E-shop zpracovává osobní údaje zákazníků a musí to umět doložit. Základní dokumentaci tvoří zásady zpracování osobních údajů zveřejněné na webu, záznamy o činnostech zpracování podle článku 30 GDPR, které slouží jako přehled toho, co, proč a jak zpracováváte, evidence a nastavení souhlasů tam, kde je zpracování na souhlasu založené, a smlouvy o zpracování osobních údajů podle článku 28 s každým zpracovatelem, tedy s dodavateli, kteří s daty pracují za vás. Záznamy o činnostech nahrazují dřívější oznamovací povinnost a umožňují správci prokázat soulad. Konkrétní rozsah dokumentace podle vašeho zpracování ověřte s odborníkem na ochranu údajů.
Srovnávací tabulka
Nejdřív fakta na jednom místě. Data k červenci 2026.
| Dokument | Kde je | K čemu slouží |
|---|---|---|
| Zásady zpracování osobních údajů | veřejně na webu | informuje zákazníky, co a proč zpracováváte |
| Záznamy o činnostech zpracování | interně u správce | přehled zpracování podle čl. 30 GDPR |
| Evidence souhlasů | interně, doložitelně | prokázání souhlasu tam, kde je potřeba |
| Smlouvy o zpracování (DPA) | s každým zpracovatelem | smlouva podle čl. 28 s dodavateli dat |
Vychází z obecného nařízení GDPR (2016/679), zdroj Úřad pro ochranu osobních údajů, rok 2026. Jde o obecný checklist, ne o právní posouzení. Konkrétní rozsah dokumentace ověřte s odborníkem na ochranu osobních údajů.
GDPR není jen ta lišta s cookies
Když se řekne GDPR, většině e-shopářů naskočí lišta se souhlasem cookies a mají pocit, že tím to hasne. Cookies jsou ale jen špička. E-shop zpracovává jména, adresy, e-maily, telefony a historii nákupů celého zákaznického kmene, a to všechno jsou osobní údaje, u kterých musíte umět doložit, na jakém základě a proč je máte.
Dobrá zpráva je, že u běžného e-shopu nejde o hory papírů, ale o pár dokumentů, které dávají smysl a jednou nastavené vydrží. Špatná zpráva je, že se na ně snadno zapomene, dokud nepřijde dotaz od zákazníka nebo kontrola z úřadu. Sestavil jsem praktický checklist toho, co má e-shop mít, ať víte, jestli jste v pořádku, nebo kde máte díru.
Zásady zpracování osobních údajů
První dokument, který má být veřejně na webu, jsou zásady zpracování osobních údajů, někdy nazývané informace pro subjekty údajů. Je to text, kterým zákazníkům srozumitelně říkáte, kdo je správce, jaké údaje sbíráte, za jakým účelem, na jakém právním základě, jak dlouho je uchováváte a komu je předáváte. Patří sem i poučení o právech zákazníka a jak je uplatnit.
Tenhle dokument je vaše vizitka v oblasti ochrany údajů a zákazník na něj musí snadno narazit, typicky odkazem v patičce a u formulářů. Nepiště ho jako obecnou frázi opsanou odjinud, protože má odpovídat tomu, co reálně děláte. Když sbíráte údaje pro věrnostní program nebo je předáváte dopravci a platební bráně, má to v zásadách být uvedené.
Záznamy o činnostech zpracování
Základním interním dokumentem jsou záznamy o činnostech zpracování podle článku 30 GDPR. Není to protokol o jednotlivých událostech, ale spíš katalogový list každého zpracování, které provádíte: kvůli čemu údaje zpracováváte, jaké kategorie údajů a subjektů se toho týkají, komu je předáváte a jak dlouho je držíte. U e-shopu jde třeba o vyřízení objednávek, reklamace, účetnictví nebo marketing.
Záznamy o činnostech nahrazují dřívější oznamovací povinnost správců, která s účinností GDPR skončila. Slouží vám i úřadu k tomu, aby bylo jasné, co se u vás s daty děje, a umožní vám prokázat soulad se zásadou odpovědnosti. I když se na některé subjekty vztahuje výjimka, u e-shopu, který zpracovává data zákazníků pravidelně, se vedení záznamů v praxi předpokládá. Berte je jako mapu svého zpracování, ne jako zbytečný papír.
Souhlasy tam, kde je opravdu potřebujete
Kolem souhlasů panuje velký zmatek. Ne všechno stojí na souhlasu a vyžadovat ho tam, kde ho nepotřebujete, je stejná chyba jako opomenout ho tam, kde je nutný. Zpracování pro vyřízení objednávky nebo pro splnění zákonné povinnosti, třeba účetnictví, stojí na jiném právním základě než souhlas. Souhlas je naopak typicky potřeba pro zasílání obchodních sdělení novým kontaktům nebo pro některé cookies.
