Právní školení pro e-shopy o správném nastavení s osobními údaji - GDPR

28.5.2026 | ARROWS advokátní kancelář

Právní školení pro e-shopy k GDPR dnes není „nice to have“, ale praktický nástroj řízení rizik – dobře nastavené školení vám pomůže sladit marketing, IT a zákaznický servis s pravidly ochrany osobních údajů, nastavit souhlasy, cookies, e‑mailing i smlouvy s dodavateli tak, abyste minimalizovali riziko vysokých pokut, sporů se zákazníky a zásahů do byznysu, a současně udrželi flexibilitu pro růst a rozvoj vašeho online podnikání.

Fotka zobrazuje specialistu diskutujícího o tématu právní školení k GDPR.

Obsah článku

Proč e‑shopy řeší GDPR jinak než „běžné“ firmy
Jaké povinnosti má e‑shop při zpracování osobních údajů
Právní školení jako nástroj řízení rizik v e‑commerce
Jak nastavit procesy a dokumentaci po školení
Závěrečné shrnutí

Nařízení GDPR (General Data Protection Regulation, neboli Obecné nařízení o ochraně osobních údajů, Nařízení (EU) 2016/679) dopadá na jakýkoliv subjekt, který zpracovává osobní údaje fyzických osob v EU, bez ohledu na to, kde má sídlo. To znamená, že i e‑shop registrovaný mimo Evropskou unii musí pravidla GDPR dodržovat, pokud nabízí své zboží nebo služby zákazníkům z EU, typicky včetně českých spotřebitelů.

Provozovatel e‑shopu je ve většině případů správcem osobních údajů, protože rozhoduje o účelech a prostředcích zpracování. Například o tom, jaké údaje budou v objednávkovém formuláři povinné, které cookies se budou používat a jak bude nastavena analytika nebo personalizace obsahu.

E‑shopy navíc typicky pracují s vysokým počtem subjektů údajů a s rozmanitým typem dat. Jde o kontaktní údaje, platební identifikátory, IP adresy, cookie identifikátory až po údaje o nákupním chování. Podle GDPR mohou být online identifikátory, IP adresy nebo cookie ID osobními údaji, pokud umožňují identifikovat konkrétní osobu, zejména v kombinaci s dalšími informacemi. V prostředí e‑shopu je proto hranice mezi „anonymní statistikou“ a osobními údaji často mnohem tenčí, než se na první pohled zdá.

Dalším specifikem e‑shopů je intenzivní využívání cookies a jiných trackovacích technologií pro analytiku, UX optimalizaci a marketingový remarketing. Právě zde se GDPR potkává s tzv. ePrivacy pravidly, která jsou v EU upravena směrnicí o soukromí a elektronických komunikacích (tzv. ePrivacy směrnice).

V jednotlivých členských státech (včetně České republiky prostřednictvím zákona o elektronických komunikacích) tato pravidla doplňují ochranu elektronických komunikací a upravují především ukládání a čtení cookies v zařízení uživatele. V praxi to znamená, že většina analytických a marketingových cookies vyžaduje předchozí informovaný souhlas uživatele a e‑shop musí být schopen prokázat, kdo, kdy a s čím konkrétně souhlasil. Pro nastavení souhlasů, cookie lišty a navazující dokumentace se v praxi často hodí právní posouzení v rámci gdpr.

Regulatorní riziko není teoretické. GDPR umožňuje za závažná porušení (například nedodržení základních zásad zpracování, porušení práv subjektů údajů nebo neexistence právního základu) uložit pokutu až do výše 20 milionů eur nebo 4 % celosvětového ročního obratu podniku za předchozí finanční rok, podle toho, která částka je vyšší.

U méně závažných porušení (například v oblasti bezpečnosti či dokumentace) se sankce pohybují až do 10 milionů eur nebo 2 % obratu. V praxi jsou pokuty odstupňovány podle závažnosti a okolností, ale i „středně velká“ pokuta může být pro e‑shop velmi bolestivá, nemluvě o nákladech na soudní spory, nápravu reputace nebo odškodnění zákazníků.

Důležité je také vnímat časovou rovinu. Poslední roky ukazují, že dozorové orgány napříč EU se stále více zaměřují na online prostředí, cookies, personalizovanou reklamu a nedostatečné zabezpečení dat.

Současně v EU vstoupila do plné účinnosti také další regulace pro online služby, například nařízení o digitálních službách (Digital Services Act, Nařízení (EU) 2022/2065). To přináší nová pravidla pro online platformy, transparentnost reklamy a moderaci obsahu. K praktickým rizikům marketingové komunikace (včetně formy nabídky a prokazatelnosti sdělení) se podrobněji věnuje i novinka Papírové obchodní nabídky ve firmách: Kdy může marketingová komunikace představovat právní riziko. Od února 2024 je toto nařízení plně použitelné pro většinu online platforem. V roce 2026 již dopadá i na širší ekosystém e‑commerce a vyžaduje splnění specifických povinností, byť některé jsou odstupňovány dle velikosti platformy. I když se tento článek soustředí na GDPR, pro mnoho e‑shopů již dnes není možné tyto regulatorní rámce oddělovat.

Právní školení pro e‑shop proto nemůže být obecný seminář o GDPR, který by se dal použít stejně pro výrobní firmu, nemocnici nebo zaměstnavatele. Musí reagovat na specifika e‑commerce, typický technologický stack a marketingové postupy. Současně musí reflektovat aktuální výkladové trendy a praxi dozorových orgánů, včetně českého Úřadu pro ochranu osobních údajů.

Právníci ARROWS advokátní kanceláře v takovém školení kombinují čistě právní pohled s praktickou znalostí e‑commerce nástrojů a procesů. Jejich cílem je, aby školení nebylo „odtržené od reality“ lidí z marketingu, IT a zákaznického servisu. Pokud školení řeší i to, jak bezpečně zavádět automatizaci a nástroje pro práci s daty, může navazovat na právní podporu pro implementaci umělé inteligence (ai).

Jaké povinnosti má e‑shop při zpracování osobních údajů

GDPR stojí na několika základních zásadách (čl. 5 odst. 1 písm. a) GDPR), které musí dodržovat každý správce osobních údajů, tedy i provozovatel e‑shopu. Zásada zákonnosti, korektnosti a transparentnosti (čl. 5 odst. 1 písm. a) GDPR) znamená, že zpracování musí mít právní základ, musí být spravedlivé vůči zákazníkovi a e‑shop musí jasně a srozumitelně vysvětlit, co s údaji dělá.

