1. Než e-shop vypnete: udělejte inventuru dat a systémů
Prvním krokem není smazat web, ale zjistit, kde všude se osobní údaje zákazníků nacházejí. U nefunkčního e-shopu bývá data rozptýlena v několika místech: v administraci platformy, v databázi, v e-mailingu, v CRM, v účetnictví, v helpdesku, ve skladovém systému, v exportech pro dopravce a často i v zálohách hostingu. Bez této mapy nelze bezpečně rozhodnout, co smazat, co archivovat a co musíte uchovat ze zákona.
V praxi si vytvořte jednoduchý seznam systémů a u každého si napište:
- jaké osobní údaje obsahuje,
- zda jde o běžné zákaznické údaje, nebo o citlivější data z reklamací a komunikace,
- kdo je jejich správcem a kdo zpracovatelem,
- jak dlouho je musíte uchovat kvůli účetnictví, daním nebo právním nárokům.
U menších e-shopů bývá problém v tom, že se data „jen někde vezmou a někam pošlou“ přes pluginy. Typicky jde o WooCommerce napojený na Mailchimp, Shoptet exporty, GA4, Meta Pixel, dopravce a účetní software. Z hlediska GDPR je důležité, aby po uzavření provozu už neprobíhaly žádné nové přenosy do třetích stran. Doporučuji proto hned na začátku vypnout marketingové integrace, remarketingové pixely a automatické synchronizace objednávek.
2. Co musíte uchovat a co naopak smíte bezpečně smazat
Ne všechny údaje lze odstranit okamžitě. Největší chybou bývá snaha „vyčistit vše“, přestože část dokumentace je nutné uchovat kvůli účetním a daňovým povinnostem. V českém prostředí se typicky drží daňové doklady až 10 let podle souvisejících předpisů, účetní záznamy obvykle 5 let a některé smluvní či reklamační podklady po dobu, po kterou mohou vzniknout právní nároky. Konkrétní lhůty si vždy ověřte podle typu dokumentu a právního titulu, ale v praxi platí: nearchivujte víc, než musíte, a neuchovávejte nic déle, než je nutné.
Pro e-shop to obvykle znamená tento režim:
- uchovat faktury, objednávky, účetní doklady, podklady k reklamacím a odstoupením od smlouvy,
- smazat nebo anonymizovat marketingová data, neaktivní zákaznické účty, historie prohlížení a segmenty pro cílení reklam,
- omezit přístup k datům jen na účetní, právní a daňově relevantní účely.
Prakticky je nejbezpečnější rozdělit data do dvou skupin. První skupina jsou archivní data, která uložíte do odděleného úložiště s omezeným přístupem. Druhá skupina jsou provozní data, která se po ukončení e-shopu smažou z produkce, CRM, newsletteru i analytiky. Pokud používáte WordPress nebo WooCommerce, nezapomeňte odstranit i vlastní exporty v pluginu, např. objednávky v CSV nebo kopie zákaznických profilů v rozšířeních pro fakturaci.
3. Bezpečné mazání v praxi: databáze, zálohy, cloud i e-mail
Samotné kliknutí na „smazat účet“ obvykle nestačí. Údaje často zůstávají v databázových dumpích, automatických zálohách, e-mailové schránce nebo v cloudových úložištích. Pokud e-shop běží na hostingu s denními zálohami, může být problém i v tom, že smazaná data se vrátí při obnově zálohy. Proto je nutné pracovat s retencí záloh a smazáním dat ve všech kopiích.
Osvědčený postup je tento:
- Databáze – exportujte jen to, co musíte archivovat, a zbytek smažte nebo anonymizujte. U WooCommerce lze například zachovat objednávkové záznamy bez marketingových polí a přihlašovacích údajů.
- Zálohy – nastavte krátkou retenční dobu, například 7 až 30 dní, podle rizika a provozu. Po uplynutí lhůty zálohy automaticky přepisujte nebo mažte.
- E-mail – prohledejte schránky podle klíčových slov jako objednávka, faktura, reklamace, odstoupení, osobní údaje. Pokud je e-mail součástí evidence, přesuňte relevantní komunikaci do archivu a zbytek odstraňte.
- Cloudové služby – zrušte sdílené složky v Google Drive, Dropboxu nebo OneDrivu a zkontrolujte, zda nejsou veřejně přístupné exporty zákazníků.
