Povinné účty e commerce

Online nakupování se už dávno neobejde bez sběru osobních údajů, ale poslední doporučení EDPB 2/2025 staví povinnou registraci uživatelských účtů do nového světla. Pro malé a střední firmy to znamená, že způsob, jakým organizují objednávkový proces, má přímý dopad na zákonnost jejich činnosti a na bezpečnost dat zákazníků. Doporučení jasně říkají, že automatické nucení k založení účtu u běžných jednorázových nákupů není obhajitelné, a nabádají k nabídce alternativy – nákupu bez registrace v režimu hosta.

Správci e-shopů často argumentují bezpečností, lepší zákaznickou zkušeností či možností marketingu, ale EDPB upozorňuje, že taková očekávání zákazníků musí být realistická. Pokud si klient objednává jeden produkt, neočekává, že bude nutně založen profil, který uchovává jeho osobní údaje déle než nezbytně nutná doba pro doručení a vyřízení reklamace. Dlouhodobé účty vytvářejí tzv. „logged-in environments“, kde se uživatel systematicky identifikuje při každém kroku – od prohlížení katalogu přes sledování objednávky až po využití doplňkových funkcí. To automaticky zvyšuje riziko zneužití dat a požaduje robustní technické i organizační zajištění.

Z právního hlediska je klíčové, že samotné založení účtu není účelem zpracování, nýbrž prostředkem k plnění konkrétní smlouvy nebo jiné povinnosti. EDPB proto rozlišuje tři hlavní právní základny: plnění smlouvy (čl. 6 odst. 1 písm. b GDPR), splnění právní povinnosti (čl. 6 odst. 1 písm. c GDPR) a oprávněný zájem (čl. 6 odst. 1 písm. f GDPR). V případě jednorázového nákupu lze všechny tyto základy použít jen omezeně. Pro splnění smlouvy je často dostačující získat jméno, adresu a kontaktní údaje přímo v objednávkovém formuláři a komunikovat přes jednorázové odkazy nebo e-mail. Uchovávání trvalého profilu s dalšími údaji není nezbytné. Podobně splnění právní povinnosti se vztahuje spíše na archivaci dokladů, nikoli na vedení aktivního účtu. Oprávněný zájem vyžaduje aplikaci balančního testu – i zde EDPB doporučuje zvážit, zda není dostupné méně invazivní řešení, které splní účel stejně účinně.

Z praktického pohledu SME, které provozují e-shop, čekají několik zásadních kroků. V první řadě je potřeba přehodnotit, kdy účet skutečně vyžadovat a kdy nabídnout nákup bez registrace. Model „guest mode“ umožňuje omezit zpracování dat na nezbytné pro transakci, nastavuje přiměřenou dobu uchování a snižuje riziko zneužití. Pokud účet existuje, musí být jasně oddělen od marketingových funkcí, personalizace a věrnostních programů – pro každý účel zpracování je nutný vlastní právní základ a transparentní informace pro zákazníka.

Technická opatření jsou stejně důležitá jako právní. EDPB upozorňuje na slabá hesla, opakované používání přístupů a nedostatečné procesy obnovy dat. SME by měly zavést dvoufaktorovou autentizaci, zabezpečit zálohy a pravidelně prověřovat přístupová oprávnění. Uchovávání „osiřelých účtů“ nebo dat po skončení smluvního vztahu zvyšuje riziko, a proto je nutné nastavit jasný proces výmazu nebo anonymizace.

Z hlediska compliance doporučení EDPB znamenají, že povinné účty u jednorázových transakcí budou pravděpodobně předmětem kontrol dozorových orgánů. Naopak dobrovolná registrace, pokud přináší přidanou hodnotu a je oddělena od základní transakce, zůstává legitimní. Firmy, které procesy nepřizpůsobí, riskují nejen pokuty, ale i reputační škody – zejména pokud zákazníci zjistí, že jejich data jsou zpracovávána bez skutečné nezbytnosti.

Pro SME se tak otevírá jasný směr: nastavovat e-commerce platformy s důrazem na minimální zásah do osobních údajů, umožnit nákup bez registrace a používat účty pouze tam, kde mají skutečnou přidanou hodnotu. Správně implementovaný „guest mode“ a oddělení marketingových funkcí od samotného nákupu nejen snižují právní riziko, ale zároveň zvyšují důvěru zákazníků a mohou být konkurenční výhodou.

V důsledku toho EDPB 2/2025 představuje významný signál pro e-shopy: povinná registrace je výjimkou, nikoli pravidlem, a správce musí vždy vyhodnocovat, zda je její zřízení nezbytné, přiměřené a bezpečné. Firmy, které tento princip přejmou, nejen chrání zákazníky, ale zároveň snižují potenciální expozici vůči regulatorní kontrole a reputačním rizikům.

Celkově se posun směřuje k jasnému rozlišení mezi nezbytnými účty pro služby s opakovanou interakcí a jednorázovými nákupy, kde volba hosta zůstává nejbezpečnější a nejpraktičtější cestou.