V praxi to znamená především dobře napsané a snadno dostupné informace o zpracování osobních údajů – typicky v podobě zásad zpracování osobních údajů (privacy policy) a informací v cookie liště. V e‑commerce se navíc často řeší i to, jak správně právně uchopit software a související smlouvy, což rozvádí článek Komplexní revize IT smluv: Zajištění právní ochrany v oblasti implementace a podpory softwaru. Zásada účelového omezení (čl. 5 odst. 1 písm. b) GDPR) vyžaduje, aby e‑shop sbíral a používal údaje jen pro jasně vymezené, konkrétní a legitimní účely. Dále je nesmí zpracovávat způsobem, který je s těmito účely neslučitelný.

Jestliže například e‑shop získá e‑mailovou adresu zákazníka pouze za účelem vyřízení objednávky, nemůže ji bez dalšího využít k pravidelnému marketingovému newsletteru. Musí pro to mít jiný vhodný právní titul, typicky souhlas nebo tzv. soft opt‑in podle ePrivacy pravidel. Zásada minimalizace dat (čl. 5 odst. 1 písm. c) GDPR) ukládá e‑shopu povinnost sbírat jen takové údaje, které jsou skutečně nezbytné pro stanovený účel, a v rozsahu, který je přiměřený.

Například vyžadovat povinně datum narození klienta při nákupu běžného zboží, pokud neexistuje zvláštní právní důvod, může být v rozporu s touto zásadou. V online prostředí to často znamená revidovat, co je povinné políčko v objednávkovém formuláři, jaké údaje předáváme marketingovým nástrojům, jaké profilování provádíme a zda je vše opravdu nezbytné.

Zásada přesnosti a aktuálnosti (čl. 5 odst. 1 písm. d) GDPR) vyžaduje, aby osobní údaje byly správné a podle potřeby aktualizované. Pro e‑shop to znamená mít procesy, jak opravovat doručovací adresy, kontaktní údaje nebo platební informace, a současně neuchovávat dlouhodobě zjevně neaktuální údaje.

Zásada omezení uložení (čl. 5 odst. 1 písm. e) GDPR) stanoví, že osobní údaje nemají být uchovávány déle, než je nezbytné pro účely, pro které byly shromážděny. V praxi musí e‑shop nastavit retenční lhůty pro různé typy údajů (objednávky, marketingové databáze, logy, analytická data) a po jejich uplynutí údaje bezpečně mazat nebo anonymizovat.

Zásada integrity a důvěrnosti (čl. 5 odst. 1 písm. f) GDPR) konečně ukládá povinnost zabezpečit osobní údaje proti neoprávněnému nebo nezákonnému zpracování, proti náhodné ztrátě, zničení či poškození, a to prostřednictvím vhodných technických a organizačních opatření.

To zahrnuje například šifrování databází a komunikace, řízení přístupových práv, vícefaktorové ověřování, pravidelné zálohování. Dále také organizaci práce tak, aby se citlivé údaje neposílaly v nechráněných e‑mailech nebo nebyly přístupné nepovolaným osobám.

Zcela zásadní je zásada odpovědnosti (accountability, čl. 5 odst. 2 GDPR). Podle ní musí správce nejen dodržovat všechny výše uvedené zásady, ale být schopen jejich dodržování také doložit.

To znamená mít dokumentované procesy, záznamy o činnostech zpracování (dle čl. 30 GDPR), záznamy o školení zaměstnanců, smlouvy se zpracovateli, provedené audity a další dokumenty, které lze při případné kontrole dozorovému úřadu předložit. Právní školení pro e‑shop má proto vždy i dokumentační rozměr – nejde jen o předání informací, ale také o zajištění důkazů, že jste jako management udělali rozumné kroky k dodržování GDPR.

Právní základy zpracování: objednávka, marketing a analytika

GDPR stanoví šest právních základů (tzv. zákonných titulů) pro zpracování osobních údajů (čl. 6 GDPR). V e‑shopu se nejčastěji pracuje se třemi: plnění smlouvy, právní povinnost a souhlas, případně oprávněný zájem. Zpracování je zákonné mimo jiné tehdy, je‑li nezbytné pro plnění smlouvy se subjektem údajů nebo pro provedení opatření přijatých před uzavřením smlouvy, například zpracování údajů pro vyřízení objednávky (čl. 6 odst. 1 písm. b) GDPR). E‑shop tak může bez dalšího zpracovávat identifikační a kontaktní údaje zákazníka, obsah objednávky či doručovací adresu, pokud je to nezbytné pro uzavření a plnění kupní smlouvy.

Dalším právním základem je splnění právní povinnosti (čl. 6 odst. 1 písm. c) GDPR), například uchovávání účetních dokladů po dobu stanovenou právními předpisy (zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů), plnění daňových povinností nebo povinností podle zákonů o ochraně spotřebitele. Zpracování nad rámec těchto povinností však musí mít svůj vlastní právní titul.

Pro marketingové účely se v praxi často využívá souhlas subjektu údajů (čl. 6 odst. 1 písm. a) GDPR), zejména u newsletterů, personalizované reklamy nebo remarketingu, pokud neplatí výjimka tzv. soft opt‑in. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný, vyjádřený aktivním úkonem, nikoliv předem zaškrtnutým políčkem nebo mlčky tím, že uživatel pokračuje v používání webu. U newsletterů lze ve specifických situacích využít také tzv. soft opt‑in, upravený v českém právním řádu v § 7 odst. 3 zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů.

E‑shop může používat e‑mailovou adresu získanou v souvislosti s prodejem vlastního produktu nebo služby pro marketing obdobného zboží nebo služeb, pokud zákazník dostal při získání e‑mailu možnost jednoduchého a bezplatného odmítnutí a tato možnost je mu poskytována i v každém dalším marketingovém e‑mailu. Tento režim vychází primárně z ePrivacy pravidel, nikoli přímo z textu GDPR, ale v praxi se s ním při právním nastavení e‑shopů pracuje velmi často.

Oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR) může být právním základem například pro základní analytiku návštěvnosti webu nebo pro určité formy direct marketingu. To platí, pokud jsou zachována práva a svobody subjektů údajů a pokud zvláštní předpisy (například ePrivacy) nevyžadují souhlas.

U cookies je situace komplikovanější, protože otázka, zda konkrétní analytické cookies vyžadují souhlas, závisí na jejich povaze, možnostech identifikace uživatele a místní právní úpravě. V českém prostředí dozorový orgán (Úřad pro ochranu osobních údajů) zdůrazňuje požadavek souhlasu pro většinu cookies, které nejsou striktně nezbytné pro fungování webu, a souhlas musí splňovat obecné standardy GDPR.

Nejčastější chybou v praxi je, že e‑shop používá souhlas jako „univerzální“ základ pro téměř veškeré zpracování. Nebo naopak spoléhá na oprávněný zájem tam, kde by bylo bezpečnější pracovat se souhlasem a transparentním vysvětlením.

Právníci ARROWS advokátní kanceláře doporučují vždy probrat konkrétní datové toky, účely zpracování a nástroje, které e‑shop používá, a na tomto základě nastavit kombinaci právních základů – jiný režim bude mít objednávka, jiný účetní zpracování a úplně jiný personalizovaný remarketing na sociálních sítích.

Cookies jsou malé textové soubory, které web ukládá do zařízení uživatele a které umožňují různé funkce – od udržení položek v košíku přes zapamatování přihlášení až po detailní sledování uživatelského chování napříč weby. Z pohledu GDPR se cookies stávají osobními údaji ve chvíli, kdy umožňují přímo nebo nepřímo identifikovat konkrétní osobu, zejména v kombinaci s dalšími informacemi.

Vedle GDPR se na cookies aplikuje i ePrivacy regulace, která stanoví, že ukládání cookies do zařízení uživatele nebo přístup k nim je zásadně možné jen na základě předchozího souhlasu, s výjimkou cookies nezbytných pro poskytování služby, kterou si uživatel výslovně vyžádal.

Pro e‑shop to znamená, že tzv. „strictly necessary“ cookies, například ty, které zajišťují fungování košíku či přihlášení, je možné používat bez souhlasu, ale analytické a marketingové cookies obvykle souhlas vyžadují. Souhlas s cookies musí odpovídat požadavkům GDPR – být svobodný, konkrétní, informovaný a jednoznačný, vyjádřený aktivním úkonem. Prakticky to znamená, že cookie lišta musí uživateli umožnit skutečnou volbu, tedy nejen „Přijmout vše“, ale i „Odmítnout vše“ nebo „Nastavit podrobnosti“. Tlačítka nesmí být graficky zmanipulovaná tak, aby uživatele vedla k souhlasu (tzv. dark patterns).

Český dozorový orgán a odborná literatura zdůrazňují, že souhlas nelze odvozovat z pokračování v návštěvě webu, z pouhého skrytí cookie banneru nebo z předem zaškrtnutých políček. Zároveň by měl mít uživatel možnost kdykoliv souhlas odvolat stejným způsobem, jakým jej udělil. E‑shop by měl být schopen regenerovat cookie lištu při změně nastavení nebo po uplynutí přiměřené doby, typicky po několika měsících.

V české praxi se často vychází z orientačních lhůt kolem 6–12 měsíců pro opětovné vyžádání souhlasu, ale vždy je nutné zohlednit konkrétní účely, typ cookies a místní výkladové materiály. Technické cookies, které jsou nezbytné pro samotný přenos komunikace nebo pro poskytnutí služby vyžádané uživatelem (například udržení košíku, zajištění bezpečného přihlášení, nastavení jazyka), souhlas obvykle nevyžadují, ale i tak je vhodné o jejich použití uživatele informovat.

U analytických cookies lze v některých případech při velmi striktní anonymizaci či agregaci uvažovat o zpracování mimo režim osobních údajů. V praxi bývá však tento požadavek často nesplněn, například pokud se používají běžné cloudové analytické nástroje se systémovými identifikátory návštěvníků.

Právní školení pro e‑shop by mělo obsahovat konkrétní příklady nastavení cookie lišty, vysvětlení rozdílů mezi jednotlivými kategoriemi cookies, rizika spojená s využíváním zahraničních analytických a marketingových nástrojů, otázku přenosů osobních údajů do třetích zemí a praktické tipy, jak v souladu s GDPR pracovat s daty, aniž by e‑shop přišel o možnost rozumně optimalizovat marketing a uživatelskou zkušenost.

E‑mailový marketing, newslettery a další komunikace

GDPR samo o sobě e‑mailový marketing nezakazuje, ale vyžaduje, aby každé zpracování osobních údajů mělo právní základ (čl. 6 GDPR), bylo transparentní a respektovalo práva subjektů údajů. Pro zasílání newsletterů nebo jiných marketingových sdělení je typicky využíván souhlas (čl. 6 odst. 1 písm. a) GDPR).

To v praxi znamená, že uživatel se sám aktivně přihlásí k odběru například zaškrtnutím políčka v objednávkovém formuláři nebo vyplněním samostatného formuláře na webu. Souhlas musí být oddělený od jiných smluvních podmínek, nesmí být předem zaškrtnutý a měl by být dostatečně konkrétní – například je vhodné rozlišit souhlas s newsletterem, SMS marketingem a personalizovanou reklamou.

Doporučovanou praxí je tzv. double opt‑in, kdy po odeslání formuláře přijde uživateli potvrzovací e‑mail, ve kterém svou registraci dokončí kliknutím na odkaz. Tím se posiluje důkazní pozice e‑shopu v případě, že by zákazník později tvrdil, že se k odběru newsletteru nikdy nepřihlásil.

Současně by každý marketingový e‑mail měl obsahovat jasnou a jednoduchou možnost odhlášení, kterou lze využít bez nutnosti přihlašování nebo složitých kroků. Po odhlášení je nutné e‑mail z mailing listu odstranit; obvykle je možné si ponechat minimální údaj o tom, že tato adresa si již nepřeje být kontaktována, pokud to e‑shop potřebuje k prokázání dodržení povinností, ale i zde je třeba respektovat zásadu minimalizace.

