Začnime faktom, ktorý prekvapí väčšinu nakupujúcich: ak vám e-shop pri objednávke vopred „zaškrtol" políčko so súhlasom na zasielanie reklamy, taký súhlas je podľa nariadenia GDPR neplatný — a Úrad na ochranu osobných údajov SR (ÚOOÚ) zaň slovenskému obchodu reálne udelil pokutu. Inými slovami, nemusíte byť viazaní „súhlasom", ktorý ste nikdy aktívne nedali. GDPR práva pri nakupovaní online sú pritom oveľa širšie, než len odhlásenie z newslettra: máte ich deväť a e-shop musí na vašu žiadosť spravidla odpovedať do jedného mesiaca.
Akých deväť práv máte podľa GDPR pri nákupe v e-shope
Úrad na ochranu osobných údajov SR uvádza deväť práv dotknutej osoby: prístup k údajom (čl. 15), oprava (čl. 16), výmaz alebo „právo na zabudnutie" (čl. 17), obmedzenie spracúvania (čl. 18), prenosnosť (čl. 20), namietanie (čl. 21), ochrana pred automatizovaným rozhodovaním (čl. 22), odvolanie súhlasu (čl. 7) a právo podať sťažnosť na úrad.
Keď zadáte objednávku, e-shop sa stáva takzvaným prevádzkovateľom — niekým, kto rozhoduje o tom, ako sa s vašimi údajmi nakladá. Voči nemu máte podľa ÚOOÚ SR deväť konkrétnych práv. Najčastejšie využijete štyri z nich: prístup (čo o mne viete?), opravu (zmenili sa mi údaje), výmaz (už u vás nechcem byť) a namietanie proti marketingu.
Tieto práva nie sú len európska teória — sú zakotvené aj v slovenskom zákone č. 18/2018 Z. z. o ochrane osobných údajov, ktorý GDPR dopĺňa o domáce detaily. Niektoré práva sú absolútne (proti priamemu marketingu môžete namietať vždy), iné majú hranice: výmaz nemôžete žiadať tam, kde má obchod zákonnú povinnosť údaje uchovať.
Do akej lehoty musí e-shop odpovedať na vašu žiadosť
E-shop musí na žiadosť o uplatnenie práva odpovedať bez zbytočného odkladu, najneskôr do jedného mesiaca. Pri zložitých alebo viacerých žiadostiach môže lehotu predĺžiť o ďalšie dva mesiace, no musí vás o tom informovať. Prvé poskytnutie kópie vašich údajov je podľa čl. 12 a čl. 15 GDPR bezplatné.
Jeden mesiac je pevná lehota, nie odporúčanie. Ak vám obchod do mesiaca neodpovie ani nevysvetlí predĺženie, porušuje GDPR. Predĺženie o dva mesiace je výnimka pre naozaj náročné prípady (napríklad keď máte u obchodu rozsiahlu históriu), a aj vtedy vás musí o predĺžení a jeho dôvode upozorniť ešte v rámci pôvodného mesiaca.
Dôležitý detail, na ktorý sa zabúda: prvá kópia údajov je zadarmo. Obchod si môže účtovať primeraný poplatok len za ďalšie kópie alebo za zjavne neopodstatnené a opakované žiadosti — nie za prvé, riadne podané uplatnenie práva.
Ako požiadať e-shop o prístup alebo výmaz údajov
Žiadosť stačí poslať e-mailom: identifikujte sa (napríklad číslom objednávky), uveďte, ktoré právo si uplatňujete, a citujte príslušný článok GDPR. Forma nie je predpísaná, no písomná je dôkazne lepšia. E-shop má odpovedať do jedného mesiaca a prvú kópiu poskytnúť bezplatne.
GDPR nepredpisuje žiadny formulár. Žiadosť môže byť aj ústna, ale e-mail alebo list je rozumnejší — máte dôkaz, kedy ste ju poslali. Vetu môžete zostaviť doslova takto: „Podľa článku 15 GDPR si uplatňujem právo na prístup k svojim osobným údajom" alebo „Podľa článku 17 GDPR žiadam o výmaz svojich osobných údajov."
- Nájdite kontakt na ochranu údajov v pätičke e-shopu.
- Identifikujte sa číslom objednávky alebo prihlasovacím e-mailom.
- Uveďte, ktoré právo si uplatňujete, a citujte článok GDPR.
- Pošlite žiadosť e-mailom kvôli dôkazu.
- Ak obchod do mesiaca neodpovie, podajte sťažnosť na ÚOOÚ SR.
E-shop si môže primerane overiť, že žiadateľom ste naozaj vy — nesmie však pri tom vyžadovať viac údajov, než je nevyhnutné. Stačí, aby vás dokázal spoľahlivo priradiť k objednávke.
Súhlas, cookies a marketing: kedy ho e-shop potrebuje
Na vybavenie objednávky a doručenie tovaru e-shop súhlas nepotrebuje — právnym základom je plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR). Súhlas potrebuje až na ďalšie účely, ako je newsletter či marketingové profilovanie. Súhlas môžete kedykoľvek odvolať rovnako jednoducho, ako ste ho dali (čl. 7 ods. 3).
