V roce 2024 ČOI ve 3. čtvrtletí udělila 180 pokut v celkové výši 3,9 milionu korun. Téměř 85 % kontrolovaných e-shopů porušilo zákon. 16 zjištěných případů spadlo přímo do kategorie „nesprávné nakládání s recenzemi“. A nejcitovanější rozhodnutí – e-shop Lunzo – skončilo podle veřejných zdrojů pokutou 750 000 Kč za selektivní mazání negativních recenzí.
Žádná velikostní výjimka neexistuje. Pokud zveřejňujete recenze, vztahuje se na vás minimálně § 5a odst. 5 zákona o ochraně spotřebitele a DSA. ČOI to bere jako standardní položku kontrolního scénáře. Tento 14denní plán je odpověď: jak audit zvládnout interně, kde to může selhat, kdy stojí za to vzít externí pomoc.
Kontrolovaných e-shopů ČOI ve 3. čtvrtletí 2024 porušilo zákon. Žádný „kdyby přišli, vyřešíme to“ plán už nestačí – pokud zveřejňujete recenze, riziko je reálné.
První tři dny zjišťujete, kde stojíte. Nemá smysl něco opravovat, dokud nevíte, co máte. Cíl: mapa, kde je každý compliance prvek dnes nasazený (nebo nenasazený).
Co projít den po dni
Den 1: Disclosure check
Otevřete vaši stránku s recenzemi. Je tam viditelná věta, zda a jak ověřujete? Pokud ne, nebo je schovaná v patičce/obchodních podmínkách, je to první díra. Screenshot pro audit log.
Den 2: Mazání a moderace
Projdete poslední 3 měsíce: byly nějaké recenze smazány? Pokud ano, máte k tomu doložitelné důvody (urážky, doxxing, podvod)? Pokud jste mazali z důvodu „nelíbila se nám“, máte druhou díru.
Den 3: Notifikační mechanismus
U každé recenze: existuje tlačítko/odkaz „Nahlásit obsah“? Pokud ne, DSA čl. 16 nesplňujete. Také zkontrolujte, zda máte v patičce e-mail pro úřady s uvedeným jazykem.
Český zákon o ochraně spotřebitele vyžaduje, abyste transparentně uvedli, zda a jak ověřujete recenze. Nemusíte všechny recenze ověřovat – musíte jen otevřeně říct, co děláte.
Co musí být hotové do dne 7
- Disclosure věta viditelná u sekce s recenzemi (ne v patičce, ne v T&Cs). Vzor: „Recenze ověřujeme proti objednávkám z našeho e-shopu a importovaným z Heureka Ověřeno zákazníky.“
- Interní dokument popisující, jak ověření reálně probíhá (e-mail match, order ID, externí platforma). Při kontrole musíte umět doložit.
- Vizuální rozlišení ověřených a neověřených recenzí (pokud máte mix). Štítek, ikona nebo barva.
- Pravidla pro mazání recenzí v interním dokumentu: kdy se maže, kdo schvaluje, jak se loguje. Žádné „když se nám nelíbí“.
Konkrétní úkoly pro tento blok
Den 4: napište disclosure větu pro váš provoz (vzor je v Quick start článku). Pošlete ji vašemu obsahovému týmu k publikaci.
Den 5: sepište interní dokument „Pravidla pro ověřování recenzí“ (1 strana A4). Pro každý zdroj recenzí (vlastní web, Heureka, Google) popište, jak ověřujete.
Den 6: sepište interní dokument „Pravidla pro mazání a skrývání recenzí“ (1 strana A4). Vyjmenujte legitimní důvody (urážky, doxxing, podvod, prokazatelná falešnost).
Den 7: kontrola na webu – disclosure věta viditelná, vizuální rozlišení nasazené.
DSA (nařízení EU 2022/2065) je platné pro běžné e-shopy s uživatelským obsahem (recenze, komentáře, fotky) od 17. února 2024. Vyžaduje tři konkrétní věci, které ČTÚ v případě kontroly chce vidět.
Co nasadit v této fázi
- Notifikační mechanismus (čl. 16): u každé recenze tlačítko/odkaz „Nahlásit obsah“. Formulář s důvodem nahlášení a kontaktem na hlásícího.
- Odůvodněné rozhodnutí (čl. 17): pokud recenzi smažete/skryjete, autor dostane e-mail s důvodem a poučení o možnosti odvolání. Šablona ve vašem nástroji.
- Kontaktní bod pro úřady (čl. 11–12): viditelný e-mail v patičce nebo na samostatné /dsa-kontakt stránce s uvedeným jazykem (čeština).
- Aktualizace obchodních podmínek: sekce o moderaci uživatelského obsahu – co je zakázané, jak postupujete při sporu.
Pro nemikropodniky a nemalé podniky navíc
Pokud máte víc než 50 zaměstnanců nebo obrat nad 10 mil. EUR, čl. 15 DSA vyžaduje výroční transparenční zprávu o moderaci obsahu. Pro většinu CZ e-shopů toto neplatí, ale je dobré vědět, kdy do regulačního pásma „dospíváte“ (typicky při fundraisingu, akvizici, rychlé expanzi).