Pokud e‑shop využívá e‑mail také k zasílání transakčních informací (potvrzení objednávky, faktury, informace o doručení), jde o zpracování na základě plnění smlouvy nebo právní povinnosti a souhlas k tomu není potřeba. To však neznamená, že do transakčních e‑mailů lze libovolně vkládat marketingový obsah – výrazné marketingové prvky mohou vést k závěru, že jde fakticky o marketingový e‑mail, a tedy by měl být posuzován podle pravidel pro přímý marketing.

Právníci ARROWS advokátní kanceláře v praxi často pomáhají klientům nastavit texty souhlasů, formuláře, double opt‑in procesy a obsah patiček e‑mailů tak, aby minimalizovali riziko sporu se zákazníkem i s dozorovým orgánem, a přitom zůstali obchodně funkční.

Práva zákazníků: DSAR, výmaz a přenositelnost

GDPR dává zákazníkům celou řadu práv, která musí e‑shop respektovat a být připraven v zákonných lhůtách plnit (čl. 12-22 GDPR). Patří sem zejména právo na přístup k osobním údajům (čl. 15), právo na opravu nepřesných údajů (čl. 16), právo na výmaz („právo být zapomenut“, čl. 17), právo na omezení zpracování (čl. 18), právo na přenositelnost (čl. 20) a právo vznést námitku proti zpracování (čl. 21), zejména proti zpracování pro účely přímého marketingu.

Právo na přístup umožňuje zákazníkovi požadovat informace o tom, jaké osobní údaje o něm e‑shop zpracovává, pro jaké účely, jaké jsou kategorie údajů, komu jsou údaje předávány a jak dlouho budou uchovávány (čl. 15 GDPR).

E‑shop musí na takovou žádost reagovat bez zbytečného odkladu, a to nejpozději do jednoho měsíce od obdržení žádosti, s možností prodloužení této lhůty o další dva měsíce v případě složitosti a počtu žádostí (čl. 12 odst. 3 GDPR). Musí poskytnout kopii zpracovávaných údajů, alespoň v rozsahu, který je rozumný a nezasahuje do práv třetích osob.

Právo na výmaz umožňuje za určitých podmínek požadovat odstranění osobních údajů, například pokud již nejsou potřebné pro účely, pro které byly shromážděny, pokud zákazník odvolal souhlas a neexistuje jiný právní důvod pro zpracování, nebo pokud byly údaje zpracovávány nezákonně (čl. 17 GDPR).

Právo na přenositelnost (čl. 20 GDPR) umožňuje zákazníkovi získat osobní údaje, které e‑shop zpracovává na základě souhlasu nebo smlouvy a automatizovaně, ve strukturovaném, běžně používaném a strojově čitelném formátu a případně je přenést k jinému správci. V prostředí e‑shopů nejde o nejběžnější typ požadavku, ale například u větších platforem s věrnostními programy nebo rozsáhlejší personalizací uživatelského účtu může být relevantní.

Klíčové z praxe je, že žádosti subjektů údajů (tzv. DSAR – Data Subject Access Requests) mohou přijít různými kanály – e‑mailem, přes zákaznickou linku, sociální sítě nebo chat. Personál e‑shopu musí být proškolen, aby tato podání rozpoznal, nesmetl je jako „stížnost zákazníka“ a předal je správné osobě nebo oddělení k vyřízení. Právní školení se proto musí věnovat i praktickým scénářům: jak poznat, že jde o žádost podle GDPR, jak správně reagovat, jak ověřit totožnost žadatele a jak vše zdokumentovat.

Právníci ARROWS advokátní kanceláře často s klienty nastavují i standardizované odpovědi, interní workflow a šablony pro vyřizování DSAR, aby se minimalizovalo riziko chyb, prodlení a následných stížností k dozorovému úřadu.

Bezpečnost a hlášení incidentů

GDPR vyžaduje, aby správce a zpracovatelé přijali vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající rizikům, včetně pseudonymizace a šifrování, zajištění dostupnosti a odolnosti systémů, rychlé obnovy po incidentu a pravidelného testování bezpečnostních opatření (čl. 32 GDPR).

V prostředí e‑shopu to znamená nejen zabezpečené připojení (HTTPS, TLS), šifrované databáze a pravidelné aktualizace, ale i řízení přístupu k administraci e‑shopu, logování přístupů, oddělení produkčního a testovacího prostředí a školení zaměstnanců o bezpečném nakládání s daty.

Pokud dojde k porušení zabezpečení osobních údajů (tzv. bezpečnostní incident nebo únik dat), které pravděpodobně povede k riziku pro práva a svobody fyzických osob, má správce povinnost bez zbytečného odkladu, a pokud možno nejpozději do 72 hodin od okamžiku, kdy se o něm dozvěděl, incident oznámit příslušnému dozorovému orgánu (čl. 33 GDPR).

V závažnějších případech, kdy riziko dosahuje vysoké úrovně, je nutné informovat i dotčené zákazníky (čl. 34 GDPR). To se může týkat například úniku databáze zákazníků včetně hesel, platebních údajů nebo osobních údajů ve spojení s citlivými informacemi.

Bezpečnostní incidenty v e‑shopech často vznikají vinou lidské chyby – špatně nastavené přístupové údaje, sdílení přístupů mezi zaměstnanci, chybně odeslané e‑maily nebo nepozornost při manipulaci s daty. Právní školení by mělo zaměstnancům vysvětlit, co všechno může být bezpečnostní incident, jaké jsou interní postupy pro jeho hlášení, kdo nese odpovědnost za komunikaci s úřadem a co hrozí při zamlčení nebo podcenění incidentu.

Právníci ARROWS advokátní kanceláře klientům pomáhají také s přípravou a testováním incident response plánů a s reálným zastupováním při notifikaci úniků dat dozorovým orgánům a dotčeným zákazníkům.

1. Můžeme sbírat jakákoliv data, když nám s tím zákazník souhlasí v obchodních podmínkách?
V praxi souhlas „schovaný“ v obchodních podmínkách zpravidla nesplňuje požadavky GDPR na svobodný, konkrétní a informovaný souhlas (čl. 4 odst. 11 GDPR). Není totiž jasně oddělený od jiných ujednání a zákazník není dostatečně upozorněn na možnost odmítnout. Navíc i při souhlasu platí zásada minimalizace (čl. 5 odst. 1 písm. c) GDPR) – nemůžete legitimizovat sběr zjevně nadbytečných údajů jen tím, že si o ně řeknete v podmínkách. V takových situacích doporučujeme detailní právní analýzu textu souhlasů a podmínek, s níž vám mohou pomoci právníci ARROWS advokátní kanceláře po individuální konzultaci.

