Aký právny titul potrebuje e-shop na spracúvanie osobných údajov zákazníka?

Pre spracúvanie osobných údajov pri uzavretí a plnení kúpnej zmluvy je primárnym právnym titulom čl. 6 ods. 1 písm. b) GDPR (plnenie zmluvy). Pre vystavenie faktúr a archiváciu účtovných dokladov sa uplatňuje čl. 6 ods. 1 písm. c) GDPR (plnenie zákonnej povinnosti) v spojení so zákonom č. 431/2002 Z. z. o účtovníctve a zákonom o DPH. Pre marketing newsletter sa typicky uplatňuje čl. 6 ods. 1 písm. a) GDPR (súhlas), pre retargeting čl. 6 ods. 1 písm. a) (súhlas pri tracking cookies), pre obhajobu právnych nárokov a vymáhanie pohľadávok môže byť právnym titulom čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem).

Kedy je potrebný cookie consent banner?

Cookie consent banner je potrebný vždy, keď e-shop ukladá do koncového zariadenia používateľa cookies alebo podobné technológie, ktoré nie sú technicky nevyhnutné na poskytnutie služby. Právny základ je v § 116 zákona č. 452/2021 Z. z. o elektronických komunikáciách v spojení s čl. 5 ods. 3 smernice 2002/58/ES (ePrivacy smernica). Technicky nevyhnutné cookies (napríklad session cookie, košík) nepotrebujú súhlas. Marketingové, analytické, retargetingové a iné non-essential cookies vyžadujú výslovný, informovaný a dobrovoľný súhlas pred uložením.

Aké náležitosti musí mať platný súhlas s newsletterom?

Platný súhlas podľa čl. 4 bod 11 a čl. 7 GDPR musí byť slobodný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby. V praxi to znamená opt-in mechanizmus — aktívne zaškrtnutie nezaškrtnutého checkboxu (nie predzaškrtnutý), oddelený od iných súhlasov (napr. súhlasu s VOP), s jasným popisom účelu spracúvania, kategórií prijímateľov a doby uchovávania. Súhlas musí byť kedykoľvek odvolateľný a odvolanie musí byť rovnako jednoduché ako jeho udelenie (čl. 7 ods. 3 GDPR). Pri overovaní platnosti súhlasu je dôkazné bremeno na prevádzkovateľovi (čl. 7 ods. 1 GDPR).

Čo je soft opt-in pri marketingových e-mailoch?

Soft opt-in je výnimka zo všeobecnej požiadavky výslovného súhlasu, ktorá umožňuje prevádzkovateľovi zasielať marketingové e-maily existujúcim zákazníkom o vlastných obdobných produktoch alebo službách. Podmienkou je, že prevádzkovateľ získal kontaktné údaje pri predchádzajúcom predaji tovaru alebo poskytnutí služby, marketing sa týka len obdobných produktov alebo služieb prevádzkovateľa, a zákazník mal jednoznačnú a bezplatnú možnosť odmietnuť (opt-out) takéto použitie kontaktu už pri zbere údajov a v každom následnom e-maile. Tento režim je zakotvený v § 116 zákona č. 452/2021 Z. z. v spojení s čl. 13 ods. 2 smernice 2002/58/ES.

Je retargeting povolený podľa GDPR?

Retargeting je povolený za predpokladu, že prevádzkovateľ disponuje primeraným právnym titulom a dodrží zásady GDPR. Pri retargetingu s použitím tracking cookies sa typicky vyžaduje súhlas podľa § 116 zákona č. 452/2021 Z. z. a čl. 6 ods. 1 písm. a) GDPR. Niektoré modely (segmentačná analýza bez automatizovaného rozhodovania) môžu byť postavené aj na oprávnenom záujme podľa čl. 6 ods. 1 písm. f) GDPR — v takom prípade je nutné vykonať balancing test a dotknutej osobe ponúknuť právo namietať podľa čl. 21 ods. 2 GDPR (absolútne právo voči priamemu marketingu). Pri profilovaní s automatizovaným rozhodovaním sa uplatňuje aj čl. 22 GDPR.

