Mohou e-shopy požadovat po zákaznících založení zákaznického účtu?

Řada e-shopů vyžaduje od zákazníků pro dokončení objednávky založení zákaznického účtu. Ať už je důvodem snaha o lepší přehled o zákaznících, zjednodušení budoucích nákupů nebo marketingové využití dat. Z pohledu ochrany osobních údajů je takový postup ve většině případů ale problematický. Povinná registrace totiž zpravidla vede ke shromažďování údajů nad rámec toho, co je pro realizaci nákupu opravdu nezbytné, a tím se e-shop vystavuje riziku porušení GDPR.

Zákaznické účty a zpracování osobních údajů 

Založení a vedení zákaznického účtu je vždy spojeno se zpracováním osobních údajů. E-shop jakožto správce osobních údajů smí tyto údaje zpracovávat pouze tehdy, má-li k tomu odpovídající právní titul a zpracování neporušuje zásady zpracování osobních údajů dle GDPR. V opačném případě je zpracování nezákonné a zákaznický účet by neměl být vůbec založen. 

Obchodníci řadí mezi nejčastěji uváděné právní základy pro zpracování osobních údajů v souvislosti se zákaznickým účtem: 

• plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR), 
• plnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR), 
• oprávněný zájem správce (čl. 6 odst. 1 písm. f) GDPR), 
• souhlas zákazníka (čl. 6 odst. 1 písm. a) GDPR). 

Na každý z těchto právních základů je však možné spoléhat se pouze, pokud jsou splněny podmínky pro jeho uplatnění.  

Plnění smlouvy  

Právní základ “plnění smlouvy” lze využít tehdy, kdy je zpracování osobních údajů skutečně nezbytné k plnění dané smlouvy. Tedy v případě, že bez zákaznického účtu nelze službu nebo dodávku zboží vůbec realizovat. To je posuzováno prostřednictvím tzv. testu nezbytnosti. U běžného jednorázového nákupu tento test zpravidla ale neobstojí, protože objednávku by mělo jít bez problémů vyřídit i bez založení účtu.  

Plnění právní povinnosti  

Pokud by se chtěl provozovatel e-shopu spoléhat na právní základ “plnění právní povinnosti”, musí především doložit, že založení zákaznického účtu je pro splnění takové povinnosti nezbytné a že neexistuje jiný, méně invazivní, prostředek, jak povinnost splnit. V praxi tento právní základ pro povinnou registraci téměř nikdy neobstojí. 

Oprávněný zájem  

Oprávněný zájem bývá v praxi uváděn jako nejčastější právní základ pro vedení zákaznických účtů. I v tomto případě však musí provozovatel e-shopu splnit určité podmínky, a to zejména: 

• musí prokázat existenci oprávněného zájmu, 
• musí splnit test nezbytnosti, tedy doložit, že zpracování je pro sledovaný účel skutečně nutné,  
• musí provést tzv. balanční test, z něhož musí vyplynout, že oprávněný zájem správce převažuje nad zájmy, základními právy a svobodami zákazníků. 

Souhlas  

Ani souhlas zákazníka nelze používat jako univerzální nástroj k odůvodnění povinné registrace. Není možné nutit zákazníka, aby si kvůli jednorázovému nákupu založil účet a současně souhlasil s dalšími účely zpracování, které pro samotný nákup nejsou nezbytné. Takový souhlas nesplňuje požadavky GDPR na svobodný a informovaný projev vůle. 

Kdy je možné požadovat založení zákaznického účtu 

Založení zákaznického účtu lze po zákazníkovi požadovat pouze za předpokladu, že bez něj poskytovaná služba skutečně nemůže fungovat a neexistuje stejně účinné, avšak méně invazivní řešení. 

Před zavedením povinné registrace je tedy vhodné položit si následující otázky: 

• Je účet opravdu nezbytný pro fungování služby? 
• Existuje méně invazivní řešení, například jednorázový odkaz, zabezpečený formulář nebo nákup v režimu hosta? 
• Jsou shromažďovány pouze údaje, které jsou pro daný účel skutečně nezbytné? 

Pokud odpovědi na tyto otázky svědčí ve prospěch povinné registrace, může být požadavek na založení zákaznického účtu odůvodněný, např. při založení předplatného nebo pro uzavřené klubové členství.  

Pro představu lze uvést následující příklady: 

• Společnost nabízí předplatné na pravidelné měsíční doručování boxů s gurmánskými ingrediencemi. Zákazníci, kteří chtějí službu využívat, si musí založit účet. Prostřednictvím tohoto účtu mohou sledovat stav zásilky, komunikovat se zákaznickou podporou a upravovat detaily doručení podle svých potřeb. Zákaznický účet je v tomto případě nezbytnou součástí průběžného smluvního vztahu. 
• Společnost prodávající fitness oblečení představila speciální valentýnskou kolekci určenou výhradně pro dlouhodobé členy partnerského fitness centra. Tito členové jsou přizváni k exkluzivnímu online předprodeji. Pro využití nabídky si musí založit účet, prostřednictvím kterého se ověřuje jejich členství a zpřístupňují se jim slevy a přehled objednávek. Účet zde slouží k ověření oprávnění zákazníka a je s ohledem na povahu nabídky odůvodněný. 