Mikropodnik (do 10 zaměstnanců, obrat do 2 mil. EUR) a malý podnik (do 50, obrat do 10 mil. EUR) jsou podle čl. 19 DSA osvobozené od výroční zprávy. Základní povinnosti (notifikace, odůvodnění, kontaktní bod) platí dál.
ÚOOÚ opakovaně upozorňuje, že odpovědi na veřejné recenze jsou jednou z nejtypičtějších GDPR chyb e-shopů. Snaha „uvést věci na pravou míru“ často skončí zveřejněním osobních údajů zákazníka – a to je porušení.
Šablony odpovědí – co revidovat
- V odpovědích nikde nesmí být: číslo objednávky + jméno, e-mail, telefon, adresa doručení, identifikační detaily produktu/preferencí.
- Šablony pro typické situace (pozdní dodání, vrácení, reklamace) revidujte tak, aby používaly obecné formulace bez identifikátorů.
- Pokud potřebujete fakticky vyvrátit konkrétní tvrzení, držte se obecných informací. „Zásilka byla doručena 4. dne“ je OK. „Objednávka pana XY, č. 2024/00382, doručena na adresu Vinohradská 123“ je problém.
- Interní pravidlo: tým má 5 schválených šablon. Žádné ad-hoc odpovědi bez konzultace s vlastníkem procesu.
Compliance bez auditního logu je polovina práce. Když ČOI při kontrole zeptá „ukažte historii“, musíte umět odpovědět konkrétně, ne „někde to máme“.
Co musí audit log obsahovat
- Schválení/zamítnutí každé recenze: kdo, kdy, proč (důvod podle interních pravidel).
- Mazání nebo skrytí recenze: kdo, kdy, jaký důvod (s odkazem na interní pravidla mazání).
- Notifikace od uživatelů (nahlášený obsah): kdy přišlo, jak jsme rozhodli, kdy byl autor informován.
- Změny disclosure věty na webu: kdy se měnila, proč, kým.
Praktická realizace
Pokud používáte Recenzia.cz nebo jiný nástroj s audit logem, máte to vyřešené automaticky. Pokud spravujete recenze ručně v Heureka administraci, vedete log paralelně (Notion, Google Sheets) – každá akce má řádek.
Při ČOI kontrole inspektor obvykle ukáže náhodný case z poslední 3 měsíců a chce vidět rozhodovací stopu. Audit log to za vás vysvětlí během 30 sekund. Bez logu řešíte 30 minut otázku „jak to bylo“.
Poslední den – projděte si seznam, jako by vám u dveří stál inspektor. Tohle je mock, který odhalí slabá místa dřív, než to udělá ČOI nebo ČTÚ.
Mock kontrola: 12 otázek, na které musíte umět odpovědět
1
Ukažte disclosure větu na vašem webu. Je u sekce s recenzemi?
2
Jak konkrétně ověřujete recenze? Předložte interní dokument.
3
Smazali jste nějakou recenzi za posledních 3 měsíce? Předložte audit log s důvodem.
4
Kde u jednotlivé recenze najde uživatel tlačítko „Nahlásit obsah“? Ukažte živě.
5
Dostal autor smazané recenze e-mail s důvodem? Předložte vzor.
6
Kde najde úřad váš kontaktní bod podle DSA? Ukažte v patičce/na stránce.
7
Předložte vaše obchodní podmínky se sekcí o moderaci obsahu.
8
Předložte vzor šablony odpovědi na negativní recenzi. Obsahuje osobní údaje zákazníka? (Měla by ne.)
9
Kdo je v týmu zodpovědný za compliance recenzí? Jméno, ne „všichni“.
10
Předložte poslední audit log obsahující 5 schvalovacích rozhodnutí.
11
Pokud nejste mikro/malý podnik, předložte poslední výroční report o moderaci.
12
Kde najde ČOI/ČTÚ aktuální verzi vašich obchodních podmínek? URL.
Audit není jednorázová akce. Pravidla se mění (DSA dostává nové výklady, ČOI mění důraz, ÚOOÚ vydává stanoviska). Rutina po auditu je o tom, aby compliance vrstva nezestárla.
Měsíční a kvartální rutina
- Měsíčně: rychlý check disclosure věty (zda se nesmazala při redesignu), kontrolu audit logu, review obchodních podmínek.
- Měsíčně: 15 minut na sledování ČOI tiskových zpráv a dTest aktualit – co řeší u jiných e-shopů.
- Kvartálně: revize šablon odpovědí, refresh interních dokumentů (ověřování, mazání).
- Ročně: full mock kontrola (projděte 12 otázek z dne 14).
Compliance není projekt, je to rutina. Audit za 14 dnů vás dostane do startovního stavu. Co ho udrží, je 15 minut pozornosti měsíčně, ne 14denní hrdinství jednou za rok.