Kedy je e-shop povinný vykonať DPIA?

Posúdenie vplyvu na ochranu údajov (DPIA) je podľa čl. 35 GDPR povinné pri spracúvaní, ktoré pravdepodobne predstavuje vysoké riziko pre práva a slobody fyzických osôb, najmä pri systematickom a rozsiahlom vyhodnocovaní osobných aspektov založenom na automatizovanom spracúvaní (profilovanie), pri rozsiahlom spracúvaní osobitných kategórií údajov alebo údajov o trestných činoch a pri systematickom monitorovaní verejných priestorov vo veľkom rozsahu. ÚOOÚ SR zverejňuje zoznam operácií, pri ktorých sa DPIA vyžaduje. Pri komplexných marketingových profilovacích systémoch je DPIA spravidla potrebné.

Aké práva má dotknutá osoba podľa GDPR?

GDPR priznáva dotknutej osobe v článkoch 15 — 22 niekoľko práv: právo na prístup k osobným údajom (čl. 15), právo na opravu (čl. 16), právo na výmaz, tzv. právo byť zabudnutý (čl. 17), právo na obmedzenie spracúvania (čl. 18), právo na oznámenie opravy, výmazu alebo obmedzenia tretím stranám (čl. 19), právo na prenosnosť údajov (čl. 20), právo namietať (čl. 21), právo nepodliehať rozhodovaniu založenému výlučne na automatizovanom spracúvaní vrátane profilovania, ktoré má právne účinky alebo podobne významný vplyv (čl. 22). Pri priamom marketingu má dotknutá osoba absolútne právo namietať podľa čl. 21 ods. 2 GDPR.

Aké sú maximálne pokuty za porušenie GDPR?

GDPR v článku 83 stanovuje dva sankčné stupne. Nižší stupeň (čl. 83 ods. 4) sa uplatňuje pri menej závažných porušeniach, vyšší stupeň (čl. 83 ods. 5) pri závažnejších porušeniach, najmä pri porušení zásad spracúvania, právnych základov, práv dotknutých osôb alebo cezhraničných prenosov. Pri ukladaní pokuty sa zohľadňujú kritériá uvedené v čl. 83 ods. 2 GDPR — povaha, závažnosť a trvanie porušenia, kategórie dotknutých osobných údajov, kroky prijaté na zmiernenie škody a iné okolnosti. Konkrétna výška pokuty sa určuje v zákonom stanovenej výške s ohľadom na tieto kritériá.

Akú dobu môže e-shop uchovávať osobné údaje zákazníkov?

Doba uchovávania osobných údajov závisí od účelu spracúvania a od zákonných povinností. Pri údajoch na plnenie zmluvy a fakturácii sa primárne uplatňujú zákonné lehoty — najmä archivácia účtovných dokladov 10 rokov podľa zákona č. 431/2002 Z. z. a daňových dokladov podľa zákona o DPH. Pri marketingových údajoch sa uchovávajú spravidla do odvolania súhlasu alebo do uplynutia primeraného obdobia neaktivity. Pri obhajobe právnych nárokov sa uchovávanie viaže na premlčacie lehoty podľa § 100 a nasl. OZ. Doba uchovávania musí byť explicitne uvedená v zásadách ochrany osobných údajov v zmysle čl. 13 ods. 2 písm. a) GDPR.

Potrebuje slovenský e-shop určiť DPO?

Povinnosť určiť zodpovednú osobu (DPO) je upravená v čl. 37 GDPR a § 44 zákona č. 18/2018 Z. z. Pre súkromný sektor sa DPO musí určiť, ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracúvateľské operácie, ktoré vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo spracúvanie osobitných kategórií údajov či údajov o trestných činoch vo veľkom rozsahu. Pre väčšinu malých a stredných slovenských e-shopov nie je DPO povinné. Pri komplexnejších modeloch (rozsiahly profilovací marketing, spracúvanie osobitných kategórií údajov) môže byť určenie DPO povinné — pri pochybnosti odporúčame individuálnu právnu konzultáciu.