Kdy povinnost založení účtu neobstojí 

Ve většině případů požadavek na založení zákaznického účtu ale neobstojí, a to kvůli nesplnění testu nezbytnosti, porušení zásady minimalizace a neprokázání odpovídajícího právního základu.  

V následujících situacích by e-shopaři zákaznický účet vyžadovat neměli, protože existují méně invazivní alternativy: 

• Jednorázový nákup zboží/služby: potřebné údaje pro doručení a platbu lze získat i bez účtu přímo v rámci checkoutu. Vynucení registrace až po vložení zboží nebo služby do košíku je v rozporu s rozumným očekáváním zákazníka. 
• Sledování stavu objednávky: stačí zaslat číslo pro sledování objednávky a odkaz e‑mailem nebo SMS. Zákaznický účet je zbytečně invazivní a nebude nezbytný.  
• Úpravy objednávky po nákupu: změny lze řešit jednorázovým časově omezeným odkazem, formulářem či přes zákaznickou podporu, bez nutnosti trvalého účtu. 
• Poprodejní služby a uplatnění práv: reklamace, vrácení i žádosti dle GDPR lze vyřídit bez povinného účtu, například přes e-mail nebo také telefonicky.  
• Plnění právních povinností (daně/účetnictví): Zpravidla stačí uchovávat potřebné účetní doklady (např. faktury). Není třeba uchovávat trvalý profil zákazníka v aktivní databázi.   
• Usnadnění budoucích nákupů: Jde o komfort obchodníka (a případně zákazníka), nikoli „nezbytnost“. Osobní údaje nelze uchovávat déle jen kvůli tomu, že by zákazník v budoucnu mohl znovu nakoupit. 
• Personalizace a marketing: tato zpracování často vyžadují souhlas. Zákaznický účet proto nemá být povinný a možnost založení musí být oddělená od nákupu.   
• Prevence podvodů: existují méně invazivní a často i účinnější alternativy (např. CAPTCHA, cílené kontroly). Povinný účet obvykle není nezbytný a může dokonce i zvyšovat bezpečnostní rizika (např. slabá hesla, sdílené přístupy). 
• Podmíněný prodej (např. jen pro vybrané odborníky/studenty): status lze ověřit jednorázově (např. formulářem s nahráním potvrzení), údaje poté smazat a není nutné vytvářet trvalý profil. 
• „Exkluzivní nabídky“ pro kohokoli po registraci: pokud je členství otevřené všem, nejde skutečně o uzavřenou komunitu. Povinný účet v takovém případě není nutný pro plnění smlouvy.  

Shrnutí 

Zákaznický účet smí obchodník vyžadovat pouze tehdy, je-li pro fungování služby skutečně nezbytné a neexistuje méně invazivní alternativa. V případě běžného jednorázového nákupu toto zpravidla splněno nebude a zákazník by měl mít možnost nakoupit v režimu host.  

Doporučujeme proto obchodníkům zkontrolovat své nastavení zákaznických účtů a zejména právní titul, na jehož základě sbírají a zpracovávají osobní údaje zákazníků.  

Výše uvedená doporučení a příklady vycházejí především z Doporučení Evropského sboru pro ochranu osobních údajů 2/2025 přijatého dne 3. 12. 2025. Už dříve se ale začala objevovat obdobná stanoviska a rozhodnutí dozorových orgánů na národních úrovních, např. v Německu byl ve věci povinných účtů vydán rozsudek vrchního zemského soudu v Hamburku č. 5 U 30/24 a ve Finsku rozhodnutí Konference nezávislých orgánů pro dohled nad ochranou údajů na spolkové a zemské úrovni.  

Zdroj: 

• Doporučení Evropského sboru pro ochranu osobních údajů 2/2025 ohledně právního základu pro požadavek vytvoření uživatelských účtů na e-commerce webech
• Rozhodnutí konference nezávislých orgánů pro dohled nad ochranou údajů na úrovni spolkové a zemské - Pokyny DSK – Online obchodování v souladu s ochranou údajů prostřednictvím přístupu pro hosty (stav k 24. 3. 2022)
• Rozhodnutí inspektora ochrany údajů o interpretaci obecného nařízení EU o ochraně údajů, zákona o zpracování osobních údajů v trestních věcech a zákona o ochraně osobních údajů (TSV/26/202)
• Rozsudek Vrchního zemského soudu v Hamburku č. 5 U 30/24