2. Stačí, když máme někde na webu obecné „zásady ochrany osobních údajů“ a tím splníme informační povinnost?
GDPR vyžaduje, aby informace o zpracování byly poskytovány transparentně, srozumitelně a včas, ideálně v okamžiku sběru údajů (čl. 13 a 14 GDPR). Obecný dokument „zasunutý“ v patičce webu často nestačí, pokud neobsahuje všechny náležitosti dle článku 13 GDPR a pokud na něj e‑shop zákazníka v klíčových momentech (objednávka, registrace, newsletter, cookies) výslovně neodkazuje. Právníci ARROWS advokátní kanceláře proto klientům pomáhají nastavit informační povinnost „na míru“ jednotlivým sběrným místům a procesům a doporučí i vhodnou formu a jazyk pro různé typy zákazníků.

3. Musí mít každý e‑shop pověřence pro ochranu osobních údajů (DPO)?
GDPR stanoví povinnost jmenovat DPO pouze pro některé typy správců a zpracovatelů, například pokud jejich hlavní činností je rozsáhlé pravidelné monitorování osob nebo rozsáhlé zpracování zvláštních kategorií údajů (čl. 37 GDPR). Většina běžných e‑shopů tuto povinnost nesplňuje, ale i tak může být jmenování interního nebo externího odborníka výhodné z hlediska řízení rizik a komunikace s úřady. Pokud si nejste jistí, zda se vás povinnost DPO týká, mohou právníci ARROWS advokátní kanceláře provést rychlé posouzení a navrhnout optimální model compliance.

Právní školení jako nástroj řízení rizik v e‑commerce

Právní úprava GDPR klade důraz nejen na technická opatření, ale také na organizační opatření, mezi která patří právě školení a zvyšování povědomí zaměstnanců (čl. 24 odst. 1, čl. 32 odst. 4 GDPR). U větších organizací, které mají pověřence pro ochranu osobních údajů, GDPR výslovně ukládá DPO povinnost zajišťovat informovanost a školení osob podílejících se na zpracování (čl. 39 odst. 1 písm. b) GDPR).

I bez formální povinnosti DPO však platí, že bez pravidelného školení zaměstnanců není možné dlouhodobě udržet soulad s GDPR – většina incidentů vzniká nikoli kvůli „špatnému zákonu“, ale kvůli lidské chybě, nepochopení nebo neznalosti procesů.

V prostředí e‑shopu se s osobními údaji pracuje v podstatě ve všech klíčových útvarech: zákaznický servis, marketing, IT, logistika, finance, management. Každá z těchto skupin potřebuje jiný typ informací a jinou úroveň detailu. Zákaznický servis musí poznat žádost podle GDPR, vědět, co nesmí po telefonu sdělovat třetím osobám a jak bezpečně ověřovat totožnost volajícího.

Marketing potřebuje rozumět pravidlům pro souhlasy, cookies, retargeting a segmentaci. IT zase musí chápat, jak souvisí technické změny na webu s povinnostmi podle GDPR a jak správně nastavit logování, přístupy a šifrování.

Kvalitní právní školení proto musí být strukturované a cílené. Obvykle se vyplatí kombinovat obecnou část, kde se vysvětlí základní principy GDPR, práva subjektů údajů a sankce, s specializovanými moduly pro jednotlivé týmy. Pro management je důležitý přehled rizik, odpovědnosti, nákladů na compliance a strategie, jak GDPR začlenit do celkové governance firmy.

Pro marketing zase praktické příklady textů souhlasů, cookie bannerů a newsletterových formulářů, včetně toho, jaká nastavení nástrojů jsou z pohledu GDPR ještě akceptovatelná a kde už se dostáváme do rizikové zóny.

Právníci ARROWS advokátní kanceláře v praxi kladou důraz na to, aby školení nebylo čistě teoretickým výkladem paragrafů, ale aby vycházelo z reálných scénářů vašeho e‑shopu. Typicky si před školením vyžádají základní informace o použité platformě, analytických a marketingových nástrojích, struktuře marketingového týmu a plánovaných kampaních. Na tomto základě pak v rámci školení diskutují konkrétní situace: například jak legálně nastavit sběr e‑mailů při soutěžích, jak pracovat s remarketingovými publiky, jak bezpečně sdílet data s agenturou nebo jak nastavit retained data v CRM systému, aby odpovídalo zásadě omezení uložení.

Správně pojaté školení je také významným důkazním prostředkem v případném sporu či kontrole. Pokud dokážete doložit, že zaměstnanci absolvovali školení, obdrželi interní směrnice, byly jim vysvětleny klíčové povinnosti a bylo jim umožněno klást otázky, je pravděpodobnější, že dozorový orgán nebo soud posoudí vaše celkové nastavení jako odpovědné, i když došlo k dílčí chybě jednotlivce. ARROWS advokátní kancelář je pojištěna na škodu až do 400 000 000 Kč a právě díky této kombinaci odbornosti, zkušeností a pojistné kapacity si mnoho e‑shopů vybírá její právníky jako dlouhodobé partnery pro GDPR a související regulaci.

Jak nastavit procesy a dokumentaci po školení

Školení má smysl pouze tehdy, pokud na něj navazuje úprava interních procesů, dokumentace a smluv. GDPR vyžaduje, aby správce vedl záznamy o činnostech zpracování (čl. 30 GDPR), zejména pokud zaměstnává více než 250 osob nebo pokud zpracování není příležitostné, zahrnuje zvláštní kategorie údajů nebo představuje riziko pro práva a svobody subjektů.

V praxi většina e‑shopů spadá do režimu, kdy se záznamy vyplatí vést, i když by striktně vzato nemusely, protože jde o systematické zpracování velkých objemů zákaznických dat a marketingových údajů.