GDPR pre e-shop 2026 — cookies, newsletter, retargeting a marketing emaily

Publikované: 11. mája 2026 | Aktualizované: 11. mája 2026 | Kategória: E-commerce právo | Autor: JUDr. Branislav Samec · Advokát, zakladateľ

Tento článok má výlučne informatívny charakter a nepredstavuje právnu radu ani záväzné právne stanovisko. Jeho obsahom je zhrnutie verejne dostupných informácií, pričom aktuálnosť, úplnosť ani správnosť uvedených informácií nie je zaručená. Prečítaním tohto článku nevzniká vzťah advokát – klient. Odporúčame nekonať na základe tohto článku bez konzultácie s advokátom, ktorý posúdi Vašu konkrétnu situáciu. Neváhajte sa obrátiť na našu advokátsku kanceláriu.

Slovenský e-shop v roku 2026 spracúva pri svojej činnosti široké spektrum osobných údajov — kontaktné údaje zákazníkov pri objednávke, dodacie adresy, platobné údaje, údaje o nákupnom správaní z analytických a marketingových cookies, údaje o predplatiteľoch newslettera, údaje o profiloch v zákazníckom účte. Pre každú z týchto kategórií platí Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov, pri elektronickej komunikácii a cookies aj § 116 zákona č. 452/2021 Z. z. o elektronických komunikáciách. Tento článok systematicky rozoberá zákonné tituly podľa čl. 6 GDPR, cookie consent banner, opt-in pri newslettri, retargeting, DPIA podľa čl. 35, práva dotknutých osôb a sankcie ÚOOÚ SR. Pre širší kontext pokračujte na pilier e-commerce právo a pre detail marketingových povinností na sub-hub GDPR pre e-shop a marketing.

Právny rámec GDPR pre slovenský e-shop

Ochrana osobných údajov pri prevádzkovaní e-shopu sa riadi viacvrstvovým právnym rámcom, ktorý kombinuje priamo uplatniteľné nariadenia EÚ, slovenské zákony a sektorové predpisy.

Predpis	Obsah	Vzťah k e-shopu
Nariadenie (EÚ) 2016/679 (GDPR)	Všeobecné nariadenie o ochrane údajov	Primárny rámec spracúvania osobných údajov
Zákon č. 18/2018 Z. z.	Slovenský vykonávací zákon ku GDPR	Procesné a sankčné pravidlá ÚOOÚ SR
Zákon č. 452/2021 Z. z., § 116	Cookies, marketingová elektronická komunikácia	Cookie banner, opt-in pri newslettri, soft opt-in
Smernica 2002/58/ES (ePrivacy)	EÚ smernica o ochrane súkromia v elektronických komunikáciách	Transponovaná do § 116 zákona č. 452/2021 Z. z.
Zákon č. 102/2014 Z. z.	Predzmluvné informačné povinnosti	Informácie o spracúvaní pri uzavretí zmluvy
Zákon č. 431/2002 Z. z.	Účtovníctvo a archivácia	10-ročná archivácia účtovných dokladov
Občiansky zákonník č. 40/1964 Zb.	Premlčacie lehoty, ochrana osobnosti	Doba uchovávania pri obhajobe nárokov

GDPR sa uplatňuje na každého slovenského prevádzkovateľa e-shopu bez ohľadu na veľkosť — od jednoosobového e-shopu predávajúceho ručne vyrobené šperky až po veľký marketplace. Špecifické povinnosti (DPIA, DPO, register spracovateľských činností) sa odvíjajú od rozsahu a charakteru spracúvania.

Čl. 6 GDPR — zákonné tituly spracúvania

Každé spracúvanie osobných údajov musí mať zákonný titul (právny základ) podľa čl. 6 ods. 1 GDPR. Pri e-shope sa najčastejšie uplatňujú nasledujúce právne základy:

Účel spracúvania	Právny základ podľa čl. 6 ods. 1 GDPR	Príklad
Uzavretie a plnenie kúpnej zmluvy	Písm. b) — plnenie zmluvy	Údaje pre dodanie tovaru, kontakt pre status objednávky
Fakturácia, účtovníctvo	Písm. c) — plnenie zákonnej povinnosti	Faktúry, archivácia 10 rokov podľa z. č. 431/2002 Z. z.
Marketing — newsletter	Písm. a) — súhlas	Pravidelný newsletter s ponukami
Soft opt-in pri existujúcich zákazníkoch	§ 116 z. č. 452/2021 Z. z. + čl. 13 ods. 2 smernice 2002/58/ES	Marketing podobných produktov s opt-out
Tracking a retargeting cookies	Písm. a) — súhlas (čl. 5 ePrivacy)	Google Ads remarketing, Meta Pixel
Analytické cookies non-essential	Písm. a) — súhlas	Google Analytics 4
Technicky nevyhnutné cookies	Bez súhlasu (čl. 5 ods. 3 ePrivacy)	Session, košík, login
Vymáhanie pohľadávok, obhajoba nárokov	Písm. f) — oprávnený záujem	Údaje pre predžalobnú výzvu, súdne konanie
Predchádzanie podvodom	Písm. f) — oprávnený záujem	Detekcia podvodných objednávok
Plnenie právnych povinností (AML, GDPR breach)	Písm. c) — plnenie zákonnej povinnosti	Notifikácia ÚOOÚ pri porušení ochrany údajov

Pri voľbe právneho základu platí, že pre jedno spracúvanie sa volí jeden primárny právny základ. „Súhlas" nie je univerzálny právny základ — naopak, pri spracúvaní, ktoré je nevyhnutné na plnenie zmluvy alebo zákona, je nesprávne žiadať od dotknutej osoby súhlas. Vyžadovanie „falošného" súhlasu pri spracovaní, ktoré aj tak musí prebehnúť, by mohlo viesť k záveru, že súhlas nie je dobrovoľný.

Cookie consent banner je v slovenskej regulácii zakotvený najmä v § 116 zákona č. 452/2021 Z. z. o elektronických komunikáciách, ktorý je transpozíciou čl. 5 ods. 3 smernice 2002/58/ES (ePrivacy smernica). Podľa § 116 môže prevádzkovateľ uložiť informácie do koncového zariadenia používateľa alebo získať k nim prístup len so súhlasom používateľa, ktorý musí byť informovaný a špecifický.

Z požiadaviek § 116 a čl. 7 GDPR vyplývajú nasledujúce technické a obsahové parametre platného cookie banneru:

Opt-in mechanizmus — žiadne predzaškrtnuté súhlasy; používateľ aktívne zaškrtne alebo klikne na „Prijať",
Rovnocenné možnosti — tlačidlo „Prijať všetko" a „Odmietnuť všetko" musia byť rovnocenne dostupné; nesmie byť navrhnuté tak, aby používateľa nutilo súhlasiť (dark patterns sú neakceptovateľné),
Granulárny súhlas — možnosť oddelene udeliť alebo neudeliť súhlas pre jednotlivé kategórie (analytické, marketingové, sociálne siete, ďalšie),
Informovanosť pred súhlasom — banner musí obsahovať informáciu o účeloch jednotlivých kategórií cookies, doby uchovávania, prijímateľov tretích strán,
Cookies sa neukladajú pred súhlasom — žiadne non-essential cookies nesmú byť nastavené pred jednoznačným súhlasom (s výnimkou striktne technicky nevyhnutných),
Odvolateľnosť — používateľ musí mať možnosť kedykoľvek súhlas odvolať s rovnakou jednoduchosťou (čl. 7 ods. 3 GDPR),
Dôkaz o súhlase — prevádzkovateľ musí preukázať platnosť súhlasu (čl. 7 ods. 1 GDPR), čo sa typicky rieši logmi consent management platformy.

Z hľadiska technicky nevyhnutných cookies sa súhlas nevyžaduje. Sú to napríklad session cookies pre prihlásenie, cookies obsahujúce obsah košíka, cookies pre vyrovnávanie záťaže servera alebo cookies pre prevenciu CSRF útokov. Tieto cookies sú nevyhnutné pre poskytnutie služby, ktorú si používateľ výslovne vyžiadal. Ostatné cookies — analytické (GA4, Hotjar), marketingové (Google Ads, Meta Pixel, TikTok Pixel), sociálne (Facebook Connect tracking) — vyžadujú súhlas.