U technicky zdatnějších projektů doporučuji po uzavření provozu vytvořit anonymizovanou kopii databáze pro interní analýzu. Například místo jména a e-mailu zůstane jen ID objednávky, datum a hodnota nákupu. Tím si zachováte data pro ekonomické vyhodnocení bez rizika, že budete dál pracovat s identifikovatelnými údaji. Pro práci s databází se hodí nástroje jako phpMyAdmin, Adminer nebo přímé SQL skripty, ale vždy pod verzovaným postupem a ideálně s kontrolou druhé osoby.
4. Informování zákazníků, odhlášení marketingu a změna dokumentace
Ukončení e-shopu by mělo být viditelné i z pohledu zákazníka. Pokud stále přijímáte objednávky nebo dotazy, musíte jasně sdělit, že provoz končí a jak budou naložena data. Na webu by měl být krátký a srozumitelný text o ukončení provozu, kontaktní e-mail pro právní dotazy a informace, jak mohou zákazníci uplatnit práva podle GDPR. V praxi se vyplatí ponechat web v režimu „informační landing page“ ještě několik týdnů až měsíců, než doména definitivně zanikne.
Součástí procesu je také ukončení marketingových aktivit. To znamená:
- odhlásit e-shop z newsletterových automatizací,
- zastavit remarketingové kampaně v Google Ads a Meta Ads,
- vymazat publika a custom audiences,
- zrušit napojení na nástroje typu Klaviyo, Ecomail, Mailchimp nebo Brevo.
Pokud máte na webu formuláře pro poptávky, chaty nebo recenze, zkontrolujte, zda se údaje neposílají do dalších systémů. U menších firem bývá častý problém, že po vypnutí e-shopu stále běží automatické odpovědi nebo notifikace z helpdesku, kde zůstávají celé konverzace včetně adres, telefonů a detailů objednávek. Tyto kanály je potřeba vypnout nebo převést do režimu, kdy slouží jen pro omezený právní kontakt.
Doporučuji také aktualizovat dokumenty, které zůstávají veřejně dostupné: zásady zpracování osobních údajů, obchodní podmínky, reklamační řád i kontaktní stránku. Pokud e-shop už nepřijímá objednávky, nesmí veřejně působit dojmem, že je stále aktivní a data se dále zpracovávají pro obchodní účely.
5. Předání, likvidace a důkazní stopa pro případ kontroly
Poslední část je často podceňovaná: musíte být schopni doložit, co se s daty stalo. Když dojde ke kontrole nebo sporu, nestačí tvrdit, že jste vše smazali. Je vhodné mít interní protokol o likvidaci, který obsahuje datum ukončení provozu, seznam systémů, způsob výmazu, odpovědnou osobu a informaci o tom, co bylo archivováno a proč.
V ideálním případě si uložte:
- seznam vymazaných systémů a modulů,
- export dat určených k archivaci,
- potvrzení od hostingu nebo správce serveru o ukončení záloh či jejich retenci,
- logy o deaktivaci integrací a marketingových nástrojů,
- záznam o předání účetních dokladů účetní firmě nebo archivaci do interního systému.
Pokud e-shop prodáváte, slučujete nebo předáváte jinému subjektu, je situace složitější. V takovém případě je nutné jasně oddělit, kdo se stává správcem dat a na jakém právním základě. Samotný převod databáze bez informování zákazníků a bez smluvního rámce je rizikový. U likvidace je naopak cílem minimalizovat rozsah zpracování, odstranit aktivní přístupy a ponechat jen nezbytné minimum pro zákonné povinnosti.
Pro menší projekty je praktické použít jednoduchý checklist v nástroji Notion, Trello nebo v tabulce Google Sheets. U větších e-shopů se vyplatí zapojit právníka, správce hostingu a administrátora databáze. Náklady na jednorázovou správnou likvidaci bývají výrazně nižší než řešení následků úniku dat, který může zahrnovat pokuty, škody na reputaci i náklady na obnovu infrastruktury.
Dobře zvládnutá likvidace nefunkčního e-shopu je kombinací právního pořádku, technického výmazu a dokumentace. Když si pohlídáte inventuru dat, retenční lhůty, bezpečné mazání, komunikaci se zákazníky i důkazní stopu, uzavřete projekt bez zbytečných rizik a bez toho, aby po vás zůstaly rozptýlené kopie osobních údajů v desítkách systémů.
