Co bude Úřad pro ochranu osobních údajů kontrolovat v roce 2026

Úřad pro ochranu osobních údajů (dále ÚOOÚ) zveřejnil svůj kontrolní plán pro rok 2026 a pro mnoho e-shopařů to nebude příjemné čtení. Pokud jste dosud spoléhali na to, že dotazník typu "Jak se vám u nás nakupovalo?" není obchodní sdělení, máte problém.

Pozor na hodnotící dotazníky

Jak na legální dotazník spokojenosti? Dotazník spokojenosti lze zasílat zákazníkům na základě tzv. zákaznické výjimky – když u vás nakoupili. Zásadní je dát možnost zákazníkům odmítnout zasílání dotazníků spokojenosti:

• předem pomocí zaškrtávacího políčka během nákupu (opt-out) a např. Nesouhlasím se zasláním dotazníku spokojenosti.
• následně v samotném e-mailu s dotazem na hodnocení nákupu.

Příklad z praxe: Koupíte si v e-shopu tričko. Týden po nákupu vám přijde e-mail s dotazem na spokojenost. Pokud jste v nákupním košíku neměli jasné políčko pro odmítnutí tohoto zasílání, nebo v e-mailu chybí odkaz pro odhlášení, porušujete zákon.

Kontrola transparentnosti a informační povinnost

V prvním čtvrtletí roku 2026 se Úřad zapojuje do celoevropské koordinované akce, která se zaměřuje na dodržování zásady transparentnosti a informační povinnosti. Jako správce osobních údajů máte povinnost informovat zákazníky o tom, co se s jejich daty děje. Informace musí být stručná, transparentní, srozumitelná a snadno přístupná.

• Dopad na e-shopy: Úřad bude kontrolovat vaše zásady ochrany osobních údajů (a jinou GDPR dokumentaci) na webu. Dejte si pozor, aby nešlo jen o zkopírovaný generický text. Informace musí být srozumitelné, aktuální a přesné.

Kontrolní plán pro rok 2026 pokrývá i další specifické oblasti:

• Dlužnické registry: Úřad se zaměří na databáze o bonitě spotřebitelů a zejména na to, zda v nich údaje nevisí déle, než zákon dovoluje.

• DPO ve veřejné sféře: Úřad zaznamenal nedostatky v postavení pověřenců pro ochranu osobních údajů ve veřejném sektoru a bude prověřovat, zda mají dostatečné zapojení do procesů.

Proč e-shopy stále chybují?

Z naší zkušenosti je největším kamenem úrazu nastavení nákupního procesu. Zkušenost ukazuje, že e-shopaři často podceňují tzv. zákaznickou výjimku. Často se setkáváme s tím, že e-shopy mají špatně nastavený (ne)souhlas se zasíláním obchodních sdělení, popř. dotazníků spokojenosti.

Pamatujte, že odpovědnost za data nesete vy jako e-shop, i když dotazníky rozesíláte přes externí platformu (např. Heureka).

Pokuty v řádech milionů Kč

Ačkoliv jsou horní hranice astronomické, ÚOOÚ v Česku postupuje podle principu přiměřenosti. Pokuty za "pouhou" špatně sepsanou informační doložku se obvykle pohybují v řádech desítek až stovek tisíc korun. Milionové částky nastupují, pokud je porušení plošné, týká se citlivých údajů nebo jde o vědomé klamání uživatelů.

Už nečekejte na pokutu Úřadu, ale udělejte pro váš byznys tyto tři kroky, které vám zajistí čistý štít:

1. Revize nákupního košíku: Přidejte informaci o zasílání dotazníků spokojenosti do nákupního procesu a umožněte zákazníkovi toto zasílání odmítnout už při nákupu (opt-out).

2. Audit e-mailů: Zkontrolujte, zda každý dotazník spokojenosti obsahuje jasný a funkční odkaz pro odhlášení z dalších zpráv.

3. Aktualizace GDPR textů: Prověřte, zda vaše informační povinnost na webu skutečně popisuje realitu (jaká data sbíráte a jak dlouho je držíte).

Máte dotazy k tomu, jak nastavit zákaznickou výjimku, abyste nemuseli dotazníky spokojenosti vypínat úplně? Nebo chcete jen potvrdit, že vaše GDPR dokumentace projde kontrolou Úřadu?

Ozvěte se nám do Legitas. Pomůžeme vám projít kontrolním rokem 2026 bez pokut a právních rizik.

Autorka: 

Liliana Kuželková, právnička advokátní kanceláře Legitas