Pri zasielaní marketingových e-mailových správ (newsletterov) sa kumulujú dve regulačné vrstvy: GDPR ako rámec spracúvania osobných údajov a § 116 zákona č. 452/2021 Z. z. (resp. čl. 13 smernice 2002/58/ES) ako pravidlá pre nevyžiadanú elektronickú komunikáciu.

Plný opt-in režim

Plný opt-in režim je primárny prípad — vyžaduje sa výslovný, slobodný, informovaný a špecifický súhlas dotknutej osoby pred prvým zaslaním marketingového e-mailu. Prakticky:

Návštevník zadá svoju e-mailovú adresu do prihlasovacieho formulára na webe.
Aktívne zaškrtne nezaškrtnutý checkbox „Súhlasím so zasielaním newslettera" s odkazom na zásady ochrany osobných údajov.
Systém zašle potvrdzovací e-mail s overovacím odkazom (tzv. double opt-in).
Po kliknutí na overovací odkaz je e-mailová adresa potvrdená a uložená do databázy s časovou pečiatkou.
Od tohto okamihu môže prevádzkovateľ zasielať marketingové e-maily.
Každý e-mail musí obsahovať jednoduchý odhlasovací odkaz (opt-out).

Double opt-in nie je pre slovenské e-shopy zákonne povinný, ale je silne odporúčaný — slúži ako dôkaz o platnom súhlase a chráni prevádzkovateľa pri kontrolách ÚOOÚ SR alebo pri sťažnostiach.

Soft opt-in pri existujúcich zákazníkoch

Soft opt-in je výnimka z plného opt-in režimu, ktorá umožňuje zasielať marketing existujúcim zákazníkom bez ich predchádzajúceho výslovného súhlasu. Podmienkou sú kumulatívne:

Kontaktné údaje boli získané pri predchádzajúcom predaji tovaru alebo poskytnutí služby tej istej osoby,
Marketing sa týka obdobných produktov alebo služieb ako tých, ktoré si zákazník už zakúpil — nie nesúvisiacich kategórií,
Zákazník mal pri zbere údajov (objednávke) jednoznačnú a bezplatnú možnosť odmietnuť takéto použitie kontaktu (opt-out),
Každý ďalší marketingový e-mail obsahuje rovnakú možnosť odmietnutia (jednoduchý odhlasovací odkaz).

Soft opt-in má svoje obmedzenia. Po prvé, neuplatňuje sa pri tzv. studených kontaktoch (osoby, ktoré ešte nič nekúpili). Po druhé, neuplatňuje sa pri produktoch, ktoré nie sú obdobné — napríklad e-shop predávajúci oblečenie nemôže pod soft opt-in zasielať marketing finančných služieb. Po tretie, pri rozšírení účelu (napríklad zasielanie tretím stranám alebo profilovanie) sa vyžaduje plný opt-in.

Retargeting a profilovanie pre marketing

Retargeting (znova oslovovanie návštevníkov webu cez marketingové platformy) je z hľadiska GDPR a ePrivacy citlivá oblasť, pretože kombinuje sledovanie pomocou tracking cookies, prenos údajov tretím stranám (typicky Google, Meta) a v niektorých prípadoch automatizované profilovanie.

Právny základ retargetingu

Pri retargetingu s použitím tracking cookies sa kumulujú dva právne základy:

Súhlas podľa § 116 zákona č. 452/2021 Z. z. — pre samotné nastavenie tracking cookies do koncového zariadenia,
Právny základ pre následné spracúvanie podľa GDPR — pri tomto následnom spracúvaní môže byť právnym základom buď čl. 6 ods. 1 písm. a) GDPR (súhlas) alebo čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem) — v praxi sa najčastejšie volí súhlas, ktorý je súčasne súhlasom pre cookies.

Pri voľbe oprávneného záujmu (čl. 6 ods. 1 písm. f) GDPR) je prevádzkovateľ povinný vykonať balancing test — porovnať svoj oprávnený záujem s právami a slobodami dotknutej osoby. Pri rozsiahlom profilovaní pre marketingové účely je výsledok balancing testu spravidla v prospech dotknutej osoby, takže oprávnený záujem nie je vhodným základom — odporúča sa súhlas.