Tu vzniká najčastejší omyl. Mnohí si myslia, že na akékoľvek spracovanie ich údajov musel e-shop dostať súhlas. Nie je to tak: meno, adresu, telefón a e-mail obchod spracúva na základe zmluvy, ktorú s ním uzatvárate kúpou — bez súhlasu, no len na vybavenie objednávky, dodanie a reklamáciu. Súhlas je potrebný až na newsletter alebo cielenú reklamu.
Pri priamom marketingu máte navyše silné právo: podľa čl. 21 ods. 2 GDPR môžete kedykoľvek namietať a obchod vám reklamu musí prestať posielať — bez zvažovania jeho „oprávnených záujmov". E-mailový newsletter musí obsahovať odhlásenie na jeden klik.
Samostatnou kapitolou sú cookies. Od 1. februára 2022 smie web e-shopu podľa zákona č. 452/2021 Z. z. o elektronických komunikáciách ukladať bez vášho súhlasu len technické (funkčné) cookies. Na analytické a marketingové cookies potrebuje váš aktívny súhlas v cookies lište — vopred zaškrtnuté políčko ani nastavenie prehliadača už nestačia.
Ako dlho smie e-shop uchovávať vaše údaje
E-shop smie údaje uchovávať len po nevyhnutnú dobu podľa účelu. Fakturačné a účtovné údaje musí podľa zákona č. 431/2002 Z. z. o účtovníctve uchovávať 10 rokov, údaje pre prípadnú reklamáciu počas reklamačnej a premlčacej lehoty (spravidla 24 mesiacov). Po uplynutí účelu ich musí vymazať.
Práve preto vám obchod nemusí vyhovieť, ak žiadate okamžitý výmaz všetkého. Faktúru s vaším menom a adresou drží zo zákona desať rokov — to nie je svojvôľa, ale daňová a účtovná povinnosť. Po uplynutí lehoty ich však už uchovávať nesmie a na požiadanie vám má vysvetliť, prečo a ktoré údaje ešte drží.
Ak dôjde k úniku, strate alebo krádeži údajov, e-shop musí incident nahlásiť ÚOOÚ SR do 72 hodín od zistenia a pri vysokom riziku aj vám. V roku 2024 dostal úrad 122 oznámení o porušení ochrany údajov, z ktorých 108 vyhodnotil ako skutočné porušenie — najčastejšou príčinou bol kybernetický útok, najmä ransomvér.
Čo robiť, keď e-shop nereaguje: sťažnosť na ÚOOÚ
Ak e-shop do jedného mesiaca neodpovie alebo žiadosť odmietne, môžete podať podnet alebo návrh na začatie konania na Úrad na ochranu osobných údajov SR. Úrad vec prešetrí a môže uložiť opatrenia aj pokutu. Podanie je bezplatné a úrad je dozorným orgánom pre GDPR na Slovensku.
Postup vymáhania má jasnú časovú os: najprv žiadosť priamo e-shopu, potom čakanie na odpoveď do jedného mesiaca a až po jej márnom uplynutí podanie na úrad.
- Deň 0 — pošlete e-shopu písomnú žiadosť.
- Do 1 mesiaca — e-shop musí odpovedať.
- Po márnej lehote — podáte podnet na ÚOOÚ SR.
- Úrad vec prešetrí a môže uložiť pokutu.
Treba poznať aj limity. SOI ani ÚOOÚ nedokáže účinne zasiahnuť, ak predajca nemá sídlo na Slovensku alebo ide o predaj medzi súkromnými osobami cez sociálne siete a online trhoviská. Pri cezhraničných e-shopoch sa konanie naťahuje cez mechanizmus spolupráce dozorných orgánov EÚ — vaše právo síce platí, no jeho vymoženie trvá dlhšie.
Dohľad ÚOOÚ nad ochranou osobných údajov za rok 2024
V roku 2024 Úrad na ochranu osobných údajov SR právoplatne uložil 48 pokút v súhrnnej výške 89 600 eur — priemerná pokuta bola 1 867 eur, najvyššia jednotlivá 7 500 eur. Úrad začal 470 správnych konaní, z toho 192 na návrh dotknutej osoby, a pri 23 z 44 ukončených kontrol zistil porušenie povinností.