Záznam o činnostech zpracování (Records of Processing Activities, ROPA) by měl obsahovat informace o účelech zpracování, kategoriích subjektů údajů a údajů, kategoriích příjemců, přenosech do třetích zemí, lhůtách uchovávání a přijatých bezpečnostních opatřeních (čl. 30 odst. 1 GDPR). Pro e‑shop to znamená například samostatně popsat zpracování spojené s objednávkou, věrnostním programem, marketingem, analytikou, zákaznickou podporou či vyřizováním práv subjektů údajů. Na školení je vhodné celý koncept ROPA vysvětlit a následně s právníky ARROWS advokátní kanceláře prakticky projít, jak takový dokument vytvořit a udržovat aktuální, ideálně ve spolupráci mezi právním, IT a obchodním oddělením.

Důležitou roli hraje také posuzování vlivu na ochranu osobních údajů (Data Protection Impact Assessment, DPIA), které je povinné vždy, když určitý typ zpracování pravděpodobně představuje vysoké riziko pro práva a svobody subjektů údajů (čl. 35 GDPR). V e‑commerce se to může týkat zejména rozsáhlého profilování zákazníků, automatizovaného rozhodování se zásadními účinky, využívání kamerových systémů ve skladech nebo rozsáhlého sledování uživatelského chování na webu. DPIA má identifikovat rizika, posoudit jejich závažnost a pravděpodobnost a navrhnout opatření ke snížení těchto rizik na přijatelnou úroveň.

Neméně důležitý je smluvní rámec s dodavateli, kteří pro e‑shop osobní údaje zpracovávají – typicky hostingové společnosti, poskytovatelé e‑shopových platforem, platební brány, logistické firmy, marketingové agentury, poskytovatelé newsletterových nástrojů, cloudových CRM a analytických platforem. GDPR vyžaduje, aby zpracování bylo upraveno smlouvou nebo jiným právním aktem (tzv. zpracovatelská smlouva dle čl. 28 GDPR), který stanoví předmět a dobu trvání zpracování, povahu a účel, typ osobních údajů, kategorie subjektů údajů a povinnosti a práva správce.

Smlouva musí také zajistit, že zpracovatel přijme vhodná technická a organizační opatření, bude zpracovávat údaje pouze na pokyn správce, bude pomáhat při vyřizování práv subjektů údajů a při řešení incidentů a po ukončení služby údaje vymaže nebo vrátí.

Právní školení by mělo účastníkům vysvětlit rozdíl mezi správcem a zpracovatelem, co znamená společné správcovství (čl. 26 GDPR) a kdy je vhodné uzavírat tzv. data sharing agreements, například mezi různými společnostmi v rámci skupiny. Po školení pak dává smysl provést audit klíčových dodavatelských smluv a dodatků, revidovat vzory smluv o zpracování a nastavit jednotný postup pro posuzování nových dodavatelů (vendor due diligence), což je oblast, ve které právníci ARROWS advokátní kanceláře často spolupracují také s IT bezpečnostními týmy a compliance odděleními.

Nezbytnou součástí nastavení GDPR v e‑shopu je také politika uchovávání a mazání dat (data retention policy), která v praxi často chybí nebo je zcela formální. Správně nastavená politika stanoví, jak dlouho se uchovávají jednotlivé kategorie údajů (například objednávky, reklamace, marketingové kontakty, logy z webu, záznamy zákaznické podpory) a jakým způsobem se po uplynutí lhůty údaje maží nebo anonymizují. Je také nutné sladit tyto lhůty s jinými právními předpisy (například daňové a účetní předpisy, lhůty pro reklamace a vymáhání nároků) a praktickými potřebami byznysu, například pro analýzu chování zákazníků v čase.

Dalším klíčovým procesem je nakládání s žádostmi subjektů údajů a bezpečnostními incidenty. Je vhodné mít interní směrnici nebo SOP (standard operating procedure), která stanoví, kdo žádosti přijímá, jak se evidují, jak se ověřuje totožnost žadatele, jaká je maximální lhůta pro odpověď a kdo schvaluje případné odmítnutí žádosti.

Podobně by měl mít e‑shop krizový plán pro bezpečnostní incidenty, včetně jasného řetězce komunikace, eskalačního postupu, předpřipravených šablon oznámení dozorovému orgánu a dotčeným osobám a způsobu, jak událost následně vyhodnotit a poučit se z ní.

Součástí implementace po školení je i vytvoření nebo aktualizace vnitřních směrnic, kodexu chování pro práci s daty, manuálů pro práci s konkrétními nástroji (CRM, e‑mailing, analytika) z pohledu GDPR a procesů pro onboarding nových zaměstnanců, včetně povinného proškolení před tím, než dostanou přístup k osobním údajům. ARROWS advokátní kancelář klientům často nabízí kombinaci školení, přípravy směrnic, revize smluv a průběžného externího právního poradenství, aby e‑shop nemusel každý dílčí problém řešit ad hoc, ale měl dlouhodobou a systematickou podporu.

Možné problémy	Jak pomáhá ARROWS (office@arws.cz)
Neplatný souhlas s cookies : cookie lišta nutí uživatele souhlas přijmout, chybí možnost „odmítnout vše“, tlačítka jsou graficky nevyvážená a není jasně popsán účel jednotlivých kategorií cookies – hrozí zásah dozorového orgánu a pokuta.	Audity a nastavení cookies: právníci z ARROWS advokátní kanceláře zkontrolují současnou cookie lištu, doporučí úpravy textů, grafické podoby a technického chování, připraví aktualizovanou dokumentaci a pomohou nastavit proces obnovování souhlasu v souladu s GDPR a ePrivacy.
Chybějící nebo neúplné smlouvy se zpracovateli : hostingy, e‑mailingové nástroje, agentury nebo platební brány zpracovávají data bez řádných smluvních dodatků, což komplikuje odpovědnost a zvyšuje riziko sankcí.	Smluvní a vendor audit: právníci z ARROWS advokátní kanceláře provedou přehled všech dodavatelů, identifikují roli správce či zpracovatele, připraví nebo zrevidují smlouvy o zpracování, nastaví podmínky podzpracovatelů a proces pravidelného hodnocení dodavatelů.
Neexistující nebo formální reakce na žádosti zákazníků : e‑shop nemá proces pro vyřizování práv na přístup, výmaz či námitku proti marketingu, žádosti se ztrácejí nebo jsou vyřizovány po lhůtě – hrozí stížnosti a sankce.	Nastavení DSAR procesu: ARROWS advokátní kancelář připraví přehledné workflow pro žádosti, vzory odpovědí, interní směrnici a proškolí front‑line zaměstnance, aby žádosti správně identifikovali a předávali.
Bezpečnostní incidenty a úniky dat : e‑shop nemá incident response plán, neví, kdy a jak hlásit incident úřadu a zákazníkům, hrozí sekundární poškození reputace a navýšení pokuty kvůli neprofesionálnímu postupu.	Incident response a zastupování před úřady: právníci z ARROWS advokátní kanceláře pomáhají sestavit plán pro řešení incidentů, nastavují vnitřní procesy a v případě reálného úniku dat zastupují e‑shop při notifikaci dozorovému orgánu a komunikaci s dotčenými osobami.
Nepřiměřená doba uchovávání dat : e‑shop uchovává data o zákaznících a jejich chování neomezeně dlouho bez jasného účelu a dokumentace, což odporuje zásadě omezení uložení a zvyšuje dopady případného úniku dat.	Politika retention a mazání: ARROWS advokátní kancelář nastaví retenční politiku pro jednotlivé typy dat, sladí ji s právními a obchodními požadavky, připraví směrnice pro mazání a pomůže zajistit, aby je IT systémy dokázaly v praxi vynutit.