Čl. 21 ods. 2 GDPR — absolútne právo namietať

Aj pri retargetingu postavenom na oprávnenom záujme má dotknutá osoba podľa čl. 21 ods. 2 GDPR absolútne právo namietať voči spracúvaniu na účely priameho marketingu, vrátane profilovania. Po namietnutí sa osobné údaje nesmú ďalej na tieto účely spracúvať (čl. 21 ods. 3 GDPR). Toto právo nie je možné obmedziť ani uplatniť výnimku — preto musí prevádzkovateľ vždy zabezpečiť jednoduchý opt-out mechanizmus.

Čl. 22 GDPR — automatizované rozhodovanie a profilovanie

Pri retargetingu s automatizovaným rozhodovaním môže byť relevantný aj čl. 22 GDPR. Doslovné znenie čl. 22 ods. 1 GDPR:

„Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú."

Pre väčšinu klasického retargetingu sa čl. 22 GDPR neuplatňuje — zobrazenie cielenej reklamy nepredstavuje rozhodnutie s právnymi účinkami ani podobne významným vplyvom. Pri pokročilých modeloch (napríklad dynamické cenotvorba podľa profilu používateľa) však môže byť čl. 22 relevantný a vyžaduje sa právny základ podľa čl. 22 ods. 2 GDPR a primerané záruky vrátane práva na ľudský zásah.

DPIA — posúdenie vplyvu na ochranu údajov podľa čl. 35 GDPR

Pri vysokorizikovom spracúvaní je prevádzkovateľ podľa čl. 35 GDPR povinný vykonať posúdenie vplyvu na ochranu údajov (DPIA — Data Protection Impact Assessment). Pre slovenské e-shopy je DPIA spravidla potrebné pri:

Rozsiahlom profilovaní zákazníkov pre marketingové účely (segmentácia, dynamický pricing),
Spracúvaní osobitných kategórií údajov vo veľkom rozsahu (zdravotnícke e-shopy, údaje o zdravotnom stave),
Systematickom monitoringu (napríklad CCTV pri stacionárnej predajni),
Cezhraničných prenosoch údajov do tretích krajín bez primeranej úrovne ochrany,
Pri novo zavádzaných technológiách (AI-based scoring, biometrická autentifikácia).

DPIA obsahuje minimálne (čl. 35 ods. 7 GDPR):

Systematický opis plánovaných spracovateľských operácií a účelov spracúvania, vrátane oprávneného záujmu, ak ho prevádzkovateľ uplatňuje,
Posúdenie nevyhnutnosti a primeranosti spracovateľských operácií vo vzťahu k účelom,
Posúdenie rizík pre práva a slobody dotknutých osôb,
Opatrenia na zmiernenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany údajov.

ÚOOÚ SR zverejňuje zoznam operácií, pri ktorých sa DPIA vyžaduje, a usmernenia pre prevádzkovateľov. Pri vysokorizikovom spracúvaní, ktoré po opatreniach naďalej predstavuje vysoké riziko, je prevádzkovateľ povinný pred začatím spracúvania konzultovať s ÚOOÚ SR podľa čl. 36 GDPR (predbežná konzultácia).

Práva dotknutých osôb — čl. 15 — 22 GDPR

GDPR priznáva dotknutej osobe nasledujúce práva v článkoch 15 — 22. Pre e-shop sú relevantné všetky a prevádzkovateľ musí mať procesy a kapacity na ich uplatnenie do zákonných lehôt (jeden mesiac, s možnosťou predĺženia o dva mesiace pri komplexnosti, čl. 12 ods. 3 GDPR).