Čísla ukazujú, že úrad nie je len papierová hrozba — pokuty reálne padajú, hoci ich výška je na európske pomery skôr mierna. Pre bežný slovenský e-shop je však aj priemerných 1 867 eur citeľný zásah, k tomu treba prirátať náklady na nápravu a stratu dôvery zákazníkov. Pre porovnanie, najzávažnejšie porušenia GDPR podľa čl. 83 ods. 5 môžu stáť až 20 miliónov eur alebo 4 % celosvetového ročného obratu.
| Ukazovateľ (2024) | Hodnota |
|---|---|
| Začaté správne konania | 470 |
| – z toho na návrh dotknutej osoby | 192 |
| Ukončené kontroly | 44 |
| – z toho so zisteným porušením | 23 |
| Právoplatne uložené pokuty (počet) | 48 |
| Súhrnná výška pokút | 89 600 eur |
| Priemerná pokuta | 1 867 eur |
| Najvyššia jednotlivá pokuta | 7 500 eur |
| Oznámenia o porušení ochrany údajov | 122 |
| – potvrdené ako porušenie | 108 |
Zdroj: Úrad na ochranu osobných údajov SR — Správa o stave ochrany osobných údajov za rok 2024. Konkrétny prípad z praxe úradu: vopred zaškrtnuté políčko súhlasu s textom „Chcem pravidelne dostávať zľavové akčné ponuky" vyhodnotil ÚOOÚ ako porušenie zásady zákonnosti a uložil zaň pokutu. Predznačený súhlas podľa GDPR jednoducho neplatí.
Čo to znamená pre vás ako nakupujúceho
Pri každom online nákupe máte deväť práv k svojim údajom a e-shop má jeden mesiac na reakciu. Najsilnejšie sú právo na výmaz, právo namietať proti marketingu a právo na bezplatnú kópiu údajov. Popri GDPR máte ako spotrebiteľ aj právo do 14 dní odstúpiť od zmluvy, na čo dohliada SOI.
Prakticky: ak vás zahltil newsletter, namietajte — obchod musí prestať. Ak chcete vedieť, čo o vás vie, požiadajte o prístup, prvá kópia je zadarmo. Ak ste u obchodu skončili, žiadajte výmaz, no počítajte s tým, že faktúry si zo zákona ponechá desať rokov. A pozor na vek: pri online službách je súhlas dieťaťa so spracovaním údajov na Slovensku platný až od 16 rokov (§ 15 zákona č. 18/2018 Z. z.); za mladších musí súhlas dať zákonný zástupca.
Osobitnú pozornosť venujte zahraničným e-shopom. Ak obchod posiela vaše údaje mimo EÚ (napríklad cloud či marketingový nástroj v USA), musí to mať podložené rozhodnutím Európskej komisie o primeranosti alebo štandardnými zmluvnými doložkami a musí vás o tom informovať. Vymožiteľnosť vašich práv je pritom voči predajcovi bez sídla na Slovensku v praxi pomalšia.
Tento článok nenahrádza právne poradenstvo.
Zaujímalo vás niekedy, koľko firiem o vás vlastne vie z jediného nákupu — a čo všetko by vám museli prezradiť, keby ste ich o to požiadali podľa článku 15 GDPR?
Najčastejšie otázky
Aké práva mám podľa GDPR pri nákupe v e-shope?
Podľa ÚOOÚ SR máte deväť práv: prístup k údajom, opravu, výmaz, obmedzenie spracúvania, prenosnosť, namietanie, ochranu pred automatizovaným rozhodovaním, odvolanie súhlasu a podanie sťažnosti. Najčastejšie využijete prístup, výmaz a namietanie proti marketingu.
Do akej lehoty musí e-shop odpovedať na moju žiadosť?
Bez zbytočného odkladu, najneskôr do jedného mesiaca. Pri zložitých žiadostiach môže e-shop lehotu predĺžiť o ďalšie dva mesiace, no musí vás o tom v rámci pôvodného mesiaca informovať. Prvé poskytnutie kópie údajov je bezplatné.
Môže e-shop odmietnuť výmaz mojich osobných údajov?
Áno, ak má na uchovanie zákonný dôvod. Fakturačné a účtovné údaje musí podľa zákona č. 431/2002 Z. z. o účtovníctve uchovávať 10 rokov. Údaje, ktoré už nie sú potrebné a nemá na ne iný právny základ, však musí vymazať bez zbytočného odkladu.
Potrebuje e-shop môj súhlas na spracovanie údajov?
Na vybavenie objednávky, dodanie a reklamáciu nie — právnym základom je plnenie zmluvy (čl. 6 ods. 1 písm. b GDPR). Súhlas potrebuje až na newsletter, marketingové profilovanie a na analytické či marketingové cookies. Súhlas môžete kedykoľvek odvolať.
Čo robiť, keď e-shop na moju žiadosť nereaguje?
Ak do jedného mesiaca neodpovie alebo žiadosť odmietne, podajte podnet alebo návrh na začatie konania na Úrad na ochranu osobných údajov SR. Podanie je bezplatné, úrad vec prešetrí a môže uložiť nápravu aj pokutu.
Aké pokuty hrozia e-shopu za porušenie GDPR?
Za najzávažnejšie porušenia až 20 miliónov eur alebo 4 % celosvetového obratu, za menej závažné až 10 miliónov eur alebo 2 %. V praxi sú slovenské pokuty nižšie — v roku 2024 ÚOOÚ SR uložil 48 pokút v súhrne 89 600 eur, priemer bol 1 867 eur.