Mezinárodní přesah, česká specifika a nové trendy

GDPR je přímo použitelné ve všech členských státech EU, včetně České republiky, ale zároveň dává jednotlivým státům možnost upravit některé otázky národními zákony. V českém prostředí je základním doplňujícím předpisem zákon o zpracování osobních údajů (zákon č. 110/2019 Sb., ve znění pozdějších předpisů), který implementuje některé flexibilní prvky GDPR a upravuje například postavení a pravomoci Úřadu pro ochranu osobních údajů.

Pro e‑shopy je důležité sledovat také českou judikaturu a stanoviska Úřadu pro ochranu osobních údajů, zejména v oblasti cookies, marketingu a monitoringu zaměstnanců, protože ta mohou konkretizovat, jak jsou obecná pravidla GDPR v praxi aplikována.

Z mezinárodního hlediska je pro e‑shopy zásadní, že GDPR dopadá i na subjekty mimo EU, pokud nabízejí zboží nebo služby osobám v EU nebo monitorují jejich chování (čl. 3 odst. 2 GDPR). To má velký praktický dopad například na využívání zahraničních cloudových služeb, analytických nástrojů, reklamních platforem nebo CRM systémů, které mohou mít servery mimo EU.

Přenos osobních údajů do třetích zemí je podle GDPR možný pouze tehdy, pokud je zajištěna adekvátní úroveň ochrany (kapitola V GDPR). Například prostřednictvím rozhodnutí Evropské komise o odpovídající ochraně (adequacy decision), standardizovaných smluvních doložek (Standard Contractual Clauses – SCCs) nebo jiných vhodných záruk.

Evropská komise vydává rozhodnutí o odpovídající ochraně pro vybrané státy, území nebo sektory. Dále pro organizace, které se účastní specifických rámců (jako je EU-US Data Privacy Framework pro certifikované organizace v USA), což zjednodušuje přenos údajů bez potřeby dalších záruk.

V posledních letech byla přijata a aktualizována řada rozhodnutí o odpovídající ochraně, včetně pro Spojené království po jeho vystoupení z EU a pro Spojené státy americké, pokud jde o organizace účastnící se zvláštního rámce pro ochranu soukromí (EU-US Data Privacy Framework). Pro e‑shop využívající zahraniční nástroje je důležité ověřit, zda konkrétní poskytovatel spadá pod některé z těchto rozhodnutí, nebo zda je nutné uzavírat standardní smluvní doložky a provádět doplňující posouzení rizik přenosu.

Právníci ARROWS advokátní kanceláře mají zkušenost s nastavováním těchto mezinárodních přenosů pro klienty v e‑commerce a mohou využít také zázemí sítě ARROWS International pro řešení přeshraničních aspektů.

Specifickou otázkou je také zpracování osobních údajů dětí, zejména v případech, kdy e‑shop míří na mladší publikum nebo nabízí online služby, které mohou využívat děti. GDPR stanoví, že pro souhlas se zpracováním v souvislosti s nabídkou služeb informační společnosti přímo dítěti je nutný věk alespoň 16 let, přičemž členské státy mohou tuto hranici snížit, ale ne pod 13 let (čl. 8 GDPR).

V praxi to znamená, že pokud e‑shop cílí na mladší uživatele, musí zvážit, jak ověřovat věk, jak formulovat informace srozumitelně pro děti a kdy je nutný souhlas rodiče.

Výrazným trendem v ochraně soukromí je posilování principu minimalizace dat a „privacy by design“ v globálním měřítku, nejen v EU (čl. 25 GDPR). Řada nových právních úprav, například v některých amerických státech, přejímá princip, že sběr a využití osobních údajů musí být nezbytný a přiměřený deklarovaným účelům, a pouhé „odkliknutí“ podmínek nemusí stačit. Pro e‑shopy to znamená, že strategie „posbírejme co nejvíce dat, třeba se nám to někdy hodí“ je čím dál rizikovější jak z právního, tak z reputačního hlediska.

Dalším trendem je zvyšující se důraz na transparentnost algoritmického rozhodování a profilování, včetně práv subjektů údajů nebýt podrobeni rozhodnutí založenému výlučně na automatizovaném zpracování, které má vůči nim právní účinky nebo je podobně významně ovlivňuje (čl. 22 GDPR). V prostředí běžných e‑shopů se tato úprava dotýká spíše okrajově (například u automatizovaného schvalování větších nákupů, úvěrových rámců nebo dynamického stanovování cen).

S rostoucím využitím AI nástrojů pro personalizaci, doporučovací systémy a scoring zákazníků lze očekávat, že bude význam této části GDPR narůstat. Neistotu a náklady na compliance pociťují zejména malé a střední podniky, které často podceňují nebo odkládají investice do ochrany osobních údajů, protože se obávají, že si nemohou dovolit specializované týmy ani drahé technologie. Analýzy však ukazují, že rozumná investice do základního právního nastavení, školení a procesů je dlouhodobě levnější než řešení následků incidentů, pokut a sporů.