Právo	Článok GDPR	Praktický dopad na e-shop
Právo na prístup	Čl. 15	Vydanie kópie všetkých údajov dotknutej osoby vrátane účelov, prijímateľov a doby uchovávania
Právo na opravu	Čl. 16	Oprava nepresných údajov bez zbytočného odkladu
Právo na výmaz	Čl. 17	Výmaz, ak údaje nie sú potrebné, súhlas bol odvolaný, dotknutá osoba namieta, údaje boli spracúvané protiprávne
Právo na obmedzenie	Čl. 18	Pozastavenie spracúvania pri spornej správnosti údajov alebo pri prebiehajúcom posúdení
Právo na oznámenie	Čl. 19	Oznámenie opravy, výmazu alebo obmedzenia prijímateľom
Právo na prenosnosť	Čl. 20	Vydanie údajov v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte
Právo namietať	Čl. 21	Pri priamom marketingu absolútne; pri oprávnenom záujme po balancing teste
Právo nepodliehať automatizovanému rozhodovaniu	Čl. 22	Pri rozhodnutiach s právnymi účinkami alebo podobne významným vplyvom

Pri uplatnení práva dotknutej osoby je prevádzkovateľ povinný odpovedať bezplatne (čl. 12 ods. 5 GDPR), s výnimkou zjavne neopodstatnených alebo neprimeraných žiadostí. Zachovanie procesov reagovania je v praxi jedným z najtypickejších kontrolných bodov ÚOOÚ SR.

Cezhraničné prenosy — Google, Meta a USA

Pri používaní marketingových platforiem so sídlom v USA (Google Ads, Google Analytics 4, Meta Ads, TikTok Ads) ide o cezhraničný prenos osobných údajov do tretej krajiny. Tieto prenosy sa riadia kapitolou V GDPR (čl. 44 — 50).

Po prijatí rozhodnutia Európskej komisie o primeranosti pre USA z roku 2023 (EU-US Data Privacy Framework) je možné využiť mechanizmus certifikovaných organizácií podľa rozhodnutia o primeranosti (čl. 45 GDPR). Pri organizáciách, ktoré nie sú certifikované, sa naďalej uplatňujú štandardné zmluvné doložky (SCC) podľa čl. 46 ods. 2 písm. c) GDPR a v praxi aj posúdenie vplyvu prenosu (TIA — Transfer Impact Assessment) vyžadované na základe judikatúry Schrems II (rozsudok Súdneho dvora EÚ vo veci C-311/18).

Pri integrácii marketingových nástrojov do e-shopu odporúčame:

Overiť, či poskytovateľ je certifikovaný podľa EU-US Data Privacy Framework,
Zabezpečiť uzavretie SCC alebo iného mechanizmu podľa čl. 46 GDPR pri nepotrebných certifikáciách,
Doplniť zásady ochrany osobných údajov o informáciu o prenose podľa čl. 13 ods. 1 písm. f) GDPR,
Pri vysokorizikových prenosoch vykonať TIA.

Register spracovateľských činností a dokumentácia

Prevádzkovateľ je podľa čl. 30 GDPR povinný viesť záznam o spracovateľských činnostiach. Pre menšie podniky platí čiastočná výnimka, ak spracúvanie nepredstavuje pravdepodobne riziko pre dotknuté osoby, je príležitostné alebo sa netýka osobitných kategórií údajov — túto výnimku však väčšina e-shopov nesplní, pretože spracúvanie údajov zákazníkov je systematické.

Záznam musí obsahovať najmä:

Meno a kontaktné údaje prevádzkovateľa a DPO (ak je),
Účely spracúvania,
Kategórie dotknutých osôb a osobných údajov,
Kategórie prijímateľov,
Prenosy do tretích krajín a primerané záruky,
Predpokladané lehoty výmazu,
Všeobecný opis technických a organizačných bezpečnostných opatrení (čl. 32 GDPR).

Záznam je interný dokument, ale ÚOOÚ SR môže pri kontrole požiadať o jeho predloženie. Popri zázname je súčasťou minimálnej GDPR dokumentácie aj zásady ochrany osobných údajov publikované na webe (informačná povinnosť podľa čl. 13 GDPR), vnútorné pravidlá ochrany údajov, záznamy o súhlasoch, záznamy o porušeniach a zmluvy so sprostredkovateľmi podľa čl. 28 GDPR.