Kde souhlas potřebujete, musí být svobodný, konkrétní, informovaný a jednoznačný, a musíte umět doložit, že ho zákazník dal. To znamená evidovat, kdo, kdy a k čemu souhlas udělil, a umožnit ho stejně snadno odvolat. Předzaškrtnutá políčka neplatí. Nastavení souhlasů projděte tak, aby odpovídalo tomu, co reálně děláte, ne aby to jen vypadalo bezpečně.
Smlouvy se zpracovateli
Poslední díl skládačky se nejčastěji přehlíží. Kdykoli s osobními údaji vašich zákazníků pracuje někdo za vás, je to zpracovatel a musíte s ním mít uzavřenou smlouvu o zpracování osobních údajů podle článku 28 GDPR. Zpracovatelů má i malý e-shop překvapivě dost: poskytovatel platformy, e-mailingový nástroj, cloudové úložiště, účetní, někdy dopravce nebo platební brána.
Smlouva o zpracování nemusí být vždy samostatný dokument, podstatné je, aby stanovila předmět, dobu, povahu a účel zpracování, typy údajů a povinnosti zpracovatele, hlavně že zpracovává jen podle vašich pokynů a údaje chrání. U seriózních dodavatelů bývá taková smlouva připravená k dispozici. Behio má zpracovatelskou smlouvu dostupnou na stránce dpa, takže tuhle část skládačky za svůj e-shop vyřešíte snadno. U ostatních dodavatelů si ověřte, že ji máte uzavřenou, a konkrétní rozsah proberte s odborníkem na ochranu údajů.
Verdikt
GDPR u e-shopu není o strachu z pokut, ale o tom umět doložit, co s daty zákazníků děláte. Stačí na to čtyři věci: zveřejněné zásady zpracování, interní záznamy o činnostech, pořádek v souhlasech a smlouvy se zpracovateli. Nejčastější díra je poslední bod, protože málokdo tuší, kolik zpracovatelů vlastně používá. Doporučuju projít checklist jednou pořádně a pak ho udržovat při každé změně nástrojů. U platformy to máte snazší, pokud dodavatel zpracovatelskou smlouvu nabízí, jako ji Behio dává na stránce dpa. Rozsah podle vašeho konkrétního zpracování ale nechte posoudit odborníka, ať dokumentace sedí na realitu.
Časté dotazy
Zveřejněné zásady zpracování osobních údajů, interní záznamy o činnostech zpracování podle článku 30 GDPR, doložitelnou evidenci souhlasů tam, kde je zpracování na souhlasu založené, a smlouvy o zpracování osobních údajů podle článku 28 s každým zpracovatelem. Konkrétní rozsah závisí na tom, jak data reálně zpracováváte.
Interní přehled toho, co, proč a jak zpracováváte, něco jako katalogový list každého zpracování: účel, kategorie údajů a subjektů, příjemci a doba uchování. Podle článku 30 GDPR nahrazují dřívější oznamovací povinnost a umožňují správci prokázat soulad. U e-shopu se jejich vedení v praxi předpokládá.
Ne. Zpracování pro vyřízení objednávky nebo pro splnění zákonné povinnosti stojí na jiném právním základě než souhlas. Souhlas potřebujete typicky pro zasílání obchodních sdělení novým kontaktům nebo pro některé cookies. Kde ho potřebujete, musí být svobodný, informovaný, doložitelný a snadno odvolatelný.
Je to smlouva podle článku 28 GDPR s každým, kdo s osobními údaji vašich zákazníků pracuje za vás. To bývá poskytovatel platformy, e-mailingový nástroj, cloud, účetní, někdy dopravce nebo platební brána. U seriózních dodavatelů bývá připravená, Behio ji má dostupnou na stránce dpa.
Nestačí. Cookies jsou jen část. E-shop zpracovává jména, adresy, e-maily a historii nákupů, což jsou osobní údaje vyžadující zásady zpracování, záznamy o činnostech, pořádek v souhlasech a smlouvy se zpracovateli. Lišta cookies řeší jen jeden dílek celé skládačky.
Postavte si e-shop, který vás nepřekvapí na faktuře.
Sklad, fakturace, B2B, feedy i AI parťák nativně v jedné ceně od 300 Kč měsíčně. Vyzkoušejte Behio zdarma na 14 dní, bez karty.