Právníci ARROWS advokátní kanceláře proto s klienty často pracují v několika fázích – od úvodního auditu a školení přes prioritizaci opatření až po postupné „dotahování“ detailů – tak, aby byla compliance dosažitelná i pro menší e‑shopy bez vlastního právního oddělení.

Závěrečné shrnutí

Správné nastavení práce s osobními údaji v e‑shopu podle GDPR není jednorázový úkon, ale průběžný proces, který začíná pochopením základních principů a právních základů zpracování, pokračuje přes technické a smluvní nastavení a končí každodenní praxí zaměstnanců, kteří s daty pracují.

Pro podnikatele, investory a management e‑shopů je klíčové vnímat GDPR jako součást řízení rizik – špatně nastavené souhlasy, cookies nebo bezpečnostní procesy mohou vést k vysokým pokutám, soudním sporům, blokaci marketingových aktivit i vážné reputační újmě.

Právní školení zaměřené přímo na e‑shopy představuje efektivní způsob, jak sladit právní, IT a marketingový pohled a vytvořit společný rámec pro každodenní rozhodování o datech. Nestačí však jen jednorázový seminář; školení by mělo být propojeno s auditem současného stavu, úpravou dokumentace, nastavením procesů a pravidelným přezkumem v reakci na změny v byznysu, technologiích i legislativě.

ARROWS advokátní kancelář má zkušenosti s GDPR a e‑commerce v českém i mezinárodním kontextu, je pojištěna na škodu až do 400 000 000 Kč a díky síti ARROWS International dokáže podpořit i klienty s přeshraniční působností. Pokud nechcete riskovat chyby, škody, průtahy nebo pokuty kvůli nedostatečnému nastavení ochrany osobních údajů ve vašem e‑shopu, je bezpečnější svěřit přípravu právního školení, návazných směrnic a smluv odborníkům. V případě zájmu o individuální konzultaci nebo přípravu školení pro váš tým se můžete kdykoliv obrátit na právníky ARROWS advokátní kanceláře prostřednictvím e‑mailu office@arws.cz.

FAQ: Často kladené otázky k právnímu školení pro e-shopy

1. Jak dlouho obvykle trvá kvalitní právní školení GDPR pro e‑shop a kolik lidí by se ho mělo účastnit?
Doba školení závisí na rozsahu a cílové skupině, ale pro základní pochopení principů a specifik e‑commerce se jako minimum jeví přibližně tři až čtyři hodiny pro klíčové role, případně rozdělené do více bloků podle týmů. Účastnit by se měli zejména manažeři odpovědní za e‑shop, vedoucí marketingu, IT, zákaznického servisu a další pracovníci, kteří přicházejí s daty běžně do styku; ostatní lze proškolit zkrácenou formou nebo e‑learningem. Pokud chcete nastavit optimální rozsah a složení účastníků podle velikosti a typu vašeho e‑shopu, obraťte se na ARROWS advokátní kancelář na office@arws.cz a právníci vám navrhnou konkrétní scénář.

2. Jsme menší e‑shop s několika zaměstnanci – vyplatí se nám investovat do individuálního právního školení, nebo stačí obecný online kurz?
U menších e‑shopů mohou obecné online kurzy pokrýt základní povědomí o GDPR, ale obvykle neřeší specifické situace jako nastavení konkrétní platformy, nástrojů nebo marketingových kampaní. Individuální školení, byť kratší, může odhalit konkrétní chyby a rizika, která by jinak zůstala skrytá a později vedla k nákladným problémům, takže investice se často vrátí v podobě prevence incidentů a sporů. Pokud zvažujete, jaký formát školení je pro vás finančně i prakticky nejvhodnější, právníci ARROWS advokátní kanceláře vám na office@arws.cz rádi připraví varianty přizpůsobené vašemu rozpočtu a potřebám.

3. Potřebujeme po školení ještě samostatný právní audit, nebo stačí, že zaměstnanci budou poučení?
Samotné školení obvykle nestačí, protože GDPR vyžaduje také dokumentaci, smluvní nastavení, retenční politiku, procesy pro DSAR a incidenty a další prvky, které nelze vyřešit jen poučením zaměstnanců. Většinou se osvědčuje kombinace – úvodní audit, na něj navázané školení, a poté úprava dokumentace a procesů podle zjištěných rizik; rozsah auditu lze přizpůsobit velikosti a složitosti e‑shopu. ARROWS advokátní kancelář běžně nabízí modulární přístup, kdy lze začít menším rozsahem a následně navázat dalšími kroky podle priorit, stačí se ozvat na office@arws.cz.

4. Může nám právník z ARROWS advokátní kanceláře školení připravit v češtině i angličtině, pokud máme mezinárodní tým?
Ano, u e‑shopů s mezinárodním týmem bývá kombinace české a anglické verze školení prakticky nezbytná, aby všichni klíčoví pracovníci pochopili své povinnosti a rizika v jazyce, který ovládají. Právníci ARROWS advokátní kanceláře běžně připravují školení ve více jazykových verzích a mohou přizpůsobit obsah tak, aby reflektoval jak českou, tak mezinárodní regulaci, včetně přenosů dat do třetích zemí. Pokud potřebujete vícejazyčné školení nebo máte týmy v různých zemích, kontaktujte ARROWS advokátní kancelář na office@arws.cz a domluvte si konkrétní možnosti.

5. Pomůže nám ARROWS advokátní kancelář také v případě kontroly od Úřadu pro ochranu osobních údajů, pokud i přes školení dojde k problému?
Ano, právníci ARROWS advokátní kanceláře běžně zastupují klienty při kontrolách ze strany dozorových orgánů, pomáhají připravit podklady, komunikují s úřadem a navrhují strategii obrany včetně případných opravných prostředků. Dobře zdokumentované školení a přijatá opatření často pomáhají snížit závažnost hodnocení porušení a tím i výši případné pokuty, přičemž ARROWS advokátní kancelář díky své zkušenosti a pojistnému krytí do 400 000 000 Kč dokáže efektivně chránit vaše zájmy. Pokud se ocitnete v situaci kontroly nebo hrozící sankce, neotálejte a co nejdříve kontaktujte ARROWS advokátní kancelář na office@arws.cz, aby bylo možné situaci řešit včas.

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2026. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.