Sankcie ÚOOÚ SR a § 83 GDPR

Dohľad nad dodržiavaním GDPR a zákona č. 18/2018 Z. z. vykonáva Úrad na ochranu osobných údajov Slovenskej republiky (ÚOOÚ SR). Sankcie sú upravené v čl. 83 GDPR a v zákone č. 18/2018 Z. z. Sankčný režim je dvojstupňový:

Nižší sankčný stupeň podľa čl. 83 ods. 4 GDPR — pri porušení povinností prevádzkovateľa a sprostredkovateľa (čl. 8, 11, 25 — 39, 42, 43), povinností certifikačného subjektu (čl. 42, 43) a povinností monitorovacieho subjektu (čl. 41 ods. 4),
Vyšší sankčný stupeň podľa čl. 83 ods. 5 GDPR — pri porušení základných zásad spracúvania (čl. 5, 6, 7, 9), práv dotknutých osôb (čl. 12 — 22), prenosov do tretích krajín (čl. 44 — 49) a nezohľadnení záväzných rozhodnutí dozorného úradu.

Pri ukladaní pokuty sa zohľadňujú kritériá z čl. 83 ods. 2 GDPR — povaha, závažnosť a trvanie porušenia, počet dotknutých osôb, úmyselný alebo nedbanlivostný charakter, opatrenia na zmiernenie škody, miera spolupráce s úradom, kategórie dotknutých údajov, predchádzajúce porušenia, dodržiavanie kódexov správania a iné okolnosti. Konkrétna výška pokuty sa určuje v zákonom stanovenej výške s ohľadom na tieto kritériá.

Popri sankcii ÚOOÚ SR môže dotknutá osoba uplatniť aj občianskoprávne nároky:

Náhrada materiálnej a nemateriálnej škody podľa čl. 82 GDPR,
Ochrana osobnosti podľa § 11 a nasl. OZ,
Vydanie bezdôvodného obohatenia podľa § 451 OZ pri spracúvaní bez právneho titulu.

Pri závažných porušeniach a opakovaných sťažnostiach môže ÚOOÚ SR uložiť aj iné nápravné opatrenia podľa čl. 58 GDPR — upozornenie, napomenutie, dočasné alebo trvalé obmedzenie spracúvania, zákaz spracúvania, výmaz údajov.

Záver — GDPR ako súčasť e-commerce compliance

GDPR a súvisiace predpisy tvoria pre slovenský e-shop v roku 2026 nevyhnutnú vrstvu compliance, ktorá ide ruka v ruke so spotrebiteľskou ochranou. Pri prevádzkovaní e-shopu musí prevádzkovateľ pri každom účele spracúvania zvoliť správny zákonný titul podľa čl. 6 GDPR, pre cookies a marketingovú elektronickú komunikáciu rešpektovať § 116 zákona č. 452/2021 Z. z., zabezpečiť riadne práva dotknutých osôb a v relevantných prípadoch vykonať DPIA podľa čl. 35 GDPR.

Najfrekventovanejšie chyby slovenských e-shopov v GDPR oblasti zahŕňajú predzaškrtnuté cookie súhlasy, chýbajúce alebo neúplné zásady ochrany osobných údajov, neoddelený súhlas s VOP a marketingom, nesprávny právny titul pre retargeting a nedostatočne dokumentované soft opt-in postupy. Tieto chyby predstavujú riziko sankcie zo strany ÚOOÚ SR a občianskoprávnych nárokov dotknutých osôb.

Pri tvorbe alebo audite GDPR dokumentácie pre e-shop odporúčame individuálnu právnu konzultáciu, ktorá zachytí špecifiká konkrétneho obchodného modelu, marketingových integrácií a cezhraničných prenosov. Pre širší kontext pokračujte na pilier e-commerce právo, pre detail VOP na článok VOP pre e-shop 2026, pre reklamačné konanie na článok reklamácie v e-shope, pre marketplaceové modely na sub-hub marketplace právo a pre cezhraničné aspekty na sub-hub cezhraničný predaj EÚ. Konkrétny GDPR audit vášho e-shopu si môžete dohodnúť cez vstupnú konzultáciu.

Tagy: GDPRcookiesnewslettermarketinge-shop