jejich umístění. Pro každý přenos mimo EU ověřte existenci rozhodnutí o přiměřenosti, standardních smluvních doložek nebo jiného platného mechanismu přenosu.

Krok 10: Zaveďte postup pro oznámení porušení dat

Článek 33 GDPR vyžaduje oznámení jakéhokoli porušení ochrany dat dozorovému úřadu do 72 hodin od zjištění. Pokud porušení představuje vysoké riziko pro jednotlivce, musí být informováni i oni (článek 34).

Připravte interní postup: kdo by měl být informován jako první, jak posoudit závažnost incidentu, jaký formulář použít pro oznámení a jak informovat dotčené osoby. V České republice se oznámení zasílá ÚOOÚ. Absence takového postupu je sama o sobě nedostatkem, který mohou regulátoři sankcionovat.

Jak urychlit váš soulad

S ohledem na těchto 10 kroků máte několik možností:

Najměte si specializovaného právníka (500–2 000 EUR): maximální přizpůsobení a strategické poradenství, ale vysoké náklady a lhůta několika týdnů. Vhodné pro firmy se složitým nebo citlivým zpracováním dat.

Udělejte si to sami z bezplatných šablon (zdarma): online je k dispozici mnoho šablon, ale jsou často zastaralé a generické, vyžadující několik hodin přizpůsobení. Riziko nesouladu bez právní expertízy zůstává vysoké.

Použijte obecnou AI (zdarma + 150–300 EUR za revizi): nástroje jako ChatGPT mohou vytvořit návrhy, ale každý dokument musí být generován zvlášť, což vede k nekonzistencím. Profesionální revize je nezbytná.

Použijte specializovanou právní AI (19,90–49,90 EUR): řešení jako WebLegal.ai generují všechny vaše právní dokumenty za méně než 10 minut se zaručenou konzistencí mezi zásadami ochrany osobních údajů, cookies, podmínkami užití a obchodními podmínkami. Tato možnost pokrývá kroky 3 až 5 tohoto akčního plánu a vyhovuje 95 % e-shopů.

Závěr

Dosažení souladu s GDPR pro váš e-shop není jednorázový projekt, ale průběžný proces. Tento plán v 10 krocích vám dává jasný rámec pro metodický postup — od auditu dat až po připravenost na incidenty. Každý dokončený krok snižuje vaše právní riziko a posiluje důvěru zákazníků. V roce 2026 již soulad není konkurenční výhodou — je to nutný předpoklad. Nečekejte na regulační audit.