Domluvte si konzultaci

Povinné přihlášení na e‑shopu? Jen když je to opravdu nutné.

Povinné přihlášení na e‑shopu? Jen když je to opravdu nutné.

Irena Kolárová - Zakládající partnerka

E‑shopy by neměly nutit zákazníky k registraci, pokud to není skutečně nezbytné. Zákazníci by měli mít možnost nakoupit v režimu „hosta“.  Výjimkou jsou služby závislé na průběžné autentizaci – typicky předplatná či uzavřené členské platformy. Cílem právní regulace je minimalizace osobních údajů, které e-shopy při nákupu zpracovávají.

Evropský sbor pro ochranu osobních údajů (EDPB) na konci roku 2025 vydal doporučení 2/2025, ve kterém se vyjadřuje k oprávněnosti požadavků e-shopů na založení uživatelského účtu pro dokončení nákupu. Doporučení lze stručně shrnout tak, že pokud je to vzhledem k okolnostem možné, měl by mít nakupující možnost prohlížet nabídku a dokončit nákup i bez registrace (v režimu hosta), přičemž takový přístup je považován v souladu se zásadou záměrné a standardní ochrany osobních údajů zakotvené v článku čl. 25 GDPR za žádoucí a měl by tak být výchozím.

Doporučení směřují zejména k provozovatelům e‑shopů, kterým osvětlují, kdy je povinné založení účtu právně ospravedlnitelné podle čl. 6 odst. 1 GDPR (tedy za účelem plnění smlouvy, na základě právní povinnosti či oprávněného zájmu) a v souladu se zásadami z čl. 5 GDPR – zejm. se zásadami zákonnosti, účelového omezení a minimalizace zpracovávaných údajů.

Kdy registraci vyžadovat lze:

Doporučení výslovně zmiňuje situace, kde je trvalý, autentizovaný přístup součástí samotné služby. Typicky se jedná o:

  • Předplatné/streaming/SaaS – průběžné plnění smlouvy vyžaduje ověřování uživatele (přístup k obsahu po dobu předplatného);
  • Služby poskytované v rámci uzavřené komunity, ke kterým je přístup podmíněný členstvím, statusem nebo pozvánkou.

V těchto případech se jako zákonný důvod pro zpracování osobních údajů uplatní zejména nezbytnost pro plnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR, případně může v určitých případech přicházet v úvahu zpracování na základě plnění právní povinnosti čl. 6 odst. 1 písm. c) GDPR či dle písm. f) předmětného ustanovení, podle kterého je možné zpracovávat osobní údaje na základě oprávněného zájmu. Zde se ovšem přidává požadavek provedení testu nezbytnosti a proporcionality zpracovávání osobních údajů.

Kdy registraci vyžadovat nelze:

V případě, kdy je předmětem transakce na e-shopu jednorázový nákup a uzavření a plnění dle kupní smlouvy je možné zpracovat bez zřizování trvalého účtu, neměl by e-shop vyžadovat jeho zřízení. Prakticky, např. sledování zásilky lze řešit odkazem v e‑mailu a ani reklamace či fakturace nevyžadují trvalý profil.

Přesah mimo „klasické“ e‑shopy: streaming, herní a členské platformy apod.

Ačkoli je text doporučení mířen na e‑shopy, jeho logika se přiměřeně uplatní všude, kde se hodnotí nezbytnost trvalé identifikace. Streamovací služby, SaaS či členské platformy obvykle oprávněně vyžadují účet, protože se jedná o kontinuální plnění (přístup k placenému obsahu, správa předplatného, knihovna pořízeného obsahu), které bez autentizace uživatele jeho přihlášením zajistit nelze. V případě, že by byl ovšem prodáván jednorázový digitální produkt bez dalšího plnění, měla by být k dispozici možnost nákupu bez registrace

Doporučení EDPB nejsou právně závazná, nicméně představují významné interpretačním vodítko zejména pro nařízení GDPR, resp. Jeho výše zmíněné články. Vzhledem k prioritizaci nákupu bez registrace se doporučení stala cílem kritiky např. ze strany Ecommerce Europe (evropská asociace pro elektronickou komerci), která brojí proti „povinnému“ režimu hosta a namítá, že e‑commerce zahrnuje širší kontinuum služeb před nákupem i po něm.

Checklist. Může e-shop vyžadovat přihlášení? 

  1. Je povaha služby trvale opakovaná (předplatné/uzavřená členská sekce), takže autentizace je nedílná součást plnění? → ANO z titulu plnění dle smlouvy;
  2. Existuje konkrétní právní povinnost vyžadující identifikaci prostřednictvím uživatelského účtu (např. zvláštní regulace odvětví, ověření věku apod.)? → ANO z titulu plnění právní povinnosti;
  3. Lze transakci (samotný nákup, sledování zásilky, reklamace) provést stejně efektivně také bez uživatelského účtu? → NE, e-shop má v takovém případě umožnit zákazníkovi nakoupit bez registrace;
  4. Opírá se důvod požadavku registrace o oprávněný zájem jako např. „lepší správa objednávek“? Prošlo takové nastavení testem nezbytnosti a proporcionality a neexistuje méně invazivní alternativa? → Pokud je vše splněno, tak ANO, nicméně se jedná o nejslabší důvod zpracování osobních údajů;
  5. Pokud je uživatelský účet vyžadován, jsou data zpracovávána v souladu s požadavky GDPR jako např. minimalizace údajů, omezené retenční doby, zabezpečení údajů a transparentní informování subjektu údajů?